Résumé : Les entreprises accélèrent leurs investissements dans IA et des plateformes cloud tout en laissant des trous béants dans les cyberdéfenses de base. De récentes enquêtes à grande échelle montrent qu'il est largement prévu d'augmenter les dépenses d'IA générative et la consommation de cloud, alors même que les contrôles fondamentaux tels que les confiance zéroLes technologies de l'information, la gestion des identités et la détection gérée restent sous-déployées. Cette analyse examine les raisons pour lesquelles les priorités des entreprises sont orientées vers l'innovation au détriment de la résilience, comment les risques basés sur l'identité et les risques post-quantiques se développent, ce que font les principaux vendeurs et fournisseurs de sécurité, ainsi qu'une feuille de route opérationnelle réaliste pour des entreprises telles que l'hypothétique entreprise de taille moyenne. AquilaTech de concilier croissance et défense renforcée.
Les entreprises privilégient l'adoption de l'IA et du cloud par rapport à la cyberhygiène de base : portée et résultats de l'enquête
Les données d'enquêtes menées auprès de responsables informatiques et commerciaux internationaux révèlent un schéma clair : l'enthousiasme pour l'IA et les services cloud ne coïncide pas toujours avec une cyberhygiène rigoureuse. Dans le cadre d'une vaste étude menée au printemps 2025 auprès de 1 000 responsables informatiques et commerciaux, une majorité d'entre eux ont indiqué qu'ils prévoyaient d'augmenter les dépenses consacrées à l'IA générative et à l'infrastructure en nuage. Plus précisément , 78% ont indiqué un budget plus élevé pour l'IA générative, tandis qu'environ trois quarts les investissements supplémentaires prévus dans le domaine de l'informatique dématérialisée.
Pourtant, ces mêmes organisations ont fait état d'un sous-investissement dans les défenses de base. Seules les 62% mettaient en place une architecture de réseau à confiance zéro, et à peine 42% ont prévu de déployer des services de gestion de l'identité et de l'accès numériques. L'adoption de la gestion de la détection et de la réponse (MDR) s'est stabilisée à un niveau proche de la moyenne. 45%. Cette inadéquation expose les entreprises à des attaques basées sur l'identité, à des erreurs de configuration du cloud et à des vecteurs de ransomware qui exploitent la réutilisation des informations d'identification.
Le cas d'AquilaTech est illustratif. L'entreprise a accéléré sa stratégie "cloud-first" en s'appuyant sur les technologies suivantes Amazon Web Services et les services Google Cloud pour prendre en charge les nouvelles analyses basées sur l'IA. Le déploiement rapide de modèles et de conteneurs a dépassé la capacité de l'équipe de sécurité à valider les flux d'identité et les politiques RBAC. En quelques mois, les enquêteurs ont découvert de multiples rôles IAM trop permissifs permettant des mouvements latéraux dans les environnements de test. Le scénario d'AquilaTech fait écho aux conclusions du rapport : croissance du pipeline d'innovation avec des garde-fous inadéquats.
Les principales raisons techniques de cet écart sont les suivantes :
- Les frictions perçues : Les chefs d'entreprise considèrent souvent les contrôles de sécurité comme des obstacles à l'accès aux données et à la rapidité des produits.
- Pénurie de compétences : Les équipes de sécurité manquent de personnel expérimenté dans les contrôles natifs du cloud et la gestion des risques des modèles d'IA.
- Signal budgétaire : L'enthousiasme du conseil d'administration favorise les projets d'innovation visibles par rapport aux investissements de résilience progressifs.
Ces facteurs ne s'excluent pas mutuellement. Par exemple, si les équipes chargées des plateformes peuvent faire confiance aux contrôles par défaut des fournisseurs d'informatique en nuage de Microsoft, Google Cloud, et Amazon Web ServicesEn outre, ils peuvent ne pas évaluer l'écart entre les contrôles des fournisseurs et le modèle de menace de l'organisation. Il en résulte un paysage multicloud où les politiques IAM fantômes et les points d'extrémité non gérés deviennent le chemin de moindre résistance pour les attaquants.
Tableau : Points saillants de l'enquête comparative (statistiques de l'échantillon)
Métrique | Résultats de l'enquête | Implication |
---|---|---|
Augmentation prévue des dépenses en IA générative | 78% | Augmentation de la surface d'attaque en raison de l'utilisation de données modèles et des chaînes d'approvisionnement |
Mise en œuvre de la confiance zéro | 62% | Périmètre résiduel et risque de mouvement latéral |
Adoption de l'identité numérique | 42% | Risque élevé d'intrusions basées sur les informations d'identification |
Déploiement du MDR | 45% | Lacunes en matière de détection et ralentissement de la maîtrise des incidents |
Les conséquences pratiques pour les opérations comprennent des temps d'attente plus longs, des coûts de récupération plus élevés et une exposition stratégique lorsque des charges de travail natives de l'informatique en nuage traitent des données sensibles. Le thème est clair : les métriques de priorisation doivent s'adapter pour inclure des indicateurs de résilience tels que le temps de détection et le pourcentage de systèmes critiques sous contrôle zéro confiance. Perspective finale : les organisations qui développent l'IA et le cloud sans investissements concrets en matière d'identité et de détection amplifient le risque systémique.
Les entreprises donnent la priorité à l'IA et au cloud : Lacunes en matière d'identité, de confiance zéro et de contrôle d'accès
Les attaques basées sur l'identité restent un vecteur dominant pour les brèches, mais de nombreuses entreprises dépriorisent l'hygiène de l'identité tout en déplaçant les charges de travail vers les clouds et en déployant des outils d'IA. Le décalage entre l'urgence de l'IA au niveau de la direction et la mise en œuvre au niveau du terrain des contrôles d'identité crée un chemin d'attaque prévisible : les adversaires exploitent des comptes faibles ou non gérés pour obtenir un accès persistant aux ressources cloud et aux pipelines d'IA.
La gestion des identités n'est pas seulement un ensemble de contrôles techniques, c'est aussi le fondement d'une adoption sécurisée de l'informatique dématérialisée. Lorsque les entreprises utilisent les services de fournisseurs tels que IBM, Oracle, ou SalesforceLe SSO mal configuré et les privilèges excessifs des comptes de service se traduisent directement par des risques. Par exemple, un compte de service mal privilégié fourni pour un pipeline d'apprentissage de modèle sur Google Cloud peut toucher les baquets de stockage, les instances de calcul et les services de journalisation, créant ainsi un trio d'attaque en cas d'abus.
Les défaillances opérationnelles se concentrent sur trois domaines : le cycle de vie des informations d'identification, la segmentation et la vérification continue.
- Cycle de vie des titres : l'absence de rotation, l'absence de gestion des principaux services et l'absence de surveillance des sessions privilégiées.
- Segmentation : un réseau plat ou des règles VPC permissives qui autorisent les mouvements latéraux entre les charges de travail d'IA et les magasins de données de production.
- Vérification continue : l'absence de contrôles de posture en temps réel et de décisions d'accès adaptatives.
Les mesures concrètes pour combler ces lacunes sont les suivantes :
- Mettre en œuvre confiance zéro politiques appliquées au niveau de l'identité avec RBAC à grain fin pour chaque intégration cloud et SaaS.
- Adopter un fournisseur d'identité de niveau entreprise et assurer l'authentification multi-facteurs (MFA) pour tous les rôles privilégiés.
- Déployer des signaux d'authentification continus et des seuils contextuels pour les opérations sensibles telles que le déploiement de modèles ou l'exportation de données.
Les fournisseurs de produits de sécurité réagissent en adoptant des approches variées. Palo Alto Networks et Fortinet mettre l'accent sur la segmentation basée sur le réseau et le pare-feu avec des intégrations de services d'accès sécurisé à la périphérie (SASE). Les entreprises axées sur les points finaux, telles que CrowdStrike et SentinelOne renforcer la télémétrie et la réponse pour les points finaux compromis. L'intégration de ces capacités produit une défense à plusieurs niveaux où l'identité est primordiale et où la télémétrie des points d'extrémité et du réseau fournit une corroboration.
Il y a également des problèmes humains et organisationnels à résoudre. L'étude a mis en évidence des perceptions contradictoires entre les dirigeants d'entreprise et les responsables des technologies de l'information : 63% des cadres affirment que la cybersécurité entrave le partage des données, tandis que seulement 35% des responsables informatiques sont d'accord. Cette divergence favorise des choix qui privilégient l'accessibilité au détriment de l'application.
La liste de contrôle suivante permet d'établir des garde-fous concrets :
- Inventorier toutes les identités, y compris les comptes de machines et de services.
- Appliquer l'AMF et l'accès conditionnel pour les opérations privilégiées.
- Définir des modèles RBAC à moindre privilège adaptés aux flux de travail de l'IA et du cloud.
- Intégrer la télémétrie de l'identité dans les plateformes SIEM/MDR pour la corrélation.
Des lectures pertinentes sur l'alignement de l'adoption de l'IA avec la posture de sécurité peuvent être trouvées dans les ressources de l'industrie telles que l'analyse de DualMedia sur le rôle de l'IA dans la cybersécurité et les conseils tactiques sur les pratiques de sécurité de l'IA (en anglais).Le rôle de l'IA dans la cybersécurité).
Dernière idée : le renforcement de l'identité et la mise en œuvre de la confiance zéro sont des conditions préalables à l'expansion de l'IA et du cloud en toute sécurité ; ne pas les prendre en compte transfère le risque dans les pipelines d'IA de production et multiplie les coûts de remédiation en aval.
Les entreprises donnent la priorité à l'IA et au cloud : Risque post-quantique, cryptographie et stratégie de chiffrement à long terme.
Le paysage cryptographique évolue. Les équipes de sécurité sont de plus en plus préoccupées par les adversaires à capacité quantique, mais la majorité des organisations ne sont toujours pas préparées aux transitions de la cryptographie post-quantique (PQC). Dans l'enquête sectorielle citée en référence, 71% des personnes interrogées jugent leurs défenses actuelles insuffisantes contre les menaces de l'ère quantique, et seulement environ 14% ont déclaré que leur infrastructure était prête pour le CQP. Dans le même temps, environ la moitié des entreprises prévoient des migrations, mais la fenêtre pour l'approvisionnement, les essais et le déploiement est étroite.
La préparation post-quantique est un programme pluriannuel qui se superpose aux initiatives en matière de cloud et d'IA. Les exemples où une cryptographie faible devient une menace immédiate comprennent la validation de la provenance du modèle, l'enregistrement sécurisé des données de formation et les sauvegardes cryptées des points de contrôle du modèle. Si des adversaires peuvent casser les clés historiques rétroactivement, les artefacts de modèles volés et les pistes d'audit pourraient être exposés - un risque majeur pour les entreprises qui s'appuient sur des actifs de modèles riches en propriété intellectuelle.
Éléments programmatiques clés d'une migration vers un CQP :
- Évaluation de l'inventaire actuel des clés et de l'utilisation cryptographique dans les pipelines d'IA et les services en nuage.
- Priorité aux actifs sensibles qui nécessitent une transition immédiate (par exemple, les clés de signature pour l'intégrité du modèle).
- Test d'algorithmes cryptographiques hybrides dans des environnements de type production avant le passage à l'échelle.
Les fournisseurs ont commencé à proposer des outils de transition : les principaux fournisseurs de services en nuage et de sécurité publient des conseils et des services expérimentaux de CQP. Par exemple, la recherche et la collaboration des fournisseurs ont produit des schémas de clés hybrides où les algorithmes classiques fonctionnent avec des primitives PQC pour atténuer les risques au cours de la migration. Les entreprises qui exploitent des plateformes de Microsoft, IBM ou Oracle devraient s'engager dans des feuilles de route PQC spécifiques aux fournisseurs afin d'aligner les calendriers de migration.
Exemple pratique : AquilaTech a modélisé une migration progressive dans laquelle les clés de signature critiques pour les artefacts du modèle ont d'abord été enveloppées avec des algorithmes hybrides. Cela a permis de réduire le rayon d'action et de valider la vérification de la signature sur les anciens clients et les nouveaux points de terminaison compatibles avec le PQC. Parmi les enseignements tirés, citons la nécessité d'effectuer des tests d'interopérabilité approfondis entre les services en nuage et les outils d'analyse tiers.
Tableau : Priorités de la migration post-quantique
Priorité | Action | Cadre temporel |
---|---|---|
Inventaire clé | Clés de catalogue utilisées dans les pipelines d'IA, les sauvegardes et la signature | 0-6 mois |
Tests hybrides | Déployer des algorithmes hybrides en phase d'essai pour l'interopérabilité | 6-18 mois |
Renversement complet | Migrer vers les primitives PQC avec le soutien du fournisseur | 18-36 mois |
Les orientations en matière de réglementation et de sécurité nationale ont renforcé l'urgence de la migration cryptographique. Les gouvernements décrivent le transfert cryptographique comme un impératif commercial, et les entreprises détenant des données réglementées doivent planifier en conséquence. DualMedia a compilé des ressources sur les préoccupations de PQC et les sujets tactiques de sécurité de l'IA qui complètent la planification de l'entreprise (Tactiques et conseils en matière de sécurité de l'IA).
Liste de contrôle pour une action immédiate :
- Lancer l'inventaire et la classification des clés.
- Exécuter des pilotes d'algorithmes hybrides dans des clusters de non-production.
- Assurer la coordination avec les fournisseurs d'informatique en nuage et les vendeurs en ce qui concerne les délais de la CQP.
Aperçu final : La migration vers la PQC n'est pas facultative pour les organisations possédant des secrets à longue durée de vie ; une action précoce et prioritaire est la seule voie pratique pour préserver la confidentialité et l'intégrité dans un avenir en nuage piloté par l'IA.
Les entreprises donnent la priorité à l'IA et au cloud : Ecosystème des fournisseurs, IA défensive et dynamique du marché
Les stratégies de défense combinent désormais des contrôles natifs du cloud avec une détection et une réponse basées sur l'IA. Les fournisseurs de solutions de sécurité se sont adaptés : les leaders de l'endpoint et de l'EDR tels que CrowdStrike et SentinelOne mettent l'accent sur l'analyse comportementale basée sur des modèles, tandis que les fournisseurs de réseaux et d'appareils, tels que Palo Alto Networks et Fortinet intégrer le renseignement sur les menaces dans les produits SASE et NGFW. Les fournisseurs de services en nuage - notamment Amazon Web Services, Google Cloud, et Microsoft - lancent des services gérés de sécurité de l'IA pour la chasse aux menaces, la détection des anomalies et le confinement automatisé.
Malgré la disponibilité d'outils avancés, les modèles d'adoption restent inégaux. De nombreuses organisations achètent des produits ponctuels sans les intégrer dans une couche d'orchestration, ce qui crée des lacunes en matière de visibilité. En outre, certains dirigeants s'attendent à ce que les outils d'IA produisent un retour sur investissement immédiat, alors qu'en réalité la valeur nécessite souvent un réglage, des données étiquetées et l'intégration avec les manuels de réponse aux incidents existants.
Voici des étapes d'intégration pratiques qui permettent d'obtenir des gains mesurables en matière de défense :
- Centralisation de la télémétrie : alimentation des journaux des points d'extrémité, des nuages et des identités dans un moteur d'analyse unifié.
- Valider les modèles d'IA : effectuer des tests contradictoires sur les modèles de détection et veiller à ce que les alertes puissent être expliquées.
- Aligner les playbooks : s'assurer que les réponses automatisées des EDR et des guardrails cloud-native correspondent aux procédures de réponse aux incidents.
Exemple concret : un client du secteur des services financiers a mis en place un système de télémétrie des agents à partir d'un système d'information sur la santé. SentinelOne et les journaux de flux du nuage de Google Cloud VPC, mais les alertes étaient cloisonnées. Après l'intégration avec un moteur SOAR central, le temps moyen de confinement s'est amélioré de 40%, démontrant que l'orchestration est aussi importante que la précision du modèle.
La consolidation du secteur se poursuit. Les transactions notables - par exemple les acquisitions de start-ups spécialisées dans la sécurité de l'IA par de grands fournisseurs - modifient les offres de capacités et la dynamique des prix. Ces mouvements peuvent être bénéfiques, mais ils peuvent également introduire des risques de verrouillage qui doivent être mis en balance avec les avantages de l'intégration.
Liste de contrôle des fournisseurs pour les équipes chargées des achats :
- Donner la priorité à la couverture télémétrique plutôt qu'aux listes de contrôle des fonctionnalités.
- Exiger des API d'intégration des fournisseurs et des modèles exportables pour l'analyse interne.
- Évaluer la recherche des fournisseurs sur la robustesse des adversaires et les résultats de l'équipe rouge.
Pour une perspective plus large sur les mouvements des valeurs de la cybersécurité et la stratégie des fournisseurs, consultez la couverture du secteur et les analyses comparatives (CrowdStrike et les tendances du marché, Acquisitions et changements de capacités de Palo Alto).
Les acheteurs doivent exiger des contrats de télémétrie d'abord et insister sur l'interopérabilité et la validation contradictoire.
Les entreprises donnent la priorité à l'IA et au cloud : Feuille de route opérationnelle, budgétisation et engagement du conseil d'administration.
Pour remédier à ce déséquilibre stratégique, il faut une feuille de route opérationnelle rigoureuse et de nouvelles méthodes de budgétisation qui considèrent la cyberrésilience comme une fonctionnalité au niveau du produit. Les conseils d'administration et les équipes dirigeantes doivent recalibrer les mesures pour valoriser les résultats de la conception sécurisée en plus des indicateurs de performance de croissance pour les initiatives d'IA.
Structure de programme recommandée :
- Sécurité par conceptionLes systèmes de gestion de la sécurité : intégrer des portes de sécurité dans le cycle de vie de l'IA et de la fourniture de services en nuage, avec des vérifications automatisées de la provenance des données, de la dérive des modèles et des contrôles d'accès.
- Budgétisation de la résilienceLes États membres devraient : allouer un pourcentage des nouveaux budgets de projets IA/cloud spécifiquement pour les outils d'identité, de détection et de récupération.
- Mesures et rapportsLe système d'information sur la qualité de la vie (PQC) permet de suivre le temps de détection, le pourcentage de systèmes critiques sous confiance zéro et le pourcentage de clés sensibles dans des formats prêts à être utilisés pour le PQC.
Le déploiement pratique d'AquilaTech a aligné les dépenses par projet : chaque nouvelle initiative d'IA comprenait une contingence de 12% pour le renforcement de la sécurité, couvrant le déploiement de l'agent MDR, le gating CI/CD sécurisé et la modernisation de l'identité. Ce rééquilibrage a permis d'éviter une réaffectation perturbatrice en milieu d'année et d'accélérer les mesures correctives lorsqu'un test d'intrusion externe a révélé des privilèges de service excessifs.
Conseils en matière de budgétisation à l'intention des directeurs financiers et des responsables de l'information financière :
- Établir un règle d'allocation de sécuritéLes mesures défensives représentent une fraction fixe des dépenses consacrées aux nouvelles plates-formes.
- Financer un "centre d'excellence en résilience" central pour fournir des modèles et des garde-fous automatisés aux équipes qui adoptent l'IA et le cloud.
- Utiliser des contrats basés sur les résultats avec les fournisseurs qui incluent des mesures de niveau de service pour la détection et l'endiguement.
La communication aux conseils d'administration doit mettre l'accent sur la quantification des risques et les scénarios réels. Parmi les exemples à présenter, citons les modèles de coût des atteintes à l'identité, les délais de rétablissement avec et sans MDR, et le coût projeté d'un retard de PQC pour les actifs critiques. Les ressources de l'industrie sur les budgets cybernétiques et la position de l'organisation peuvent contribuer à éclairer les discussions du conseil d'administration : voir le reportage de DualMedia sur la planification du budget de cybersécurité (orientations budgétaires en matière de cybersécurité) et des exposés pratiques sur les menaces (ressources pour l'évaluation de la vulnérabilité).
Liste de contrôle opérationnelle pour les 12 premiers mois :
- Déployer un fournisseur d'identité d'entreprise et mettre en œuvre le MFA pour tous les comptes à privilèges.
- Déployer le MDR sur 80% des terminaux et intégrer la télémétrie dans le nuage dans les circuits de détection.
- Exécuter des projets pilotes hybrides de CQP sur les services de signature et les sauvegardes critiques.
- Créer des playbooks d'incidents correspondant à des cas d'utilisation spécifiques à l'IA, tels que l'empoisonnement de modèles et l'exfiltration de données.
Dernière idée : aligner les budgets, les conseils d'administration et les équipes de livraison sur des résultats mesurables en matière de sécurité permet à l'innovation en matière d'IA et de cloud de se poursuivre sans créer d'exposition disproportionnée ; le compromis entre vitesse et sécurité peut être géré grâce à des investissements disciplinés et axés sur les résultats.