Cybersécurité : 5 chiffres clés qui démontrent l’impact majeur d’une faille

IBM a publié, fin juillet 2025, son rapport annuel intitulé « Cost of a Data Breach » (le coût d’une faille de données, ndlr), une étude de référence qui analyse chaque année les conséquences financières des violations de données à travers le monde. Réalisée en collaboration avec le Ponemon Institute, cette étude repose sur l’analyse de 600 entreprises victimes, dans 17 secteurs et 16 pays, dont la France.

Cette année, le rapport met en lumière le rôle croissant de l’intelligence artificielle, à la fois outil défensif et nouvelle surface d’attaque, et livre une série de chiffres qui illustrent la gravité et la complexité croissante des incidents de sécurité.

3,59 millions d’euros : le coût moyen d’une violation de données en France

En 2025, le coût moyen d’une violation de données pour une entreprise française d’élève à 3,59 millions d’euros, selon IBM. Ce chiffre représente une baisse de 7 % par rapport à 2024, mais reste particulièrement élevé. Le coût inclut notamment les frais de détection, de notification, de réponse, les pertes d’exploitation ainsi que les potentielles amendes. Il reflète aussi la complexité croissante des environnements IT, dans lesquels les données sont souvent dispersées entre plusieurs systèmes. En effet, 27 % des violations étudiées concernaient des données stockées dans des environnements multiples (cloud, serveurs internes, etc.), avec un coût moyen encore plus élevé, d’environ 4,03 millions d’euros en moyenne.

Les secteurs les plus touchés en France sont l’industrie pharmaceutique (coût moyen de 5,11 millions d’euros), les services financiers (4,65 millions d’euros) et l’énergie (4,45 millions d’euros). Ces secteurs peuvent représenter des cibles privilégiées pour les attaquants, compte tenu des volumes particulièrement importants de données critiques qu’ils exploitent.

65 % des entreprises françaises misent sur l’IA pour se défendre

L’automatisation et l’IA s’imposent comme des outils de plus en plus efficaces dans la lutte contre les violations de données. En 2025, 65 % des entreprises françaises interrogées ont indiqué utiliser l’IA et l’automatisation dans leurs dispositifs de cybersécurité. L’impact semble net. Les organisations ayant largement recours à ces technologies ont pu détecter et contenir les incidents 88 jours plus rapidement que les autres.

Cette réactivité accrue se traduit également par une réduction moyenne de 1,39 million d’euros du coût global d’une violation. L’IA permet notamment d’améliorer la détection des comportements anormaux, d’accélérer les investigations et d’automatiser certaines réponses aux incidents. Toutefois, IBM souligne que l’adoption de ces technologies marque le pas. Elle progresse peu par rapport à l’an dernier, suggérant une forme de stagnation dans les usages.

4,92 millions de dollars : le coût moyen d’une attaque interne malveillante

Toutes les violations de données ne se valent pas. Selon IBM, les incidents les plus coûteux, à l’échelle mondiale, sont ceux causés par des initiés malveillants, c’est-à-dire des employés, prestataires ou collaborateurs ayant volontairement compromis des systèmes ou exfiltré des données. En 2025, le coût moyen de ce type de violation atteint 4,92 millions de dollars au niveau mondial.

Pour la deuxième année consécutive, les attaques par initié malveillant ont provoqué les coûts de violation les plus élevés parmi les vecteurs de menace initiaux.

En comparaison, d’autres vecteurs d’attaque restent fréquents mais légèrement moins coûteux. Le phishing (16 % des cas, 4,8 millions de dollars en moyenne) ou les vulnérabilités logicielles. En France, les erreurs humaines, souvent accidentelles, représentent également 13 % des incidents, pour un coût moyen de 3,52 millions d’euros. Qu’ils soient intentionnels ou non, les comportements internes restent donc l’un des talons d’Achille des dispositifs de sécurité.

200 000 dollars de surcoût lié au Shadow AI

Le Shadow AI désigne l’usage de modèles ou d’outils d’IA par des collaborateurs sans validation, supervision ni intégration dans les processus officiels. Un phénomène qui inquiète les experts, car ces outils non contrôlés peuvent manipuler ou exposer des données sensibles.

L’essor rapide de l’IA fantôme a supplanté les pénuries de compétences en matière de sécurité en tant que l’un des trois principaux facteurs de violations coûteuses recensés dans ce rapport.

Selon IBM, une violation impliquant le Shadow AI coûte en moyenne 200 321 dollars de plus qu’une violation classique. Ces incidents sont plus susceptibles d’entraîner une fuite d’informations personnelles (65 %) ou de propriété intellectuelle (40 %). En France, 53 % des entreprises n’ont pas mis en place de politique formelle pour encadrer l’usage de l’IA en interne, ce qui accentue le risque d’une exposition involontaire à des cyberattaques par l’intermédiaire de ces canaux.

213 jours pour détecter une faille en France

Enfin, le rapport met en lumière la durée souvent très longue nécessaire pour détecter et contenir une violation. En France, les entreprises mettent en moyenne 213 jours pour identifier une faille de sécurité et 71 jours pour la contenir. C’est légèrement mieux qu’en 2024 (baisse de 5 jours), mais cela reste plus de neuf mois de vulnérabilité potentielle.

Ce délai est crucial. Plus une violation reste active, plus elle peut entraîner de dommages. Le rapport confirme que les entreprises les plus performantes sur le plan de la détection, souvent celles qui s’appuient sur des outils d’IA, parviennent à limiter les coûts et à préserver leur réputation.