Quelle menace émergente le rapport Kordia 2026 identifie-t-il au-delà du vol de données ?

Le rapport signale l'utilisation inappropriée de l'IA par les employés comme l'une des menaces émergentes les plus préoccupantes, notamment le fait que le personnel alimente des outils d'IA externes avec des données sensibles ou utilise des plateformes d'IA non approuvées.

L'utilisation abusive des outils d'IA par les employés est-elle généralement considérée comme intentionnelle ou accidentelle ?

Selon le rapport, l'utilisation inappropriée de l'IA par le personnel n'est généralement pas motivée par une intention malveillante, mais plutôt par la commodité qui prend le pas sur la prudence.

Pourquoi les données personnelles ont-elles tendance à être exposées dans une si grande proportion de cyberincidents réussis ?

Les informations personnelles sont stockées sur de multiples systèmes, largement partagées et régulièrement consultées à de nombreux niveaux organisationnels, ce qui signifie que toute intrusion réussie a de bonnes chances de toucher des données personnelles avant d'être détectée.

Quels types d'organisations le rapport Kordia interroge-t-il ?

Le rapport Kordia interroge des entreprises néo-zélandaises de tous secteurs et de toutes tailles, ce qui en fait un aperçu régional de la façon dont les cyberincidents se déroulent réellement dans la pratique.

Rapport Kordia 2026 : 17 % des cyberincidents en Nouvelle-Zélande aboutissent à un vol de données

Un rapport sectoriel récemment publié met un chiffre précis sur un problème que la plupart des organisations savent exister mais peinent à mesurer : les cyberincidents impliquant le vol de données personnelles représentent désormais une part significative de l'ensemble des événements de sécurité. Selon le rapport 2026 de Kordia sur la cybersécurité des entreprises néo-zélandaises, 17 % des cyberincidents — soit environ un sur six — aboutissent à un accès non autorisé ou à un vol d'informations personnelles. Parallèlement à ce chiffre, le rapport signale l'utilisation inappropriée de l'IA par les employés comme l'une des menaces émergentes les plus préoccupantes auxquelles les organisations font face aujourd'hui.

Ensemble, ces conclusions brossent le tableau d'un environnement de menaces qui évolue plus vite que beaucoup de défenses conventionnelles ne sont conçues pour y faire face.

Ce que le rapport Kordia 2026 a réellement révélé

Le rapport Kordia interroge des entreprises néo-zélandaises de tous secteurs et de toutes tailles, ce qui en fait l'un des aperçus régionaux les plus concrets de la façon dont les cyberincidents se déroulent réellement dans la pratique. Le chiffre phare — 17 % des incidents aboutissant à une exposition de données personnelles — est remarquable car il capture un résultat spécifique plutôt que simplement le volume ou le type d'attaques.

De nombreux rapports sur la cybersécurité se concentrent sur la manière dont les attaques commencent : courriels d'hameçonnage, identifiants compromis, logiciels non corrigés. Ce rapport attire l'attention sur là où les attaques se terminent, et pour une proportion significative d'entre elles, ce point final est celui où des informations personnelles échappent au contrôle de l'organisation. Cette distinction est importante pour appréhender le risque dans des termes qui intéressent réellement les régulateurs, les clients et les conseils d'administration.

Le rapport met également en évidence l'utilisation inappropriée de l'IA par le personnel comme un défi émergent. Cela concerne les employés qui alimentent des outils d'IA externes avec des données sensibles, utilisent des plateformes d'IA non approuvées ou partagent des informations confidentielles en cherchant à automatiser leur travail. Il ne s'agit pas d'intentions malveillantes dans la plupart des cas. C'est la commodité qui prend le pas sur la prudence.

Pourquoi un incident sur six aboutit-il à une violation de données ?

Le chiffre de 17 % reflète quelques réalités structurelles concernant la façon dont les organisations modernes gèrent les données. Les informations personnelles ont tendance à être stockées sur de multiples systèmes, largement partagées au sein des organisations et régulièrement consultées par des employés à de nombreux niveaux. Cette distribution signifie que toute intrusion réussie a de bonnes chances de toucher des données personnelles avant d'être détectée et contenue.

Cela reflète également la grande valeur des informations personnelles en tant que cible. Les attaquants qui accèdent à un réseau recherchent souvent spécifiquement des noms, des coordonnées, des relevés financiers et des informations d'identité. Ces données ont une valeur directe à la revente et peuvent être utilisées dans des attaques de fraude secondaire et d'ingénierie sociale.

L'écart entre la survenance d'un incident et la confirmation que des données personnelles ont été compromises constitue également un facteur. Les délais de détection donnent aux attaquants plus de temps pour localiser et exfiltrer les enregistrements les plus précieux. Les organisations dépourvues de journalisation, de segmentation ou de surveillance robustes sont plus susceptibles de découvrir une violation seulement après que les données ont déjà quitté leur périmètre.

Ce schéma n'est pas propre à la Nouvelle-Zélande. Il s'aligne avec ce que les chercheurs ont documenté à l'échelle mondiale : les entités réglementées et les organisations bien dotées en ressources continuent régulièrement de mal gérer les données personnelles, comme l'illustre l'application de vérification d'âge de l'UE qui a été piratée en quelques minutes après son lancement, où les hypothèses de conception en matière de sécurité se sont révélées fatalement optimistes presque immédiatement.

La menace interne liée à l'IA que les VPN seuls ne peuvent pas résoudre

La conclusion concernant l'utilisation de l'IA mérite une attention particulière car elle représente une catégorie de risque que la plupart des outils de sécurité existants ne sont pas conçus pour traiter. Lorsqu'un employé colle des dossiers clients dans un assistant IA public ou utilise un outil de productivité non approuvé pour traiter des données RH, aucun pare-feu ne se déclenche, aucun VPN n'émet d'alerte et aucun système de détection d'intrusion ne sonne l'alarme. Les données quittent l'organisation par un canal parfaitement légitime.

C'est là le problème fondamental de l'exposition due aux menaces internes : elle ressemble souvent à du travail ordinaire. Un VPN sécurise la connexion entre un appareil et un réseau d'entreprise. Il ne régit pas ce qu'un employé fait des données une fois qu'il y a légitimement accès. Le chiffrement protège les données en transit entre des points de terminaison de confiance ; il ne protège pas les données qu'un utilisateur autorisé choisit d'envoyer vers un endroit non autorisé.

Les organisations qui ont massivement investi dans des outils de sécurité périmétrique — y compris les VPN, la protection des points de terminaison et les pare-feu — peuvent toujours être exposées si elles n'ont pas traité la couche humaine et politique. Les conclusions de Kordia suggèrent que cet écart se creuse à mesure que les outils d'IA deviennent moins coûteux, plus performants et plus intégrés dans les flux de travail quotidiens.

Le défi est accentué par la rapidité avec laquelle le paysage des outils d'IA évolue. Une politique rédigée il y a six mois peut ne pas couvrir les plateformes que les employés utilisent aujourd'hui.

Construire une défense de la vie privée qui va au-delà des VPN

Pour répondre à la fois au taux de vol de données et à la menace interne liée à l'IA, une approche en couches est nécessaire, combinant contrôles techniques, politique organisationnelle et formation des utilisateurs.

Sur le plan technique, les outils de prévention des pertes de données (DLP) peuvent être configurés pour détecter quand des catégories sensibles d'informations sont envoyées vers des plateformes externes, y compris des services d'IA. La surveillance réseau qui consigne les transferts de données sortants peut aider à identifier des schémas inhabituels. Les contrôles d'accès qui limitent quels employés peuvent accéder à quelles données réduisent l'impact de tout incident isolé.

Sur le plan des politiques, les organisations ont besoin de directives claires et actualisées sur les outils d'IA approuvés, les catégories de données pouvant être traitées en externe et les conséquences des violations de politique. L'ambiguïté est une responsabilité. Les employés qui ne savent pas si un outil est approuvé auront souvent tendance à l'utiliser quand même, surtout s'il facilite leur travail.

La formation des utilisateurs reste essentielle. La plupart des employés qui créent des incidents d'exposition de données liés à l'IA n'agissent pas avec une intention malveillante. Ils cherchent à travailler efficacement. La formation qui explique spécifiquement pourquoi certaines données ne peuvent pas être introduites dans des outils d'IA externes — plutôt que simplement qu'elles ne le peuvent pas — tend à produire une meilleure conformité que les rappels de sécurité génériques.

Pour les particuliers, le rapport est un rappel utile de vérifier quelles données personnelles les organisations détiennent à leur sujet et comment elles sont protégées. Des lois comme le California Consumer Privacy Act accordent à certains consommateurs des droits formels sur leurs données, bien que l'application du CCPA présente des lacunes significatives dans la pratique, et l'exercice de ces droits requiert un effort actif.

Ce que cela signifie pour vous

Le rapport Kordia 2026 est une étude axée sur la Nouvelle-Zélande, mais ses conclusions reflètent des schémas reconnaissables dans tous les secteurs et toutes les zones géographiques. Un incident sur six aboutissant à un vol de données personnelles représente un taux significatif, et l'émergence de l'utilisation inappropriée de l'IA comme menace interne ajoute une nouvelle dimension à laquelle de nombreux programmes de sécurité sont encore en train de s'adapter.

Pour les particuliers, cela incite à réfléchir aux données personnelles que vous partagez avec des entreprises, à la quantité susceptible d'être exposée en cas de violation et à savoir si vous exercez les droits disponibles pour minimiser cette exposition. Pour les organisations, le rapport plaide pour faire évoluer les discussions sur la sécurité au-delà des outils périmètriques vers une gouvernance globale des données.

Les défenses techniques sont nécessaires mais pas suffisantes. Le chiffre de 17 % suggère que même après la survenance d'incidents, contenir l'impact sur les données personnelles exige rapidité, visibilité et politiques claires que la plupart des organisations s'efforcent encore de développer. Examiner votre propre empreinte de données, comprendre quels droits vous avez en vertu des lois sur la vie privée applicables et rester informé sur la façon dont les violations se produisent réellement sont des premières étapes pratiques que chacun peut entreprendre dès aujourd'hui.