Les coûts liés à une violation de données, en France

En 2025, le coût moyen d’une violation de données en France a atteint 3,59 millions d’euros, soit une baisse de près de 7 % par rapport à l’année précédente.

Top 3 des secteurs

Les secteursqui ont connu les coûts de violation de données les plus élevés sont les suivants:

• L’industrie pharmaceutique (coût moyen de 5,11 millions d’€)
• Les services financiers (coût moyen de 4,65 millions d’€)
• Le secteur de l’énergie (coût moyen de 4,45 millions d’€)

Top 4 des vecteurs d’attaque initiaux

Le coût moyen et la fréquence des violations de données par vecteur d’attaque initial sont dans cet ordre,

• Vol physique ou problème de sécurité (13 % des incidents ; coût moyen de 4,81 millions d’€)
• Erreur interne accidentelle (13 % des incidents ; coût moyen de 3,52 millions d’€)
• Compromission des fournisseurs tiers et de la chaîne d’approvisionnement (13 % des incidents ; coût moyen de 3,48 millions d’€)
• Attaques par déni de service (13 % des incidents ; coût moyen de 3,11 millions d’€)

Top des 3 des facteurs

Les principaux facteurs qui augmentent le coût total d’une violation de données sont :

• La violation de la chaîne d’approvisionnement (331 100 €)
• L’utilisation du shadow AI (321 900 €)
• L’adoption de solutions d’IA (311 200 €)

Les principaux facteurs qui réduisent le coût total d’une violation de données sont :

• La gestion des identités et des accès (337 076 €)
• Les renseignements sur les menaces (293 339 €)
• Le Machine Learning SecOps (290 245 €)

Enfin, 27 % des violations de données étudiées concernaient des données stockées dans plusieurs environnements, pour un coût moyen de 4,03 millions d’€.

Cycle de vie des violations de données

En France, il faut en moyenne 213 jours pour identifier une violation et 71 jours pour la contenir, soit une baisse de 5 jours dans les deux cas par rapport à 2024.

IA et automatisation de la sécurité

65 % des entreprises françaises déploient l’IA et l’automatisation de la sécurité pour prévenir et combattre les violations. Une organisation qui a eu recours à l’IA et à l’automatisation de la sécurité a détecté et contenu un incident 88 jours plus rapidement et a encouru en moyenne 1,39 million d’€ de moins en coûts de violation, par rapport aux organisations qui n’utilisent pas ces technologies.

Les principales méthodes pour atténuer actuellement les risques associés aux attaques de modèles d’IA sont :

• Les contrôles d’accès aux systèmes d’IA (39 %)
• Les technologies de gouvernance de l’IA (31 %)
• Les audits réguliers des modèles (28 %)

53 % des organisations n’ont pas mis en place et outillé des politiques et processus de gouvernance pour gérer l’utilisation de l’IA et prévenir le shadow AI. Pour celles qui en ont implémenté (35 %), ces politiques comprennent des processus d’approbation stricts pour les déploiements d’IA (45 %) et l’utilisation d’une technologie de gouvernance de l’IA (41 %). Enfin, les organisations évaluent le risque d’attaques par évasion de modèles d’IA principalement par le biais d’équipes internes d’évaluation des risques (54 %).

Source : rapport basé sur une analyse de violations de données réelles subies par 34 organisations (chiffres français) entre mars 2024 et février 2025. Etude du Ponemon Institute, sponsorisée et analysée par IBM, publiée pendant 16 années consécutives en France.