IBM a publié aujourd'hui son rapport annuel sur le coût d'une violation de données (CODB), révélant des tendances mondiales et régionales liées à l'augmentation des coûts des violations de données dans un contexte de menaces cybernétiques de plus en plus sophistiquées et disruptives. Le rapport de 2025 explore le rôle croissant de l'automatisation et de l'intelligence artificielle (IA) dans la réduction des coûts de violation et, pour la première fois, a étudié l'état de la sécurité et de la gouvernance de l'IA.
Le rapport indique que le coût moyen d'une violation de données au Brésil a atteint 7,19 millions de R$, tandis qu'en 2024, le coût était de 6,75 millions de R$, soit une augmentation de 6,5 %, marquant une pression supplémentaire sur les équipes de cybersécurité confrontées à des défis extrêmement complexes. Les secteurs tels que la santé, la finance et les services ont dominé la liste des plus touchés, enregistrant des coûts moyens de 11,43 millions de R$, 8,92 millions de R$ et 8,51 millions de R$, respectivement.
Dans le pays, les organisations qui adoptent largement une IA et une automatisation sécurisées ont déclaré des coûts moyens de 6,48 millions de R$, tandis que celles avec une mise en œuvre limitée ont présenté des coûts de 6,76 millions de R$. Pour les entreprises qui n'utilisent pas encore ces technologies, le coût moyen a augmenté à 8,78 millions de reais, mettant en évidence les avantages de l'IA dans le renforcement de la cybersécurité.
En plus d'évaluer les facteurs qui augmentent les coûts, le rapport Cost of a Data Breach 2025 a analysé les éléments pouvant réduire l'impact financier d'une violation de données. Parmi les initiatives les plus efficaces, on trouve la mise en œuvre de l'intelligence des menaces (qui a réduit les coûts d'une moyenne de 655 110 R$) et l'utilisation de la technologie de gouvernance de l'IA (629 850 R$). Même avec cette réduction significative des coûts, le rapport a constaté que seulement 29 % des organisations étudiées au Brésil utilisent la technologie de gouvernance de l'IA pour atténuer les risques liés aux attaques contre les modèles d'IA. De manière générale, la gouvernance et la sécurité de l'IA sont largement ignorées, 87 % des organisations étudiées au Brésil déclarant ne pas disposer de politiques de gouvernance de l'IA en vigueur et 61 % sans contrôles d'accès à l'IA.
Notre étude montre qu'il existe déjà un écart préoccupant entre l'adoption rapide de l'IA et le manque de gouvernance et de sécurité appropriés, et des agents malveillants exploitent ce vide. L'absence de contrôles d'accès dans les modèles d'IA a exposé des données sensibles et augmenté la vulnérabilité des organisations. Les entreprises qui sous-estiment ces risques ne mettent pas seulement en danger des informations critiques, mais compromettent également la confiance dans l'ensemble de l'opération, explique Fernando Carbone, associé en services de sécurité chez IBM Consulting en Amérique Latine.
Facteurs contribuant à l'augmentation des coûts de violation de données
La complexité du système de sécurité a contribué, en moyenne, à une augmentation de 725 359 R$ du coût total de la violation.
L'étude a également montré que l'utilisation non autorisée d'outils d'IA (shadow AI) a entraîné une augmentation moyenne de 591 400 R$ des coûts. Et l'adoption d'outils d'IA (internes ou publics), malgré leurs avantages, a ajouté un coût moyen de 578 850 R$ aux violations de données.
Le rapport a également identifié les causes initiales les plus fréquentes des violations de données au Brésil. Le phishing s'est démarqué comme le principal vecteur de menace, représentant 18 % des violations, entraînant un coût moyen de 7,18 millions de reais. Autres causes significatives incluent l'implication de tiers et de la chaîne d'approvisionnement (15 %, avec un coût moyen de 8,98 millions de R$) et l'exploitation de vulnérabilités (13 %, avec un coût moyen de 7,61 millions de R$).Identifiants compromis, erreurs internes (accidentelles) et infiltrés malveillants ont également été signalés comme causes de violations, illustrant la large gamme de défis auxquels les organisations sont confrontées pour protéger les données.
Autres découvertes mondiales du rapport Coût d'une violation de données 2025 :
- 13 % des organisations ont signalé des violations impliquant des modèles ou des applications d'IA, tandis que 8 % ne savaient pas si elles avaient été compromises de cette manière. Les organisations engagées, 97 % ont déclaré ne pas avoir de contrôles d'accès pour l'IA en place.
- 63 % des organisations victimes d'une violation ne disposent pas encore d'une politique de gouvernance de l'IA ou sont en train de la développer. Parmi celles ayant des politiques, seulement 34 % effectuent des audits réguliers pour détecter l'utilisation non autorisée de l'IA.
- Une organisation sur cinq a signalé une violation due à l'IA fantôme, et seulement 37 % disposent de politiques pour gérer ou détecter cette technologie. Les organisations qui ont utilisé des niveaux élevés d'IA fantôme ont observé en moyenne 670 000 dollars de plus en coûts de violation par rapport à celles avec des niveaux faibles ou sans IA cachée. Les incidents de sécurité impliquant une IA cachée ont entraîné une compromission de plus d'informations personnelles identifiables (65 %) et de propriété intellectuelle (40 %) par rapport à la moyenne mondiale (53 % et 33 %, respectivement).
- 16 % des violations étudiées impliquaient des hackers utilisant des outils d'IA, souvent pour des attaques de phishing ou de deepfake.
Le coût financier d'une violation
- Coûts de violation de données.Le coût moyen mondial d'une violation de données a chuté à 4,44 millions de dollars, la première baisse en cinq ans, tandis que le coût moyen d'une violation aux États-Unis a atteint un record de 10,22 millions de dollars.
- Le cycle de vie mondial d'une violation atteint un record de duréeLe délai moyen mondial pour identifier et contenir une violation (y compris la restauration du service) est passé à 241 jours, soit une réduction de 17 jours par rapport à l'année précédente, à mesure que davantage d'organisations détectent la violation en interne. Les organisations qui ont détecté la violation en interne ont également économisé 900 000 dollars en coûts de violation par rapport à celles notifiées par un intrus.
- Les violations dans le domaine de la santé continuent d'être les plus coûteuses.Avec une moyenne de 7,42 millions de dollars, les violations dans le secteur de la santé sont restées les plus coûteuses parmi tous les secteurs étudiés, malgré une réduction de 2,35 millions de dollars des coûts par rapport à 2024. Les violations dans ce secteur prennent plus de temps à être identifiées et contenues, avec un délai moyen de 279 jours, soit plus de 5 semaines au-dessus de la moyenne mondiale de 241 jours.
- Fatigue du paiement de la rançon.L'année dernière, les organisations ont de plus en plus résisté aux demandes de rançon, avec 63 % choisissant de ne pas payer, contre 59 % l'année précédente. À mesure que de plus en plus d'organisations refusent de payer des rançons, le coût moyen d'un incident d'extorsion ou de ransomware reste élevé, surtout lorsqu'il est divulgué par un attaquant (5,08 millions de dollars).
- Augmentation des prix après violations.Les conséquences d'une violation continuent de s'étendre au-delà de la containment. Bien que en baisse par rapport à l'année précédente, près de la moitié de toutes les organisations ont déclaré prévoir d'augmenter le prix des biens ou services en raison de la violation, et près d'un tiers ont rapporté des augmentations de prix de 15 % ou plus.
- Stagnation des investissements en sécurité face à l'augmentation des risques liés à l'IA.Il y a eu une réduction significative du nombre d'organisations rapportant des plans d'investissement en sécurité après une violation : 49 % en 2025, contre 63 % en 2024. Moins de la moitié de celles qui prévoient d'investir dans la sécurité après une violation se concentreront sur des solutions ou services de sécurité basés sur l'IA.
20 ans du coût d'une violation de données
Le rapport, mené par le Ponemon Institute et sponsorisé par IBM, est la référence principale du secteur pour comprendre l'impact financier des violations de données. Le rapport a analysé les expériences de 600 organisations mondiales entre mars 2024 et février 2025.
Au cours des 20 dernières années, le rapport Cost of a Data Breach a étudié près de 6 500 violations dans le monde entier. En 2005, le rapport inaugural a constaté que près de la moitié de toutes les violations (45 %) provenaient d'appareils perdus ou volés. Seules 10 % étaient dues à des systèmes piratés. En avançant vers 2025, le paysage des menaces a changé radicalement. Aujourd'hui, le paysage des menaces est principalement numérique et de plus en plus ciblé, avec des violations désormais alimentées par un spectre d'activités malveillantes.
Il y a une décennie, les problèmes de configuration incorrecte du cloud n'étaient même pas surveillés. Aujourd'hui, ils sont parmi les principaux vecteurs de violations. Le ransomware a explosé pendant les confinements de 2020, avec le coût moyen des violations passant de 4,62 millions de dollars en 2021 à 5,08 millions de dollars en 2025.
Pour accéder au rapport complet, visitez le site officiel d'IBMici.
