IBM a publié aujourd'hui son rapport annuel sur le coût des violations de données (CODB), révélant les tendances mondiales et régionales liées à l'augmentation des coûts des violations de données dans un contexte de cybermenaces toujours plus sophistiquées et perturbatrices. L'édition 2025 du rapport explore le rôle croissant de l'automatisation et de l'intelligence artificielle (IA) dans la réduction des coûts liés aux violations de données et, pour la première fois, étudie l'état de la sécurité et de la gouvernance de l'IA.
Le rapport indique que le coût moyen d'une violation de données au Brésil a atteint 7,19 millions de reais (R$), contre 6,75 millions de reais (R$) en 2024, soit une augmentation de 6,5 %. Cette hausse accentue la pression sur les équipes de cybersécurité, déjà confrontées à des défis complexes. Les secteurs de la santé, de la finance et des services figurent parmi les plus touchés, avec des coûts moyens respectifs de 11,43 millions de reais (R$), 8,92 millions de reais (R$) et 8,51 millions de reais (R$).
Au Brésil, les organisations ayant largement adopté l'IA et l'automatisation sécurisées ont déclaré des coûts moyens de 6,48 millions de reais, tandis que celles ayant une mise en œuvre limitée ont déclaré des coûts de 6,76 millions de reais. Pour les entreprises n'utilisant pas encore ces technologies, le coût moyen s'élève à 8,78 millions de reais, soulignant ainsi les avantages de l'IA pour le renforcement de la cybersécurité.
Outre l'évaluation des facteurs d'augmentation des coûts, le rapport 2025 sur le coût d'une violation de données a analysé les éléments susceptibles d'en réduire l'impact financier. Parmi les initiatives les plus efficaces figurent la mise en œuvre du renseignement sur les menaces (qui a permis de réduire les coûts de 655 110 R$ en moyenne) et l'utilisation de technologies de gouvernance de l'IA (629 850 R$). Malgré cette réduction significative des coûts, le rapport constate que seulement 29 % des organisations étudiées au Brésil utilisent des technologies de gouvernance de l'IA pour atténuer les risques liés aux attaques contre les modèles d'IA. De manière générale, la gouvernance et la sécurité de l'IA sont largement négligées : 87 % des organisations étudiées au Brésil déclarent ne pas disposer de politiques de gouvernance de l'IA et 61 % n'ont aucun contrôle d'accès à l'IA.
« Notre étude révèle un écart préoccupant entre l’adoption rapide de l’IA et le manque de gouvernance et de sécurité adéquates, écart exploité par des acteurs malveillants. L’absence de contrôles d’accès dans les modèles d’IA a exposé des données sensibles et accru la vulnérabilité des organisations. Les entreprises qui sous-estiment ces risques mettent non seulement en péril des informations critiques, mais compromettent également la confiance dans l’ensemble de leurs opérations », explique Fernando Carbone, associé des services de sécurité chez IBM Consulting en Amérique latine.
Facteurs contribuant à l'augmentation des coûts liés aux violations de données
La complexité du système de sécurité a contribué, en moyenne, à une augmentation de 725 359 R$ du coût total de la violation.
L'étude a également montré que l'utilisation non autorisée d'outils d'IA (IA fantôme) a engendré une augmentation moyenne des coûts de 591 400 R$. Par ailleurs, l'adoption d'outils d'IA (internes ou publics), malgré leurs avantages, a entraîné un surcoût moyen de 578 850 R$ lié aux violations de données.
Le rapport a également identifié les causes initiales les plus fréquentes des violations de données au Brésil. Le phishing s'est imposé comme le principal vecteur de menace, représentant 18 % des violations et engendrant un coût moyen de 7,18 millions de reais. Parmi les autres causes importantes figurent la compromission de tiers et de la chaîne d'approvisionnement (15 %, pour un coût moyen de 8,98 millions de reais) et l'exploitation de vulnérabilités (13 %, pour un coût moyen de 7,61 millions de reais). La compromission d'identifiants, les erreurs internes (accidentelles) et les infiltrations malveillantes ont également été signalées comme causes de violations, illustrant la diversité des défis auxquels sont confrontées les organisations en matière de protection des données.
Autres conclusions mondiales du rapport 2025 sur le coût d'une violation de données :
- 13 % des organisations ont signalé des violations de données impliquant des modèles ou des applications d'IA, tandis que 8 % n'étaient pas certaines d'avoir été compromises de cette manière. Parmi les organisations compromises, 97 % ont indiqué ne pas disposer de contrôles d'accès à l'IA.
- 63 % des organisations ayant subi des violations n'ont pas de politique de gouvernance de l'IA ou sont encore en train d'en élaborer une. Parmi celles qui en possèdent une, seules 34 % effectuent des audits réguliers pour détecter toute utilisation non autorisée de l'IA.
- Une organisation sur cinq a signalé une violation de données due à l'IA parallèle, et seulement 37 % d'entre elles disposent de politiques pour gérer ou détecter cette technologie. Les organisations ayant largement recours à l'IA parallèle ont constaté des coûts de violation de données supérieurs de 670 000 $ en moyenne à ceux des organisations l'utilisant peu ou pas du tout. Les incidents de sécurité impliquant l'IA parallèle ont entraîné la compromission d'un plus grand nombre d'informations personnelles (65 %) et de propriété intellectuelle (40 %) que la moyenne mondiale (53 % et 33 %, respectivement).
- 16 % des violations étudiées impliquaient des pirates informatiques utilisant des outils d'IA, souvent pour des attaques de phishing ou de deepfake.
Le coût financier d'une infraction.
- Coûts des violations de données. Le coût moyen mondial d'une violation de données a chuté à 4,44 millions de dollars, soit la première baisse en cinq ans, tandis qu'aux États-Unis, le coût moyen a atteint un niveau record de 10,22 millions de dollars.
- Le cycle de vie des violations de données à l'échelle mondiale atteint un temps record . Le délai moyen mondial pour identifier et contenir une violation de données (y compris la restauration du service) a chuté à 241 jours, soit une réduction de 17 jours par rapport à l'année précédente, grâce à une détection interne plus fréquente par les organisations. Ces dernières ont également économisé 900 000 $ en coûts liés aux violations de données par rapport à celles qui ont été notifiées par un attaquant.
- Les infractions dans le secteur de la santé demeurent les plus coûteuses. Avec une moyenne de 7,42 millions de dollars américains, elles restent les plus onéreuses parmi tous les secteurs étudiés, malgré une réduction des coûts de 2,35 millions de dollars américains par rapport à 2024. Dans ce secteur, les infractions sont plus longues à identifier et à contenir, avec un délai moyen de 279 jours, soit plus de cinq semaines au-dessus de la moyenne mondiale de 241 jours.
- Lassitude face aux demandes de rançon. L'an dernier, les entreprises ont de plus en plus refusé de payer les rançons : 63 % d'entre elles ont choisi de ne pas céder, contre 59 % l'année précédente. Face à ce refus croissant, le coût moyen d'une extorsion ou d'une attaque par rançongiciel demeure élevé, notamment lorsqu'il est divulgué par l'attaquant (5,08 millions de dollars).
- Hausse des prix suite à une violation de données. Les conséquences d'une violation de données persistent bien au-delà de la phase de confinement. Bien qu'en baisse par rapport à l'année précédente, près de la moitié des organisations ont indiqué prévoir une augmentation du prix de leurs biens ou services suite à la violation, et près d'un tiers ont fait état de hausses de prix de 15 % ou plus.
- Stagnation des investissements en sécurité face à la montée des risques liés à l'IA. On observe une baisse significative du nombre d'organisations déclarant prévoir d'investir dans la sécurité après une violation de données : 49 % en 2025, contre 63 % en 2024. Moins de la moitié de celles qui envisagent d'investir dans la sécurité post-violation se concentreront sur des solutions ou des services de sécurité basés sur l'IA.
20 ans de coût d'une violation de données
Ce rapport, réalisé par le Ponemon Institute et commandité par IBM, est la référence du secteur pour comprendre l'impact financier des violations de données. Il analyse l'expérience de 600 organisations internationales entre mars 2024 et février 2025.
Au cours des 20 dernières années, le rapport « Coût d'une violation de données » a analysé près de 6 500 violations de données à travers le monde. En 2005, le premier rapport révélait que près de la moitié des violations (45 %) étaient dues à des appareils perdus ou volés. Seuls 10 % étaient imputables à des systèmes piratés. En 2025, le paysage des menaces a radicalement changé. Aujourd'hui, les menaces sont principalement numériques et de plus en plus ciblées, les violations étant désormais alimentées par un large éventail d'activités malveillantes.
Il y a dix ans, les problèmes de configuration du cloud n'étaient même pas surveillés. Aujourd'hui, ils figurent parmi les principaux vecteurs d'intrusion. Les ransomwares ont connu une explosion durant les confinements de 2020, le coût moyen des violations de données passant de 4,62 millions de dollars en 2021 à 5,08 millions de dollars en 2025.
Pour accéder au rapport complet, rendez-vous sur le site web officiel d'IBM ici .
