D’humain à hybride : à l’intérieur du rapport 2025 d’Exabeam sur les risques internes alimentés par l’IA

Exabeam’s nouvelle étude, From Human to Hybrid: How AI and the Analytics Gap Are Fueling Insider Risk montre clairement que la menace a changé : le plus grand danger vient maintenant de l’intérieur de l’organisation. Quatre chiffres se démarquent — 64 % des professionnels de la sécurité considèrent maintenant les insiders comme le principal risque, 76 % signalent que l’IA fantôme est déjà utilisée, seulement 44 % ont des analyses comportementales (UEBA) en place, et 74 % pensent que les dirigeants sous-estiment le problème. Ces quatre facteurs définissent le paysage que le rapport explore en détail.

Le risque s’est inversé — et cela change l’architecture

Si la principale menace est interne, « plus de pare-feu » n’est pas la solution. C’est l’identité, l’accès et le comportement. Pensez à la vérification continue de qui fait quoi, avec quelles données, et si ce modèle est normal. Sur le plan régional, la plupart des marchés considèrent maintenant les insiders comme la principale préoccupation ; le principal outsider est l’APJ (Asie-Pacifique et Japon), où de nombreux considèrent toujours les attaquants externes comme plus dangereux. Pour les dirigeants, la traduction pratique est de déplacer les dépenses vers :

• Des contrôles d’identité plus solides (MFA qui tient, accès basé sur les risques, privilèges minimum réellement appliqués).
• Une surveillance basée sur les données à travers les SaaS, les points de terminaison, le stockage et les e-mails afin que les mouvements anormaux soient visibles.
• Des analyses comportementales qui apprennent les modèles normaux par personne, équipe et système — et alertent sur les écarts significatifs.

L’implication organisationnelle : les propriétaires de la sécurité et des données doivent travailler ensemble. Si vous ne pouvez pas répondre à « qui a touché quelles données sensibles cette semaine et était-ce typique pour eux ? », vous êtes aveugle au chemin de violation moderne (compte compromis → mise en scène de données silencieuse → exfiltration rapide).

L’IA a redéfini la définition de « insider »

Shadow AI est le nouveau shadow IT. Le personnel colle du code, des contrats, des listes de clients ou des invites avec un contexte sensible dans des modèles non approuvés. C’est pourquoi le chiffre de 76% compte : cela signifie que ce n’est pas un problème de niche. Traitez le GenAI comme un accès privilégié — approuvez des outils spécifiques, enregistrez l’utilisation là où cela est légal, et empêchez les classes de données protégées (PII réglementées, secrets commerciaux) d’entrer jamais dans des modèles tiers. Associez la politique à l’activation : donnez aux gens des options d’IA sanctionnées afin qu’ils ne se sentent pas obligés de faire des choses à la sauvette.

Il y a aussi un nouvel acteur à l’intérieur : les agents d’IA. Les équipes relient des agents à des flux de travail avec de véritables informations d’identification et des clés d’API. Ce sont des « insiders non humains ». Ils ne se fatiguent pas, et ils se plaignent rarement — jusqu’à ce qu’ils dérivent. Cela nécessite deux contrôles que les dirigeants devraient reconnaître :

• Étendue : chaque agent a besoin d’un propriétaire, d’un travail clair et de permissions minimales.
• Observabilité : chaque agent mérite la même traçabilité et la même détection d’anomalie qu’un humain.

UEBA (User & Entity Behavior Analytics) est une détection qui se concentre sur le comportement, et non juste sur les signatures et les exécutives devraient devenir familiers avec cela. Il établit une ligne de base pour chaque utilisateur ou entité (y compris les bots, les comptes de service et les agents) en apprenant :

• Les normes de série chronologique : les heures de connexion typiques, les volumes de données ou les destinations.
• Le contexte du groupe par pairs : la façon dont un analyste financier se comporte par rapport à d’autres analystes financiers.
• Les modèles de séquence : des commandes inhabituelles (par exemple, première connexion VPN → changement de privilège immédiat → téléchargement en bloc).
  Lorsque l’activité s’écarte des modèles appris, l’UEBA évalue le risque et met en évidence les outsiders. Sur le plan technique, cela s’appuie sur les statistiques et l’apprentissage automatique (méthodes non supervisées et semi-supervisées) qui prospèrent sur les données de journal sans avoir besoin d’étiquettes parfaites. En langage clair : l’UEBA transforme des piles d’événements en « est-ce normal pour eux en ce moment ? »

Fermer l’écart d’analyse — et l’écart culturel

Voici l’exposition réelle : seulement 44% des organisations utilisent l’UEBA même si le risque interne est maintenant le problème principal. Dans le même temps, 74% des praticiens disent que les dirigeants sous-estiment les menaces internes. Cet écart culturel ralentit l’embauche, l’outillage et la politique. Fermer les deux écarts ressemble à ceci :

Faites du comportement un signal de première classe. Consolidez les journaux d’identité, de point de terminaison, d’administration SaaS, d’e-mail et de déplacement de données afin qu’une seule personne (ou agent) ait une seule histoire à travers les systèmes. Investissez dans la corrélation avant les tableaux de bord. Si le SOC ne peut pas relier l’identité aux outils, ils manqueront l’abus silencieux et l’exfiltration à faible vitesse.

Équilibrez la vie privée avec la détection — par conception. Le principal obstacle aux programmes internes est la résistance à la vie privée. Résolvez-le avec une analyse à objectif limité, un accès basé sur les rôles aux télémétries, des fenêtres de rétention claires et une documentation transparente de ce que vous analysez et pourquoi. Fait correctement, les garde-fous de la vie privée permettent une détection plus solide car ils débloquent les flux de données dont les équipes ont besoin.

Mesurez les résultats, et non le nombre d’outils. Les dirigeants devraient demander trois chiffres chaque mois :

1. Temps de détection d’un comportement anormal
2. Temps de confinement des incidents internes
3. Pourcentage d’incidents détectés par des analyses de comportement par rapport à la chance ou aux audits après coup.

Liez le budget à l’amélioration de ces métriques, et non au nombre de produits ponctuels « déployés ».

Traitez le GenAI comme un système de production. Établissez des listes d’autorisation, des catégories de données rouges et une journalisation pour les invites et les sorties là où cela est légal. Donnez au produit et au juridique une place à la table afin que « aller vite » ne signifie jamais « disperser des données dans des boîtes noires ».

Établissez une ligne de base pour tous. Les personnes, les comptes de service, les scripts RPA et les agents d’IA ont tous leur propre ligne de base. Vous recherchez le dérive — nouvelles données touchées, heures inhabituelles, destinations étranges ou séquences qui ne correspondent pas au travail à accomplir.

Résumé

De From Human to Hybrid: How AI and the Analytics Gap Are Fueling Insider Risk est plus qu’un instantané des risques d’aujourd’hui — c’est un aperçu de où la sécurité doit aller ensuite. Les menaces internes, amplifiées par l’IA, ne sont plus des exceptions mais l’hypothèse de base. Pour les DSI et les PDG, le chemin à suivre signifie passer des défenses de périmètre aux stratégies centrées sur l’identité, traiter le GenAI avec la même prudence que les comptes privilégiés, et donner aux humains et aux agents d’IA leurs propres lignes de base comportementales. Les organisations qui réussiront seront celles qui unifient les télémétries, adoptent des métriques axées sur les résultats et alignent la direction avec les opérations. Dans ce sens, le rapport d’Exabeam est moins un avertissement et plus un livre de jeu pour construire la résilience dans un avenir défini par l’IA.