Blog

IA et fuite de données sensibles, comment protéger votre PME.

Article

Publié le, 05 juin 2026 par Core Security
IA et fuite de données sensibles, comment protéger votre PME

Description

Votre IA peut divulguer vos données confidentielles sans que vous le sachiez. Comprendre le risque LLM02 OWASP et les 7 mesures concrètes pour votre PME.

⏱ Temps de lecture estimé : ~12 minutes

📑 Sommaire

IA et fuite de données sensibles : le risque silencieux que votre PME doit connaître

Vous utilisez ChatGPT, Microsoft Copilot ou un assistant IA pour gagner du temps au quotidien ? C'est une excellente décision. Mais saviez-vous que ces outils peuvent exposer vos données les plus confidentielles — contrats clients, devis stratégiques, données RH — sans qu'aucune attaque visible n'ait jamais eu lieu ? Ce risque s'appelle la divulgation d'informations sensibles par les IA (en anglais : Sensitive Information Disclosure). Il est classé risque n° 2 dans le référentiel OWASP des applications à base de grands modèles de langage (LLM). Ce guide vous explique ce que c'est, pourquoi votre PME est concernée, et surtout quoi faire pour vous en prémunir.

Qu'est-ce que la divulgation d'informations sensibles par une IA ?

La divulgation d'informations sensibles par une IA désigne le fait qu'un grand modèle de langage (ChatGPT, Copilot, Gemini…) révèle, dans ses réponses, des données confidentielles qu'il ne devrait pas exposer. Ces données peuvent provenir des conversations de vos collaborateurs, des documents analysés ou des données d'entraînement du modèle lui-même. La fuite est souvent involontaire et invisible — ni vous, ni votre employé, ni l'IA ne réalisent que quelque chose vient de partir.

Ce risque est formalisé par l'OWASP — la référence mondiale en sécurité des applications — dans son référentiel LLM Top 10 pour 2025, sous l'entrée LLM02:2025. Il fait suite, dans ce même classement, au risque n° 1 que nous avons couvert dans notre article sur la prompt injection (LLM01:2025).

Pourquoi ce risque est-il particulièrement dangereux pour les PME ?

Votre PME est-elle concernée ? Oui, dès lors que l'un de vos collaborateurs a utilisé un outil d'IA générative avec des données professionnelles. Ce scénario est désormais la norme : selon une étude récente, 65 % des PME françaises utilisent au moins un outil d'IA générative dans leur travail quotidien.

Contrairement à une cyberattaque classique — un ransomware, un phishing — la divulgation d'informations par une IA n'est pas commise par un intrus extérieur. C'est votre propre outil, utilisé de bonne foi par vos équipes, qui constitue la brèche. Un employé colle un contrat client dans ChatGPT pour en extraire les clauses clés. Un comptable soumet une feuille de paie à Copilot pour en faire un résumé. Un commercial uploade un fichier prospect dans un chatbot tiers. Ces gestes banals, répétés quotidiennement dans votre entreprise, peuvent constituer des fuites de données silencieuses vers des serveurs dont vous ne contrôlez ni la localisation, ni la politique de rétention.

Le phénomène du Shadow AI aggrave considérablement ce risque : selon une étude d'IBM, lorsque le Shadow AI — l'utilisation d'outils IA sans validation de votre service informatique — est à l'origine d'une fuite de données, le coût moyen de l'incident dépasse 600 000 euros. Découvrez comment nos experts évaluent ce risque dans le cadre d'un audit cybersécurité complet.

Quels types de données sont réellement exposés ?

Toutes les informations que vous ou vos collaborateurs soumettez à une IA sont potentiellement à risque. L'OWASP recense plusieurs catégories critiques :

  • Données personnelles identifiables (DPI) : noms, adresses, numéros de sécurité sociale, données RH,
  • Informations financières : bilans, fiches de paie, coordonnées bancaires, conditions tarifaires confidentielles,
  • Données de santé : informations médicales de clients ou d'employés,
  • Données commerciales stratégiques : contrats, devis, plans de développement, bases de prospects,
  • Secrets techniques : codes sources, architectures systèmes, clés d'API, processus internes,
  • Données réglementées : dossiers juridiques, pièces de marché public, informations couvertes par le secret professionnel.

Cas concret : la leçon Samsung que toute entreprise devrait connaître

L'exemple le plus frappant reste celui de Samsung Semiconductor en mars 2023. À peine 20 jours après avoir autorisé l'accès à ChatGPT, l'entreprise découvrait trois incidents majeurs au sein d'une même équipe d'ingénieurs. Pensant bien faire, un premier collaborateur y a soumis le code source d'un programme propriétaire pour corriger des erreurs. Un deuxième y a injecté du code confidentiel pour l'optimiser. Enfin, un troisième a carrément partagé l'enregistrement audio d'une réunion stratégique interne pour en obtenir un compte-rendu automatisé.

Résultat : des secrets commerciaux de l'une des plus grandes entreprises technologiques mondiales se sont retrouvés dans les données d'entraînement d'OpenAI, impossibles à récupérer. Si Samsung — avec tous ses moyens et experts — n'a pas anticipé ce risque, imaginez la situation dans une PME de 30 salariés sans équipe cyber dédiée.

Et ce scénario n'est pas isolé. La CNIL a déjà mis en demeure des entreprises françaises pour des usages non conformes de ChatGPT au regard du RGPD. Pour comprendre vos obligations, consultez les recommandations de la CNIL sur l'intelligence artificielle.

Les 3 mécanismes par lesquels votre IA peut faire fuiter vos données

1. La fuite directe dans les conversations

Comment cela se produit-il ? Un collaborateur colle une information confidentielle dans le champ de conversation d'un outil IA grand public. Cette information est alors transmise aux serveurs du fournisseur, potentiellement utilisée pour améliorer le modèle, et accessible à leurs équipes techniques dans le cadre de vérifications de sécurité ou de qualité.

La plupart des outils grand public (ChatGPT gratuit, Gemini standard) précisent dans leurs conditions d'utilisation que les données peuvent être utilisées pour l'entraînement des modèles, sauf désactivation manuelle par l'utilisateur — une option que la majorité de vos collaborateurs ignore probablement.

2. La fuite via des modèles mal configurés

Comment cela se produit-il ? Si votre entreprise déploie son propre modèle IA (via une API ou une solution sur mesure), une mauvaise configuration peut amener le modèle à inclure dans ses réponses des données qui auraient dû rester confidentielles. Par exemple, un modèle IA intégré à votre CRM pourrait, si les droits d'accès ne sont pas correctement cloisonnés, révéler des informations d'un client A à un utilisateur connecté en tant que client B — simplement parce qu'il a été entraîné ou configuré sans séparation stricte des données.

Ce mécanisme est directement lié aux failles de Data Loss Prevention (DLP) dans les environnements IA.

3. La fuite par injection de prompt combinée

Comment cela se produit-il ? Un attaquant peut combiner une attaque par prompt injection et l'exfiltration de données sensibles. Il glisse des instructions cachées dans un document soumis à votre IA, forçant celle-ci à extraire puis transmettre des informations confidentielles vers une adresse externe. La fuite n'est alors plus involontaire : elle est orchestrée avec précision, et votre propre IA en devient l'instrument.

Divulgation de données par l'IA et RGPD : ce que vous risquez concrètement

Scénario de fuite Qualification RGPD Obligation légale Risque de sanction
Données clients dans ChatGPT grand public Transfert non autorisé hors UE Notification CNIL sous 72h si violation avérée Jusqu'à 4 % du CA mondial
Données RH dans un outil tiers non homologué Sous-traitance non encadrée Mise en conformité + DPA obligatoire Amende + mise en demeure
Code source exposé via API mal configurée Violation de confidentialité Notification si des données personnelles sont incluses Atteinte à la propriété intellectuelle
Fuite par injection de prompt ciblée Violation de données personnelles Notification CNIL + information des personnes concernées Sanctions + préjudice d'image

En tant que responsable de traitement, vous restez juridiquement responsable de la sécurité des données personnelles de vos clients et collaborateurs — même si la fuite est causée par un outil tiers que vous avez intégré à vos processus. La CNIL est formelle sur ce point : l'usage d'une IA ne constitue pas une circonstance atténuante en cas de violation.

7 mesures concrètes pour protéger votre PME dès maintenant

  1. Cartographiez tous les outils IA utilisés par vos équipes. Vous ne pouvez pas protéger ce que vous ne connaissez pas. Faites l'inventaire de tous les outils d'IA générative utilisés dans votre entreprise, y compris les extensions de navigateur, les plugins Office et les applications mobiles. Un audit de sécurité et de conformité permet d'identifier rapidement le Shadow AI présent dans votre organisation.
  2. Définissez une politique d'usage de l'IA par catégorie de données. Toutes les données ne méritent pas le même niveau de protection. Établissez une classification claire : données publiques (utilisables avec n'importe quel outil IA), données internes (usage autorisé sur des outils validés uniquement), données confidentielles (jamais soumises à une IA externe). Formalisez cette règle dans une charte IA opposable, signée par chaque collaborateur.
  3. Utilisez les versions entreprise des outils IA. Les versions professionnelles de ChatGPT (Team, Enterprise), Microsoft Copilot for Business ou Google Workspace AI offrent des garanties contractuelles sur la non-utilisation de vos données pour l'entraînement du modèle. Vérifiez systématiquement la présence d'un DPA (Data Processing Agreement) conforme au RGPD avant tout déploiement.
  4. Mettez en place des solutions de DLP adaptées à l'IA. Les outils de Data Loss Prevention de nouvelle génération sont désormais capables de détecter et bloquer en temps réel les transferts de données sensibles vers des applications IA non autorisées — même via le copier-coller dans un navigateur.
  5. Sensibilisez vos collaborateurs au risque spécifique de l'IA. La plupart de vos employés n'imaginent pas qu'une simple question posée à un assistant IA puisse constituer une fuite de données. Des sessions de sensibilisation à la cybersécurité courtes et concrètes, centrées sur des cas du quotidien, sont bien plus efficaces que de longues politiques internes que personne ne lit.
  6. Activez la surveillance des comportements anormaux (MDR). Une configuration IA mal sécurisée peut exposer des données pendant des semaines avant qu'on s'en aperçoive. Un service de détection et réponse managée (MDR) surveille en continu les flux de données sortants et peut détecter une exfiltration anormale bien avant qu'elle ne cause des dégâts irréparables.
  7. Appliquez le principe du moindre privilège à vos intégrations IA. Si vous intégrez une IA à vos outils métier (CRM, ERP, messagerie), limitez strictement les données auxquelles elle peut accéder. Une IA dédiée à la rédaction d'e-mails n'a pas besoin d'accéder à votre base de données clients complète. Moins elle voit, moins elle peut divulguer. Retrouvez les bonnes pratiques de contrôle des accès cloud dans notre guide dédié aux solutions CASB.

Le cadre réglementaire impose désormais d'agir

La protection des données sensibles traitées par l'IA n'est plus une simple recommandation de bonnes pratiques. Elle s'inscrit dans un cadre légal contraignant qui se renforce en 2026.

Le RGPD s'applique pleinement. En tant que responsable de traitement, vous devez garantir la sécurité des données personnelles que vous soumettez à une IA tierce. L'absence de DPA, la transmission de données hors UE sans garanties adéquates, ou la fuite de données clients via un outil IA constituent des violations caractérisées, notifiables à la CNIL sous 72 heures.

La Directive NIS2 et sa transposition française imposent aux entités concernées — un périmètre élargi aux PME des secteurs essentiels — de gérer les risques liés à leur chaîne d'approvisionnement logicielle, dont les outils IA tiers. L'ANSSI précise dans ses guides que l'intégration d'outils IA dans les processus métier constitue un vecteur de risque à évaluer et à documenter formellement.

L'EU AI Act déploie ses obligations par vagues jusqu'en août 2026. Les entreprises qui utilisent des outils IA dans des contextes professionnels sensibles (RH, crédit, contrôle d'accès, infrastructures) sont désormais qualifiées de déployeurs de systèmes à haut risque et soumises à des obligations spécifiques de transparence, de documentation et de mesures de sécurité.

Pour évaluer rapidement votre niveau d'exposition réglementaire, réalisez votre diagnostic complet de cybersécurité.

Résumé : les points clés à retenir

  • La divulgation de données sensibles par l'IA est le 2e risque du classement OWASP LLM pour 2025,
  • Elle se produit le plus souvent de façon involontaire, par des collaborateurs de bonne foi,
  • Les données exposées incluent les informations clients, financières, RH et les secrets techniques,
  • L'affaire Samsung illustre que même les grandes entreprises sont vulnérables à ce risque fondamental,
  • Le RGPD, NIS2 et l'EU AI Act imposent désormais des obligations concrètes en la matière,
  • 7 mesures concrètes permettent de réduire drastiquement ce risque, même sans budget cyber important.

Conclusion : l'IA doit être un atout, pas une fuite ouverte

L'intelligence artificielle générative est une révolution de productivité pour les PME. Mais chaque outil que vous intégrez sans politique claire sur les données constitue une fuite potentielle vers l'extérieur — invisible, silencieuse, et parfois irréversible. La bonne nouvelle : ce risque est maîtrisable, à condition d'agir de façon structurée et proactive.

Les experts de CORE SECURITY accompagnent les dirigeants de PME dans la sécurisation de leurs usages IA : cartographie des outils, définition de politiques de données, déploiement de solutions DLP et MDR adaptées. Contactez notre équipe pour un premier échange gratuit et découvrez comment transformer l'IA en atout sécurisé pour votre activité.

FAQ - IA et fuite de données sensibles en PME

Oui, dès lors que des informations professionnelles sont soumises à la version gratuite ou Plus de ChatGPT, celles-ci peuvent être utilisées pour améliorer le modèle sauf désactivation manuelle. Même des données apparemment anodines (noms de clients, libellés de projets) peuvent constituer une violation RGPD si elles permettent d'identifier des personnes.

Pas suffisamment pour un usage professionnel avec des données sensibles. Seules les versions Team, Enterprise et l'API OpenAI incluent des garanties contractuelles de non-utilisation pour l'entraînement. Pour un usage PME sérieux, ces versions — ou des alternatives souveraines — sont indispensables.

C'est précisément le problème : il n'existe généralement pas de trace côté client. Un audit de l'historique d'utilisation des outils IA de vos collaborateurs, combiné à une analyse des journaux réseau peut donner une indication. Nos équipes MDR proposent ce type d'analyse forensique.

Toute donnée à caractère personnel (clients, employés), tout document contractuel signé, toute information financière confidentielle, tout code source propriétaire, et toute information couverte par une obligation légale de confidentialité (secret médical, secret des affaires, secret professionnel).

Oui, ce scénario a déjà été documenté. Des défauts de cloisonnement dans certaines API ont permis à des utilisateurs de recevoir des réponses contenant des fragments de données appartenant à d'autres utilisateurs. C'est l'un des exemples types du risque LLM02 identifié par l'OWASP.

La CNIL a déjà mis en demeure des entreprises françaises pour des usages non conformes de ChatGPT. Elle exige notamment la présence d'un DPA (accord de traitement des données) avec le fournisseur, la base légale du traitement, et des garanties sur les transferts de données hors UE. Ses recommandations sont publiées sur son site officiel.

Évaluez d'abord la nature et le volume des données transmises. Si des données personnelles de clients ou d'employés sont concernées, vous avez potentiellement 72 heures pour notifier la CNIL. Contactez immédiatement votre prestataire cyber ou notre équipe pour qualifier l'incident et déterminer les obligations légales applicables à votre situation.

Description

Votre IA peut divulguer vos données confidentielles sans que vous le sachiez. Comprendre le risque LLM02 OWASP et les 7 mesures concrètes pour votre PME.

⏱ Temps de lecture estimé : ~12 minutes

Catégories

  1. Actualités
  2. Cybersécurité
  3. Informatique