La neuvième édition du rapport State of Human Risk de Mimecast enregistre une rupture que les équipes de sécurité ne peuvent plus ignorer : la malveillance interne délibérée atteint désormais le même niveau de prévalence que la négligence, avec 42 % des organisations signalant une recrudescence des deux phénomènes. Pendant deux ans, la trahison intentionnelle était restée dans l'ombre de l'erreur humaine. Elle en est aujourd'hui l'égale statistique, à un coût moyen de 13,1 millions de dollars par incident — et l'intelligence artificielle s'apprête à aggraver les deux menaces simultanément.
La sécurité des systèmes d'information a longtemps reposé sur un postulat implicite : le collaborateur est une victime potentielle, rarement un vecteur actif d'attaque. Les campagnes de phishing, les erreurs de manipulation et les clics malheureux constituaient l'essentiel du risque humain documenté. Le rapport State of Human Risk 2026 fragilise ce cadre de lecture. En deux ans, la proportion d'organisations signalant une augmentation des comportements internes malveillants est passée de 33 % à 42 %, rejoignant exactement le taux d'incidents liés à la négligence. Cette convergence n'est pas un artefact statistique : elle reflète une transformation structurelle du paysage des menaces internes.
La malveillance interne atteint la parité avec la négligence
L'étude a été conduite par Vanson Bourne entre novembre et décembre 2025, auprès de 2 500 décideurs en sécurité informatique répartis dans neuf pays — États-Unis, Royaume-Uni, Allemagne, France, Espagne, Italie, Afrique du Sud, Singapour et Australie. Toutes les organisations interrogées comptaient au moins 250 salariés et 250 utilisateurs de messagerie, couvrant un large spectre sectoriel des services financiers à l'énergie en passant par la santé et les télécommunications. Ce périmètre confère au rapport une portée internationale représentative des environnements IT des entreprises de taille intermédiaire et des grandes organisations.
Le chiffre le plus saillant du rapport n'est pas tant le niveau absolu de 42 % que la trajectoire qui y a conduit. En deux ans, la part des organisations confrontées à des actes internes délibérés a progressé de neuf points de pourcentage. Les équipes de sécurité avaient jusqu'ici construit leurs dispositifs de protection autour du collaborateur distrait ou trompé. Elles doivent désormais intégrer le collaborateur intentionnellement hostile comme catégorie de risque à part entière, dotée de ses propres vecteurs d'attaque et de ses propres indicateurs comportementaux.
Le coût de ces incidents renforce l'urgence : 13,1 millions de dollars en moyenne par événement, pour une fréquence déclarée de six incidents par mois. La tendance ne devrait pas s'inverser à court terme : 66 % des organisations anticipent une hausse des pertes de données liées aux menaces internes dans les douze prochains mois. Leslie Nielsen, RSSI de Mimecast, résume l'enjeu : les organisations doivent mettre en place des contrôles adaptatifs capables de repérer les actions à haut risque et d'ajuster les protections en temps réel, y compris lorsqu'un collaborateur accède à des données auxquelles il ne devrait pas avoir accès avec des identifiants pourtant valides.
L'IA amplifie la surface d'attaque sur un terrain déjà fragilisé
Le rapport identifie l'intelligence artificielle comme un accélérateur des menaces, qu'elles soient externes ou internes. Pour 69 % des responsables de la sécurité, une attaque pilotée par l'IA est considérée comme inévitable dans les douze prochains mois. Pourtant, 60 % d'entre eux reconnaissent ne pas y être pleinement préparés. L'écart entre la perception du risque et la capacité de réponse constitue l'une des vulnérabilités les plus préoccupantes identifiées par l'étude.
L'IA démultiplie concrètement les capacités offensives sur plusieurs dimensions : elle automatise la reconnaissance des cibles, affine l'ingénierie sociale pour la rendre plus crédible et réduit le temps nécessaire à la construction d'attaques sophistiquées. Elle facilite également, selon le rapport, le recrutement de complicités internes. Cette convergence entre outillage IA et menace interne crée une catégorie hybride d'incidents que les architectures de sécurité traditionnelles, conçues pour distinguer l'interne de l'externe, peinent à traiter.
Les protections des outils collaboratifs ne tiennent plus
L'expansion des usages collaboratifs a élargi mécaniquement la surface exposée. Pourtant, 38 % des organisations s'en remettent encore exclusivement aux dispositifs de sécurité intégrés à leurs plateformes de travail. Le rapport établit que 64 % des répondants reconnaissent eux-mêmes l'insuffisance de ces protections natives face aux menaces actuelles. La contradiction entre ces deux chiffres illustre une forme de paralysie décisionnelle que l'étude attribue en partie à la complexité perçue de l'intégration des solutions alternatives.
Le manque de coordination entre dispositifs aggrave cette exposition. Seules 28 % des organisations couplent la sensibilisation des utilisateurs à une surveillance comportementale continue. La détection d'une anomalie ne déclenche que rarement une réponse automatisée et cohérente entre les systèmes de contrôle des accès, les outils de prévention de la fuite de données et les plateformes de surveillance. Les chaînes d'attaque, elles, n'obéissent à aucune logique de cloisonnement : elles combinent phishing sous protection CAPTCHA, injection de code et détournement d'outils de gestion à distance pour traverser les failles entre des systèmes qui ne communiquent pas.
La gouvernance des données, talon d'Achille réglementaire
Le rapport consacre un volet important aux déficiences de gouvernance, qui transforment les lacunes de sécurité en risques réglementaires directs. Près de 91 % des organisations déclarent éprouver des difficultés à garantir la gouvernance et la conformité de leurs données. Plus significatif encore : 59 % ne sont pas certaines de pouvoir localiser rapidement les informations requises pour répondre à une obligation réglementaire ou légale dans les délais imposés.
Au regard des obligations réglementaires européennes cette incapacité à produire une cartographie fiable des données sensibles et de leurs flux représente une exposition directe. Une organisation incapable d'établir où résident ses données, comment elles circulent et qui y accède, ne peut satisfaire aux exigences d'audit et de notification que ces textes imposent. Le rapport conclut sur une conviction partagée par les organisations les mieux préparées : articuler visibilité intégrée, analyse comportementale, gouvernance des données et réponse coordonnée entre dispositifs humains et technologiques reste la seule voie pour sortir du cycle « dépenses croissantes, protection décroissante ».
