Selon une étude mondiale publiée par WatchGuard, 64 % des employés utilisent des outils d'IA non autorisés au travail. Avec des mots de passe recyclés, le Wi-Fi public et un VPN délaissé, la cybersécurité des PME repose encore sur des habitudes numériques à haut risque.

Le Shadow AI explose en entreprise, et personne ne le voit venir. © PerfectWave / Shutterstock
Le Shadow AI explose en entreprise, et personne ne le voit venir. © PerfectWave / Shutterstock

Alors que la cybersécurité des entreprises nécessite de plus en plus sur des outils sophistiqués, c'est finalement le comportement des employés qui reste le maillon faible. Selon le 2026 Cybersecurity Hygiene Report de WatchGuard Technologies, dévoilé cette semaine, les habitudes numériques des salariés, qu'il s'agisse du recours à des intelligences artificielles non validées, de connexions non sécurisées et de mots de passe mal protégés, créent des failles invisibles pour la plupart des équipes informatiques. Même les entreprises les mieux équipées peinent à détecter les risques qui se jouent, chaque jour, à l'échelle individuelle. Vous allez voir que l'étude menée par l'entreprise cyber en avril 2026 dans huit pays, dont la France, auprès de 684 employés issus de PME et ETI de 50 à 500 salariés, permet d'en mesurer l'ampleur.

IA non autorisée, mots de passe recyclés : le vrai visage du risque cyber en 2026

WatchGuard nous apprend que 64 % des employés avouent utiliser des outils d'intelligence artificielle non validés par leur entreprise, souvent pour gagner du temps sur des tâches du quotidien comme rédiger un mail ou résumer un document. ChatGPT et consorts se sont ainsi glissés dans le monde professionnel bien plus vite que les politiques internes censées les encadrer. Du coup, personne, ni le service informatique ni la direction, ne sait précisément quelles informations transitent par ces outils, ni où elles finissent stockées. Un phénomène de « Shadow AI », littéralement l'IA de l'ombre, comme le dit WatchGuard.

Le problème, c'est que la plupart des entreprises n'ont tout simplement pas les moyens de surveiller ce phénomène. Moins de 30 % des organisations affirment tenir un inventaire précis des logiciels utilisés en interne, et près de 40 % avouent n'avoir aucune vision complète des applications réellement utilisées par leurs équipes au quotidien. Un vrai trou noir numérique, en somme.

Marc Laliberte, qui est responsable des opérations de sécurité chez WatchGuard, explique que le fossé se creuse entre les investissements en outils de sécurité et la réalité du terrain. Les entreprises voient rarement comment leurs salariés travaillent vraiment au quotidien. Un problème d'autant plus préoccupant que les dispositifs classiques (antivirus, pare-feux, filtres réseau) ont surtout été conçus pour repérer des attaques venues de l'extérieur, comme un pirate qui tente de s'introduire dans le système. Mais quand le risque vient de l'intérieur, d'un salarié qui utilise un outil non autorisé ou se connecte sans précaution, ces mêmes outils ne voient rien passer. « Les comportements quotidiens, de l'utilisation de l'IA aux pratiques de mots de passe, créent des risques que les contrôles traditionnels ne sont pas conçus pour traiter », commente Marc Laliberte.

Des pratiques numériques encore trop laxistes malgré les risques connus

Toujours d'après l'étude, 76 % des salariés recyclent leurs mots de passe d'un compte à l'autre. Un vieux serpent de mer, ça ! Pourtant, un seul identifiant piraté suffit à ouvrir la porte à des mouvements latéraux dans le système d'information, voire à une exfiltration de données sur plusieurs plateformes. Cerise sur le gâteau, 30 % avouent carrément partager leurs codes avec des collègues.

Le Wi-Fi public n'effraie plus grand monde non plus. Imaginez que 70 % des employés s'y connectent pour travailler, tandis que la moitié accède aux ressources de l'entreprise sans passer par un VPN. Une aubaine pour les attaques de type « homme du milieu » (man-in-the-middle), qui interceptent discrètement les échanges sur des réseaux non sécurisés. Ajoutez à cela 55 % d'employés qui mélangent usages pro et perso sur un même appareil, pour encore mieux exposer l'entreprise au phishing et aux malwares.

WatchGuard mise sur les MSP, des prestataires externes qui gèrent la sécurité informatique de plusieurs entreprises à la fois, souvent des PME qui n'ont pas de service IT en interne, pour combler ces lacunes avant qu'elles ne débouchent sur un incident grave. Pascal Le Digol, le directeur général de WatchGuard pour France, dit que « pour les MSP, c'est l'occasion de dépasser le cadre purement technologique pour s'orienter vers une visibilité sur le risque utilisateur, la gouvernance des politiques et une sensibilisation continue à la sécurité ».

Pascal Le Digol (WatchGuard), en plein rappel de ce qu'est la matrice MITRE ATT&CK. © Alexandre Boero / Clubic
Pascal Le Digol (WatchGuard), en plein rappel de ce qu'est la matrice MITRE ATT&CK. © Alexandre Boero / Clubic

L'éditeur recommande de prendre différentes mesures, comme des gestionnaires de mots de passe couplés à une authentification à plusieurs facteurs (un code reçu par SMS en plus du mot de passe, par exemple), la détection des logiciels utilisés sans autorisation (le fameux « Shadow IT »), une charte claire sur l'usage de l'IA, une sécurité qui suit l'utilisateur même hors du bureau (l'approche « Zero Trust », qui consiste à ne jamais faire confiance par défaut, même à l'intérieur du réseau de l'entreprise), des formations régulières, et un suivi des comportements à risque au même titre que les indicateurs techniques.