Rapport d'Orca Security : 99,9% des vulnérabilités d'IA corrigeables restent non corrigées alors que l'IA est déployée dans la production
Rapport d'Orca Security : 99,9% des vulnérabilités d'IA corrigeables restent non corrigées alors que l'IA est déployée dans la production
L'analyse de plus de 1 200 environnements cloud de production fournit un aperçu direct sur la façon dont les organisations intègrent l'IA dans les flux de travail critiques pour l'entreprise, exposant ainsi de nouveaux risques de sécurité auxquels les contrôles traditionnels n'ont pas été conçus pour répondre.
PORTLAND, Oregon--(BUSINESS WIRE)--Orca Security, un leader de la sécurité du cloud et de l’IA, publie ce jour son State of AI Security Report 2026, qui offre une vue d’ensemble de la manière dont l’IA est déployée dans plus de 1 200 environnements de production dans le cloud. Les résultats montrent que l'IA ne se limite plus aux projets pilotes isolés ni aux expériences de développement. Les organisations intègrent l'IA dans les applications de production, les services cloud et les flux de travail autonomes à un rythme que les programmes de sécurité ne peuvent suivre.
Plus de la moitié (56%) des organisations ont déjà déployé des agents IA en production, tandis que 51% utilisent l'IA pour créer des applications personnalisées. Dans le même temps, Orca a constaté que 81% des organisations exécutent des packages d'IA vulnérables et que 99,9% des vulnérabilités d'IA corrigeables ne sont pas corrigées, soulignant la rapidité avec laquelle l'IA est devenue une infrastructure opérationnelle sans maturité de sécurité équivalente.
Le rapport révèle également que les environnements d'IA deviennent rapidement plus interconnectés et critiques pour les entreprises. Parmi les organisations qui adoptent l'IA, 64% exploitent maintenant des bases de données vectorielles, 55% exploitent quatre services d'IA ou plus simultanément et entre 87% et 98% des charges de travail d'IA des trois principaux fournisseurs de cloud manquent de cryptage géré par les clients. Ensemble, ces résultats montrent que les organisations ne sécurisent plus les outils d'IA autonomes. Elles sécurisent des écosystèmes d'IA complexes connectés aux données d'entreprise, aux services cloud, aux identités et aux flux de production.
« Ce qui nous a surpris, ce n’est pas seulement la rapidité avec laquelle l’adoption de l’IA s’est accélérée, mais à quel point l'IA est désormais intégrée dans les environnements cloud de production », déclare Gil Geron, CEO et cofondateur d'Orca Security. « Nous ne voyons pas seulement des modèles isolés. Nous voyons des agents d'IA connectés aux données de l'entreprise, interagissant avec les identités, appelant des services cloud et faisant partie des flux de travail critiques pour l'entreprise. L'IA n'est plus une expérience, c'est une infrastructure de production. Le nombre de constructeurs a augmenté de manière exponentielle et les organisations ont besoin d'une sécurité qui offre une visibilité complète et la confiance nécessaire pour innover à la vitesse de l'IA sans créer de risque inutile. »
L'IA est devenue une infrastructure de production avant que la sécurité ne soit prête
Le rapport constate que l'IA a évolué au-delà des modèles autonomes pour devenir un écosystème de production interconnecté couvrant les services cloud, les agents IA, les bases de données vectorielles, les outils de développement et les flux de travail autonomes. Bien que cette transformation permette aux organisations d'innover plus rapidement, elle élargit tellement la surface d'attaque que les programmes de sécurité traditionnels sont devenus totalement obsolètes.
Principales conclusions du rapport :
- 81% des organisations utilisant des packages d'IA ont au moins une vulnérabilité connue, contre 62% dans le rapport d'Orca de 2024
- 50% des vulnérabilités de package d'IA présentent désormais une faille exploitable accessible au public, soit 250 fois plus qu’en 2024
- 99,9% des vulnérabilités d'IA avec un correctif disponible restent non corrigées.
« L'IA a introduit une toute nouvelle couche opérationnelle dans les environnements cloud », déclare Nir Mashal, directeur de la sécurité de l'information chez Orca Security. « Les organisations disposent désormais d’agents qui prennent des décisions, de bases de données vectorielles connectées aux données d’entreprise et de services d’IA répartis entre plusieurs fournisseurs de cloud. Les équipes de sécurité ont besoin d'une visibilité unifiée sur l'ensemble de cet environnement, associée à une prévention automatisée, pour comprendre où le risque existe réellement et arrêter les attaquants avant que les dommages ne soient causés. »
Les progrès sont mesurables lorsque les organisations traitent l'IA comme une infrastructure de production
Malgré des lacunes persistantes, le rapport met également en évidence des progrès significatifs lorsque les organisations ont ciblé les investissements en matière de sécurité. Depuis le précédent rapport d'Orca sur l'IA, le pourcentage d'environnements Amazon SageMaker fonctionnant avec un accès root est passé de 98% à 76%, tandis que les configurations IMDSv2 non sécurisées sont passées de 77% à 48%. Ces améliorations démontrent que l'application d'une discipline opérationnelle de niveau production aux environnements d'IA produit des gains de sécurité mesurables.
Le rapport recommande aux organisations de traiter l'IA comme une infrastructure de production en étendant les pratiques de sécurité existantes tout au long du cycle de vie de l'IA, y compris la gestion des vulnérabilités, la protection des informations d'identification, l'accès de moindre privilège, le cryptage, la surveillance spécifique à l'IA et la gouvernance. L'urgence augmente à mesure que de nouvelles réglementations entrent en vigueur, y compris les obligations à haut risque de la loi sur l'IA de l'UE à partir du 2 août 2026 et la loi modifiée du Colorado sur l'IA prenant effet le 1er janvier 2027.
« Les organisations qui progressent le plus traitent l'IA comme tous les autres systèmes de production critiques », ajoute Geron. « Cela signifie appliquer une visibilité, une gouvernance, un accès et des mesures correctives cohérents tout au long du cycle de vie de l’IA. La sécurité ne peut pas être quelque chose que vous ajoutez après le déploiement. Elle doit être intégrée dans la manière dont les équipes développent l’IA. »
Le State of AI Security Report 2026 analyse la télémétrie agrégée et anonymisée de plus de 1 200 organisations de production recueillies au T2 2026. Le rapport examine les services cloud d'IA, les vulnérabilités des packages d'IA, les identités et les secrets, les agents IA, les bases de données vectorielles, le cryptage et la gouvernance dans AWS, Microsoft Azure et Google Cloud. Le rapport complet est disponible à l’adresse suivante : https://orca.security/lp/2026-state-of-ai-security-report/.
À propos d'Orca Security
Orca Security apporte la sécurité aux entreprises qui construisent. Alors que le cloud, les applications, l'IA et la production d'applications élargissent la surface d'attaque, Orca transforme le risque de sécurité en contexte dans lequel les équipes doivent agir. La plateforme Orca offre une visibilité complète sur le cloud, l'IA et les environnements applicatifs, met en corrélation les risques sur toutes les couches et hiérarchise les expositions les plus importantes afin que les organisations puissent récupérer plus rapidement et innover en toute confiance. Reconnue par des centaines d'organisations, dont SAP, Autodesk, Gannett, Lemonade et Digital Turbine, Orca est soutenue par des investisseurs de premier plan, notamment Temasek, CapitalG, ICONIQ Capital et Redpoint Ventures. Pour de plus amples renseignements, rendez-vous sur orca.security. Connectez votre premier compte en quelques minutes : https://orca.security ou réservez une démo personnalisée.
Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.
