Pratiques, les outils d’IA pour le codage ne sont pas sans risque, a révélé Checkmarx dans une étude présentée mercredi 27 août. Intitulée « Future of Application Security in the Era of AI », l’étude nous apprend notamment que 81 % des organisations livrent du code pourtant vulnérable.
Ce rapport, réalisé auprès de 1 500 RSSI, responsables AppSec et développeurs en Amérique du Nord, en Europe et en Asie-Pacifique, tire la sonnette d’alarme sur l’usage de l’IA dans le codage.
Selon les conclusions de l’étude, une part croissante du code est générée par l’IA. Ainsi, 34 % des répondants indiquent que plus de 60 % de leur code est généré par l’IA. Problème : seuls 18 % ont une politique encadrant cet usage, ce qui « élargit considérablement la surface d’attaque », selon les termes de Checkmarx. Dans un contexte de pression business poussant à aller toujours plus vite, 81 % des organisations livrent sciemment du code vulnérable, révèle l’étude. Preuve en est : 98 % reconnaissent avoir subi une faille liée à leur code cette année, contre 91 % en 2024.
Le DevSecOps à peine majoritaire
32 % des répondants s’attendent à des violations via des API fantômes et d’autres attaques dans les 12 à 18 prochains mois. Malgré les risques et les craintes, moins de la moitié déploie des outils de sécurité, tels que des solutions de test dynamique des applications (DAST) ou de scanning Infrastructure-as-Code. Et seuls 51 % des entreprises nord-américaines ont adopté une approche DevSecOps.
Pour limiter les risques, les auteurs du rapport enjoignent les entreprises et les développeurs à intégrer la sécurité du code au cloud, à mieux encadrer les usages de l’IA dans le développement et les politiques de l’entreprise, à rendre des outils de sécurité opérationnels et à responsabiliser les développeurs.
« En France, nous devons instaurer une culture de sécurité et placer la protection au cœur de nos valeurs » a déclaré Fabien Petiau, Country manager France, Checkmarx. « Le rapport montre que moins de la moitié des équipes utilisent des outils matures, comme le DAST ou le scanning Infrastructure-as-Code, et pourtant du code vulnérable est régulièrement publié. Pour gagner la confiance des clients et répondre aux exigences croissantes de la réglementation cyber, il est essentiel de responsabiliser les développeurs, investir dans la formation et ancrer la sécurité dans l'ensemble de l'organisation. Le code généré par l'IA va continuer à proliférer, et ce seront les logiciels sécurisés qui feront la véritable différence concurrentielle dans les années à venir.»
Le rapport met en exergue six impératifs stratégiques pour combler l'écart de préparation à la sécurité des applications : passer de la sensibilisation à l'action, intégrer la sécurité « du code au cloud », régir l'utilisation de l'IA dans le développement, opérationnaliser les outils de sécurité, se préparer à l'IA agentique dans l'AppSec et cultiver une culture de responsabilisation des développeurs.
