L’IA révolutionne le développement logiciel, mais soulève des inquiétudes sécuritaires
L’intelligence artificielle bouleverse la manière dont les logiciels sont créés, offrant rapidité et efficacité, mais introduisant de nouveaux défis en matière de cybersécurité. Les experts mettent en garde contre les risques liés à cette nouvelle ère du « code plug-and-play » généré par IA.
Alors que la plupart des développeurs ne réécrivent pas chaque ligne de code à partir de zéro pour gagner du temps et éviter les écueils, l’essor du codage par IA, ou « mood coding », permet de recourir à des blocs de code préexistants. Cependant, cette approche, bien qu’efficace, peut entraîner un manque de visibilité et une exposition accrue des logiciels.
« Nous atteignons le point où l’IA est sur le point de perdre sa période de grâce sur la sécurité », déclare Alex Zenla, directeur de la technologie chez Edera. « Et l’IA est son pire ennemi en termes de génération de code qui n’est pas sécurisé. Si l’IA est formée en partie sur des logiciels anciens, vulnérables ou de faible qualité qui se trouvent là-bas, alors toutes les vulnérabilités qui ont existé peuvent se reproduire et être introduites, sans parler de nouveaux problèmes. »
Au-delà de l’exploitation de données de formation potentiellement fragiles, le codage par IA produit un brouillon de code qui ne tient pas toujours compte du contexte spécifique d’un produit ou service. Même avec des modèles entraînés localement sur le code source et les objectifs d’un projet, la vigilance humaine reste primordiale pour déceler les défauts du code généré.
« Les groupes d’ingénierie doivent réfléchir au cycle de vie du développement dans le codage de l’ère de l’ambiance », explique Eran Kinsbruner, chercheur chez CheckMarx. « Si vous demandez exactement le même modèle LLM pour écrire pour votre code source spécifique, chaque fois, il aura une sortie légèrement différente. Un développeur au sein de l’équipe générera une sortie et l’autre développeur obtiendra une sortie différente. Ainsi, cela introduit une complication supplémentaire au-delà de l’Open Source. »
Une enquête menée auprès de responsables de la sécurité et chefs de développement révèle qu’un tiers des répondants ont indiqué que plus de 60 % du code de leur organisation avait été généré par l’IA en 2024. Pourtant, seuls 18 % d’entre eux disposent d’une liste d’outils approuvés pour le codage par IA. Les conclusions de cette étude, menée par CheckMarx auprès de milliers de professionnels et publiées en août, soulignent la difficulté croissante de retracer la « propriété » du code dans un contexte de développement par IA.