Comment 5 000 applications à code vibratoire ont révélé ce qui ne va pas avec l’IA de l’ombre

Les programmes de sécurité traditionnels négligent les applications à code vibratoire

La plupart des systèmes de sécurité des entreprises ont été conçus pour un monde plus ancien, des serveurs, des terminaux et une infrastructure cloud. Ils n’ont pas été conçus pour la nouvelle vague d’applications créées en dehors de l’informatique traditionnelle. Les employés peuvent désormais créer des outils entièrement fonctionnels en quelques heures grâce à des plateformes telles que Lovable, Base44, Replit et Netlify. Ces applications accèdent aux données réelles de l’entreprise et sont souvent mises en service sans surveillance. Le problème est simple : la sécurité ne les voit pas. Elles tombent dans un angle mort.

Ces systèmes assistés par l’IA ou « codes vibratoires« changent la façon dont les organisations créent des produits numériques, mais l’architecture de sécurité n’a pas évolué avec elles. RedAccess a trouvé 380 000 biens publics créés par l’intermédiaire de ces plateformes, et environ 5 000 d’entre eux contenaient des données d’entreprise sensibles. Il ne s’agit pas d’un problème mineur, mais d’un problème structurel. Ce qui est en jeu, ce ne sont pas quelques applications mal configurées, mais une toute nouvelle catégorie d’exposition que les entreprises n’ont pas encore cartographiée.

Pour les dirigeants, le principal enseignement à tirer est la visibilité. Vous ne pouvez pas protéger ce dont vous ignorez l’existence. Ces outils accélèrent la vitesse d’innovation, mais ils le font en contournant toutes les barrières de sécurité traditionnelles. Si une seule de ces constructions non autorisées se connecte aux bases de données des clients ou aux API internes, l’exposition de l’entreprise devient le problème de tous. La stratégie de sécurité doit passer d’une approche centrée sur les actifs à une approche centrée sur les activités, en se concentrant sur la manière dont le code est construit et déployé, par n’importe qui, n’importe où dans l’entreprise. Les entreprises qui s’adaptent maintenant seront à la tête de la prochaine génération d’automatisation sécurisée. Celles qui ne le font pas joueront la carte de la défense en public lorsque la violation fera la une des journaux.

Paramètres publics par défaut et inexpérience des utilisateurs sur les plateformes de codage vibratoire

La façon dont ces plateformes fonctionnent par défaut fait partie du problème. La plupart d’entre elles lancent des applications qui sont publiques dès le départ. Un nouvel utilisateur doit passer manuellement aux paramètres privés. Comme beaucoup de ces « développeurs » ne sont pas des techniciens, des responsables marketing, des analystes, des coordinateurs de produits, la sécurité leur vient rarement à l’esprit. Ils s’attendent à ce que la plateforme s’en charge. Ce n’est pas le cas.

Dor Zvi, PDG de RedAccess, a souligné qu’il était irréaliste d’attendre des utilisateurs de masse qu’ils comprennent ou mettent en œuvre le contrôle d’accès. Son commentaire illustre comment la démocratisation de la création de logiciels entre directement en conflit avec la complexité de la sécurité. Ce qui est simple pour un créateur est complexe pour une entreprise. Ce décalage ouvre la voie à des fuites et à des manquements en matière de conformité. RedAccess a trouvé sur Lovable des sites de phishing imitant Bank of America, FedEx et d’autres grandes entreprises, preuve qu’un accès non surveillé est une invitation à l’abus.

Il s’agit d’un défaut de conception des plateformes elles-mêmes. Les paramètres publics par défaut donnent l’illusion d’une vitesse d’innovation, mais invitent à une exposition incontrôlée. Les politiques et les programmes de sensibilisation sont utiles, mais ne suffisent pas. Un véritable changement se produit lorsque l’organisation renforce la sécurité au niveau de la plateforme et de l’infrastructure, en automatisant le déploiement privé par défaut, en intégrant des crochets de SSO et d’authentification, et en s’assurant que tout ce qui se connecte aux données de l’entreprise est soumis à un examen. Les entreprises qui adoptent cette approche ne ralentissent pas l’innovation ; elles s’assurent qu’elle peut évoluer en toute sécurité.

Des enquêtes indépendantes et des recherches menées par l’industrie confirment l’existence de vulnérabilités généralisées.

Une étude indépendante a confirmé ce que de nombreux professionnels de la sécurité soupçonnaient déjà : les risques introduits par les applications et les applications générées par l’IA sont systémiques. Ces applications sont développées et déployées à un rythme que les processus AppSec traditionnels ne peuvent pas suivre, laissant un fossé grandissant entre l’innovation et la protection. L’étude d’Escape.tech d’octobre 2025 a révélé plus de 2 000 failles de sécurité à fort impact et 175 cas distincts d’exposition de données personnelles dans 5 600 applications créées par l’IA et accessibles au public. Chacun de ces cas concernait des actifs en production au moment de leur découverte.

Les prévisions de Gartner pour 2026 ont renforcé cette tendance, en prédisant une augmentation de 2 500 % des défauts logiciels d’ici à 2028, liée aux développeurs citoyens et au codage piloté par l’IA. Le cabinet a identifié un nouveau type de défaut, un code techniquement correct mais logiquement non aligné sur les systèmes et les politiques de l’entreprise. Il s’agit d’un contexte plus large que l’IA ne peut pas encore comprendre. Cela crée des vulnérabilités plus profondes, plus difficiles à détecter, qui nécessitent des mesures correctives importantes.

Pour les dirigeants, le message est clair. Le développement rapide de l’IA ouvre de nouvelles frontières concurrentielles, mais sans renforcement architectural, il accroît également la vulnérabilité. Les budgets de sécurité doivent passer d’une récupération rétroactive à un contrôle préemptif. Cela signifie qu’il faut intégrer l’application des politiques directement dans les flux de développement pilotés par l’IA et intégrer l’analyse automatisée dans les pipelines de construction. Les entreprises qui s’y prennent tôt conserveront à la fois la vélocité et la stabilité, tandis que les autres dépenseront leurs budgets d’innovation en correctifs.

L’IA fantôme amplifie les risques, ce qui entraîne une augmentation de la fréquence des violations et des coûts financiers.

L’IA fantôme, l’utilisation de systèmes d’IA non approuvés et d’outils auto-déployés, est devenue l’une des plus grandes menaces non surveillées auxquelles les entreprises sont confrontées aujourd’hui. Elle étend le défi du shadow IT en introduisant une automatisation capable de produire du code de qualité production en dehors des structures officielles. Il en résulte une multiplication rapide des applications fonctionnant sans contrôle de conformité, sans gouvernance et sans surveillance de la sécurité.

Le rapport 2025 Cost of a Data Breach Report d’IBM a quantifié le coût financier : 20 % des organisations interrogées ont subi des violations liées à l’IA de l’ombre. l’IA de l’ombre, ajoutant 670 000 dollars au coût moyen et portant les dépenses totales liées à la violation à 4,63 millions de dollars. Parmi ces organisations, 97 % ne disposaient pas de contrôles d’accès appropriés et 63 % n’avaient aucune politique de gouvernance de l’IA. Selon une étude de VentureBeat, le nombre d’applications d’IA fantômes actives pourrait doubler d’ici à la mi-2026. Cyberhaven a constaté que 73,8 % des comptes ChatGPT dans les environnements d’entreprise n’étaient pas autorisés.

Pour les décideurs, l’étape immédiate consiste à reconnaître que l’introduction de l’IA dans les processus d’entreprise n’a pas été accompagnée d’une mise à niveau similaire de la gouvernance. Le développement non réglementé de l’IA menace à la fois l’intégrité des données et la conformité dans des secteurs tels que la santé, la finance et l’industrie manufacturière. Pour combler ce fossé, il faut que les politiques, la technologie et l’application de la loi travaillent ensemble. Les dirigeants doivent demander à leurs équipes d’établir des inventaires d’utilisation de l’IA, de mettre en œuvre des audits d’accès et d’aligner les cadres de gouvernance sur les normes internationales de protection des données. Le leadership qui agit de manière décisive dès maintenant déterminera la sécurité avec laquelle les entreprises s’adapteront à la transformation induite par l’IA.

Les lacunes en matière de détection et de visibilité rendent les applications vibrocodées

La plupart des organisations fonctionnent encore selon un modèle de visibilité qui suppose que chaque actif dispose d’un enregistrement, d’un journal ou d’un point de terminaison traçable. Cette hypothèse ne tient plus. Les applications codées par Vibe se déploient sur des sous-domaines en évolution rapide, souvent cachés derrière des réseaux de diffusion de contenu qui masquent l’infrastructure d’origine. Elles n’apparaissent pas dans les systèmes de découverte traditionnels ou dans la télémétrie des points d’extrémité, laissant des catégories entières d’actifs numériques invisibles à la pile de surveillance de l’entreprise.

Cette invisibilité représente un risque croissant. Même les entreprises dotées de technologies de détection avancées, telles que les passerelles web sécurisées, les courtiers de sécurité d’accès au cloud (CASB) ou la journalisation DNS, n’identifient que l’accès des employés à ces plateformes. Sans système interne pour détecter les déploiements non surveillés, les équipes de sécurité travaillent avec une connaissance incomplète de la situation. Les dirigeants doivent reconnaître qu’il s’agit d’une crise structurelle de visibilité.

Pour les dirigeants, la nuance réside dans le fait que la prévention dépend désormais de la précision de la découverte. La surveillance de l’activité du réseau ne suffit plus à garantir la couverture. Les entreprises ont besoin d’une analyse automatisée des principaux domaines de codage vibratoire tels que Lovable, Base44, Replit et Netlify. L’établissement d’une cartographie de découverte et d’authentification en temps réel est essentiel pour comprendre où circulent les données de l’entreprise et qui peut y accéder. Les discussions stratégiques au niveau de la direction devraient inclure les opérations de découverte en tant que couche permanente de contrôle des risques de l’entreprise.

La responsabilité inadéquate des plateformes et les défauts de conception de l’écosystème exacerbent les risques de sécurité.

L’écart de responsabilité entre les plateformes de codage vibratoire et leurs utilisateurs reste important. Lorsque des chercheurs en sécurité révèlent des failles, les réponses de ces plateformes manquent souvent de transparence ou d’urgence. Dans cet écosystème émergent, la responsabilité n’est pas claire, et cette incertitude augmente directement le risque pour les entreprises. Une faille de sécurité sur une plateforme de développement populaire se propage dans des milliers d’applications créées par des utilisateurs peu méfiants.

Des événements récents ont concrétisé ce problème. En juillet 2025, Wiz Research a identifié dans Base44 un contournement de l’authentification à l’échelle de la plateforme qui permettait un accès non autorisé à des applications privées. La vulnérabilité a été corrigée dans les 24 heures par Wix, mais seulement après que le signalement ait incité à une action immédiate. De même, CVE-2025-48757 a documenté l’absence de politiques de sécurité au niveau des lignes dans les projets Supabase générés par Lovable, exposant ainsi les données de plus de 170 applications actives. Ces failles soulignent à quel point l’architecture de sécurité par défaut est mince lorsque des millions d’applications sont créées par des utilisateurs supposant que les mesures de protection de la plateforme sont suffisantes.

Le PDG de Replit, Amjad Masad, a déclaré que RedAccess n’avait donné à l’entreprise que 24 heures avant la divulgation publique, tandis que Base44 (via Wix) et Lovable ont affirmé qu’ils ne disposaient pas de suffisamment de détails pour vérifier les conclusions. Aucun n’a nié l’existence de l’exposition. Ce fait souligne la fragilité de l’écosystème en matière de responsabilité. Pour les dirigeants, cela signifie que la confiance des vendeurs ne peut pas remplacer la diligence raisonnable. Les entreprises ont besoin de clauses contractuelles claires définissant les exigences en matière de sécurité des plateformes, d’évaluations indépendantes des vulnérabilités et de protocoles d’escalade pour les divulgations. La responsabilité doit être intégrée dans les relations entre les développeurs, les utilisateurs et les fournisseurs de services afin que les attentes en matière de sécurité soient explicites.

Des solutions architecturales robustes et une gouvernance intégrée sont essentielles pour atténuer les risques liés aux applications codées par Vibe.

La plupart des organisations traitent le problème des applications non autorisées ou construites par l’IA comme une question de politique, alors qu’il s’agit en fait d’une question d’architecture. Les mémos et les campagnes de sensibilisation ne contribuent guère à résoudre les faiblesses structurelles. Ce sur quoi les dirigeants doivent se concentrer, c’est l’intégration : intégrer la découverte, le contrôle d’accès, l’analyse et la gouvernance directement dans l’environnement de développement où ces applications sont nées. Cela garantit que la sécurité fait partie intégrante de la conception du système.

Une stratégie efficace se concentre sur l’automatisation et l’alignement entre la technologie et la gouvernance. L’analyse automatisée des DNS et des journaux de transparence des certificats peut révéler des sous-domaines cachés liés aux actifs de Lovable, Replit, Base44 et Netlify. L’application de l’authentification, à l’aide de SSO ou de SAML, doit avoir lieu avant le déploiement, bloquant l’exposition publique par défaut. L’analyse du code devrait s’étendre au-delà des versions approuvées pour couvrir les applications créées par les citoyens à l’aide des outils SAST et DAST. La prévention des pertes de données (DLP) doit inclure les plateformes de codage vibratoire dans le champ d’application de sa politique, afin de s’assurer que les données sensibles ne se déplacent pas dans des environnements non surveillés.

Pour les dirigeants, cette approche est à la fois stratégique et pragmatique. Elle garantit la poursuite de l’innovation sans compromettre le contrôle. La maturité de la sécurité dépend moins des effectifs que de l’automatisation et d’une gouvernance claire. En traitant le développement piloté par l’IA comme un composant architectural, les dirigeants peuvent gérer les risques à la même vitesse que l’évolution technologique. Les organisations qui mettent en place ces protections structurelles aujourd’hui établiront les normes opérationnelles que les autres finiront par suivre.

La montée en puissance de l’IA de l’ombre signale un changement fondamental dans le risque d’entreprise, nécessitant une réévaluation des paradigmes de sécurité traditionnels.

L’IA fantôme a dépassé le stade de l’expérimentation ; elle fait désormais partie de l’infrastructure de production de la quasi-totalité des grandes entreprises. Cela représente une transformation dans la façon dont les systèmes numériques sont créés, déployés et maintenus. Les outils permettant ce changement, le codage assisté par l’IA, les plateformes no-code et low-code, et les pipelines automatisés, accélèrent les capacités mais dépassent les modèles de gouvernance existants. Les dirigeants doivent accepter que les cadres hérités construits autour d’actifs statiques et de points de terminaison connus ne peuvent plus gérer la vitesse et la décentralisation de la création de logiciels modernes.

La recherche combinée de RedAccess, Escape.tech, Gartner et IBM met en évidence la direction du changement. Les vulnérabilités augmentent de manière exponentielle, les coûts de remédiation augmentent et les cadres de gouvernance ont des années de retard sur l’utilisation dans le monde réel. Gartner prévoit une augmentation de 2 500 % des défauts logiciels résultant du développement piloté par l’IA d’ici 2028, tandis qu’IBM signale que les brèches dans l’ombre de l’IA ajoutent en moyenne 670 000 dollars par incident aux coûts de remédiation. Ces chiffres sont les premiers indicateurs de la rapidité avec laquelle le paysage des risques évolue.

Pour les dirigeants, la réponse stratégique doit aller au-delà de l’endiguement. Elle nécessite de repenser la sécurité de l’entreprise dans le cadre d’une stratégie numérique adaptative. L’IA fantôme ne peut pas être éliminée, mais elle peut être gérée grâce à la visibilité, à la gouvernance et à l’application technique. Les dirigeants doivent s’assurer que les politiques d’utilisation de l’IA, l’audit et la surveillance continue évoluent parallèlement à l’adoption par les entreprises. Les entreprises qui modernisent leurs modèles de risque ne se contenteront pas d’éviter les pertes, elles établiront la confiance, maintiendront la résilience et resteront compétitives dans une économie de plus en plus façonnée par l’automatisation intelligente.

Dernières réflexions

La diffusion d’applications codées par les vibrations et construites par l’IA n’est pas une tendance passagère ; il s’agit d’un changement structurel dans la manière dont les entreprises créent des logiciels. Toutes les grandes entreprises disposent déjà d’une version de l’IA fantôme en leur sein, que les dirigeants le sachent ou non. Le véritable défi n’est pas de l’arrêter, mais de la gouverner intelligemment.

Les dirigeants devraient considérer ce moment comme un tournant. Les organisations qui adaptent leurs architectures, automatisent la découverte et font de la gouvernance de l’IA un élément permanent de leur modèle opérationnel progresseront plus rapidement et de manière plus sûre que celles qui s’appuient sur des examens de sécurité après coup. Les politiques écrites isolément ne protègent pas les données ; la conception qui renforce le contrôle le fait.

Les conseils d’administration et les équipes dirigeantes doivent commencer à considérer l’utilisation, la sécurité et la transparence de l’IA comme faisant partie de la stratégie commerciale, et non de la maintenance technique. C’est l’occasion de renforcer la résilience tout en consolidant la confiance avec les clients et les régulateurs. L’innovation induite par l’IA va continuer à s’accélérer. Ce qui compte maintenant, c’est de savoir comment elle est intégrée de manière sûre et consciente dans les fondations de chaque entreprise.