Pourquoi les entreprises continuent-elles à déployer du code d’IA dont elles savent qu’il comporte des risques ?

Les entreprises déploient du code généré par l’IA malgré les failles de sécurité inhérentes à celui-ci

Le code généré par l’IA fait désormais partie intégrante de l’environnement de production de presque toutes les grandes entreprises. Selon l’enquête mondiale menée par Checkmarx auprès de 2 350 RSSI, responsables de la sécurité des applications et développeurs dans 14 pays, près de la moitié de l’ensemble du code de production actif est aujourd’hui créé par l’IA. Cette rapidité et cette efficacité s’accompagnent toutefois de risques, que trop d’entreprises négligent. Ce même rapport confirme que 93 % des entreprises ont subi au moins une faille de sécurité liée à des applications développées en interne. Plus inquiétant encore, les entreprises qui s’appuient sur l’IA pour 81 à 100 % de leur code déploient du code vulnérable 3,4 fois plus souvent que celles qui y ont beaucoup moins recours.

Le problème sous-jacent réside dans la prise de décision humaine. De nombreuses équipes publient sciemment des logiciels comportant des failles, en espérant que celles-ci ne seront pas découvertes avant la prochaine mise à jour du produit. Environ les trois quarts des entreprises admettent déployer du code comportant des vulnérabilités connues, tandis que 30 % reconnaissent ouvertement diffuser du code compromis sous la pression d’obtenir des résultats plus rapides.

Pour les dirigeants, il s’agit d’un enjeu de gouvernance et de responsabilité. L’IA offre une rapidité inégalée, mais la vitesse sans sécurité engendre des risques futurs. Les failles de sécurité entraînent bien plus que des pertes financières : elles sapent la confiance et freinent la croissance. La réussite dans ce domaine passe d’abord par la rigueur du leadership : il s’agit d’aligner les objectifs d’innovation sur des seuils de sécurité clairement définis. Mettre en place des mesures incitatives qui privilégient la sécurité de la mise en œuvre plutôt que la vitesse pure constitue la voie durable à suivre. Les dirigeants qui sauront maîtriser cet équilibre domineront la prochaine décennie de la transformation numérique.

Les développeurs sont confrontés à des contraintes systémiques qui privilégient la rapidité de livraison du code au détriment d’une sécurité rigoureuse

Les développeurs sont pris au piège par la nature même de leur métier. Le rapport Checkmarx montre que, bien que la quasi-totalité des développeurs ait accès à des outils de sécurité, le code n’est sécurisé en continu que dans 18 % des cas. Cet écart ne s’explique pas par un manque d’intérêt des développeurs pour la sécurité. Il résulte plutôt de la pression constante exercée par la direction et les exigences du marché, qui les poussent à déployer rapidement de nouvelles fonctionnalités. Les itérations rapides et la fréquence élevée des mises à jour sont devenues la norme, ce qui fait que les mesures de sécurité sont souvent reléguées au second plan par rapport aux priorités de livraison.

Dans de nombreuses organisations, la sécurité reste encore isolée du développement. Les équipes travaillent en silos, et les retours d’information en matière de sécurité arrivent souvent trop tard pour être exploitables. Résultat : des correctifs retardés, une gestion réactive des urgences et un cycle sans fin où les mêmes vulnérabilités réapparaissent. Les développeurs sont également confrontés à des freins supplémentaires liés à la prolifération des outils, à un trop grand nombre de systèmes déconnectés les uns des autres qui fournissent des indications floues ou génèrent un bruit de fond écrasant qui ralentit l’action au lieu de la faciliter.

Les dirigeants doivent considérer cela comme un problème structurel. La meilleure stratégie consiste à intégrer la sécurité directement dans le processus de développement, au moment où le code est écrit, testé et déployé. Rapprocher la sécurité des opérations en temps réel signifie que les développeurs n’ont plus à faire de compromis entre rapidité et protection. Cela signifie également que la direction doit investir dans l’automatisation afin de garantir une protection cohérente et continue sans créer de freins. Cette approche harmonise les responsabilités, améliore les résultats et permet aux équipes d’innover en toute confiance.

La rapidité est un atout, mais c’est la rapidité sécurisée qui l’emporte. À mesure que le développement basé sur l’IA s’accélère, l’intégration de la sécurité dès le départ doit devenir aussi naturelle que l’écriture de la première ligne de code.

PARLONS-EN !

Un projet en tête ?
Planifiez un appel de 30 minutes avec nous.

Des experts senior pour vous aider à avancer plus vite : produit, tech, cloud & IA.

Planifier un appel

Veuillez saisir une adresse email professionnelle valide.

L’excès de confiance et les modèles de gouvernance obsolètes aggravent le risque lié au déploiement de logiciels générés par l’IA qui ne sont pas sécurisés

Un nombre croissant d’entreprises surestiment leur niveau de préparation à un avenir axé sur l’IA. Selon une étude de Checkmarx, 42 % des organisations qui se décrivent comme « très matures » en matière d’IA continuent de déployer le code le plus vulnérable. Leurs taux de violation de sécurité sont pratiquement identiques à ceux des entreprises dont les capacités en matière d’IA sont bien moins développées. Cette tendance montre que la confiance en sa propre maturité en matière d’IA n’est pas synonyme de compétence en matière de sécurité. Seules 22 % des organisations interrogées disposent de cadres de gouvernance formels spécialement conçus pour superviser le développement généré par l’IA.

Le problème est d’ordre structurel. La plupart des entreprises continuent de régir le développement de l’IA à l’aide de cadres de conformité conçus pour une époque où le codage se faisait à un rythme plus lent, adapté à l’échelle humaine. Les revues de code manuelles et les audits périodiques ne parviennent pas à suivre la vitesse de production du code d’IA. Les équipes humaines ne sont tout simplement pas en mesure d’évaluer les millions de lignes de code générées et déployées chaque semaine. Ce décalage engendre un retard de gouvernance, un vide dans lequel des vulnérabilités persistent sans être détectées ni corrigées.

Pour les dirigeants, le message est clair. Les approches traditionnelles en matière de conformité ne permettent plus de se prémunir contre les cycles de développement de l’IA, caractérisés par une rapidité et un volume élevés. Les dirigeants doivent faire évoluer la gouvernance pour l’adapter au nouveau rythme de création. Cela implique la mise en place de mécanismes de surveillance en temps réel, s’appuyant sur la détection automatisée des menaces, une validation continue et des normes de conformité spécifiques à l’IA. L’excès de confiance empêche une organisation de voir ses points faibles ; une gouvernance structurée permet de les mettre en évidence et de les gérer. Les entreprises qui en prennent conscience dès maintenant peuvent intégrer la sécurité dans leur trajectoire de croissance plutôt que de la rajouter a posteriori.

L’évolution des modèles d’IA agentique accélère considérablement l’exploitation des vulnérabilités

Le paysage des menaces a radicalement changé avec l’émergence de modèles d’IA dotés d’agentivité, capables d’analyser et d’agir de manière autonome. Les systèmes Mythos et Project Glasswing d’Anthropic incarnent cette nouvelle génération. Mythos a démontré sa capacité à identifier et à exploiter des vulnérabilités en quelques minutes, une rapidité qui rend obsolètes les pratiques de sécurité traditionnelles. Project Glasswing a mis au jour des milliers de failles jusque-là inconnues dans les principaux systèmes d’exploitation et navigateurs, soulignant ainsi la rapidité sans précédent à laquelle ces systèmes peuvent fonctionner.

Le rapport de Checkmarx l’indique clairement : « Les modèles de la classe Mythos réduisent considérablement le délai entre l’existence d’une vulnérabilité et la disponibilité d’un exploit fonctionnel, le faisant passer de plusieurs mois à quelques minutes. » C’est cette rapidité qui change véritablement la donne. Les équipes humaines fonctionnent encore selon des cycles d’investigation et d’analyse qui se mesurent en jours ou en semaines. À l’inverse, ces systèmes d’IA effectuent des analyses et des exploitations en continu en quelques secondes, laissant les entreprises exposées bien avant que leurs défenses ne puissent s’adapter.

Pour les dirigeants, cela exige une nouvelle posture défensive. La sécurité doit devenir proactive et adaptative. Les organisations ne peuvent plus se contenter de s’appuyer uniquement sur des processus de vérification supervisés par l’homme ou sur des outils statiques. Les priorités des dirigeants doivent désormais s’orienter vers des architectures de sécurité intelligentes et automatisées, capables de détecter les menaces et d’y répondre en temps réel. Les outils d’intelligence artificielle doivent faire partie intégrante de l’écosystème de défense.

La contribution d’Anthropic met en évidence une vérité fondamentale : l’intelligence même qui engendre des risques peut également être mise à profit pour les maîtriser. Les entreprises qui conserveront leur résilience dans les années à venir sont celles qui intègrent l’IA non seulement dans leur mode de développement, mais aussi dans leur mode de défense. Elles seront en mesure de limiter leur exposition aux risques, de réagir plus rapidement et de jouer un rôle de premier plan avec assurance dans un contexte où les cycles de vulnérabilité ne laissent plus le temps à l’intervention humaine.

Il est urgent d’intégrer des mesures de sécurité automatisées et natives de l’IA dans les processus de développement

La sécurité ne peut plus être considérée comme une fonction distincte au sein du cycle de vie des logiciels. Le rapport Checkmarx souligne que la prochaine étape pour les entreprises consiste à intégrer la sécurité directement dans les environnements de développement, au sein de l’environnement de développement intégré (IDE), du pipeline et des flux de travail assistés par l’IA. Cette intégration garantit que les contrôles de sécurité, la hiérarchisation des risques et la correction des vulnérabilités interviennent dès la conception et le développement, et non après le déploiement. Le rapport insiste tout particulièrement sur la nécessité de disposer de systèmes permettant de « hiérarchiser, corriger et résoudre les risques, le tout au sein même des systèmes dans lesquels ils opèrent ».

Ce modèle repose sur l’automatisation à chaque étape du processus. Les contrôles, révisions, validations et tris manuels effectués par des personnes ne peuvent plus suivre le rythme de l’ampleur et de la fréquence de la génération de code moderne. Des systèmes automatisés capables d’évaluer, de signaler et de résoudre instantanément les risques de sécurité peuvent transformer la manière dont les organisations gèrent leur surface d’exposition aux menaces. En éliminant les frictions entre le développement et la sécurité, les entreprises peuvent supprimer les retards, améliorer la responsabilisation et renforcer la réponse aux risques. Son succès repose sur une orchestration efficace entre les outils, les équipes et les systèmes de renseignement, les trois composantes qui définissent le fonctionnement des opérations logicielles modernes.

Pour les dirigeants de haut niveau, cela doit être considéré comme une initiative stratégique majeure, et non comme une simple priorité technique en arrière-plan. L’intégration d’une sécurité native à l’IA garantit que la gouvernance, la conformité et les performances s’alignent au sein d’une architecture unique. Cela nécessite d’investir dans l’unification des plateformes afin de réduire la fragmentation des outils, qui continue de nuire à la productivité et à la clarté au sein des grandes équipes techniques. Les dirigeants doivent définir des cadres de responsabilité pour les outils et déployer des systèmes de surveillance automatisés capables de réagir plus rapidement que ne le peuvent les équipes humaines.

L’opportunité est évidente : lorsque la sécurité devient un processus intégré plutôt qu’un contrôle a posteriori, l’ensemble de l’entreprise gagne en résilience et en agilité. Face à l’allongement des cycles de développement de l’IA et à l’intensification des menaces externes, l’automatisation de la sécurité à la source constitue la seule voie durable à suivre. Pour les organisations soucieuses de leur compétitivité à long terme, l’intégration d’une intelligence basée sur l’IA à chaque niveau du flux de travail est fondamentale.

Principaux enseignements pour les dirigeants

• Le code généré par l’IA évolue plus rapidement que les pratiques de sécurité des entreprises : la plupart des entreprises déploient du code généré par l’IA tout en sachant qu’il n’est pas sécurisé. Les dirigeants devraient réajuster les mécanismes d’incitation afin de privilégier la sécurité de la mise en production plutôt que la rapidité, car les risques non maîtrisés constituent désormais un handicap stratégique.
• Les contraintes imposées aux développeurs constituent un problème structurel : ceux-ci sont poussés à publier rapidement leurs produits sans bénéficier d’un soutien adéquat. Les dirigeants devraient intégrer la sécurité en temps réel dans les processus de travail afin que la protection s’adapte naturellement au volume de production.
• La confiance sans gouvernance expose les entreprises à des risques : près de la moitié des entreprises ayant adopté l’IA à un stade « avancé » produisent du code de mauvaise qualité en raison d’un dispositif de contrôle obsolète. Les dirigeants doivent moderniser la gouvernance et mettre en place des mécanismes de conformité spécifiques à l’IA, capables d’évoluer au même rythme que le développement.
• Les menaces liées à l’IA évoluent à la vitesse des machines, tandis que les défenses restent au rythme de l’humain : les modèles d’IA agentique, tels que « Mythos » d’Anthropic et le « Project Glasswing », exploitent les vulnérabilités en quelques minutes. Les décideurs doivent investir dans des défenses adaptatives et automatisées, capables de surveiller et de réagir en temps réel.
• La sécurité doit être intégrée, automatisée et continue : le triage manuel et les outils fragmentés ne peuvent pas suivre le rythme du développement logiciel à l’échelle de l’IA. Les dirigeants devraient regrouper les systèmes de développement et de sécurité au sein d’architectures automatisées et natives de l’IA, capables de détecter, de hiérarchiser et de résoudre les risques au fur et à mesure de la création du code.