Alors que les systèmes d’IA découvrent et exploitent des failles à une vitesse sans précédent, les organisations continuent de déployer des logiciels dont elles savent qu’elles contiennent des failles de sécurité.
Le code généré par l’IA est criblé de failles de sécurité, mais les entreprises en diffusent davantage que jamais. Pourquoi? Peut-être sont-ils trop confiants, manquent-ils de véritable visibilité sur les risques de sécurité ou choisissent-ils simplement d’ignorer le problème et espèrent-ils qu’il disparaisse.
Il s’agit d’un jeu dangereux à jouer à l’aube de l’ère de l’IA agentique, comme le souligne un nouveau rapport de la société de sécurité des applications Checkmarx.
L’enquête menée auprès de milliers de responsables de la sécurité révèle une naïveté sous-jacente à l’égard du code construit par l’IA et de ses vulnérabilités, alors même que des outils comme Mythos d’Anthropic découvrent des failles de sécurité bien plus rapidement que n’importe quelle équipe de sécurité humaine ne pourrait jamais l’espérer.
« Les modèles de classe Mythos réduisent la fenêtre entre une vulnérabilité existante et un exploit fonctionnel disponible en quelques mois ou quelques minutes », note le rapport. Les entreprises qui s’appuient sur des outils et méthodes de sécurité traditionnels, affirme-t-il, « ne peuvent pas survivre à cette réalité ».
La sécurité après coup
L’enquête de Checkmarx auprès de 2 350 RSSI, responsables AppSec et développeurs dans 14 pays s’est concentrée sur la quantité de code développé par l’IA que les entreprises déploient, les vulnérabilités qu’il introduit, son impact sur les flux de travail des développeurs et le sentiment général concernant le code de l’IA et la posture de sécurité.
Aujourd’hui, près de la moitié du code de production est généré par l’IA, et la majorité des entreprises déclarent également qu’au moins la moitié de leur base de code est composée de composants open source, selon le rapport.
Mais plus le code généré par l’IA est diffusé, plus les vulnérabilités sont exposées. Les entreprises qui ont déclaré que 81 à 100 % de leur code est construit par l’IA expédient du code vulnérable 3,4 fois plus souvent que les entreprises utilisant l’IA de manière plus conservatrice, s’appuyant sur 20 % ou moins de code d’IA.
De plus, 70 % des développeurs ont déclaré que la génération de code d’IA créait des vulnérabilités en 2025, et presque toutes les entreprises interrogées (93 %) ont connu au moins une faille de sécurité résultant directement des applications développées en interne.
Pourtant, le risque est en train de se « normaliser », note le rapport, les trois quarts des entreprises déployant sciemment du code vulnérable alors qu’elles sont confrontées à une pression accrue en matière de retour sur investissement. Étonnamment, environ 30 % des personnes interrogées ont admis qu’elles expédiaient du code compromis et espéraient que la vulnérabilité ne serait pas découverte. De même, plus d’un tiers des organisations laissent la moitié de leurs vulnérabilités connues non corrigées pendant 90 jours ou plus.
Le rapport souligne que le goulot d’étranglement organisationnel n’est pas la détection, « c’est la décision humaine d’expédier quand même, de supprimer les résultats ou de reporter au sprint suivant ».
Parallèlement à cela, les équipes AppSec sont souvent limitées à une réponse réactive aux incidents lorsqu’elles font face à la prolifération des outils. Et les développeurs ne sécurisent le code en permanence qu’un petit pourcentage du temps (18 %), même si presque tous sont équipés d’outils de sécurité.
En fin de compte, les développeurs sont « voués à l’échec », affirme le rapport. Ils sont confrontés à une pression importante pour livrer leurs livraisons et sont obligés de privilégier la quantité et la rapidité plutôt que la sécurité. Pourtant, même s’ils sont confrontés à des conséquences importantes en matière d’autopsies, d’évaluations de performances, de remontées d’informations et de versions bloquées, les outils qui contribuent aux problèmes de sécurité, en fournissant des résultats de faible valeur, des conseils peu clairs ou des commentaires tardifs, ne sont toujours pas corrigés.
« Les développeurs restent responsables des résultats, même lorsque les systèmes et les flux de travail ne sont pas alignés pour les prendre en charge », note le rapport.
Excès de confiance, pratiques dépassées
Il est alarmant de constater que de nombreuses entreprises semblent se tromper en ce qui concerne leur posture de sécurité. Parmi celles qui se considèrent comme des organisations d’IA « très matures », 42 % expédient souvent le code le plus vulnérable et ont des taux de violation « à peine distincts » de ceux des autres entreprises.
« La confiance ne les protège pas », note le rapport. « Cela les aveugle. »
Soulignant cela, seulement 22 % des organisations disposent d’une gouvernance formelle de l’IA, et les développeurs s’appuient toujours sur des révisions manuelles du code pour garantir que leur code répond aux normes de conformité.
Le résultat est un décalage entre la vitesse de création de logiciels et la vitesse de gouvernance, note le rapport. « Les cadres de conformité évoluent, mais de nombreuses organisations tentent encore de gouverner le développement à l’échelle de l’IA avec des processus conçus pour une ère de livraison de logiciels plus lente. »
Impératifs stratégiques pour les entreprises
Les entreprises semblent avoir (un peu) pris conscience après que Mythos d’Anthropic s’est révélé capable non seulement de découvrir les vulnérabilités des principaux systèmes d’exploitation et navigateurs, mais aussi de les exploiter 100 fois plus rapidement que les modèles Claude précédents. Et le projet Glasswing qui a suivi a presque immédiatement fait apparaître des milliers de failles de sécurité jusqu’alors non identifiées.
L’enquête de Checkmarx, qui, il convient de le noter, a été menée un mois avant l’arrivée de Mythos, a révélé que les entreprises prennent enfin des mesures proactives, se concentrent davantage sur les menaces de sécurité de l’IA en général et investissent davantage dans les pratiques DevSecOps, l’automatisation et la formation des développeurs.
Le rapport souligne l’importance de donner la priorité au risque plutôt qu’au volume de code ; les vulnérabilités ne doivent pas être considérées comme des incidents isolés. En outre, il est essentiel d’intégrer la sécurité dans les flux de travail des développeurs plutôt que de la traiter comme un point de contrôle. Les entreprises doivent disposer de systèmes qui réduisent le bruit, fournissent des conseils clairs et leur permettent d’agir lorsqu’un problème survient.
La sécurité « doit être intégrée directement dans la façon dont les développeurs écrivent, testent et expédient le code au sein de l’EDI, des pipelines et des flux de travail assistés par l’IA là où le développement se déroule désormais », note le rapport.
De même, les entreprises gagneraient à réduire la fragmentation et la prolifération des outils et à définir la propriété des outils d’IA. En simplifiant les piles de sécurité, ils peuvent aligner les responsabilités et garantir une utilisation cohérente des outils, selon le rapport.
De plus, l’IA a besoin d’une gouvernance solide, et les équipes doivent aller au-delà du tri manuel obsolète et de la « remédiation contrôlée par l’homme ». L’IA peut combattre l’IA dans un système solide conçu pour prioriser, remédier et résoudre les risques « sans attendre qu’un humain approuve chaque étape », note le rapport.
En fin de compte, il déclare : « Le progrès dépend de l’intégration de l’intelligence directement dans les flux de travail, permettant de hiérarchiser, de remédier et de résoudre les risques, le tout au sein des systèmes dans lesquels ils opèrent. »
