Back view of a senior developer typing code and programming a new generation of AI bots and AI generators at the home office. Artificial intelligence development and programming AI bots.

Les risques des développeurs d’entrée de gamme sur le fait de s’appuyer sur l’IA

Lucas Morel

À mesure que le code généré par l’IA devient plus courant, certains CISO soutiennent que la dépassement pourrait éroder les compétences essentielles des développeurs qui peuvent créer des angles morts que les organisations ne devraient pas ignorer.

Chaque fois que des outils comme Chatgpt descendent, il n’est pas rare de voir les développeurs de logiciels s’éloigner de leur bureau, de faire une pause imprévue ou de se pencher dans leurs chaises de frustration. Pour de nombreux professionnels de l’espace technologique, les outils de codage assistés par l’IA sont devenus une commodité. Et même de brèves pannes, comme celle qui s’est produite le 24 mars 2025, peut arrêter le développement.

« Il est temps de faire un café et de s’asseoir au soleil pendant 15 minutes », a écrit un utilisateur de Reddit. « Même chose », répond un autre.

La dépassement des outils d’IA génératifs comme Chatgpt augmente régulièrement parmi les professionnels de la technologie, y compris ceux qui travaillent en cybersécurité. Ces outils modifient la façon dont les développeurs écrivent du code, résolvent les problèmes, apprennent et réfléchissent – augmentant souvent l’efficacité à court terme. Cependant, ce changement s’accompagne d’un compromis: les développeurs risquent d’affaiblir leurs compétences de codage et de pensée critique, qui peuvent finalement avoir des conséquences à long terme pour eux et pour les organisations pour lesquelles ils travaillent.

«Nous avons observé une tendance où les professionnels subalternes, en particulier ceux qui entrent en cybersécurité, ont du mal avec une compréhension profonde au niveau du système», explique Om Moolchandani, co-fondateur et CISO / CPO à Tuskira. « Beaucoup peuvent générer des extraits de code fonctionnels mais ont du mal à expliquer la logique derrière eux ou les sécuriser contre les scénarios d’attaque du monde réel. »

Une récente enquête de Microsoft soutient les observations de Moolchandani, soulignant que les travailleurs qui comptent sur l’IA pour faire une partie de leur travail ont tendance à s’engager moins profondément dans les questions, l’analyse et l’évaluation de leur travail, surtout s’ils ont confiance que l’IA donnera des résultats précis. «Lorsque vous utilisez des outils Genai, l’effort a investi dans la pensée critique passe de la collecte d’informations à la vérification de l’information; de la résolution de problèmes à l’intégration de la réponse de l’IA; et de l’exécution des tâches à la gestion des tâches», indique le document.

Au fur et à mesure que les générateurs de code IA modifient le fonctionnement des développeurs, ils remodèlent également le fonctionnement des organisations. Le défi pour les leaders de la cybersécurité est de tirer parti de cette technologie sans sacrifier la pensée critique, la créativité et la résolution de problèmes, les compétences mêmes qui rendent les développeurs grands.

Victoires à court terme, risques à long terme

Certains CISO sont préoccupés par la dépendance croissante à l’égard des générateurs de code d’IA – en particulier parmi les développeurs juniors – tandis que d’autres adoptent une approche plus détendue et attendaient, affirmant que cela pourrait être un problème à l’avenir plutôt que par une menace immédiate. Karl Mattson, CISO à Endor Labs, soutient que l’adoption de l’IA en est encore à ses débuts dans la plupart des grandes entreprises et que les avantages de l’expérimentation l’emportent toujours sur les risques.

«Je n’ai pas vu de preuves claires que l’IA RELIANCE mène à une baisse généralisée des compétences de codage fondamentales», dit-il. « En ce moment, nous sommes dans une zone d’optimisme créatif, de prototypage et de succès précoces avec l’IA. Une baisse des fondamentaux de base semble encore assez loin sur la route. »

D’autres voient déjà certains des effets de la dépendance sur les outils d’IA pour écrire du code. Sean O’Brien, fondateur de Yale Privacy Lab et PDG et fondateur de Privacysave, exprime de fortement les préoccupations concernant la dépendance croissante à l’égard de l’IA générative. Les développeurs qui comptent fortement sur des outils alimentés par l’IA comme Chatgpt ou les plates-formes à faible code «encouragent souvent une mentalité de« codage d’ambiance », où ils sont plus axés sur le travail de quelque chose que de comprendre comment ou pourquoi cela fonctionne», dit O’Brien.

Aviad Hasnis, CTO chez Cynet, est également inquiet, en particulier en ce qui concerne les professionnels juniors, qui «comptent fortement sur le code généré par l’AI sans saisir pleinement sa logique sous-jacente». Selon lui, cette excession excessive crée de multiples défis pour les individus et les organisations. «Le travail de cybersécurité exige la pensée critique, le dépannage des compétences et la capacité d’évaluer les risques au-delà de ce que le modèle d’IA suggère», dit-il.

Bien que s’appuyer sur les générateurs de code IA peut fournir des solutions rapides et des gains à court terme, au fil du temps, cette dépendance peut se retourner contre lui. «En conséquence, les développeurs peuvent avoir du mal à s’adapter lorsque les systèmes d’IA ne sont pas disponibles ou insuffisants, les rendant potentiellement inefficaces en tant qu’innovateurs et technologues à long terme», explique OJ NGO, CTO et co-fondateur de DH2I.

Les risques des angles morts, de la conformité et de la violation de licence

Alors que l’IA générative devient plus intégrée dans le développement de logiciels et les workflows de sécurité, les chefs de cybersécurité soulèvent des préoccupations concernant les angles morts qu’il peut potentiellement introduire.

«L’IA peut produire un code d’aspect sécurisé, mais il manque de conscience contextuelle du modèle de menace de l’organisation, des besoins de conformité et de l’environnement de risque contradictoire», explique Moolchandani.

Le CISO de Tuskira répertorie deux problèmes majeurs: premièrement, que le code de sécurité généré par l’IA peut ne pas être endurci contre l’évolution des techniques d’attaque; et deuxièmement, qu’il peut ne pas refléter le paysage de sécurité spécifique et les besoins de l’organisation. De plus, le code généré par l’IA peut donner un faux sentiment de sécurité, car les développeurs, en particulier les développeurs, supposent souvent qu’il est sécurisé par défaut.

En outre, il existe des risques associés à la conformité et aux violations des conditions de licence ou des normes réglementaires, ce qui peut entraîner des problèmes juridiques. «De nombreux outils d’IA, en particulier ceux qui génèrent du code basé sur des bases de code open source, peuvent introduire par inadvertance du code non apprécié, mal licence ou même malveillant dans votre système», explique O’Brien.

Les licences open source, par exemple, ont souvent des exigences spécifiques concernant l’attribution, la redistribution et les modifications, et le fait de s’appuyer sur le code généré par l’IA pourrait signifier violer accidentellement ces licences. «Cela est particulièrement dangereux dans le contexte du développement de logiciels pour les outils de cybersécurité, où la conformité aux licences open source n’est pas seulement une obligation légale mais a également un impact sur la posture de sécurité», ajoute O’Brien. «Le risque de violer par inadvertance les lois sur la propriété intellectuelle ou de déclencher des passifs juridiques est important.»

D’un point de vue technologique, Wing to, CTO at Digital.ai, souligne que le code généré par l’IA ne doit pas être considéré comme une solution miracle. «Le principal défi avec le code généré par l’IA – dans la sécurité et d’autres domaines – est de croire qu’il est de meilleure qualité que le code généré par un humain», dit-il. «Le code généré par l’AI couvre le risque d’inclure des vulnérabilités, des bogues, une IP protégée et d’autres problèmes de qualité enterrés dans les données formées.»

L’augmentation du code généré par l’IA renforce la nécessité pour les organisations d’adopter les meilleures pratiques dans leur développement et leur livraison logiciels. Cela inclut l’application cohérente de revues de code indépendantes et la mise en œuvre de processus CI / CD robustes avec des vérifications automatisées de qualité et de sécurité.

Changer le processus d’embauche

Étant donné que l’IA générative est là pour rester, les CISO et les organisations qu’ils servent ne peuvent plus se permettre de négliger son impact. Dans cette nouvelle norme, il devient nécessaire de mettre en place des garde-corps qui favorisent la pensée critique, de favoriser une compréhension approfondie du code et de renforcer la responsabilité à toutes les équipes impliquées dans tout type d’écriture de code.

Les entreprises devraient également repenser la façon dont elles évaluent les compétences techniques pendant le processus d’embauche, en particulier lors du recrutement de professionnels moins expérimentés, explique Moolchandani. «Les tests de code peuvent ne plus être suffisants – il doit y avoir un accent sur le raisonnement de sécurité, l’architecture et la pensée contradictoire.»

Pendant le processus d’embauche de DH2I, l’ONG dit qu’ils évaluent la dépendance des candidats à l’égard de l’IA pour évaluer leur capacité à penser de manière critique et à travailler de manière indépendante. «Bien que nous reconnaissions la valeur de l’IA dans l’amélioration de la productivité, nous préférons embaucher des employés qui possèdent une base solide en compétences fondamentales, leur permettant d’utiliser efficacement l’IA comme un outil plutôt que de compter sur celui-ci comme une béquille.»

Don Welch, CIO mondial à l’Université de New York, a une perspective similaire, ajoutant que les personnes qui prospéreront dans ce nouveau paradigme seront celles qui restent curieuses, posent des questions et chercheront à comprendre le monde qui les entoure le mieux que possible. «Embaucher des personnes où la croissance et l’apprentissage sont importants pour eux», explique Welch.

Certains chefs de file de la cybersécurité craignent que de devenir trop dépendant de l’IA puisse élargir la crise de la pénurie de talents avec laquelle l’industrie a déjà du mal. Pour les petites et moyennes organisations, il peut devenir de plus en plus difficile de trouver des personnes qualifiées, puis de les aider à grandir. «Si la prochaine génération de professionnels de la sécurité est principalement formée pour utiliser l’IA plutôt que de penser de manière critique aux défis de la sécurité, l’industrie peut avoir du mal à cultiver les dirigeants expérimentés nécessaires pour stimuler l’innovation et la résilience», dit Hasnis.

L’IA générative ne doit pas remplacer la connaissance du codage

Les professionnels en début de carrière qui utilisent des outils d’IA pour écrire du code sans développer une fondation technique profonde sont à haut risque de stagnation. Ils pourraient ne pas avoir une bonne compréhension des vecteurs d’attaque, des internes du système ou de la conception de logiciels sécurisés, explique Moolchandani. «Milieu à un terme, cela pourrait limiter leur croissance aux rôles de sécurité supérieurs, où l’expertise dans la modélisation des menaces, l’analyse de l’exploitabilité et l’ingénierie de la sécurité est cruciale.

Moolchandani et d’autres recommandent que les organisations augmentent leurs efforts de formation et ajustent leurs méthodes de transfert de connaissances. «La formation en cours d’emploi doit être plus pratique, en se concentrant sur les vulnérabilités du monde réel, les techniques d’exploitation et les principes de codage sécurisés», dit-il.

Mattson dit que les organisations devraient se concentrer davantage sur l’aide aux employés à acquérir des compétences pertinentes à l’avenir. La technologie évoluera rapidement et les programmes de formation peuvent ne pas suffire à suivre le rythme. «Mais une culture d’amélioration continue des compétences est durable pour tout changement qui vient», ajoute Mattson.

Ces programmes de formation devraient aider les employés à comprendre à la fois les forces et les limites de l’IA, l’apprentissage du moment où s’appuyer sur ces outils et lorsque l’intervention humaine est obligatoire, explique Hasnis. «En combinant l’efficacité axée sur l’IA avec la surveillance humaine, les entreprises peuvent exploiter le pouvoir de l’IA tout en garantissant que leurs équipes de sécurité restent engagées, qualifiées et résilientes», dit-il. Il conseille aux développeurs de toujours remettre en question les sorties d’IA, en particulier dans les environnements sensibles à la sécurité.

O’Brien pense également que l’IA devrait aller de pair avec l’expertise humaine. «Les entreprises doivent créer une culture où l’IA est considérée comme un outil: celle qui peut aider mais ne pas remplacer une compréhension approfondie de la programmation et du développement et du déploiement des logiciels traditionnels», dit-il.

« Il est essentiel que les entreprises ne tombent pas dans le piège de simplement utiliser l’IA pour réparer un manque d’expertise. »

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Two Young Colleagues Working on Computers and Talking at a Workplace. Female and Male Software Developers Discussing a Solution for Their Collaborative Artificial Intelligence Project
4 grandes erreurs que vous faites probablement encore dans la gestion de la vulnérabilité… et comment les réparer
Players avantageux de Michael Kaplan: The Shell Game Guys et ma veste d'hiver de 800 $
Players avantageux de Michael Kaplan: The Shell Game Guys et ma veste d’hiver de 800 $
Laptop, meeting and business people in office with teamwork for finance stock market planning. Collaboration, technology and group of financial advisors working on company budget in workplace.
Rapports de rapports: Se séparer pourrait-il aider les CISO?