Sécurité du code à l'ère de l'IA: vitesse d'équilibrage et sécurité dans les nouvelles réglementations de l'UE

Sécurité du code à l’ère de l’IA: vitesse d’équilibrage et sécurité dans les nouvelles réglementations de l’UE

Lucas Morel

Les organisations sont confrontées au défi de sécuriser le code généré par l’IA tout en maintenant un rythme de développement rapide pour répondre aux demandes du marché et respecter les nouvelles réglementations de l’UE d’ici 2027.

L’adoption rapide de l’IA pour la génération de code n’a rien été étonnant, et elle transforme complètement le fonctionnement des équipes de développement de logiciels. Selon l’enquête sur les développeurs Stack Overflow 2024, 82% des développeurs utilisent désormais des outils d’IA pour écrire du code. Les grandes entreprises technologiques dépendent désormais de l’IA pour créer du code pour une partie importante de leur nouveau logiciel, le PDG d’Alphabet faisant rapport sur leur troisième trimestre 2024 que l’IA génère environ 25% de la base de code de Google. Compte tenu de la rapidité avec laquelle l’IA a progressé depuis lors, le pourcentage de code généré par l’AI chez Google est probablement maintenant beaucoup plus élevé.

Mais alors que l’IA peut augmenter considérablement l’efficacité et accélérer le rythme du développement des logiciels, l’utilisation du code généré par l’IA crée de sérieux risques de sécurité, tout en augmentant les nouvelles réglementations de l’UE, les enjeux pour la sécurité du code. Les entreprises se retrouvent prises entre deux impératifs concurrents: maintenir le rythme rapide du développement nécessaire pour rester compétitif tout en garantissant que leur code répond aux exigences de sécurité de plus en plus strictes.

Le principal problème avec le code généré par l’IA est que les assistants de codage d’alimentation des modèles de grande langue (LLMS) sont formés sur des milliards de lignes de code accessibles au public – un code qui n’a pas été sélectionné pour la qualité ou la sécurité. Par conséquent, ces modèles peuvent reproduire les bogues existants et les vulnérabilités de sécurité dans les logiciels qui utilisent ce code non évalué et généré par l’AI.

Bien que la qualité du code généré par l’IA continue de s’améliorer, les analystes de sécurité ont identifié de nombreuses faiblesses communes qui apparaissent fréquemment. Ceux-ci incluent une mauvaise validation des entrées, la désérialisation des données non fiables, l’injection de commande du système d’exploitation, les vulnérabilités de traversée de chemin, le téléchargement sans restriction de types de fichiers dangereux et les informations d’identification insuffisamment protégées (CWE 522).

Le PDG de Black Duck, Jason Schmitt, voit un parallèle entre les problèmes de sécurité soulevés par le code généré par l’IA et une situation similaire au début de la source ouverte.

«Le mouvement open source a débloqué plus de temps pour commercialiser et une innovation rapide», explique Schmitt, «parce que les gens pourraient se concentrer sur le domaine ou l’expertise qu’ils ont sur le marché et ne pas passer du temps et des ressources à créer violation du droit d’auteur, problèmes de licence et risques de sécurité.

La réponse réglementaire: UE Cyber ​​Resilience Act

Les régulateurs européens ont pris note de ces risques émergents. La Loi sur la cyber-résilience de l’UE devrait prendre pleinement effet en décembre 2027, et il impose des exigences de sécurité complètes aux fabricants de tout produit qui contient des éléments numériques.

Plus précisément, la loi oblige les considérations de sécurité à chaque étape du cycle de vie du produit: planification, conception, développement et maintenance. Les entreprises doivent fournir des mises à jour de sécurité en cours par défaut, et les clients doivent avoir la possibilité de se retirer, et non d’opter.

La non-conformité est de graves pénalités, avec des amendes pouvant aller jusqu’à 15 millions d’euros ou 2,5% des revenus annuels de l’exercice précédent. Ces pénalités graves soulignent l’urgence pour les organisations de mettre en œuvre immédiatement des mesures de sécurité robustes.

«Le logiciel devient une industrie réglementée», explique Schmitt. «Les logiciels sont devenus si omniprésents dans chaque organisation – des entreprises aux écoles en passant par les gouvernements – que le risque que la mauvaise qualité ou la sécurité défectueuse pose à la société est devenue profonde.»

Malgré cela, malgré ces défis de sécurité et ces pressions réglementaires, les organisations ne peuvent pas se permettre de ralentir le développement. La dynamique du marché exige les cycles de libération rapide et l’IA est devenue un outil essentiel pour permettre l’accélération du développement. La recherche de McKinsey met en évidence les gains de productivité: les outils d’IA permettent aux développeurs de documenter les fonctionnalités du code deux fois plus rapidement, d’écrire un nouveau code en près de la moitié du temps et de refacter le code existant un tiers plus rapidement. Sur les marchés concurrentiels, ceux qui renoncent à l’efficacité du développement assisté par l’IA risquent de manquer des fenêtres cruciales de marché et de céder l’avantage à des concurrents plus agiles.

Le défi auxquels les organisations sont confrontées ne choisisnt pas entre la vitesse et la sécurité, mais plutôt trouver le moyen d’atteindre les deux simultanément.

Filetant l’aiguille: sécurité sans sacrifier la vitesse

La solution réside dans les approches technologiques qui ne forcent pas les compromis entre les capacités de l’IA et les exigences du développement de logiciels modernes et sécurisés. Des partenaires efficaces fournissent:

  • Outils automatisés complets qui s’intègrent parfaitement dans les pipelines de développement, détectant les vulnérabilités sans perturber les workflows.
  • Solutions de sécurité compatibles AI Cela peut correspondre au rythme et à l’échelle du code généré par l’IA, en identifiant les modèles de vulnérabilité qui pourraient autrement être non détectés.
  • Approches évolutives Cela augmente avec les opérations de développement, garantir la couverture de la sécurité ne devient pas un goulot d’étranglement à mesure que la génération de code accélère.
  • Profondeur d’expérience dans la navigation sur les défis de sécurité dans divers industries et méthodologies de développement.

Alors que l’IA continue de transformer le développement de logiciels, les organisations qui prospèrent seront celles qui adopteront à la fois la vitesse du code généré par l’IA et les mesures de sécurité nécessaires pour la protéger.

Black Duck a coupé ses dents en fournissant des solutions de sécurité qui ont facilité l’adoption sûre et rapide du code open-source, et ils fournissent désormais une suite complète d’outils pour sécuriser les logiciels dans le monde réglementé et alimenté par l’IA.

En savoir plus sur la façon dont Black Duck peut sécuriser le code généré par l’IA sans sacrifier la vitesse.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Display Showing Stages of Hacking in Progress: Exploiting Vulnerability, Executing and Granted Access.
Un bug DS modulaire offre aux pirates un accès instantané à l’administrateur WordPress
AppGuard Critiques AI Hyped Defenses; Expands its Insider Release for its Next-Generation Platform
AppGuard critique les défenses hyperactives de l’IA ; étend sa version Insider pour sa plateforme de nouvelle génération
Cisco building exterior with sign
Cisco corrige enfin une faille zero-day vieille de sept semaines dans les produits Secure Email Gateway