Coder avec l'IA générative, une machine à générer des failles de sécurité ?
Déjà très répandus, les outils de génération de code ont tendance à introduire des failles de sécurité. Or, les entreprises n'ont pas encore adapté leurs processus à cette nouvelle donne.
PublicitéUne technologie largement exploitée et dont les risques restent sous-estimés. C'est le bilan que dresse l'éditeur d'outils de cybersécurité Snyk concernant les usages de l'IA générative dans le développement. Basée sur les réponses de 537 ingénieurs spécialistes de développement ou de cybersécurité, l'enquête met en évidence la très large diffusion des outils d'IA générative : 96% des équipes auxquelles appartiennent ces professionnels utilisent la technologie pour coder, et dans plus d'un cas sur deux, ces usages sont intégrés au quotidien des équipes. « Les outils de codage assistés par l'IA apparaissent aboutis et convaincants, note Snyk. Malheureusement, ce vernis et cette simplicité d'utilisation ont créé un faux sentiment de confiance dans les assistants de codage et une réaction moutonnière qui voient les développeurs considérer ces outils comme sûrs. »
Or, il n'en est rien. « En réalité, ces outils continuent à produire du code non sécurisé », écrivent les auteurs du rapport. Plus de 9 répondants sur 10 à l'enquête reconnaissent d'ailleurs avoir détecté des failles de sécurité dans la production des assistants, au moins de temps en temps. Environ un expert sur cinq estime même que ces problèmes de sécurité sont fréquents. Malgré ces constatations, les développeurs interrogés tendent à surestimer le niveau de sécurité du code produit par l'IA générative, 85% d'entre jugeant ce niveau bon ou excellent. Une forme de dissonance cognitive, pour Snyrk.
Open Source : un risque de cercle vicieux
La conséquence ? 55% des répondants reconnaissent que les développeurs de leur organisation bypassent la plupart du temps ou systématiquement les règles de sécurité internes pour utiliser les outils de génération de code à base d'IA. D'autant plus dangereux qu'une large partie des entreprises n'ont automatisé qu'une partie de leurs audits de code (moins de la moitié dans plus d'une organisation sur deux).
Au-delà de ces constats déjà entrevus dans une étude de l'université de Standford, l'étude pointe les conséquences de l'usage de l'IA générative sur l'Open Source. Parmi les organisations qui contribuent à produire du code libre, plus de 8 sur 10 exploitent l'IA générative pour ce faire. Introduisant ainsi des failles bien sûr, mais aussi créant un risque de cercle vicieux, indiquent les auteurs : « comme les systèmes de génération de code par l'IA utilisent des algorithmes d'apprentissage par renforcement pour améliorer et affiner leurs résultats, quand les utilisateurs introduisent du code non sécurisé via leurs suggestions, les systèmes d'IA ont tendance à considérer ces composants comme étant sécurisés, même si ce n'est pas le cas. »
En somme, une majorité des organisations (55%) ont intégré les outils d'IA générative dans leurs processus de développement, sans les adapter aux caractéristiques intrinsèques de la technologie, en particulier en matière de sécurité. Même si chaque organisation a introduit en moyenne un changement dans ses pratiques de sécurité pour tenir compte du phénomène, « l'impact relatif des outils d'IA dédiés à la génération de code sur les pratiques de sécurité apparaît relativement faible », concluent les auteurs du rapport.
Article rédigé par
Reynald Fléchaux, Rédacteur en chef CIO
Suivez l'auteur sur Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire