Stratégie

Une sécurité plus proche du code : comment l'IA transforme le DevSecOps

Si les développeurs peuvent se reposer sur l'IA pour la sécurité de leur code, les équipes d’ingénierie doivent maîtriser les nouveaux risques liés à l'usage de cette technologie au cœur du processus de développement. (Photo : Giu Vicente/Unplash)

L'utilisation croissante de l'IA dans le développement logiciel transforme les compétences et modifie les stratégies de sécurisation by design du code. Sans oublier les risques que la technologie introduit par elle-même.

PublicitéLes outils d'IA révolutionnent les processus DevSecOps, permettant aux équipes de sécurité et de développement d'intégrer plus efficacement des mesures de protection aux applications. Et ce, dès leur conception. Mais l'impact de l'IA sur le DevSecOps va bien au-delà des outils et processus ; il touche également le périmètre, les compétences et les stratégies fondamentales de cette discipline.

« L'IA transforme fondamentalement le DevSecOps, passant d'une validation réactive à une application continue et intelligente des mesures de sécurité, estime Siddardha Vangala, ingénieur IA senior et architecte de systèmes d'IA chez MasTec, une entreprise d'ingénierie et de construction. En entreprise, les gains les plus importants proviennent de l'automatisation au sein des flux de développement plutôt qu'après le déploiement. »

Contrôler les agents et plus seulement des développeurs

L'IA remodèle le DevSecOps avant tout en intégrant la sécurité plus tôt dans le processus de développement et en améliorant la détection et la résolution des problèmes, ajoute Katie Norton, directrice de recherche chez IDC sur le DevSecOps et la sécurité de la chaîne d'approvisionnement logicielle. Son impact sur les processus DevSecOps se décline plus précisément selon trois grands axes, d'après elle. Le premier est le codage sécurisé assisté par l'IA. « L'un des changements les plus marquants est l'intégration d'outils de sécurité tiers aux assistants et agents de codage, explique-t-elle. Plutôt que de considérer le code généré par l'IA comme sécurisé par défaut, les entreprises intègrent de plus en plus de contrôles de sécurité directement dans le processus de génération. »

Ces contrôles fournissent des recommandations en matière de politiques de sécurité, des modèles de code sécurisés, des vérifications, la détection des secrets éventuellement présents dans le code et des recommandations en matière de dépendances ou de configurations recommandées. Et ce pendant la production du code elle-même, précise Katie Norton. De ce fait, la place de la sécurité dans le cycle de vie du développement évolue. « La sécurité n'interagit plus seulement avec le développeur après ou pendant la création du code, dit l'analyste d'IDC. Elle interagit de plus en plus avec l'agent qui génère le code. Cela transforme concrètement le DevSecOps. Les contrôles de sécurité se rapprochent du point de génération, et les équipes de sécurité applicative commencent à gérer le comportement des systèmes d'IA, et non plus seulement celui des développeurs humains. »

Suggérer et déployer des correctifs

Le deuxième domaine concerne l'analyse des vulnérabilités par les LLM. « Ceux-ci sont de plus en plus utilisés pour analyser le code, les configurations et les API afin d'y détecter des vulnérabilités, en utilisant un raisonnement contextuel plutôt que des règles fixes, précise Katie Norton. Cela leur permet d'identifier les failles logiques et les schémas d'usage non sécurisés que les scanners traditionnels manquent souvent. Cela élargit la couverture des détections, notamment dans les architectures d'applications complexes ou modernes. »

PublicitéParallèlement, la recherche de vulnérabilités elle-même évolue, poursuit l'analyste, devenant plus autonome et capable, dans certains cas, de lancer des analyses, de confirmer les résultats et de s'intégrer plus directement aux flux de développement sans nécessiter d'intervention humaine explicite.

Le troisième domaine concerne les suggestions et le déploiement automatisé de correctifs. « L'IA est de plus en plus utilisée pour générer des correctifs, notamment des modifications de code, des mises à jour de dépendances et des ajustements de configuration, souligne Katie Norton. Ces suggestions sont souvent intégrées directement aux workflows des développeurs, au sein des pull requests (demandes d'intégration de code) ou des IDE (environnements de développement intégrés). Cela réduit le délai moyen de correction et diminue le niveau d'expertise requis pour résoudre les problèmes. »

L'impact global de l'IA sur les processus DevSecOps réside dans la réduction de l'écart entre l'écriture du code, la détection de vulnérabilités et leur correction. « Cela améliore la continuité du DevSecOps, mais le rend aussi davantage dépendant des machines, souligne Katie Norton. Le principal défi consiste désormais à valider le code généré par les machines, les résultats de leurs analyses et les solutions qu'elles proposent tout au long du cycle de développement. »

Des exigences explicites pour renforcer l'IA

Si le déploiement de l'IA avec le DevSecOps contribue à intégrer la sécurité plus tôt dans le cycle de développement, cela nécessite « des instructions explicites pour une mise en oeuvre correcte », affirme Noe Ramos, vice-présidente des opérations d'IA chez Agiloft, éditeur de logiciels d'entreprise. « Les assistants IA de codage accélèrent considérablement le développement, mais ils sont optimisés par défaut pour produire du code fonctionnel, et non du code d'entreprise sécurisé, reprend Noe Ramos. Ce n'est pas la même cible. Nous avons dû intégrer des exigences de sécurité explicites à nos prompts et aux instructions de nos projets : validation des entrées, gestion des secrets, principe du moindre privilège, modèles de vulnérabilités. Sans spécification claire, rien ne garantit que ces exigences seront prises en compte. » Une fois cette couche d'instructions en place, « elle s'applique de manière cohérente et à grande échelle, contrairement aux développeurs humains soumis à la pression des délais », note Noe Ramos.

Les outils d'IA sont de plus en plus utiles pour signaler les vulnérabilités issues de dépendances, identifier les schémas de vulnérabilités courants et suggérer des solutions. Autant des tâches qui nécessitaient auparavant des cycles d'analyse de sécurité dédiés, poursuit Noe Ramos. « Cela raccourcit le cycle de rétroaction entre l'écriture du code et la détection des problèmes de sécurité », précise-t-elle.

Prioriser les problèmes

L'IA a amélioré la capacité des équipes à prioriser les vulnérabilités. « Le trop grand nombre d'informations superflues est un problème récurrent dans le domaine du DevSecOps, souligne Monika Malik, ingénieure logicielle principale en data et IA chez l'opérateur de télécommunications AT&T. Trop de résultats sont générés sans contexte suffisant pour prendre des décisions éclairées. » Les outils d'IA apportent de la valeur en corrélant différents types de résultats concernant le code, les dépendances, les configurations et les comportements d'exécution, reprend l'ingénieur. « Cela permet aux équipes de se concentrer sur les éléments qui représentent de véritables failles de sécurité ou les problèmes ayant un impact opérationnel. Les équipes ne considèrent plus tous les résultats d'analyse comme équivalents. »

Par exemple, l'analyse assistée par l'IA identifie les expositions réelles au sein des services accessibles au public, aux charges de travail à privilèges ou aux données sensibles, illustre Monika Malik. « Cela permet aux équipes d'ingénierie de la sécurité de consacrer leur temps à la résolution des problèmes pertinents », ajoute-t-elle.

Transformer le DevSecOps en tant que discipline

Compte tenu de l'impact de l'IA sur la transformation du DevSecOps, les responsables IT, de la sécurité et du développement doivent maîtriser les changements induits par l'introduction de l'IA dans les stratégies de développement. « Traditionnellement, le DevSecOps était axé sur la sécurité du code applicatif, la sécurité de l'infrastructure et la sécurité de la supply chain logicielle, note Monika Malik. Avec l'introduction de l'IA, le champ des préoccupations s'est considérablement élargi. Le DevSecOps ne peut plus se limiter à la sécurité du code source, des conteneurs, des pipelines et de l'infrastructure cloud. »

Les préoccupations incluent désormais les accès aux modèles, les risques d'abus/d'injection de code, les fuites de données sensibles, la traçabilité des données, les dépendances aux modèles et API, le déploiement de code généré par l'IA, et bien d'autres encore, énumère Monika Malik.

Qui est responsable ?

« D'un point de vue stratégique, l'IA oriente le DevSecOps vers un modèle opérationnel davantage axé sur les risques, reprend l'ingénieur d'AT&T. La stratégie optimale consistera à appliquer différents niveaux de contrôle aux différents cas d'usage. Les équipes distingueront de plus en plus les cas d'usage internes à faible risque et liés à la productivité de ceux à haut risque, incluant des décisions orientées client, l'utilisation des données réglementées, des flux d'authentification, des opérations à privilège, etc. »

Agiloft considère la gouvernance du codage avec l'IA non pas comme un problème spécifique au DevSecOps, « mais comme un problème de gouvernance d'entreprise intégrant une composante DevSecOps », comme le dit Noe Ramos, sa vice-présidente des opérations d'IA. Selon elle, cela implique une harmonisation transversale entre la sécurité, l'informatique, les opérations d'IA, l'ingénierie, le juridique et d'autres services. Mieux vaut ne pas compter sur le DevSecOps pour absorber à lui seul l'ensemble de la nouvelle surface d'attaque. « Les organisations qui réussiront sont celles qui mettent en place dès maintenant une infrastructure de gouvernance, avant que les incidents ne les y contraignent », affirme-t-elle.

Les processus DevSecOps traditionnels supposaient une responsabilité humaine dans la création du code, poursuit Noe Ramos. « L'attribution de cette responsabilité à l'IA soulève de nouvelles questions : qui est responsable du code généré par l'IA qui passe les tests et provoque ensuite une faille de sécurité ?, lance-t-elle. Comment assurer la traçabilité ? Comment gérer le fait que les développeurs copient-collent du code généré par l'IA depuis des outils grand public vers des bases de code d'entreprise, avec le risque d'y intégrer des problèmes de licensing, de sécurité ou de conformité ? »

Emergence de nouvelles menaces

Par ailleurs, de nouvelles menaces apparaissent, dont beaucoup découlent de l'utilisation croissante de l'IA. « Le DevSecOps doit désormais couvrir une nouvelle surface d'attaque qu'il n'était pas conçu pour gérer auparavant, explique Noe Ramos. Les modèles d'IA eux-mêmes, les requêtes qui leur sont envoyées, les données utilisées pour les 'fine-tuner' et les résultats intégrés aux systèmes de production constituent autant de vecteurs de menace. Cela représente une extension significative du périmètre d'une discipline déjà fortement sollicitée. »

Le DevSecOps s'étend désormais au-delà de la sécurité des applications et du cloud pour inclure les systèmes d'IA en tant qu'actifs de premier plan, abonde Katie Norton d'IDC. « Cela comprend la sécurisation des modèles, des données d'entraînement, des prompts et des pipelines d'inférence, ainsi que la prise en compte de nouveaux vecteurs d'attaque tels que l'injection de prompts, les fuites de données et la manipulation de modèles », dit-elle.

Sur le plan stratégique, « les organisations passent d'un simple contrôle du comportement des développeurs à une gouvernance du développement assistée par l'IA en tant que système, explique Katie Norton. Cela implique de standardiser les outils approuvés, de définir des politiques d'utilisation et d'intégrer des contrôles de sécurité dans les environnements de développement et les systèmes d'IA. » Les équipes de sécurité applicative jouent un rôle de plus en plus crucial dans la génération du code, en influençant le comportement des systèmes d'IA plutôt que de se reposer uniquement sur la détection et le déploiement de correctifs en aval, souligne l'analyste.

Évolution des compétences

L'intégration de l'IA dans le DevSecOps aura inévitablement un impact majeur sur les compétences requises. « Les équipes de sécurité et d'ingénierie ont besoin d'un éventail de compétences plus large, incluant la compréhension du fonctionnement des systèmes d'IA, des flux de données qui les traversent et des risques qu'ils génèrent », précise Katie Norton.

On observe une évolution : les développeurs n'ont plus besoin de maîtriser parfaitement la programmation sécurisée, cette responsabilité étant de plus en plus déléguée aux systèmes d'IA et aux contrôles qu'ils intègrent. « Les développeurs doivent apprendre à utiliser les outils de codage par IA de manière responsable, tandis que les équipes de sécurité applicative doivent définir et mettre en oeuvre des garde-fous pour encadrer le comportement des systèmes d'IA », conclut-elle.

Le spécialiste DevSecOps « doit désormais posséder une connaissance suffisante de l'IA pour évaluer les risques liés au code produit avec l'IA, et non plus seulement se demander si ce code présente un risque d'injection SQL, mais plutôt si une IA l'a généré en introduisant des erreurs logiques subtiles ou des vulnérabilités, détaille Noe Ramos. Il s'agit d'une compétence d'analyse de code différente, et la plupart des équipes ne l'ont pas encore pleinement développée. »

Parmi les nouvelles compétences nécessaires aux équipes DevSecOps, Monika Malik cite la modélisation des menaces liées à l'IA ; la capacité à enquêter sur les scénarios d'abus de prompts et modèles et de garantir une utilisation sécurisée des copilotes de codage ; la gouvernance et la provenance des données ; et la capacité d'évaluer les modèles et services d'IA issus de tiers.

La demande d'ingénieurs maîtrisant à la fois les pratiques de sécurité traditionnelles et les risques spécifiques à l'IA, tels que l'injection de prompts, les fuites de données et la mauvaise utilisation des modèles, va croissante, analyse Siddardha Vangala (MasTec). « Les équipes ont de plus en plus besoin de compétences hybrides combinant DevOps, sécurité applicative et architecture des systèmes d'IA », dit-il.

Automatisation à toute vitesse

L'un des impacts majeurs de l'IA, quel que soit le domaine, est l'essor de l'automatisation. Et le DevSecOps n'y échappe pas. Selon Katie Norton d'IDC, ces pratiques deviennent plus interopérables et plus intégrées, tout en renforçant la séparation des responsabilités. « Les équipes de sécurité façonnent la génération de code par les systèmes d'IA grâce à des garde-fous intégrés, tout en automatisant indépendamment la détection et la remédiation via des workflows », explique-t-elle. Il en résulte une moindre dépendance aux interventions manuelles des développeurs, mais une plus grande dépendance à des systèmes coordonnés où la génération, l'analyse et la correction du code s'effectuent par des interactions automatisées, les humains se concentrant sur la validation et la supervision.

« Lorsque les développeurs génèrent du code à l'aide d'assistants IA, les contrôles de validation automatisés signalent les schémas non sécurisés tels que les appels d'API non sécurisés, une logique d'authentification incorrecte ou l'exposition de secrets, illustre Siddardha Vangala. Cela réduit le nombre de problèmes de sécurité atteignant les environnements de test en aval. »

Enfin, les journaux de sécurité sont de plus en plus analysés à l'aide de modèles d'IA pour identifier les anomalies et prioriser les alertes, ajoute l'ingénieur IA senior et architecte de systèmes d'IA chez MasTec. « Au lieu d'examiner manuellement de gros volumes de données télémétriques, les systèmes automatisés mettent en évidence les schémas d'activité suspects et réduisent la fatigue [des équipes] liée aux alertes en regroupant les signaux connexes en informations exploitables », explique-t-il.