L’intelligence artificielle bouleverse le développement logiciel. Le dernier rapport de Checkmarx, « Future of Application Security in the Era of AI », en est une preuve éclatante : l’IA s’impose comme un moteur d’accélération, mais elle redessine aussi profondément le paysage des risques. Pour les entreprises, la question n’est plus de savoir si elles doivent adopter ces technologies, mais comment les encadrer pour éviter de transformer un atout en talon d’Achille.
Le code généré par l’IA, nouvelle norme… sans garde-fous
Selon l’étude, près de 34 % des répondants reconnaissent que plus de 60 % de leur code est déjà généré par des assistants IA. La moitié affirme même utiliser des solutions de codage sécurisées. Pourtant, seuls 18 % des organisations disposent de politiques encadrant réellement cet usage. Conséquence directe : la maîtrise du code s’érode, tandis que la surface d’attaque explose.
Ce paradoxe illustre un retard flagrant de la gouvernance. Les outils évoluent vite, mais les pratiques et la culture de sécurité ne suivent pas le même rythme. Et dans un contexte où les cyberattaques se perfectionnent, ce décalage devient une vulnérabilité critique.
La pression business, un ennemi silencieux
Le rapport révèle une réalité inquiétante : 81 % des organisations livrent volontairement du code vulnérable sous la pression des délais. Conséquence logique, 98 % d’entre elles ont subi une faille liée à ces faiblesses au cours de l’année écoulée, contre 91 % en 2024. L’urgence prime souvent sur la sécurité, et les équipes se retrouvent dans une spirale où l’efficacité immédiate coûte cher à long terme.
Les menaces évoluent elles aussi : dans les 12 à 18 prochains mois, 32 % des répondants anticipent des attaques via des API fantômes ou des logiques métier détournées. Pourtant, moins de la moitié des organisations déploient aujourd’hui des solutions pourtant essentielles, comme les tests dynamiques (DAST) ou le scanning Infrastructure-as-Code.
Un DevSecOps encore trop théorique
Si le terme DevSecOps occupe une place centrale dans les discussions de l’industrie, son adoption reste limitée. Seule une organisation sur deux affirme réellement intégrer des outils cohérents avec cette approche. En Amérique du Nord, à peine 51 % des entreprises l’ont véritablement adopté. La France, elle, reste confrontée à un défi culturel : « Nous devons instaurer une culture de sécurité et placer la protection au cœur de nos valeurs », rappelle Fabien Petiau, Country Manager France de Checkmarx.
Six impératifs pour un futur plus sûr
Pour combler le retard, le rapport identifie six axes stratégiques : passer de la sensibilisation à l’action, intégrer la sécurité du code au cloud, réguler l’usage de l’IA, opérationnaliser les outils de sécurité, se préparer à l’IA agentique dans l’AppSec et, enfin, responsabiliser les développeurs. Autant de chantiers qui nécessitent investissements, formation et un changement de mentalité au sein des organisations.
Conclusion : transformer le risque en avantage compétitif
L’essor du code généré par IA est inévitable. Mais si la vitesse est un avantage, la sécurité doit en être le garde-fou. Les entreprises capables de concilier innovation et protection gagneront non seulement la confiance des clients, mais aussi un avantage concurrentiel durable. À l’ère de l’IA, la véritable performance ne se mesure pas seulement à la rapidité de livraison, mais à la capacité à livrer un code fiable et sécurisé.
Auteur : Inforisque.
Continuer avec Linkedin