Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 
Les événements

PROGRAMME DES GSDAYS 28 JANVIER 2025

    

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Malgré des inquiétudes croissantes en matière de sécurité, 83 % des organisations utilisent l’IA pour rédiger du code

septembre 2024 par Venafi

Venafi publie un nouveau rapport de recherche : Organizations Struggle to Secure AI-Generated and Open Source Code[1]. Comme son nom l’indique, ce rapport porte sur les risques inhérents au code Open Source généré par l’IA et sur les défis liés à sa sécurisation dans des environnements de développement hyperchargés.

Une enquête réalisée auprès de 800 acteurs de la sécurité aux États-Unis, au Royaume-Uni, en Allemagne et en France, révèle que la quasi-totalité des responsables de la sécurité (92 %) s’inquiète de l’utilisation du code généré par l’IA au sein de leur organisation. L’enquête révèle d’autres résultats importants, et notamment les aspects suivants :

• Tension entre les équipes de sécurité et de développement : 83 % des responsables de la sécurité déclarent que leurs développeurs génèrent du code à l’aide de l’IA. Et pour 57 % d’entre eux, cette pratique est devenue courante. 72 % de ces acteurs estiment qu’ils n’ont pas le choix que d’autoriser les développeurs à utiliser l’IA pour rester compétitifs, et 63 % d’entre eux ont envisagé son interdiction en raison des risques de sécurité.

• La sécurité dépassée par la vitesse de l’IA : 66 % des répondants déclarent que leurs équipes de sécurité sont dans l’incapacité de suivre le rythme du code généré par l’IA. Par conséquent, les responsables de la sécurité ont le sentiment de perdre le contrôle et de s’exposer à des risques opérationnels. Selon 78 % d’entre eux, le code développé par l’IA remet en cause la sécurité. Pire encore, ils sont 59 % à déclarer être totalement angoissés en raison de ses implications.

• Lacunes en matière de gouvernance : deux tiers (63 %) des responsables de la sécurité pensent qu’il est impossible d’encadrer l’utilisation de l’IA dans leur organisation. La raison ? Une absence totale de visibilité sur son utilisation. En dépit de ces inquiétudes, moins de la moitié des entreprises (47 %) ont instauré des politiques permettant de garantir une utilisation sûre de l’IA dans les environnements de développement.

« En matière de code généré par l’IA, les équipes de sécurité sont prises entre le marteau et l’enclume. Les développeurs disposent déjà de capacités accrues et ne souhaitent pas renoncer à leurs " super-pouvoirs ". Mais les cybercriminels s’infiltrent dans nos rangs. Les exemples récents d’ingérence à long terme dans des projets Open Source et d’infiltration nord-coréenne dans le secteur informatique ne sont que la partie émergée de l’iceberg », déplore Kevin Bocek, directeur de l’innovation chez Venafi. « À l’heure actuelle, toute personne titulaire d’un grand modèle de langage (LLM) peut rédiger du code, ce qui étend considérablement le champ des possibles. En fin de compte, c’est le code qui est important. Peu importe s’il s’agit du code boosté par l’IA de vos développeurs, de l’infiltration d’agents étrangers ou d’un financier qui exploite du code provenant d’un LLM obscur. Seul le code compte ! Et d’où qu’il vienne, nous devons l’authentifier. »

L’Open Source et le dilemme en matière de confiance

Concernant la rédaction ou la génération de code par des développeurs assistés par l’IA, les responsables de la sécurité citent trois préoccupations majeures :

1. Le risque de forte dépendance des développeurs vis-à-vis de l’IA qui entraînerait une révision des normes à la baisse ;
2. L’absence de contrôle qualité efficace sur le code rédigé par l’IA ;
3. L’exploitation par l’IA de bibliothèques Open Source obsolètes et mal entretenues.

Dans l’étude, nous découvrons également que l’utilisation de l’Open Source par l’IA n’est pas le seul aspect problématique pour les équipes de sécurité :

• Les excès d’Open Source : en moyenne, les responsables de la sécurité estiment que 61 % de leurs applications utilisent des logiciels Open Source, même si GitHub estime que ce chiffre atteint 97 %. Cette dépendance excessive pourrait présenter des risques, puisque selon 86 % des interrogés, les développeurs privilégient la rapidité par rapport aux meilleures pratiques en matière de sécurité.

• Des vérifications laborieuses : 90 % des responsables de la sécurité ont confiance dans le code provenant des bibliothèques Open Source. Et si 43 % des répondants déclarent avoir une confiance totale en ces dernières, 75 % d’entre eux affirment qu’il est impossible de contrôler chaque ligne de code. Ainsi, 92 % des responsables estiment que la signature de code devrait être utilisée pour garantir la fiabilité du code Open Source.

« Au-delà de son impact retentissant, le récent bug de CrowdStrike montre la rapidité à laquelle le code peut provoquer un effondrement planétaire », ajoute M. Bocek. « Désormais, il peut provenir de n’importe où, et notamment de l’IA et d’agents étrangers. Les sources de code vont se multiplier, et non se raréfier. Pour aujourd’hui comme pour demain, la meilleure approche consistera à authentifier le code, les applications et les workloads sur la base de leur identité pour s’assurer qu’ils n’ont pas changé et que leur utilisation est approuvée. La panne de CrowdStrike illustre parfaitement ce qui nous attend : ne le prenons pas comme un événement ponctuel. »

Pour les organisations, la chaîne de confiance de la signature peut permettre d’empêcher l’exécution de code non autorisé et faire évoluer leurs opérations afin de suivre le rythme de l’IA et des technologies Open Source. Avec Stop Unauthorized Code[2], Venafi propose la première solution permettant aux équipes de sécurité et aux administrateurs de gérer la chaîne de confiance de la signature du code dans tous les environnements.

« Dans un monde où l’IA et l’Open Source sont aussi puissants qu’imprévisibles, la signature du code s’impose comme la première ligne de défense des entreprises », conclut M. Bocek. « Mais si l’on souhaite obtenir une protection durable, le processus de signature du code doit être aussi robuste que sûr. Il ne s’agit pas seulement de bloquer les codes malveillants : les organisations doivent s’assurer que chaque ligne de code provient d’une source fiable. Pour ce faire, il faut valider les signatures numériques et avoir la garantie que rien n’a été modifié depuis la signature. La bonne nouvelle, c’est que la signature de code est utilisée à peu près partout. La mauvaise, c’est qu’elle n’est que trop rarement protégée par les équipes de sécurité, pourtant bien placées pour les sécuriser. »


[1] Les défis des organisations pour sécuriser le code Open Source généré par l’IA
[2] Barrons la route au code non autorisé


Voir les articles précédents

    

Voir les articles suivants