Se connecter S’abonner
DevSecOps

Génération de code par IA : super-pouvoir ou bandeau sur les yeux de la sécurité?

Jean-Paul Lizotte

2 min de lecture
Génération de code par IA : super-pouvoir ou bandeau sur les yeux de la sécurité?

 Chez JPSoftWorks, on aime dire : « La vitesse sans sécurité, c’est juste du chaos en baskets neufs. »

La popularité des assistants de code propulsés par l’IA est fulgurant. Un tiers des organisations génère déjà la majorité de leur code ainsi, mais moins d’une sur cinq a des politiques d’encadrement. C’est un peu comme construire un gratte-ciel avec un “jetpack”: spectaculaire à voir, anxiogène pour ceux à l’intérieur.


Les chiffres parlent d’eux-mêmes :

  • 98 % des organisations ont subi des brèches liées au code l’an dernier (contre 91 %).
  • Plus de 80 % expédient sciemment du code vulnérable en production.
  • En Amérique du Nord, seulement 51 % des organisations affirment avoir adopté le DevSecOps. (Cette statistique se dégrade dans la région métropolitaine de Montréal ~30%)*

L’équation est simple : l’IA accélère nos pipelines, mais sans garde-fous, elle jette de l’essence sur des braises déjà ardentes.

Là où l’IA et le DevSecOps se croisent (et trébuchent)

Les assistants IA proposent du code qui “marche”, mais rarement du code qui fonctionne en toute sécurité. Validation des entrées ? Hygiène des dépendances ? Paramètres sécurisés ? Souvent oubliés. Et lorsque les développeurs font trop confiance à la machine, on tombe dans ce que nous appelons le « vibe coding ». Ça compile, ça roule, ça a même l’air élégant, jusqu’à ce qu’on découvre que ça ouvre aussi une porte arrière.

La vision JPSoftWorks

Notre approche SecDevOps n’est pas de bannir l’IA, mais de l’encadrer :

  • Étiqueter et suivre le code généré par IA : savoir d’où il vient, et le vérifier deux fois.
  • Sécurité “Shift-Left” : intégrer SAST, DAST, IaC directement dans vos pipelines CI/CD.
  • La revue humaine est obligatoire : l’IA n’est pas responsable, vos devs le sont. Et on ajoute ca dans le pipeline.
  • Prompts sécurisés : apprendre aux équipes à demander explicitement des sorties sécurisées (« avec validation des entrées », « requêtes paramétrées », etc.).
  • Politiques, politiques et encore politiques, claires : fini le Far West. Les organisations doivent définir des règles d’usage.

Mot de la fin

L’IA est le stagiaire qui tape vraiment, vraiment vite. Mais elle n’a aucune notion de conformité, aucun modèle de menace, et pas la moindre honte à livrer du code vulnérable. Ce rôle vous revient.

N'attendez pas que le code qui sort de votre boîte soit la source d'une brèche. Utilisons le jetpack, mais avec un parachute, un casque, et surtout un bon plan de vol.

Liens:
AI Code Generation Creates Blind Spots in DevSecOps (Anglais)

* Bien qu’il n’y ait pas de données sur l’adoption de DevSecOps spécifiques à Montréal, les benchmarks nord-américains sont utiles. Seulement ~22% des organisations ont une stratégie DevSecOps formelle, et environ 36% développent actuellement à l’aide de pipelines DevSecOps. Si l’on s’applique aux ~7 000 entreprises de logiciels et de TI de Montréal, cela suggère que 1 500 à 2 500 entreprises (ou 20 à 35%) sont de véritables utilisateurs de DevSecOps. Un taux d’adoption de 30% est un point médian rationnel, réaliste, fondé sur des comportements signalés.