Si l’IA accélère le développement logiciel, elle intensifie aussi les risques de sécurité : 98 % des organisations ont déjà subi une faille liée à du code généré automatiquement. Pourtant, peu déploient des outils adaptés, et le DevSecOps reste encore peu intégré dans les pratiques.
Comment les organisations peuvent-elles rester conformes dans un monde où une partie croissante du code est générée par l’intelligence artificielle ? C’est la question centrale du rapport « Future of Application Security in the Era of AI » publié par Checkmarx. Pour y répondre, la plateforme spécialisée en sécurité applicative a interrogé plus de 1 500 professionnels (RSSI, responsables AppSec et développeurs), répartis entre l’Amérique du Nord, l’Europe et la région Asie-Pacifique. Constat principal : l’IA accélère la production de code, mais amplifie considérablement les risques de sécurité.
Des constats clairs…
Selon le rapport, 34% des sondés affirment que plus de 60% de leur code est généréa par l’IA, cependant 18% d’entre eux ont un encadrement politiquea de cet usage. De plus, 98% des organisations interrogées ont déjà subi une faille liée à ce type de code au cours de l’année écoulée contre 91% en 2024. Malgré ces risques, elles ont conscience des futurs incidents. En effet, près d’un tiers des professionnels (32 %) anticipent d’ici 12 à 18 mois des violations provenant d’API non documentées (« API fantômes ») ou d’attaques ciblant la logique métier. Pourtant, moins de la moitié des répondants disent utiliser des outils fondamentaux comme les tests dynamiques d’applications (DAST) ou le scanning de l’infrastructure-as-code. Concernant le DevSecOps, qui désigne l’intégration de la sécurité à chaque étape du cycle de développement logiciel, reste encore peu adopté : seule la moitié des répondants utilisent les outils associés , et à peine 51 % des entreprises nord-américaines ont mis en place cette approche. Pour Fabien Petieu, Country manager France chez Checkmarx : “la France doit instaurer une culture de sécurité et placer la protection au cœur de ses valeurs”.
…où la sécurité doit devenir une priorité
Ainsi, le rapport propose six axes stratégiques afin de combler ce manquement en termes de sécurité. Dans un premier temps, il faut aujourd’hui dépasser la simple sensibilisation et passer à des actions concrètes. Dans un second, le rapport propose d’intégrer la sécurité sur l’ensemble du cycle de développement, ainsi, d’encadrer l’usage de l’intelligence artificielle dans le développement logiciel. Ensuite, opérationnaliser les outils de sécurité dans les workflows, puis, se préparer à l’arrivée d’agents IA dans l’AppSec. Pour finir, le développement d’une culture de responsabilisation des développeurs doit être une des priorités. Checkmarx profite également de cette étude pour annoncer la sortie mondiale de Developer Assist, un agent IA intégré à sa plateforme Checkmarx One, désormais compatible avec des environnements comme GitHub Copilot, Cursor ou Windsurf (Cognition). Cet outil a été conçu pour former en temps réel des recommandations de sécurité contextualisées, afin d’aider les développeurs à identifier et corriger les vulnérabilités dès la phase de codage, dans le but de favoriser la prévention autonome.