MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Plus de 80 % du code livré par les organisations comporte des failles.
Ce nouveau rapport mondial révèle que les organisations produisent jusqu’à 60 % de leur code logiciel avec des assistants IA, malgré une interdiction encore en vigueur dans 20 % d’entre elles.
Checkmarx, leader de la sécurité des applications cloud natives pilotées par IA agentique, a publié aujourd’hui les résultats de son rapport annuel « Future of Application Security in the Era of AI ». Réalisé auprès de plus de 1 500 RSSI, responsables AppSec et développeurs en Amérique du Nord, en Europe et en Asie-Pacifique, il analyse comment les organisations s’adaptent à un environnement où une part croissante du code est dorénavant générée par des machines. Le constat est sans équivoque : si l’IA accélère le développement, elle redéfinit aussi en profondeur le paysage des risques.
La moitié des répondants utilisent déjà des assistants de codage IA orientés sécurité et 34 % reconnaissent que plus de 60 % de leur code est généré par l’IA. Pourtant, seuls 18 % disposent de politiques encadrant cet usage. L’adoption croissante de ces outils réduit la maîtrise des développeurs sur leur code et élargit considérablement la surface d’attaque.
L’étude montre également que la pression business banalise des pratiques à risque. 81 % des organisations livrent sciemment du code vulnérable, et 98 % ont subi une faille liée à ce code au cours de l’année écoulée – une forte hausse par rapport à 91 % en 2024. D’ici 12 à 18 mois, près d’un tiers des répondants (32 %) s’attendent à des violations via des API fantômes ou des attaques sur la logique métier. Pourtant, moins de la moitié déclarent déployer des outils de sécurité essentiels, tels que des solutions de test dynamique des applications (DAST) ou de scanning Infrastructure-as-Code. Enfin, si le DevSecOps alimente largement les discussions de l’industrie, seule la moitié des organisations interrogées déclarent utiliser les outils corrélés, et à peine 51 % des entreprises nord-américaines avoir adopté une approche DevSecOps.
« En France, nous devons instaurer une culture de sécurité et placer la protection au cœur de nos valeurs » a déclaré Fabien Petiau, Country manager France, Checkmarx. « Le rapport montre que moins de la moitié des équipes utilisent des outils matures, comme le DAST ou le scanning Infrastructure-as-Code, et pourtant du code vulnérable est régulièrement publié. Pour gagner la confiance des clients et répondre aux exigences croissantes de la réglementation cyber, il est essentiel de responsabiliser les développeurs, investir dans la formation et ancrer la sécurité dans l’ensemble de l’organisation. Le code généré par l’IA va continuer à proliférer, et ce seront les logiciels sécurisés qui feront la véritable différence concurrentielle dans les années à venir. »
Le rapport met en exergue six impératifs stratégiques pour combler l’écart de préparation à la sécurité des applications : passer de la sensibilisation à l’action, intégrer la sécurité « du code au cloud », régir l’utilisation de l’IA dans le développement, opérationnaliser les outils de sécurité, se préparer à l’IA agentique dans l’AppSec et cultiver une culture de responsabilisation des développeurs.
Ce rapport intervient après l’annonce de la disponibilité mondiale de l’agent Developer Assist intégré à la plateforme Checkmarx One et désormais compatible avec les principaux IDE IA, tels que Windsurf de Cognition, Cursor ou GitHub Copilot. Premier d’une nouvelle famille d’outils agentiques dédiés à la sécurité, cet agent fournit aux développeurs, responsables AppSec et RSSI une identification des vulnérabilités contextualisée et en temps réel ainsi que des recommandations pour coder en toute sécurité afin de favoriser la prévention autonome.
