De nombreuses organisations adoptent avec enthousiasme les modèles ML publics pour stimuler l’innovation rapide. Cependant, plus d’un tiers d’entre elles comptent encore sur des efforts manuels pour gérer l’accès aux modèles sécurisés et approuvés, ce qui peut conduire à des négligences potentielles.

La gestion et la sécurisation de la chaîne d’approvisionnement logicielle de bout en bout sont essentielles pour fournir des versions logicielles de confiance. L’adoption de l’IA va croître encore plus rapidement. Par conséquent, pour que les organisations prospèrent à l’ère de l’IA, elles doivent automatiser leurs chaînes d’outils et leurs processus de gouvernance avec des solutions prêtes pour l’IA, garantissant qu’elles restent à la fois sécurisées et agiles tout en maximisant leur potentiel d’innovation.

Le rapport JFrog « Software Supply Chain State of the Union 2025 » met en lumière les menaces émergentes en matière de sécurité logicielle, les risques évolutifs de DevOps et les meilleures pratiques, ainsi que les préoccupations de sécurité potentiellement explosives à l’ère de l’IA.

Il révèle que les attaques sur les modèles AI/ML ont été multipliée par 6,5. Seuls 43 % des professionnels de l’IT affirment que leur organisation applique des scans de sécurité à la fois sur le code et les binairesUn « quadruple facteur » de vulnérabilités de sécurité menace la chaîne d’approvisionnement logicielle : Les principaux facteurs de sécurité affectant l’intégrité et la sécurité de la chaîne d’approvisionnement logicielle incluent :
  • les CVEs

  • les packages malveillants

  • les expositions de secrets

  • les mauvaises configurations/erreurs humaines.

En 2024, les chercheurs en sécurité ont divulgué plus de 33 000 nouveaux CVEs, soit une augmentation de 27 % par rapport à 2023, dépassant le taux de croissance de 24,5 % des nouveaux packages logiciels.

Angles morts

L’équipe de recherche en sécurité de JFrog a détecté 25 229 secrets/tokens exposés dans des registres publics (augmentation de 64 % par rapport à l’année précédente). On apprend aussi que les attaques des modèles AI/ML augmentent. En 2024, plus de 1 million de nouveaux modèles ML ont été ajoutés sur Hugging Face, accompagnés d’une augmentation de 6,5 x des modèles malveillants, ce qui indique que les modèles AI et ML deviennent de plus en plus une cible privilégiée pour les acteurs malveillants.

Or, la gouvernance manuelle des modèles ML augmente les risques. La plupart des entreprises (94 %) utilisent des listes certifiées pour gouverner l’utilisation des artefacts ML.

Mais plus d’un tiers (37 %) de ces entreprises s’appuient sur des efforts manuels pour créer et maintenir leurs listes de modèles ML approuvés. Cette dépendance excessive à la validation manuelle crée de l’incertitude sur l’exactitude et la cohérence de la sécurité des modèles ML.

Enfin, le manque de scans de sécurité crée des angles morts. De manière alarmante, seulement 43 % des professionnels de l’IT affirment que leur organisation applique des scans de sécurité à la fois sur le code et les binaires, laissant de nombreuses entreprises vulnérables aux menaces de sécurité uniquement détectables au niveau binaire.

ARTICLES SIMILAIRESPLUS DE L'AUTEUR