Sous la pression des objectifs commerciaux qui poussent à délivrer rapidement services et applications, le code généré par l’IA devient la norme, mais il ne semble pas que les risques de sécurité soient pris en compte. Ici, comme dans de nombreux domaines, l’IA est intégrée sans recul et devient déjà une source massive de vulnérabilités. En d’autres termes, une part croissante du code est dorénavant généré par des machines surtout artificielles, mais sans intelligence.
L'étude a été menée à l’international par Censuswide pour Checkmarx auprès d'un échantillon de 514 RSSI, 501 responsables de la sécurité des applications et 504 développeurs de logiciels. Le résultat est édifiant, qui montre que les organisations produisent jusqu’à 60 % de leur code logiciel avec des assistants IA, malgré une interdiction encore en vigueur dans 20 % d’entre elles.
La gouvernance ne répond pas encore aux défis posés par l’IA sur la sécurité des applications
La moitié des répondants utilisent déjà des assistants de codage IA orientés sécurité. Et 34 % d'entre eux reconnaissent que plus de 60 % de leur code est généré par l’IA. Pourtant, seuls près de deux sur dix des membres du panel disposent de politiques encadrant cet usage. L’adoption croissante de ces outils réduit la maîtrise des développeurs sur la génération de code et élargit la surface d’attaque.Les pratiques à risques se banalisent avec 81 % des organisations qui livrent sciemment du code vulnérable, dont la plupart ont subi une faille liée à ce code au cours de l’année écoulée. D'ici à 12 à 18 mois, près d’un tiers des répondants (32 %) s’attendent à des violations via des API fantômes ou des attaques sur les processus métier.
Des outils de défense encore peu utilisés par les équipes IT
Plus de la moitié disent déployer des outils de sécurité tels les tests dynamique des applications (DAST) ou de scanning Infrastructure-as-Code. Le DevSecOps censé apporter une couche de sécurisation au développement d’applications semble plus un sujet de conversation qu’une réelle mise en œuvre. Ainsi, à peine 51 % des entreprises nord-américaines affirment avoir adopté une approche DevSecOps.Les personnes interrogées anticipent surtout des compromissions de la chaîne d'approvisionnement logicielle (35 %) et des incidents de sécurité impliquant des fournisseurs/partenaires tiers (35 %).
Le graphique ci-dessous montre les types d’outils utilisés pour la sécurité des applications (en violet foncé l'année 2025, en violet clair l’année 2024).
Parmi les entreprises victimes d'incidents, la proportion de celles ayant signalé quatre violations ou plus est passée de 16 % à 27 % d'une année sur l'autre. Moins de la moitié des personnes interrogées (à l'exception des responsables du développement) utilisent activement des outils AppSec essentiels et éprouvés tels que le DAST (47 %) ou le scan IaC (48 %).Les outils de sécurité destinés aux développeurs pour sécuriser leur travail ont deux objectifs principaux. D’une part, agir en tant qu'assistant IA pour répondre aux questions des développeurs (40 %). D’autre part, apporter une information en temps réel aux développeurs sur les vulnérabilités identifiées (39 %).
Cela étant, les développeurs sont, dans leur grande majorité, conscients des risques puisque seuls 12% d’entre eux ne donnent pas la priorité aux exigences de sécurité. Une maturité qui progresse donc.
