10 prévisions clés : Secure Code Warrior parle de l'IA et de l'influence de Secureby-Design en 2025
Alors que nous nous tournons vers 2025, après une année passionnante et pleine de défis, l'intersection entre l'IA et le développement de logiciels continuera de façonner la communauté des développeurs de manière significative.
Les entreprises sont confrontées à des décisions difficiles en matière d'utilisation de l'IA pour favoriser la productivité à long terme, la durabilité et le retour sur investissement en matière de sécurité. Ces dernières années, nous avons compris que l'IA ne remplacera jamais totalement le rôle du développeur. Qu'il s'agisse de partenariats entre l'IA et les développeurs ou des pressions (et de la confusion) croissantes liées aux attentes en matière de sécurité dès la conception, examinons de plus près ce à quoi nous pouvons nous attendre au cours de l'année prochaine :
Réécrire l'équation de l'IA : pas IA au lieu de développeur, mais IA + développeur
« Alors que les entreprises sont incitées à prendre des mesures drastiques de réduction des coûts en 2025, il ne serait pas surprenant que les développeurs soient remplacés par des outils d'IA. Mais comme c'était le cas lorsque Generative AI a fait ses débuts et qu'il faudra encore des années de mises à jour, cette technologie n'est toujours pas un moteur de productivité sûr et autonome, en particulier lors de la création de code. L'IA est une technologie très perturbatrice avec de nombreuses applications et cas d'utilisation étonnants, mais elle ne remplace pas suffisamment les développeurs humains qualifiés. Je suis d'accord avec Forrester's prédiction selon laquelle cette transition vers l'IA et le remplacement de l'être humain en 2025 est susceptible d'échouer, surtout à long terme. Je pense que la combinaison de l'IA et du développeur est plus susceptible d'y parvenir que l'IA seule. »
L'IA offre un mélange de risques et d'opportunités
« En 2025, nous verrons émerger de nouveaux cas de risque liés au code généré par l'IA, notamment les effets indésirables de problèmes connus tels que le squatting par hallucination, les bibliothèques empoisonnées et les exploits affectant la chaîne d'approvisionnement logicielle. De plus, l'IA sera utilisée pour détecter davantage les failles dans le code, ainsi que pour écrire des exploits pour celui-ci, car Le projet Zero de Google Je viens de le démontrer. En revanche, je pense que nous verrons également certains niveaux de maturité initiaux atteints, les développeurs d'entreprise étant en mesure de tirer parti de ces outils dans leur travail sans trop de risques supplémentaires. Cependant, ce serait l'exception et non la règle, et cela dépendrait de la mesure active du risque pour les développeurs par leur organisation et ajustant son programme de sécurité en conséquence. Dans l'environnement de menaces en évolution rapide que l'année 2025 ne manquera pas d'apporter, ce seront les développeurs compétents et soucieux de la sécurité, dotés d'outils de codage d'IA approuvés, qui seront en mesure de produire du code plus rapidement, tandis que les développeurs peu sensibilisés à la sécurité et ayant des compétences générales ne feront que créer plus de problèmes, et ce, à des vitesses plus élevées. »
Sortir de l'ombre [IA]
« Le paysage législatif autour de l'IA évolue rapidement afin de suivre les avancées fréquentes de la technologie et son taux d'adoption. En 2025, les responsables de la sécurité doivent s'assurer qu'ils sont prêts à se conformer aux directives potentielles. La combinaison des éléments suivants, à savoir comprendre la nature de l' « IA fantôme », puis s'assurer qu'elle n'est pas utilisée dans l'organisation, puis utiliser strictement des outils approuvés et vérifiés installés sur les systèmes de l'entreprise, s'avérera très critique pour les organisations au cours de l'année à venir. Cela permettra de mieux évaluer la cohorte de développement, afin de comprendre comment elle doit être soutenue au mieux pour améliorer continuellement ses prouesses en matière de sécurité et les appliquer à tous les aspects de son travail. »
La réputation de sécurité d'AI Tools sera une mesure clé pour les développeurs
« À l'heure actuelle, il s'agit d'un marché gratuit pour tous en termes d'outils de codage alimentés par LLM. De nouveaux ajouts apparaissent en permanence, chacun offrant un meilleur rendement, une meilleure sécurité et une meilleure productivité. À l'approche de 2025, nous avons besoin d'une norme permettant de comparer et d'évaluer le niveau de sécurité de chaque outil d'IA. Cela inclut les capacités de codage, à savoir sa capacité à générer du code avec de bons modèles de codage sûrs qui ne peuvent pas être exploités par les acteurs de la menace. »
L'IA rendra plus difficile l'entrée sur le terrain pour les développeurs juniors
« Les obstacles à l'entrée pour les développeurs sont plus nombreux que jamais. Avec une main-d'œuvre hybride et distribuée et le niveau de compétences requis pour les postes d'entrée de gamme, la barre continue de monter chaque année pour les développeurs débutants. En 2025, les employeurs commenceront à s'attendre à ce que les développeurs débutants possèdent déjà les compétences et les connaissances nécessaires pour intégrer et optimiser les outils d'IA en toute sécurité dans leur flux de travail lorsqu'ils entrent en fonction, plutôt que de consacrer du temps à la formation en cours d'emploi. Au cours de la prochaine année, les développeurs qui n'apprendront pas à tirer parti des outils d'IA dans leur flux de développement seront confrontés à des conséquences importantes sur leur propre évolution de carrière et auront des difficultés à trouver des opportunités d'emploi. Ils risquent d'entraver leur « licence de programmation », ce qui les empêche de participer à des projets plus complexes, car une maîtrise sûre de l'IA deviendra finalement essentielle. »
Le temps empêchera les organisations de parvenir à la sécurité dès la conception
« Les développeurs ont besoin de suffisamment de temps et de ressources pour améliorer leurs compétences et se familiariser avec les bons outils et les bonnes pratiques afin de parvenir à la « sécurité dès la conception ». À moins que les organisations n'obtiennent l'adhésion des responsables de la sécurité et de l'ingénierie, leurs progrès seront entravés, voire totalement bloqués. Lorsque les organisations tentent de réduire les coûts ou de restreindre les ressources, elles donnent souvent la priorité aux efforts de remédiation immédiats plutôt qu'aux solutions à long terme, en se concentrant sur des outils de remédiation à multiples facettes qui font certaines choses « correctement » et tout le reste « médiocre ». En 2025, ce déséquilibre créera une plus grande disparité entre les organisations qui accordent la priorité au développement de logiciels sécurisés et celles qui souhaitent simplement une solution rapide pour suivre le rythme d'un environnement en mutation. »
Les audits de sécurité de la chaîne d'approvisionnement joueront un rôle essentiel dans l'atténuation des risques mondiaux
« Tous les fournisseurs externalisés/tiers vont commencer à faire l'objet d'une surveillance accrue. Vous pouvez avoir le meilleur programme de sécurité en interne, mais pour les entreprises vers lesquelles vous externalisez, si elles ne mettent pas en œuvre Secure by Design, l'ensemble du cadre de sécurité peut être compromis. En conséquence, les entreprises vont procéder à des audits approfondis de leurs efforts d'externalisation, faisant pression sur les chefs d'entreprise pour qu'ils suivent des directives strictes en matière de sécurité et de conformité du secteur. En fin de compte, le succès des équipes de sécurité dépend d'une vision globale à 360 degrés, y compris d'une approche unifiée à l'échelle de l'organisation et de tous les partenaires externes. »
L'IA jouera un rôle déterminant dans « Cutting Through the Noise »
»Les équipes de développement sont confrontées à des taux de faux positifs grâce aux scanners de vulnérabilité du code. Comment peuvent-ils être sûrs que les vulnérabilités qui leur sont attribuées constituent réellement un risque de sécurité ? En 2025, l'IA sera un outil essentiel pour aider les développeurs à « se débrouiller » en matière de correction du code, permettant ainsi de mieux comprendre le code lui-même. En tirant parti de l'apprentissage automatique, l'IA peut mieux hiérarchiser les menaces réelles en fonction du contexte, réduisant ainsi le temps passé à améliorer la précision des alertes de sécurité. Cela permettra aux équipes de se concentrer sur les vulnérabilités qui présentent réellement un risque, d'améliorer l'efficacité globale et de permettre des cycles de développement plus rapides et plus sûrs. »
L'analyse comparative sera la solution permettant aux organisations d'atteindre leurs objectifs de sécurité dès la conception
« L'absence de référence en matière de sécurité s'avérera préjudiciable aux organisations en 2025, car elles ne disposeront d'aucune base de référence claire pour mesurer leurs progrès en matière de conformité aux normes Secure by Design. En l'absence d'un système d'analyse comparative permettant d'évaluer la manière dont les équipes adhèrent aux pratiques de codage sécurisées, ces organisations risquent d'introduire par inadvertance des vulnérabilités susceptibles d'entraîner une violation majeure. Et en cas de violation, ils n'auront probablement pas le temps de mettre en œuvre un système d'analyse comparative, mais seront contraints d'accélérer leurs initiatives SBD sans avoir préalablement évalué la maturité de leurs équipes de développeurs en matière de sécurité, exposant ainsi leur organisation à des risques encore plus importants. »
La dette technique au détriment du code généré par l'IA
« Ce n'est un secret pour personne que l'industrie est déjà confrontée à un énorme problème de dette technique, et ce, en raison du code qui a déjà été écrit. Avec l'augmentation de la dépendance aveugle des développeurs à l'égard d'un code généré par l'IA, intrinsèquement peu sécurisé, ainsi que le contrôle exécutif limité, la situation ne fera qu'empirer. Il est fort possible que cette dynamique nous conduise à une multiplication par 10 des CVE signalés l'année prochaine. »
Pour réussir en 2025, les entreprises doivent être prêtes à introduire l'IA de manière responsable et sécurisée, tout en investissant dans la formation appropriée et l'atténuation des risques pour leurs équipes de développement. Alors que l'année prochaine marquera le premier anniversaire de l'engagement de CISA en matière de sécurité dès la conception, les marques qui conserveront leur avantage concurrentiel sont celles qui accordent la priorité à leur approche de développement sécurisé afin d'éliminer au mieux les risques associés à l'IA, aux problèmes de sécurité des tiers et aux nouvelles menaces émergentes.
Les entreprises sont confrontées à des décisions difficiles en matière d'utilisation de l'IA pour favoriser la productivité à long terme, la durabilité et le retour sur investissement en matière de sécurité. Ces dernières années, il est devenu évident pour nous que l'IA ne remplacera jamais totalement le rôle du développeur. Qu'il s'agisse de partenariats entre l'IA et les développeurs ou des pressions (et de la confusion) croissantes liées aux attentes en matière de sécurité dès la conception, examinons de plus près ce à quoi nous pouvons nous attendre au cours de l'année prochaine.
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démo
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
Alors que nous nous tournons vers 2025, après une année passionnante et pleine de défis, l'intersection entre l'IA et le développement de logiciels continuera de façonner la communauté des développeurs de manière significative.
Les entreprises sont confrontées à des décisions difficiles en matière d'utilisation de l'IA pour favoriser la productivité à long terme, la durabilité et le retour sur investissement en matière de sécurité. Ces dernières années, nous avons compris que l'IA ne remplacera jamais totalement le rôle du développeur. Qu'il s'agisse de partenariats entre l'IA et les développeurs ou des pressions (et de la confusion) croissantes liées aux attentes en matière de sécurité dès la conception, examinons de plus près ce à quoi nous pouvons nous attendre au cours de l'année prochaine :
Réécrire l'équation de l'IA : pas IA au lieu de développeur, mais IA + développeur
« Alors que les entreprises sont incitées à prendre des mesures drastiques de réduction des coûts en 2025, il ne serait pas surprenant que les développeurs soient remplacés par des outils d'IA. Mais comme c'était le cas lorsque Generative AI a fait ses débuts et qu'il faudra encore des années de mises à jour, cette technologie n'est toujours pas un moteur de productivité sûr et autonome, en particulier lors de la création de code. L'IA est une technologie très perturbatrice avec de nombreuses applications et cas d'utilisation étonnants, mais elle ne remplace pas suffisamment les développeurs humains qualifiés. Je suis d'accord avec Forrester's prédiction selon laquelle cette transition vers l'IA et le remplacement de l'être humain en 2025 est susceptible d'échouer, surtout à long terme. Je pense que la combinaison de l'IA et du développeur est plus susceptible d'y parvenir que l'IA seule. »
L'IA offre un mélange de risques et d'opportunités
« En 2025, nous verrons émerger de nouveaux cas de risque liés au code généré par l'IA, notamment les effets indésirables de problèmes connus tels que le squatting par hallucination, les bibliothèques empoisonnées et les exploits affectant la chaîne d'approvisionnement logicielle. De plus, l'IA sera utilisée pour détecter davantage les failles dans le code, ainsi que pour écrire des exploits pour celui-ci, car Le projet Zero de Google Je viens de le démontrer. En revanche, je pense que nous verrons également certains niveaux de maturité initiaux atteints, les développeurs d'entreprise étant en mesure de tirer parti de ces outils dans leur travail sans trop de risques supplémentaires. Cependant, ce serait l'exception et non la règle, et cela dépendrait de la mesure active du risque pour les développeurs par leur organisation et ajustant son programme de sécurité en conséquence. Dans l'environnement de menaces en évolution rapide que l'année 2025 ne manquera pas d'apporter, ce seront les développeurs compétents et soucieux de la sécurité, dotés d'outils de codage d'IA approuvés, qui seront en mesure de produire du code plus rapidement, tandis que les développeurs peu sensibilisés à la sécurité et ayant des compétences générales ne feront que créer plus de problèmes, et ce, à des vitesses plus élevées. »
Sortir de l'ombre [IA]
« Le paysage législatif autour de l'IA évolue rapidement afin de suivre les avancées fréquentes de la technologie et son taux d'adoption. En 2025, les responsables de la sécurité doivent s'assurer qu'ils sont prêts à se conformer aux directives potentielles. La combinaison des éléments suivants, à savoir comprendre la nature de l' « IA fantôme », puis s'assurer qu'elle n'est pas utilisée dans l'organisation, puis utiliser strictement des outils approuvés et vérifiés installés sur les systèmes de l'entreprise, s'avérera très critique pour les organisations au cours de l'année à venir. Cela permettra de mieux évaluer la cohorte de développement, afin de comprendre comment elle doit être soutenue au mieux pour améliorer continuellement ses prouesses en matière de sécurité et les appliquer à tous les aspects de son travail. »
La réputation de sécurité d'AI Tools sera une mesure clé pour les développeurs
« À l'heure actuelle, il s'agit d'un marché gratuit pour tous en termes d'outils de codage alimentés par LLM. De nouveaux ajouts apparaissent en permanence, chacun offrant un meilleur rendement, une meilleure sécurité et une meilleure productivité. À l'approche de 2025, nous avons besoin d'une norme permettant de comparer et d'évaluer le niveau de sécurité de chaque outil d'IA. Cela inclut les capacités de codage, à savoir sa capacité à générer du code avec de bons modèles de codage sûrs qui ne peuvent pas être exploités par les acteurs de la menace. »
L'IA rendra plus difficile l'entrée sur le terrain pour les développeurs juniors
« Les obstacles à l'entrée pour les développeurs sont plus nombreux que jamais. Avec une main-d'œuvre hybride et distribuée et le niveau de compétences requis pour les postes d'entrée de gamme, la barre continue de monter chaque année pour les développeurs débutants. En 2025, les employeurs commenceront à s'attendre à ce que les développeurs débutants possèdent déjà les compétences et les connaissances nécessaires pour intégrer et optimiser les outils d'IA en toute sécurité dans leur flux de travail lorsqu'ils entrent en fonction, plutôt que de consacrer du temps à la formation en cours d'emploi. Au cours de la prochaine année, les développeurs qui n'apprendront pas à tirer parti des outils d'IA dans leur flux de développement seront confrontés à des conséquences importantes sur leur propre évolution de carrière et auront des difficultés à trouver des opportunités d'emploi. Ils risquent d'entraver leur « licence de programmation », ce qui les empêche de participer à des projets plus complexes, car une maîtrise sûre de l'IA deviendra finalement essentielle. »
Le temps empêchera les organisations de parvenir à la sécurité dès la conception
« Les développeurs ont besoin de suffisamment de temps et de ressources pour améliorer leurs compétences et se familiariser avec les bons outils et les bonnes pratiques afin de parvenir à la « sécurité dès la conception ». À moins que les organisations n'obtiennent l'adhésion des responsables de la sécurité et de l'ingénierie, leurs progrès seront entravés, voire totalement bloqués. Lorsque les organisations tentent de réduire les coûts ou de restreindre les ressources, elles donnent souvent la priorité aux efforts de remédiation immédiats plutôt qu'aux solutions à long terme, en se concentrant sur des outils de remédiation à multiples facettes qui font certaines choses « correctement » et tout le reste « médiocre ». En 2025, ce déséquilibre créera une plus grande disparité entre les organisations qui accordent la priorité au développement de logiciels sécurisés et celles qui souhaitent simplement une solution rapide pour suivre le rythme d'un environnement en mutation. »
Les audits de sécurité de la chaîne d'approvisionnement joueront un rôle essentiel dans l'atténuation des risques mondiaux
« Tous les fournisseurs externalisés/tiers vont commencer à faire l'objet d'une surveillance accrue. Vous pouvez avoir le meilleur programme de sécurité en interne, mais pour les entreprises vers lesquelles vous externalisez, si elles ne mettent pas en œuvre Secure by Design, l'ensemble du cadre de sécurité peut être compromis. En conséquence, les entreprises vont procéder à des audits approfondis de leurs efforts d'externalisation, faisant pression sur les chefs d'entreprise pour qu'ils suivent des directives strictes en matière de sécurité et de conformité du secteur. En fin de compte, le succès des équipes de sécurité dépend d'une vision globale à 360 degrés, y compris d'une approche unifiée à l'échelle de l'organisation et de tous les partenaires externes. »
L'IA jouera un rôle déterminant dans « Cutting Through the Noise »
»Les équipes de développement sont confrontées à des taux de faux positifs grâce aux scanners de vulnérabilité du code. Comment peuvent-ils être sûrs que les vulnérabilités qui leur sont attribuées constituent réellement un risque de sécurité ? En 2025, l'IA sera un outil essentiel pour aider les développeurs à « se débrouiller » en matière de correction du code, permettant ainsi de mieux comprendre le code lui-même. En tirant parti de l'apprentissage automatique, l'IA peut mieux hiérarchiser les menaces réelles en fonction du contexte, réduisant ainsi le temps passé à améliorer la précision des alertes de sécurité. Cela permettra aux équipes de se concentrer sur les vulnérabilités qui présentent réellement un risque, d'améliorer l'efficacité globale et de permettre des cycles de développement plus rapides et plus sûrs. »
L'analyse comparative sera la solution permettant aux organisations d'atteindre leurs objectifs de sécurité dès la conception
« L'absence de référence en matière de sécurité s'avérera préjudiciable aux organisations en 2025, car elles ne disposeront d'aucune base de référence claire pour mesurer leurs progrès en matière de conformité aux normes Secure by Design. En l'absence d'un système d'analyse comparative permettant d'évaluer la manière dont les équipes adhèrent aux pratiques de codage sécurisées, ces organisations risquent d'introduire par inadvertance des vulnérabilités susceptibles d'entraîner une violation majeure. Et en cas de violation, ils n'auront probablement pas le temps de mettre en œuvre un système d'analyse comparative, mais seront contraints d'accélérer leurs initiatives SBD sans avoir préalablement évalué la maturité de leurs équipes de développeurs en matière de sécurité, exposant ainsi leur organisation à des risques encore plus importants. »
La dette technique au détriment du code généré par l'IA
« Ce n'est un secret pour personne que l'industrie est déjà confrontée à un énorme problème de dette technique, et ce, en raison du code qui a déjà été écrit. Avec l'augmentation de la dépendance aveugle des développeurs à l'égard d'un code généré par l'IA, intrinsèquement peu sécurisé, ainsi que le contrôle exécutif limité, la situation ne fera qu'empirer. Il est fort possible que cette dynamique nous conduise à une multiplication par 10 des CVE signalés l'année prochaine. »
Pour réussir en 2025, les entreprises doivent être prêtes à introduire l'IA de manière responsable et sécurisée, tout en investissant dans la formation appropriée et l'atténuation des risques pour leurs équipes de développement. Alors que l'année prochaine marquera le premier anniversaire de l'engagement de CISA en matière de sécurité dès la conception, les marques qui conserveront leur avantage concurrentiel sont celles qui accordent la priorité à leur approche de développement sécurisé afin d'éliminer au mieux les risques associés à l'IA, aux problèmes de sécurité des tiers et aux nouvelles menaces émergentes.
Alors que nous nous tournons vers 2025, après une année passionnante et pleine de défis, l'intersection entre l'IA et le développement de logiciels continuera de façonner la communauté des développeurs de manière significative.
Les entreprises sont confrontées à des décisions difficiles en matière d'utilisation de l'IA pour favoriser la productivité à long terme, la durabilité et le retour sur investissement en matière de sécurité. Ces dernières années, nous avons compris que l'IA ne remplacera jamais totalement le rôle du développeur. Qu'il s'agisse de partenariats entre l'IA et les développeurs ou des pressions (et de la confusion) croissantes liées aux attentes en matière de sécurité dès la conception, examinons de plus près ce à quoi nous pouvons nous attendre au cours de l'année prochaine :
Réécrire l'équation de l'IA : pas IA au lieu de développeur, mais IA + développeur
« Alors que les entreprises sont incitées à prendre des mesures drastiques de réduction des coûts en 2025, il ne serait pas surprenant que les développeurs soient remplacés par des outils d'IA. Mais comme c'était le cas lorsque Generative AI a fait ses débuts et qu'il faudra encore des années de mises à jour, cette technologie n'est toujours pas un moteur de productivité sûr et autonome, en particulier lors de la création de code. L'IA est une technologie très perturbatrice avec de nombreuses applications et cas d'utilisation étonnants, mais elle ne remplace pas suffisamment les développeurs humains qualifiés. Je suis d'accord avec Forrester's prédiction selon laquelle cette transition vers l'IA et le remplacement de l'être humain en 2025 est susceptible d'échouer, surtout à long terme. Je pense que la combinaison de l'IA et du développeur est plus susceptible d'y parvenir que l'IA seule. »
L'IA offre un mélange de risques et d'opportunités
« En 2025, nous verrons émerger de nouveaux cas de risque liés au code généré par l'IA, notamment les effets indésirables de problèmes connus tels que le squatting par hallucination, les bibliothèques empoisonnées et les exploits affectant la chaîne d'approvisionnement logicielle. De plus, l'IA sera utilisée pour détecter davantage les failles dans le code, ainsi que pour écrire des exploits pour celui-ci, car Le projet Zero de Google Je viens de le démontrer. En revanche, je pense que nous verrons également certains niveaux de maturité initiaux atteints, les développeurs d'entreprise étant en mesure de tirer parti de ces outils dans leur travail sans trop de risques supplémentaires. Cependant, ce serait l'exception et non la règle, et cela dépendrait de la mesure active du risque pour les développeurs par leur organisation et ajustant son programme de sécurité en conséquence. Dans l'environnement de menaces en évolution rapide que l'année 2025 ne manquera pas d'apporter, ce seront les développeurs compétents et soucieux de la sécurité, dotés d'outils de codage d'IA approuvés, qui seront en mesure de produire du code plus rapidement, tandis que les développeurs peu sensibilisés à la sécurité et ayant des compétences générales ne feront que créer plus de problèmes, et ce, à des vitesses plus élevées. »
Sortir de l'ombre [IA]
« Le paysage législatif autour de l'IA évolue rapidement afin de suivre les avancées fréquentes de la technologie et son taux d'adoption. En 2025, les responsables de la sécurité doivent s'assurer qu'ils sont prêts à se conformer aux directives potentielles. La combinaison des éléments suivants, à savoir comprendre la nature de l' « IA fantôme », puis s'assurer qu'elle n'est pas utilisée dans l'organisation, puis utiliser strictement des outils approuvés et vérifiés installés sur les systèmes de l'entreprise, s'avérera très critique pour les organisations au cours de l'année à venir. Cela permettra de mieux évaluer la cohorte de développement, afin de comprendre comment elle doit être soutenue au mieux pour améliorer continuellement ses prouesses en matière de sécurité et les appliquer à tous les aspects de son travail. »
La réputation de sécurité d'AI Tools sera une mesure clé pour les développeurs
« À l'heure actuelle, il s'agit d'un marché gratuit pour tous en termes d'outils de codage alimentés par LLM. De nouveaux ajouts apparaissent en permanence, chacun offrant un meilleur rendement, une meilleure sécurité et une meilleure productivité. À l'approche de 2025, nous avons besoin d'une norme permettant de comparer et d'évaluer le niveau de sécurité de chaque outil d'IA. Cela inclut les capacités de codage, à savoir sa capacité à générer du code avec de bons modèles de codage sûrs qui ne peuvent pas être exploités par les acteurs de la menace. »
L'IA rendra plus difficile l'entrée sur le terrain pour les développeurs juniors
« Les obstacles à l'entrée pour les développeurs sont plus nombreux que jamais. Avec une main-d'œuvre hybride et distribuée et le niveau de compétences requis pour les postes d'entrée de gamme, la barre continue de monter chaque année pour les développeurs débutants. En 2025, les employeurs commenceront à s'attendre à ce que les développeurs débutants possèdent déjà les compétences et les connaissances nécessaires pour intégrer et optimiser les outils d'IA en toute sécurité dans leur flux de travail lorsqu'ils entrent en fonction, plutôt que de consacrer du temps à la formation en cours d'emploi. Au cours de la prochaine année, les développeurs qui n'apprendront pas à tirer parti des outils d'IA dans leur flux de développement seront confrontés à des conséquences importantes sur leur propre évolution de carrière et auront des difficultés à trouver des opportunités d'emploi. Ils risquent d'entraver leur « licence de programmation », ce qui les empêche de participer à des projets plus complexes, car une maîtrise sûre de l'IA deviendra finalement essentielle. »
Le temps empêchera les organisations de parvenir à la sécurité dès la conception
« Les développeurs ont besoin de suffisamment de temps et de ressources pour améliorer leurs compétences et se familiariser avec les bons outils et les bonnes pratiques afin de parvenir à la « sécurité dès la conception ». À moins que les organisations n'obtiennent l'adhésion des responsables de la sécurité et de l'ingénierie, leurs progrès seront entravés, voire totalement bloqués. Lorsque les organisations tentent de réduire les coûts ou de restreindre les ressources, elles donnent souvent la priorité aux efforts de remédiation immédiats plutôt qu'aux solutions à long terme, en se concentrant sur des outils de remédiation à multiples facettes qui font certaines choses « correctement » et tout le reste « médiocre ». En 2025, ce déséquilibre créera une plus grande disparité entre les organisations qui accordent la priorité au développement de logiciels sécurisés et celles qui souhaitent simplement une solution rapide pour suivre le rythme d'un environnement en mutation. »
Les audits de sécurité de la chaîne d'approvisionnement joueront un rôle essentiel dans l'atténuation des risques mondiaux
« Tous les fournisseurs externalisés/tiers vont commencer à faire l'objet d'une surveillance accrue. Vous pouvez avoir le meilleur programme de sécurité en interne, mais pour les entreprises vers lesquelles vous externalisez, si elles ne mettent pas en œuvre Secure by Design, l'ensemble du cadre de sécurité peut être compromis. En conséquence, les entreprises vont procéder à des audits approfondis de leurs efforts d'externalisation, faisant pression sur les chefs d'entreprise pour qu'ils suivent des directives strictes en matière de sécurité et de conformité du secteur. En fin de compte, le succès des équipes de sécurité dépend d'une vision globale à 360 degrés, y compris d'une approche unifiée à l'échelle de l'organisation et de tous les partenaires externes. »
L'IA jouera un rôle déterminant dans « Cutting Through the Noise »
»Les équipes de développement sont confrontées à des taux de faux positifs grâce aux scanners de vulnérabilité du code. Comment peuvent-ils être sûrs que les vulnérabilités qui leur sont attribuées constituent réellement un risque de sécurité ? En 2025, l'IA sera un outil essentiel pour aider les développeurs à « se débrouiller » en matière de correction du code, permettant ainsi de mieux comprendre le code lui-même. En tirant parti de l'apprentissage automatique, l'IA peut mieux hiérarchiser les menaces réelles en fonction du contexte, réduisant ainsi le temps passé à améliorer la précision des alertes de sécurité. Cela permettra aux équipes de se concentrer sur les vulnérabilités qui présentent réellement un risque, d'améliorer l'efficacité globale et de permettre des cycles de développement plus rapides et plus sûrs. »
L'analyse comparative sera la solution permettant aux organisations d'atteindre leurs objectifs de sécurité dès la conception
« L'absence de référence en matière de sécurité s'avérera préjudiciable aux organisations en 2025, car elles ne disposeront d'aucune base de référence claire pour mesurer leurs progrès en matière de conformité aux normes Secure by Design. En l'absence d'un système d'analyse comparative permettant d'évaluer la manière dont les équipes adhèrent aux pratiques de codage sécurisées, ces organisations risquent d'introduire par inadvertance des vulnérabilités susceptibles d'entraîner une violation majeure. Et en cas de violation, ils n'auront probablement pas le temps de mettre en œuvre un système d'analyse comparative, mais seront contraints d'accélérer leurs initiatives SBD sans avoir préalablement évalué la maturité de leurs équipes de développeurs en matière de sécurité, exposant ainsi leur organisation à des risques encore plus importants. »
La dette technique au détriment du code généré par l'IA
« Ce n'est un secret pour personne que l'industrie est déjà confrontée à un énorme problème de dette technique, et ce, en raison du code qui a déjà été écrit. Avec l'augmentation de la dépendance aveugle des développeurs à l'égard d'un code généré par l'IA, intrinsèquement peu sécurisé, ainsi que le contrôle exécutif limité, la situation ne fera qu'empirer. Il est fort possible que cette dynamique nous conduise à une multiplication par 10 des CVE signalés l'année prochaine. »
Pour réussir en 2025, les entreprises doivent être prêtes à introduire l'IA de manière responsable et sécurisée, tout en investissant dans la formation appropriée et l'atténuation des risques pour leurs équipes de développement. Alors que l'année prochaine marquera le premier anniversaire de l'engagement de CISA en matière de sécurité dès la conception, les marques qui conserveront leur avantage concurrentiel sont celles qui accordent la priorité à leur approche de développement sécurisé afin d'éliminer au mieux les risques associés à l'IA, aux problèmes de sécurité des tiers et aux nouvelles menaces émergentes.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Afficher le rapportRéservez une démo
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
Alors que nous nous tournons vers 2025, après une année passionnante et pleine de défis, l'intersection entre l'IA et le développement de logiciels continuera de façonner la communauté des développeurs de manière significative.
Les entreprises sont confrontées à des décisions difficiles en matière d'utilisation de l'IA pour favoriser la productivité à long terme, la durabilité et le retour sur investissement en matière de sécurité. Ces dernières années, nous avons compris que l'IA ne remplacera jamais totalement le rôle du développeur. Qu'il s'agisse de partenariats entre l'IA et les développeurs ou des pressions (et de la confusion) croissantes liées aux attentes en matière de sécurité dès la conception, examinons de plus près ce à quoi nous pouvons nous attendre au cours de l'année prochaine :
Réécrire l'équation de l'IA : pas IA au lieu de développeur, mais IA + développeur
« Alors que les entreprises sont incitées à prendre des mesures drastiques de réduction des coûts en 2025, il ne serait pas surprenant que les développeurs soient remplacés par des outils d'IA. Mais comme c'était le cas lorsque Generative AI a fait ses débuts et qu'il faudra encore des années de mises à jour, cette technologie n'est toujours pas un moteur de productivité sûr et autonome, en particulier lors de la création de code. L'IA est une technologie très perturbatrice avec de nombreuses applications et cas d'utilisation étonnants, mais elle ne remplace pas suffisamment les développeurs humains qualifiés. Je suis d'accord avec Forrester's prédiction selon laquelle cette transition vers l'IA et le remplacement de l'être humain en 2025 est susceptible d'échouer, surtout à long terme. Je pense que la combinaison de l'IA et du développeur est plus susceptible d'y parvenir que l'IA seule. »
L'IA offre un mélange de risques et d'opportunités
« En 2025, nous verrons émerger de nouveaux cas de risque liés au code généré par l'IA, notamment les effets indésirables de problèmes connus tels que le squatting par hallucination, les bibliothèques empoisonnées et les exploits affectant la chaîne d'approvisionnement logicielle. De plus, l'IA sera utilisée pour détecter davantage les failles dans le code, ainsi que pour écrire des exploits pour celui-ci, car Le projet Zero de Google Je viens de le démontrer. En revanche, je pense que nous verrons également certains niveaux de maturité initiaux atteints, les développeurs d'entreprise étant en mesure de tirer parti de ces outils dans leur travail sans trop de risques supplémentaires. Cependant, ce serait l'exception et non la règle, et cela dépendrait de la mesure active du risque pour les développeurs par leur organisation et ajustant son programme de sécurité en conséquence. Dans l'environnement de menaces en évolution rapide que l'année 2025 ne manquera pas d'apporter, ce seront les développeurs compétents et soucieux de la sécurité, dotés d'outils de codage d'IA approuvés, qui seront en mesure de produire du code plus rapidement, tandis que les développeurs peu sensibilisés à la sécurité et ayant des compétences générales ne feront que créer plus de problèmes, et ce, à des vitesses plus élevées. »
Sortir de l'ombre [IA]
« Le paysage législatif autour de l'IA évolue rapidement afin de suivre les avancées fréquentes de la technologie et son taux d'adoption. En 2025, les responsables de la sécurité doivent s'assurer qu'ils sont prêts à se conformer aux directives potentielles. La combinaison des éléments suivants, à savoir comprendre la nature de l' « IA fantôme », puis s'assurer qu'elle n'est pas utilisée dans l'organisation, puis utiliser strictement des outils approuvés et vérifiés installés sur les systèmes de l'entreprise, s'avérera très critique pour les organisations au cours de l'année à venir. Cela permettra de mieux évaluer la cohorte de développement, afin de comprendre comment elle doit être soutenue au mieux pour améliorer continuellement ses prouesses en matière de sécurité et les appliquer à tous les aspects de son travail. »
La réputation de sécurité d'AI Tools sera une mesure clé pour les développeurs
« À l'heure actuelle, il s'agit d'un marché gratuit pour tous en termes d'outils de codage alimentés par LLM. De nouveaux ajouts apparaissent en permanence, chacun offrant un meilleur rendement, une meilleure sécurité et une meilleure productivité. À l'approche de 2025, nous avons besoin d'une norme permettant de comparer et d'évaluer le niveau de sécurité de chaque outil d'IA. Cela inclut les capacités de codage, à savoir sa capacité à générer du code avec de bons modèles de codage sûrs qui ne peuvent pas être exploités par les acteurs de la menace. »
L'IA rendra plus difficile l'entrée sur le terrain pour les développeurs juniors
« Les obstacles à l'entrée pour les développeurs sont plus nombreux que jamais. Avec une main-d'œuvre hybride et distribuée et le niveau de compétences requis pour les postes d'entrée de gamme, la barre continue de monter chaque année pour les développeurs débutants. En 2025, les employeurs commenceront à s'attendre à ce que les développeurs débutants possèdent déjà les compétences et les connaissances nécessaires pour intégrer et optimiser les outils d'IA en toute sécurité dans leur flux de travail lorsqu'ils entrent en fonction, plutôt que de consacrer du temps à la formation en cours d'emploi. Au cours de la prochaine année, les développeurs qui n'apprendront pas à tirer parti des outils d'IA dans leur flux de développement seront confrontés à des conséquences importantes sur leur propre évolution de carrière et auront des difficultés à trouver des opportunités d'emploi. Ils risquent d'entraver leur « licence de programmation », ce qui les empêche de participer à des projets plus complexes, car une maîtrise sûre de l'IA deviendra finalement essentielle. »
Le temps empêchera les organisations de parvenir à la sécurité dès la conception
« Les développeurs ont besoin de suffisamment de temps et de ressources pour améliorer leurs compétences et se familiariser avec les bons outils et les bonnes pratiques afin de parvenir à la « sécurité dès la conception ». À moins que les organisations n'obtiennent l'adhésion des responsables de la sécurité et de l'ingénierie, leurs progrès seront entravés, voire totalement bloqués. Lorsque les organisations tentent de réduire les coûts ou de restreindre les ressources, elles donnent souvent la priorité aux efforts de remédiation immédiats plutôt qu'aux solutions à long terme, en se concentrant sur des outils de remédiation à multiples facettes qui font certaines choses « correctement » et tout le reste « médiocre ». En 2025, ce déséquilibre créera une plus grande disparité entre les organisations qui accordent la priorité au développement de logiciels sécurisés et celles qui souhaitent simplement une solution rapide pour suivre le rythme d'un environnement en mutation. »
Les audits de sécurité de la chaîne d'approvisionnement joueront un rôle essentiel dans l'atténuation des risques mondiaux
« Tous les fournisseurs externalisés/tiers vont commencer à faire l'objet d'une surveillance accrue. Vous pouvez avoir le meilleur programme de sécurité en interne, mais pour les entreprises vers lesquelles vous externalisez, si elles ne mettent pas en œuvre Secure by Design, l'ensemble du cadre de sécurité peut être compromis. En conséquence, les entreprises vont procéder à des audits approfondis de leurs efforts d'externalisation, faisant pression sur les chefs d'entreprise pour qu'ils suivent des directives strictes en matière de sécurité et de conformité du secteur. En fin de compte, le succès des équipes de sécurité dépend d'une vision globale à 360 degrés, y compris d'une approche unifiée à l'échelle de l'organisation et de tous les partenaires externes. »
L'IA jouera un rôle déterminant dans « Cutting Through the Noise »
»Les équipes de développement sont confrontées à des taux de faux positifs grâce aux scanners de vulnérabilité du code. Comment peuvent-ils être sûrs que les vulnérabilités qui leur sont attribuées constituent réellement un risque de sécurité ? En 2025, l'IA sera un outil essentiel pour aider les développeurs à « se débrouiller » en matière de correction du code, permettant ainsi de mieux comprendre le code lui-même. En tirant parti de l'apprentissage automatique, l'IA peut mieux hiérarchiser les menaces réelles en fonction du contexte, réduisant ainsi le temps passé à améliorer la précision des alertes de sécurité. Cela permettra aux équipes de se concentrer sur les vulnérabilités qui présentent réellement un risque, d'améliorer l'efficacité globale et de permettre des cycles de développement plus rapides et plus sûrs. »
L'analyse comparative sera la solution permettant aux organisations d'atteindre leurs objectifs de sécurité dès la conception
« L'absence de référence en matière de sécurité s'avérera préjudiciable aux organisations en 2025, car elles ne disposeront d'aucune base de référence claire pour mesurer leurs progrès en matière de conformité aux normes Secure by Design. En l'absence d'un système d'analyse comparative permettant d'évaluer la manière dont les équipes adhèrent aux pratiques de codage sécurisées, ces organisations risquent d'introduire par inadvertance des vulnérabilités susceptibles d'entraîner une violation majeure. Et en cas de violation, ils n'auront probablement pas le temps de mettre en œuvre un système d'analyse comparative, mais seront contraints d'accélérer leurs initiatives SBD sans avoir préalablement évalué la maturité de leurs équipes de développeurs en matière de sécurité, exposant ainsi leur organisation à des risques encore plus importants. »
La dette technique au détriment du code généré par l'IA
« Ce n'est un secret pour personne que l'industrie est déjà confrontée à un énorme problème de dette technique, et ce, en raison du code qui a déjà été écrit. Avec l'augmentation de la dépendance aveugle des développeurs à l'égard d'un code généré par l'IA, intrinsèquement peu sécurisé, ainsi que le contrôle exécutif limité, la situation ne fera qu'empirer. Il est fort possible que cette dynamique nous conduise à une multiplication par 10 des CVE signalés l'année prochaine. »
Pour réussir en 2025, les entreprises doivent être prêtes à introduire l'IA de manière responsable et sécurisée, tout en investissant dans la formation appropriée et l'atténuation des risques pour leurs équipes de développement. Alors que l'année prochaine marquera le premier anniversaire de l'engagement de CISA en matière de sécurité dès la conception, les marques qui conserveront leur avantage concurrentiel sont celles qui accordent la priorité à leur approche de développement sécurisé afin d'éliminer au mieux les risques associés à l'IA, aux problèmes de sécurité des tiers et aux nouvelles menaces émergentes.
Table des matières
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoTéléchargerRessources pour vous aider à démarrer
Sujets et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions d'IA Beat the Boss sont désormais disponibles à la demande
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Déployez des défis de sécurité avancés liés à l'IA et au LLM pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyberrésilience : ce que cela signifie pour le développement de logiciels sécurisés dès la conception
Découvrez ce que la loi européenne sur la cyberrésilience (CRA) exige, à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Enabler 1 donne le coup d'envoi de notre série en 10 parties intitulée Enablers of Success en montrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité pour assurer la maturité à long terme des programmes.
