Pour tirer parti des avantages de l'innovation en matière d'IA, il faut commencer par un code sécurisé
Les développeurs de logiciels ont montré qu'ils étaient prêts et disposés à utiliser l'intelligence artificielle générative (IA) pour écrire du code, et ils ont généralement obtenu des résultats favorables. Mais il existe également de nombreux signes indiquant qu'ils pourraient jouer à un jeu dangereux.
Selon un récent enquête réalisée par GitHub, plus de 90 % des développeurs américains utilisent des outils de codage basés sur l'IA, invoquant des avantages tels que des délais de traitement plus rapides, une résolution rapide des incidents et un environnement plus collaboratif, ce qui leur semble important. L'utilisation d'outils d'IA permet aux développeurs de déléguer des tâches de routine, ce qui leur permet de travailler sur des emplois plus créatifs qui profitent à leur entreprise et, ce n'est pas un hasard, de réduire les risques d'épuisement professionnel.
Cependant, des études ont également montré que les outils d'IA ont tendance à introduire des failles lors de l'écriture de code. UNE enquête réalisée par Snyk a constaté que même si 75,8 % des personnes interrogées ont déclaré que le code IA est plus sécurisé que le code humain, 56,4 % ont admis que l'IA posait parfois des problèmes de codage. Il est alarmant de constater que 80 % des personnes interrogées ont déclaré avoir contourné les politiques de sécurité des codes d'IA pendant le développement.
Depuis OpenAI Chat GPT lancée en novembre 2022, l'utilisation de modèles d'IA génératifs s'est répandue à une vitesse fulgurante tout au long du processus de développement de code dans les services financiers, comme elle l'a fait dans de nombreux autres domaines. L'émergence rapide d'autres modèles, tels que Copilote GitHub, Codex OpenAI, et un liste croissante d'autres, suggère que nous n'avons qu'une première idée de ce que l'IA générative peut faire et de l'impact qu'elle peut avoir. Mais pour que cet impact soit positif, nous devons nous assurer que le code généré est sécurisé.
Les bugs de codage peuvent se propager rapidement
Qu'il soit créé par des développeurs humains ou par des modèles d'IA, le code va contiennent des erreurs. L'IA aidant à accélérer le développement de code pour répondre aux exigences toujours croissantes des environnements informatiques hautement distribués et basés sur le cloud, les risques que le code incorrect se propage largement avant d'être détecté pourraient augmenter.
Les modèles d'IA entraînés à écrire du code ingéreront des milliers d'exemples de code qui exécutent diverses tâches, puis ils pourront s'appuyer sur ces exemples pour créer leur propre code. Mais si les échantillons à partir desquels il fonctionne contiennent des failles ou des vulnérabilités, qu'elles aient été créées à l'origine par un humain ou une autre IA, le modèle pourrait transférer ces failles dans un nouvel environnement.
Considérant des recherches ont montré selon laquelle les modèles d'IA ne sont pas capables de reconnaître de manière fiable les failles du code qu'ils utilisent, il existe peu de défense intégrée contre la propagation des failles et des vulnérabilités. Non seulement l'IA commettra des erreurs de codage, mais elle répétera ses propres erreurs et celles d'autres sources jusqu'à ce que la vulnérabilité soit identifiée plus tard, peut-être sous la forme d'une violation réussie d'une entreprise utilisant le logiciel qu'elle a créé.
La véritable défense contre la prolifération des failles de codage réside dans la collaboration entre les humains et les modèles d'IA. Les développeurs humains devraient superviser l'écriture du code d'IA et servir de frein aux pratiques de codage non sécurisées et au code vulnérable. Mais pour cela, les développeurs doivent être parfaitement formés aux meilleures pratiques en matière d'écriture de code sécurisée afin de pouvoir identifier les erreurs de codage qu'une IA pourrait commettre et les corriger rapidement.
Les défis de la création et de la correction de codes d'IA
L'explosion soudaine de grands modèles de langage (LLM) tels que ChatGPT a été en quelque sorte une arme à double tranchant. D'un côté, les entreprises et les utilisateurs ordinaires ont constaté d'énormes gains de productivité grâce à l'utilisation de l'IA pour gérer des tâches fastidieuses, onéreuses ou difficiles. D'un autre côté, il existe de nombreux exemples de ce qui peut mal tourner lorsque l'on fait aveuglément confiance à l'IA pour gérer le travail.
Les modèles d'IA ont créé erreurs flagrantes, a fait preuve de partialité et a produit hallucinations pures et simples. Dans de nombreux cas, le problème était dû à des données de formation inadéquates ou irresponsables. La qualité de tout modèle d'IA dépend des données sur lesquelles il est entraîné. Il est donc essentiel que les données d'entraînement soient complètes et soigneusement vérifiées. Même dans ce cas, certaines erreurs seront commises.
L'utilisation de l'IA pour le codage se heurte à bon nombre des mêmes obstacles. Il a été démontré que le code généré par l'IA contient toute une série de failles, telles que des vulnérabilités liées au cross-site scripting et à l'injection de code, ainsi que des attaques spécifiques à l'IA et à l'apprentissage automatique (ML), telles que injection rapide. Les modèles d'IA fonctionnent également dans une boîte noire car leurs processus ne sont pas transparents, ce qui empêche une équipe de sécurité ou de développement de voir comment une IA parvient à ses conclusions. Par conséquent, le modèle peut répéter les mêmes erreurs encore et encore. Les mêmes lacunes qui peuvent affecter l'écriture de code se répercutent également sur l'utilisation de l'IA pour correction du code et en respectant les exigences de conformité.
Le potentiel de failles créées ou répétées par les modèles d'IA a augmenté au point que les LLM disposent désormais de leur propre liste OWASP (Open Web Application Security Project) les dix principales vulnérabilités.
Les développeurs et l'IA peuvent travailler ensemble pour créer un code sécurisé
Les inquiétudes concernant les failles potentielles du code généré par l'IA pourraient inciter certaines organisations à réfléchir, ne serait-ce que brièvement, à l'idée d'aller de l'avant avec cette technologie. Mais les avantages potentiels sont trop importants pour être ignorés, d'autant plus que les développeurs d'IA continuent d'innover et d'améliorer leurs modèles. Le secteur des services financiers, pour sa part, a peu de chances de remettre le génie dans la bouteille. Les banques et les sociétés de services financiers sont déjà axées sur la technologie et elles opèrent dans un domaine où elles recherchent toujours un avantage concurrentiel.
L'essentiel est de mettre en œuvre des modèles d'IA de manière à minimiser les risques. Cela signifie avoir des développeurs sensibilisés à la sécurité et parfaitement formés aux meilleures pratiques de codage sécurisé, afin qu'ils puissent écrire eux-mêmes du code sécurisé et surveiller de près le code produit par les modèles d'IA. En associant les moteurs d'IA et les développeurs humains dans le cadre d'un partenariat étroit, les développeurs ayant le dernier mot, les entreprises peuvent bénéficier des avantages d'une productivité et d'une efficacité accrues tout en améliorant la sécurité, en limitant les risques et en garantissant la conformité.
Pour un aperçu complet de la manière dont le codage sécurisé peut contribuer à garantir le succès, la sécurité et les bénéfices des sociétés de services financiers, vous pouvez lire le nouveau guide Secure Code Warrior : Le guide ultime des tendances en matière de sécurité dans les services financiers.
Consultez le Secure Code Warrior des pages de blog pour en savoir plus sur la cybersécurité, le paysage des menaces de plus en plus dangereuses, et pour savoir comment vous pouvez utiliser des technologies innovantes et des formations pour mieux protéger votre organisation et vos clients.
L'IA générative offre aux sociétés de services financiers de nombreux avantages, mais présente également de nombreux risques potentiels. Former les développeurs aux meilleures pratiques de sécurité et les associer à des modèles d'IA peut aider à créer un code sécurisé dès le départ.
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démo
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
Les développeurs de logiciels ont montré qu'ils étaient prêts et disposés à utiliser l'intelligence artificielle générative (IA) pour écrire du code, et ils ont généralement obtenu des résultats favorables. Mais il existe également de nombreux signes indiquant qu'ils pourraient jouer à un jeu dangereux.
Selon un récent enquête réalisée par GitHub, plus de 90 % des développeurs américains utilisent des outils de codage basés sur l'IA, invoquant des avantages tels que des délais de traitement plus rapides, une résolution rapide des incidents et un environnement plus collaboratif, ce qui leur semble important. L'utilisation d'outils d'IA permet aux développeurs de déléguer des tâches de routine, ce qui leur permet de travailler sur des emplois plus créatifs qui profitent à leur entreprise et, ce n'est pas un hasard, de réduire les risques d'épuisement professionnel.
Cependant, des études ont également montré que les outils d'IA ont tendance à introduire des failles lors de l'écriture de code. UNE enquête réalisée par Snyk a constaté que même si 75,8 % des personnes interrogées ont déclaré que le code IA est plus sécurisé que le code humain, 56,4 % ont admis que l'IA posait parfois des problèmes de codage. Il est alarmant de constater que 80 % des personnes interrogées ont déclaré avoir contourné les politiques de sécurité des codes d'IA pendant le développement.
Depuis OpenAI Chat GPT lancée en novembre 2022, l'utilisation de modèles d'IA génératifs s'est répandue à une vitesse fulgurante tout au long du processus de développement de code dans les services financiers, comme elle l'a fait dans de nombreux autres domaines. L'émergence rapide d'autres modèles, tels que Copilote GitHub, Codex OpenAI, et un liste croissante d'autres, suggère que nous n'avons qu'une première idée de ce que l'IA générative peut faire et de l'impact qu'elle peut avoir. Mais pour que cet impact soit positif, nous devons nous assurer que le code généré est sécurisé.
Les bugs de codage peuvent se propager rapidement
Qu'il soit créé par des développeurs humains ou par des modèles d'IA, le code va contiennent des erreurs. L'IA aidant à accélérer le développement de code pour répondre aux exigences toujours croissantes des environnements informatiques hautement distribués et basés sur le cloud, les risques que le code incorrect se propage largement avant d'être détecté pourraient augmenter.
Les modèles d'IA entraînés à écrire du code ingéreront des milliers d'exemples de code qui exécutent diverses tâches, puis ils pourront s'appuyer sur ces exemples pour créer leur propre code. Mais si les échantillons à partir desquels il fonctionne contiennent des failles ou des vulnérabilités, qu'elles aient été créées à l'origine par un humain ou une autre IA, le modèle pourrait transférer ces failles dans un nouvel environnement.
Considérant des recherches ont montré selon laquelle les modèles d'IA ne sont pas capables de reconnaître de manière fiable les failles du code qu'ils utilisent, il existe peu de défense intégrée contre la propagation des failles et des vulnérabilités. Non seulement l'IA commettra des erreurs de codage, mais elle répétera ses propres erreurs et celles d'autres sources jusqu'à ce que la vulnérabilité soit identifiée plus tard, peut-être sous la forme d'une violation réussie d'une entreprise utilisant le logiciel qu'elle a créé.
La véritable défense contre la prolifération des failles de codage réside dans la collaboration entre les humains et les modèles d'IA. Les développeurs humains devraient superviser l'écriture du code d'IA et servir de frein aux pratiques de codage non sécurisées et au code vulnérable. Mais pour cela, les développeurs doivent être parfaitement formés aux meilleures pratiques en matière d'écriture de code sécurisée afin de pouvoir identifier les erreurs de codage qu'une IA pourrait commettre et les corriger rapidement.
Les défis de la création et de la correction de codes d'IA
L'explosion soudaine de grands modèles de langage (LLM) tels que ChatGPT a été en quelque sorte une arme à double tranchant. D'un côté, les entreprises et les utilisateurs ordinaires ont constaté d'énormes gains de productivité grâce à l'utilisation de l'IA pour gérer des tâches fastidieuses, onéreuses ou difficiles. D'un autre côté, il existe de nombreux exemples de ce qui peut mal tourner lorsque l'on fait aveuglément confiance à l'IA pour gérer le travail.
Les modèles d'IA ont créé erreurs flagrantes, a fait preuve de partialité et a produit hallucinations pures et simples. Dans de nombreux cas, le problème était dû à des données de formation inadéquates ou irresponsables. La qualité de tout modèle d'IA dépend des données sur lesquelles il est entraîné. Il est donc essentiel que les données d'entraînement soient complètes et soigneusement vérifiées. Même dans ce cas, certaines erreurs seront commises.
L'utilisation de l'IA pour le codage se heurte à bon nombre des mêmes obstacles. Il a été démontré que le code généré par l'IA contient toute une série de failles, telles que des vulnérabilités liées au cross-site scripting et à l'injection de code, ainsi que des attaques spécifiques à l'IA et à l'apprentissage automatique (ML), telles que injection rapide. Les modèles d'IA fonctionnent également dans une boîte noire car leurs processus ne sont pas transparents, ce qui empêche une équipe de sécurité ou de développement de voir comment une IA parvient à ses conclusions. Par conséquent, le modèle peut répéter les mêmes erreurs encore et encore. Les mêmes lacunes qui peuvent affecter l'écriture de code se répercutent également sur l'utilisation de l'IA pour correction du code et en respectant les exigences de conformité.
Le potentiel de failles créées ou répétées par les modèles d'IA a augmenté au point que les LLM disposent désormais de leur propre liste OWASP (Open Web Application Security Project) les dix principales vulnérabilités.
Les développeurs et l'IA peuvent travailler ensemble pour créer un code sécurisé
Les inquiétudes concernant les failles potentielles du code généré par l'IA pourraient inciter certaines organisations à réfléchir, ne serait-ce que brièvement, à l'idée d'aller de l'avant avec cette technologie. Mais les avantages potentiels sont trop importants pour être ignorés, d'autant plus que les développeurs d'IA continuent d'innover et d'améliorer leurs modèles. Le secteur des services financiers, pour sa part, a peu de chances de remettre le génie dans la bouteille. Les banques et les sociétés de services financiers sont déjà axées sur la technologie et elles opèrent dans un domaine où elles recherchent toujours un avantage concurrentiel.
L'essentiel est de mettre en œuvre des modèles d'IA de manière à minimiser les risques. Cela signifie avoir des développeurs sensibilisés à la sécurité et parfaitement formés aux meilleures pratiques de codage sécurisé, afin qu'ils puissent écrire eux-mêmes du code sécurisé et surveiller de près le code produit par les modèles d'IA. En associant les moteurs d'IA et les développeurs humains dans le cadre d'un partenariat étroit, les développeurs ayant le dernier mot, les entreprises peuvent bénéficier des avantages d'une productivité et d'une efficacité accrues tout en améliorant la sécurité, en limitant les risques et en garantissant la conformité.
Pour un aperçu complet de la manière dont le codage sécurisé peut contribuer à garantir le succès, la sécurité et les bénéfices des sociétés de services financiers, vous pouvez lire le nouveau guide Secure Code Warrior : Le guide ultime des tendances en matière de sécurité dans les services financiers.
Consultez le Secure Code Warrior des pages de blog pour en savoir plus sur la cybersécurité, le paysage des menaces de plus en plus dangereuses, et pour savoir comment vous pouvez utiliser des technologies innovantes et des formations pour mieux protéger votre organisation et vos clients.
Les développeurs de logiciels ont montré qu'ils étaient prêts et disposés à utiliser l'intelligence artificielle générative (IA) pour écrire du code, et ils ont généralement obtenu des résultats favorables. Mais il existe également de nombreux signes indiquant qu'ils pourraient jouer à un jeu dangereux.
Selon un récent enquête réalisée par GitHub, plus de 90 % des développeurs américains utilisent des outils de codage basés sur l'IA, invoquant des avantages tels que des délais de traitement plus rapides, une résolution rapide des incidents et un environnement plus collaboratif, ce qui leur semble important. L'utilisation d'outils d'IA permet aux développeurs de déléguer des tâches de routine, ce qui leur permet de travailler sur des emplois plus créatifs qui profitent à leur entreprise et, ce n'est pas un hasard, de réduire les risques d'épuisement professionnel.
Cependant, des études ont également montré que les outils d'IA ont tendance à introduire des failles lors de l'écriture de code. UNE enquête réalisée par Snyk a constaté que même si 75,8 % des personnes interrogées ont déclaré que le code IA est plus sécurisé que le code humain, 56,4 % ont admis que l'IA posait parfois des problèmes de codage. Il est alarmant de constater que 80 % des personnes interrogées ont déclaré avoir contourné les politiques de sécurité des codes d'IA pendant le développement.
Depuis OpenAI Chat GPT lancée en novembre 2022, l'utilisation de modèles d'IA génératifs s'est répandue à une vitesse fulgurante tout au long du processus de développement de code dans les services financiers, comme elle l'a fait dans de nombreux autres domaines. L'émergence rapide d'autres modèles, tels que Copilote GitHub, Codex OpenAI, et un liste croissante d'autres, suggère que nous n'avons qu'une première idée de ce que l'IA générative peut faire et de l'impact qu'elle peut avoir. Mais pour que cet impact soit positif, nous devons nous assurer que le code généré est sécurisé.
Les bugs de codage peuvent se propager rapidement
Qu'il soit créé par des développeurs humains ou par des modèles d'IA, le code va contiennent des erreurs. L'IA aidant à accélérer le développement de code pour répondre aux exigences toujours croissantes des environnements informatiques hautement distribués et basés sur le cloud, les risques que le code incorrect se propage largement avant d'être détecté pourraient augmenter.
Les modèles d'IA entraînés à écrire du code ingéreront des milliers d'exemples de code qui exécutent diverses tâches, puis ils pourront s'appuyer sur ces exemples pour créer leur propre code. Mais si les échantillons à partir desquels il fonctionne contiennent des failles ou des vulnérabilités, qu'elles aient été créées à l'origine par un humain ou une autre IA, le modèle pourrait transférer ces failles dans un nouvel environnement.
Considérant des recherches ont montré selon laquelle les modèles d'IA ne sont pas capables de reconnaître de manière fiable les failles du code qu'ils utilisent, il existe peu de défense intégrée contre la propagation des failles et des vulnérabilités. Non seulement l'IA commettra des erreurs de codage, mais elle répétera ses propres erreurs et celles d'autres sources jusqu'à ce que la vulnérabilité soit identifiée plus tard, peut-être sous la forme d'une violation réussie d'une entreprise utilisant le logiciel qu'elle a créé.
La véritable défense contre la prolifération des failles de codage réside dans la collaboration entre les humains et les modèles d'IA. Les développeurs humains devraient superviser l'écriture du code d'IA et servir de frein aux pratiques de codage non sécurisées et au code vulnérable. Mais pour cela, les développeurs doivent être parfaitement formés aux meilleures pratiques en matière d'écriture de code sécurisée afin de pouvoir identifier les erreurs de codage qu'une IA pourrait commettre et les corriger rapidement.
Les défis de la création et de la correction de codes d'IA
L'explosion soudaine de grands modèles de langage (LLM) tels que ChatGPT a été en quelque sorte une arme à double tranchant. D'un côté, les entreprises et les utilisateurs ordinaires ont constaté d'énormes gains de productivité grâce à l'utilisation de l'IA pour gérer des tâches fastidieuses, onéreuses ou difficiles. D'un autre côté, il existe de nombreux exemples de ce qui peut mal tourner lorsque l'on fait aveuglément confiance à l'IA pour gérer le travail.
Les modèles d'IA ont créé erreurs flagrantes, a fait preuve de partialité et a produit hallucinations pures et simples. Dans de nombreux cas, le problème était dû à des données de formation inadéquates ou irresponsables. La qualité de tout modèle d'IA dépend des données sur lesquelles il est entraîné. Il est donc essentiel que les données d'entraînement soient complètes et soigneusement vérifiées. Même dans ce cas, certaines erreurs seront commises.
L'utilisation de l'IA pour le codage se heurte à bon nombre des mêmes obstacles. Il a été démontré que le code généré par l'IA contient toute une série de failles, telles que des vulnérabilités liées au cross-site scripting et à l'injection de code, ainsi que des attaques spécifiques à l'IA et à l'apprentissage automatique (ML), telles que injection rapide. Les modèles d'IA fonctionnent également dans une boîte noire car leurs processus ne sont pas transparents, ce qui empêche une équipe de sécurité ou de développement de voir comment une IA parvient à ses conclusions. Par conséquent, le modèle peut répéter les mêmes erreurs encore et encore. Les mêmes lacunes qui peuvent affecter l'écriture de code se répercutent également sur l'utilisation de l'IA pour correction du code et en respectant les exigences de conformité.
Le potentiel de failles créées ou répétées par les modèles d'IA a augmenté au point que les LLM disposent désormais de leur propre liste OWASP (Open Web Application Security Project) les dix principales vulnérabilités.
Les développeurs et l'IA peuvent travailler ensemble pour créer un code sécurisé
Les inquiétudes concernant les failles potentielles du code généré par l'IA pourraient inciter certaines organisations à réfléchir, ne serait-ce que brièvement, à l'idée d'aller de l'avant avec cette technologie. Mais les avantages potentiels sont trop importants pour être ignorés, d'autant plus que les développeurs d'IA continuent d'innover et d'améliorer leurs modèles. Le secteur des services financiers, pour sa part, a peu de chances de remettre le génie dans la bouteille. Les banques et les sociétés de services financiers sont déjà axées sur la technologie et elles opèrent dans un domaine où elles recherchent toujours un avantage concurrentiel.
L'essentiel est de mettre en œuvre des modèles d'IA de manière à minimiser les risques. Cela signifie avoir des développeurs sensibilisés à la sécurité et parfaitement formés aux meilleures pratiques de codage sécurisé, afin qu'ils puissent écrire eux-mêmes du code sécurisé et surveiller de près le code produit par les modèles d'IA. En associant les moteurs d'IA et les développeurs humains dans le cadre d'un partenariat étroit, les développeurs ayant le dernier mot, les entreprises peuvent bénéficier des avantages d'une productivité et d'une efficacité accrues tout en améliorant la sécurité, en limitant les risques et en garantissant la conformité.
Pour un aperçu complet de la manière dont le codage sécurisé peut contribuer à garantir le succès, la sécurité et les bénéfices des sociétés de services financiers, vous pouvez lire le nouveau guide Secure Code Warrior : Le guide ultime des tendances en matière de sécurité dans les services financiers.
Consultez le Secure Code Warrior des pages de blog pour en savoir plus sur la cybersécurité, le paysage des menaces de plus en plus dangereuses, et pour savoir comment vous pouvez utiliser des technologies innovantes et des formations pour mieux protéger votre organisation et vos clients.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Afficher le rapportRéservez une démo
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
Les développeurs de logiciels ont montré qu'ils étaient prêts et disposés à utiliser l'intelligence artificielle générative (IA) pour écrire du code, et ils ont généralement obtenu des résultats favorables. Mais il existe également de nombreux signes indiquant qu'ils pourraient jouer à un jeu dangereux.
Selon un récent enquête réalisée par GitHub, plus de 90 % des développeurs américains utilisent des outils de codage basés sur l'IA, invoquant des avantages tels que des délais de traitement plus rapides, une résolution rapide des incidents et un environnement plus collaboratif, ce qui leur semble important. L'utilisation d'outils d'IA permet aux développeurs de déléguer des tâches de routine, ce qui leur permet de travailler sur des emplois plus créatifs qui profitent à leur entreprise et, ce n'est pas un hasard, de réduire les risques d'épuisement professionnel.
Cependant, des études ont également montré que les outils d'IA ont tendance à introduire des failles lors de l'écriture de code. UNE enquête réalisée par Snyk a constaté que même si 75,8 % des personnes interrogées ont déclaré que le code IA est plus sécurisé que le code humain, 56,4 % ont admis que l'IA posait parfois des problèmes de codage. Il est alarmant de constater que 80 % des personnes interrogées ont déclaré avoir contourné les politiques de sécurité des codes d'IA pendant le développement.
Depuis OpenAI Chat GPT lancée en novembre 2022, l'utilisation de modèles d'IA génératifs s'est répandue à une vitesse fulgurante tout au long du processus de développement de code dans les services financiers, comme elle l'a fait dans de nombreux autres domaines. L'émergence rapide d'autres modèles, tels que Copilote GitHub, Codex OpenAI, et un liste croissante d'autres, suggère que nous n'avons qu'une première idée de ce que l'IA générative peut faire et de l'impact qu'elle peut avoir. Mais pour que cet impact soit positif, nous devons nous assurer que le code généré est sécurisé.
Les bugs de codage peuvent se propager rapidement
Qu'il soit créé par des développeurs humains ou par des modèles d'IA, le code va contiennent des erreurs. L'IA aidant à accélérer le développement de code pour répondre aux exigences toujours croissantes des environnements informatiques hautement distribués et basés sur le cloud, les risques que le code incorrect se propage largement avant d'être détecté pourraient augmenter.
Les modèles d'IA entraînés à écrire du code ingéreront des milliers d'exemples de code qui exécutent diverses tâches, puis ils pourront s'appuyer sur ces exemples pour créer leur propre code. Mais si les échantillons à partir desquels il fonctionne contiennent des failles ou des vulnérabilités, qu'elles aient été créées à l'origine par un humain ou une autre IA, le modèle pourrait transférer ces failles dans un nouvel environnement.
Considérant des recherches ont montré selon laquelle les modèles d'IA ne sont pas capables de reconnaître de manière fiable les failles du code qu'ils utilisent, il existe peu de défense intégrée contre la propagation des failles et des vulnérabilités. Non seulement l'IA commettra des erreurs de codage, mais elle répétera ses propres erreurs et celles d'autres sources jusqu'à ce que la vulnérabilité soit identifiée plus tard, peut-être sous la forme d'une violation réussie d'une entreprise utilisant le logiciel qu'elle a créé.
La véritable défense contre la prolifération des failles de codage réside dans la collaboration entre les humains et les modèles d'IA. Les développeurs humains devraient superviser l'écriture du code d'IA et servir de frein aux pratiques de codage non sécurisées et au code vulnérable. Mais pour cela, les développeurs doivent être parfaitement formés aux meilleures pratiques en matière d'écriture de code sécurisée afin de pouvoir identifier les erreurs de codage qu'une IA pourrait commettre et les corriger rapidement.
Les défis de la création et de la correction de codes d'IA
L'explosion soudaine de grands modèles de langage (LLM) tels que ChatGPT a été en quelque sorte une arme à double tranchant. D'un côté, les entreprises et les utilisateurs ordinaires ont constaté d'énormes gains de productivité grâce à l'utilisation de l'IA pour gérer des tâches fastidieuses, onéreuses ou difficiles. D'un autre côté, il existe de nombreux exemples de ce qui peut mal tourner lorsque l'on fait aveuglément confiance à l'IA pour gérer le travail.
Les modèles d'IA ont créé erreurs flagrantes, a fait preuve de partialité et a produit hallucinations pures et simples. Dans de nombreux cas, le problème était dû à des données de formation inadéquates ou irresponsables. La qualité de tout modèle d'IA dépend des données sur lesquelles il est entraîné. Il est donc essentiel que les données d'entraînement soient complètes et soigneusement vérifiées. Même dans ce cas, certaines erreurs seront commises.
L'utilisation de l'IA pour le codage se heurte à bon nombre des mêmes obstacles. Il a été démontré que le code généré par l'IA contient toute une série de failles, telles que des vulnérabilités liées au cross-site scripting et à l'injection de code, ainsi que des attaques spécifiques à l'IA et à l'apprentissage automatique (ML), telles que injection rapide. Les modèles d'IA fonctionnent également dans une boîte noire car leurs processus ne sont pas transparents, ce qui empêche une équipe de sécurité ou de développement de voir comment une IA parvient à ses conclusions. Par conséquent, le modèle peut répéter les mêmes erreurs encore et encore. Les mêmes lacunes qui peuvent affecter l'écriture de code se répercutent également sur l'utilisation de l'IA pour correction du code et en respectant les exigences de conformité.
Le potentiel de failles créées ou répétées par les modèles d'IA a augmenté au point que les LLM disposent désormais de leur propre liste OWASP (Open Web Application Security Project) les dix principales vulnérabilités.
Les développeurs et l'IA peuvent travailler ensemble pour créer un code sécurisé
Les inquiétudes concernant les failles potentielles du code généré par l'IA pourraient inciter certaines organisations à réfléchir, ne serait-ce que brièvement, à l'idée d'aller de l'avant avec cette technologie. Mais les avantages potentiels sont trop importants pour être ignorés, d'autant plus que les développeurs d'IA continuent d'innover et d'améliorer leurs modèles. Le secteur des services financiers, pour sa part, a peu de chances de remettre le génie dans la bouteille. Les banques et les sociétés de services financiers sont déjà axées sur la technologie et elles opèrent dans un domaine où elles recherchent toujours un avantage concurrentiel.
L'essentiel est de mettre en œuvre des modèles d'IA de manière à minimiser les risques. Cela signifie avoir des développeurs sensibilisés à la sécurité et parfaitement formés aux meilleures pratiques de codage sécurisé, afin qu'ils puissent écrire eux-mêmes du code sécurisé et surveiller de près le code produit par les modèles d'IA. En associant les moteurs d'IA et les développeurs humains dans le cadre d'un partenariat étroit, les développeurs ayant le dernier mot, les entreprises peuvent bénéficier des avantages d'une productivité et d'une efficacité accrues tout en améliorant la sécurité, en limitant les risques et en garantissant la conformité.
Pour un aperçu complet de la manière dont le codage sécurisé peut contribuer à garantir le succès, la sécurité et les bénéfices des sociétés de services financiers, vous pouvez lire le nouveau guide Secure Code Warrior : Le guide ultime des tendances en matière de sécurité dans les services financiers.
Consultez le Secure Code Warrior des pages de blog pour en savoir plus sur la cybersécurité, le paysage des menaces de plus en plus dangereuses, et pour savoir comment vous pouvez utiliser des technologies innovantes et des formations pour mieux protéger votre organisation et vos clients.
Table des matières
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoTéléchargerRessources pour vous aider à démarrer
Sujets et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions d'IA Beat the Boss sont désormais disponibles à la demande
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Déployez des défis de sécurité avancés liés à l'IA et au LLM pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyberrésilience : ce que cela signifie pour le développement de logiciels sécurisés dès la conception
Découvrez ce que la loi européenne sur la cyberrésilience (CRA) exige, à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Enabler 1 donne le coup d'envoi de notre série en 10 parties intitulée Enablers of Success en montrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité pour assurer la maturité à long terme des programmes.
