Blog

10 prévisions clés : Secure Code Warrior parle de l'IA et de l'influence de Secureby-Design en 2025

December 20, 2024
Secure Code Warrior

Alors que nous nous tournons vers 2025, après une année passionnante et pleine de défis, l'intersection entre l'IA et le développement de logiciels continuera de façonner la communauté des développeurs de manière significative.

Les entreprises sont confrontées à des décisions difficiles en matière d'utilisation de l'IA pour favoriser la productivité à long terme, la durabilité et le retour sur investissement en matière de sécurité. Ces dernières années, nous avons compris que l'IA ne remplacera jamais totalement le rôle du développeur. Qu'il s'agisse de partenariats entre l'IA et les développeurs ou des pressions (et de la confusion) croissantes liées aux attentes en matière de sécurité dès la conception, examinons de plus près ce à quoi nous pouvons nous attendre au cours de l'année prochaine :

Réécrire l'équation de l'IA : pas IA au lieu de développeur, mais IA + développeur

« Alors que les entreprises sont incitées à prendre des mesures drastiques de réduction des coûts en 2025, il ne serait pas surprenant que les développeurs soient remplacés par des outils d'IA. Mais comme c'était le cas lorsque Generative AI a fait ses débuts et qu'il faudra encore des années de mises à jour, cette technologie n'est toujours pas un moteur de productivité sûr et autonome, en particulier lors de la création de code. L'IA est une technologie très perturbatrice avec de nombreuses applications et cas d'utilisation étonnants, mais elle ne remplace pas suffisamment les développeurs humains qualifiés. Je suis d'accord avec Forrester's prédiction selon laquelle cette transition vers l'IA et le remplacement de l'être humain en 2025 est susceptible d'échouer, surtout à long terme. Je pense que la combinaison de l'IA et du développeur est plus susceptible d'y parvenir que l'IA seule. »

L'IA offre un mélange de risques et d'opportunités

« En 2025, nous verrons émerger de nouveaux cas de risque liés au code généré par l'IA, notamment les effets indésirables de problèmes connus tels que le squatting par hallucination, les bibliothèques empoisonnées et les exploits affectant la chaîne d'approvisionnement logicielle. De plus, l'IA sera utilisée pour détecter davantage les failles dans le code, ainsi que pour écrire des exploits pour celui-ci, car Le projet Zero de Google Je viens de le démontrer. En revanche, je pense que nous verrons également certains niveaux de maturité initiaux atteints, les développeurs d'entreprise étant en mesure de tirer parti de ces outils dans leur travail sans trop de risques supplémentaires. Cependant, ce serait l'exception et non la règle, et cela dépendrait de la mesure active du risque pour les développeurs par leur organisation et ajustant son programme de sécurité en conséquence. Dans l'environnement de menaces en évolution rapide que l'année 2025 ne manquera pas d'apporter, ce seront les développeurs compétents et soucieux de la sécurité, dotés d'outils de codage d'IA approuvés, qui seront en mesure de produire du code plus rapidement, tandis que les développeurs peu sensibilisés à la sécurité et ayant des compétences générales ne feront que créer plus de problèmes, et ce, à des vitesses plus élevées. »

Sortir de l'ombre [IA]

« Le paysage législatif autour de l'IA évolue rapidement afin de suivre les avancées fréquentes de la technologie et son taux d'adoption. En 2025, les responsables de la sécurité doivent s'assurer qu'ils sont prêts à se conformer aux directives potentielles. La combinaison des éléments suivants, à savoir comprendre la nature de l' « IA fantôme », puis s'assurer qu'elle n'est pas utilisée dans l'organisation, puis utiliser strictement des outils approuvés et vérifiés installés sur les systèmes de l'entreprise, s'avérera très critique pour les organisations au cours de l'année à venir. Cela permettra de mieux évaluer la cohorte de développement, afin de comprendre comment elle doit être soutenue au mieux pour améliorer continuellement ses prouesses en matière de sécurité et les appliquer à tous les aspects de son travail. »

La réputation de sécurité d'AI Tools sera une mesure clé pour les développeurs

« À l'heure actuelle, il s'agit d'un marché gratuit pour tous en termes d'outils de codage alimentés par LLM. De nouveaux ajouts apparaissent en permanence, chacun offrant un meilleur rendement, une meilleure sécurité et une meilleure productivité. À l'approche de 2025, nous avons besoin d'une norme permettant de comparer et d'évaluer le niveau de sécurité de chaque outil d'IA. Cela inclut les capacités de codage, à savoir sa capacité à générer du code avec de bons modèles de codage sûrs qui ne peuvent pas être exploités par les acteurs de la menace. »

L'IA rendra plus difficile l'entrée sur le terrain pour les développeurs juniors

« Les obstacles à l'entrée pour les développeurs sont plus nombreux que jamais. Avec une main-d'œuvre hybride et distribuée et le niveau de compétences requis pour les postes d'entrée de gamme, la barre continue de monter chaque année pour les développeurs débutants. En 2025, les employeurs commenceront à s'attendre à ce que les développeurs débutants possèdent déjà les compétences et les connaissances nécessaires pour intégrer et optimiser les outils d'IA en toute sécurité dans leur flux de travail lorsqu'ils entrent en fonction, plutôt que de consacrer du temps à la formation en cours d'emploi. Au cours de la prochaine année, les développeurs qui n'apprendront pas à tirer parti des outils d'IA dans leur flux de développement seront confrontés à des conséquences importantes sur leur propre évolution de carrière et auront des difficultés à trouver des opportunités d'emploi. Ils risquent d'entraver leur « licence de programmation », ce qui les empêche de participer à des projets plus complexes, car une maîtrise sûre de l'IA deviendra finalement essentielle. »

Le temps empêchera les organisations de parvenir à la sécurité dès la conception

« Les développeurs ont besoin de suffisamment de temps et de ressources pour améliorer leurs compétences et se familiariser avec les bons outils et les bonnes pratiques afin de parvenir à la « sécurité dès la conception ». À moins que les organisations n'obtiennent l'adhésion des responsables de la sécurité et de l'ingénierie, leurs progrès seront entravés, voire totalement bloqués. Lorsque les organisations tentent de réduire les coûts ou de restreindre les ressources, elles donnent souvent la priorité aux efforts de remédiation immédiats plutôt qu'aux solutions à long terme, en se concentrant sur des outils de remédiation à multiples facettes qui font certaines choses « correctement » et tout le reste « médiocre ». En 2025, ce déséquilibre créera une plus grande disparité entre les organisations qui accordent la priorité au développement de logiciels sécurisés et celles qui souhaitent simplement une solution rapide pour suivre le rythme d'un environnement en mutation. »

Les audits de sécurité de la chaîne d'approvisionnement joueront un rôle essentiel dans l'atténuation des risques mondiaux

« Tous les fournisseurs externalisés/tiers vont commencer à faire l'objet d'une surveillance accrue. Vous pouvez avoir le meilleur programme de sécurité en interne, mais pour les entreprises vers lesquelles vous externalisez, si elles ne mettent pas en œuvre Secure by Design, l'ensemble du cadre de sécurité peut être compromis. En conséquence, les entreprises vont procéder à des audits approfondis de leurs efforts d'externalisation, faisant pression sur les chefs d'entreprise pour qu'ils suivent des directives strictes en matière de sécurité et de conformité du secteur. En fin de compte, le succès des équipes de sécurité dépend d'une vision globale à 360 degrés, y compris d'une approche unifiée à l'échelle de l'organisation et de tous les partenaires externes. »

L'IA jouera un rôle déterminant dans « Cutting Through the Noise »

»Les équipes de développement sont confrontées à des taux de faux positifs grâce aux scanners de vulnérabilité du code. Comment peuvent-ils être sûrs que les vulnérabilités qui leur sont attribuées constituent réellement un risque de sécurité ? En 2025, l'IA sera un outil essentiel pour aider les développeurs à « se débrouiller » en matière de correction du code, permettant ainsi de mieux comprendre le code lui-même. En tirant parti de l'apprentissage automatique, l'IA peut mieux hiérarchiser les menaces réelles en fonction du contexte, réduisant ainsi le temps passé à améliorer la précision des alertes de sécurité. Cela permettra aux équipes de se concentrer sur les vulnérabilités qui présentent réellement un risque, d'améliorer l'efficacité globale et de permettre des cycles de développement plus rapides et plus sûrs. »

L'analyse comparative sera la solution permettant aux organisations d'atteindre leurs objectifs de sécurité dès la conception

« L'absence de référence en matière de sécurité s'avérera préjudiciable aux organisations en 2025, car elles ne disposeront d'aucune base de référence claire pour mesurer leurs progrès en matière de conformité aux normes Secure by Design. En l'absence d'un système d'analyse comparative permettant d'évaluer la manière dont les équipes adhèrent aux pratiques de codage sécurisées, ces organisations risquent d'introduire par inadvertance des vulnérabilités susceptibles d'entraîner une violation majeure. Et en cas de violation, ils n'auront probablement pas le temps de mettre en œuvre un système d'analyse comparative, mais seront contraints d'accélérer leurs initiatives SBD sans avoir préalablement évalué la maturité de leurs équipes de développeurs en matière de sécurité, exposant ainsi leur organisation à des risques encore plus importants. »

La dette technique au détriment du code généré par l'IA

« Ce n'est un secret pour personne que l'industrie est déjà confrontée à un énorme problème de dette technique, et ce, en raison du code qui a déjà été écrit. Avec l'augmentation de la dépendance aveugle des développeurs à l'égard d'un code généré par l'IA, intrinsèquement peu sécurisé, ainsi que le contrôle exécutif limité, la situation ne fera qu'empirer. Il est fort possible que cette dynamique nous conduise à une multiplication par 10 des CVE signalés l'année prochaine. »

Pour réussir en 2025, les entreprises doivent être prêtes à introduire l'IA de manière responsable et sécurisée, tout en investissant dans la formation appropriée et l'atténuation des risques pour leurs équipes de développement. Alors que l'année prochaine marquera le premier anniversaire de l'engagement de CISA en matière de sécurité dès la conception, les marques qui conserveront leur avantage concurrentiel sont celles qui accordent la priorité à leur approche de développement sécurisé afin d'éliminer au mieux les risques associés à l'IA, aux problèmes de sécurité des tiers et aux nouvelles menaces émergentes.

Slogan

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
Slogan

Explore more blogs

Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Blog
Filter Label
This is some text inside of a div block.

The Future of AI Software Governance Is Built on Strong Partnerships

Discover why Secure Code Warrior is becoming a channel-first company and how trusted partners help organizations adopt AI Software Governance securely and at scale.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Citizen AI by Secure Code Warrior: Build an AI-Ready Workforce

Secure Code Warrior's AI literacy program for non-developer employees.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)

Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo
trust score