Pour tirer parti des avantages de l'innovation en matière d'IA, il faut commencer par un code sécurisé

Les développeurs de logiciels ont montré qu'ils étaient prêts et disposés à utiliser l'intelligence artificielle générative (IA) pour écrire du code, et ils ont généralement obtenu des résultats favorables. Mais il existe également de nombreux signes indiquant qu'ils pourraient jouer à un jeu dangereux.
Selon un récent enquête réalisée par GitHub, plus de 90 % des développeurs américains utilisent des outils de codage basés sur l'IA, invoquant des avantages tels que des délais de traitement plus rapides, une résolution rapide des incidents et un environnement plus collaboratif, ce qui leur semble important. L'utilisation d'outils d'IA permet aux développeurs de déléguer des tâches de routine, ce qui leur permet de travailler sur des emplois plus créatifs qui profitent à leur entreprise et, ce n'est pas un hasard, de réduire les risques d'épuisement professionnel.
Cependant, des études ont également montré que les outils d'IA ont tendance à introduire des failles lors de l'écriture de code. UNE enquête réalisée par Snyk a constaté que même si 75,8 % des personnes interrogées ont déclaré que le code IA est plus sécurisé que le code humain, 56,4 % ont admis que l'IA posait parfois des problèmes de codage. Il est alarmant de constater que 80 % des personnes interrogées ont déclaré avoir contourné les politiques de sécurité des codes d'IA pendant le développement.
Depuis OpenAI Chat GPT lancée en novembre 2022, l'utilisation de modèles d'IA génératifs s'est répandue à une vitesse fulgurante tout au long du processus de développement de code dans les services financiers, comme elle l'a fait dans de nombreux autres domaines. L'émergence rapide d'autres modèles, tels que Copilote GitHub, Codex OpenAI, et un liste croissante d'autres, suggère que nous n'avons qu'une première idée de ce que l'IA générative peut faire et de l'impact qu'elle peut avoir. Mais pour que cet impact soit positif, nous devons nous assurer que le code généré est sécurisé.
Les bugs de codage peuvent se propager rapidement
Qu'il soit créé par des développeurs humains ou par des modèles d'IA, le code va contiennent des erreurs. L'IA aidant à accélérer le développement de code pour répondre aux exigences toujours croissantes des environnements informatiques hautement distribués et basés sur le cloud, les risques que le code incorrect se propage largement avant d'être détecté pourraient augmenter.
Les modèles d'IA entraînés à écrire du code ingéreront des milliers d'exemples de code qui exécutent diverses tâches, puis ils pourront s'appuyer sur ces exemples pour créer leur propre code. Mais si les échantillons à partir desquels il fonctionne contiennent des failles ou des vulnérabilités, qu'elles aient été créées à l'origine par un humain ou une autre IA, le modèle pourrait transférer ces failles dans un nouvel environnement.
Considérant des recherches ont montré selon laquelle les modèles d'IA ne sont pas capables de reconnaître de manière fiable les failles du code qu'ils utilisent, il existe peu de défense intégrée contre la propagation des failles et des vulnérabilités. Non seulement l'IA commettra des erreurs de codage, mais elle répétera ses propres erreurs et celles d'autres sources jusqu'à ce que la vulnérabilité soit identifiée plus tard, peut-être sous la forme d'une violation réussie d'une entreprise utilisant le logiciel qu'elle a créé.
La véritable défense contre la prolifération des failles de codage réside dans la collaboration entre les humains et les modèles d'IA. Les développeurs humains devraient superviser l'écriture du code d'IA et servir de frein aux pratiques de codage non sécurisées et au code vulnérable. Mais pour cela, les développeurs doivent être parfaitement formés aux meilleures pratiques en matière d'écriture de code sécurisée afin de pouvoir identifier les erreurs de codage qu'une IA pourrait commettre et les corriger rapidement.
Les défis de la création et de la correction de codes d'IA
L'explosion soudaine de grands modèles de langage (LLM) tels que ChatGPT a été en quelque sorte une arme à double tranchant. D'un côté, les entreprises et les utilisateurs ordinaires ont constaté d'énormes gains de productivité grâce à l'utilisation de l'IA pour gérer des tâches fastidieuses, onéreuses ou difficiles. D'un autre côté, il existe de nombreux exemples de ce qui peut mal tourner lorsque l'on fait aveuglément confiance à l'IA pour gérer le travail.
Les modèles d'IA ont créé erreurs flagrantes, a fait preuve de partialité et a produit hallucinations pures et simples. Dans de nombreux cas, le problème était dû à des données de formation inadéquates ou irresponsables. La qualité de tout modèle d'IA dépend des données sur lesquelles il est entraîné. Il est donc essentiel que les données d'entraînement soient complètes et soigneusement vérifiées. Même dans ce cas, certaines erreurs seront commises.
L'utilisation de l'IA pour le codage se heurte à bon nombre des mêmes obstacles. Il a été démontré que le code généré par l'IA contient toute une série de failles, telles que des vulnérabilités liées au cross-site scripting et à l'injection de code, ainsi que des attaques spécifiques à l'IA et à l'apprentissage automatique (ML), telles que injection rapide. Les modèles d'IA fonctionnent également dans une boîte noire car leurs processus ne sont pas transparents, ce qui empêche une équipe de sécurité ou de développement de voir comment une IA parvient à ses conclusions. Par conséquent, le modèle peut répéter les mêmes erreurs encore et encore. Les mêmes lacunes qui peuvent affecter l'écriture de code se répercutent également sur l'utilisation de l'IA pour correction du code et en respectant les exigences de conformité.
Le potentiel de failles créées ou répétées par les modèles d'IA a augmenté au point que les LLM disposent désormais de leur propre liste OWASP (Open Web Application Security Project) les dix principales vulnérabilités.
Les développeurs et l'IA peuvent travailler ensemble pour créer un code sécurisé
Les inquiétudes concernant les failles potentielles du code généré par l'IA pourraient inciter certaines organisations à réfléchir, ne serait-ce que brièvement, à l'idée d'aller de l'avant avec cette technologie. Mais les avantages potentiels sont trop importants pour être ignorés, d'autant plus que les développeurs d'IA continuent d'innover et d'améliorer leurs modèles. Le secteur des services financiers, pour sa part, a peu de chances de remettre le génie dans la bouteille. Les banques et les sociétés de services financiers sont déjà axées sur la technologie et elles opèrent dans un domaine où elles recherchent toujours un avantage concurrentiel.
L'essentiel est de mettre en œuvre des modèles d'IA de manière à minimiser les risques. Cela signifie avoir des développeurs sensibilisés à la sécurité et parfaitement formés aux meilleures pratiques de codage sécurisé, afin qu'ils puissent écrire eux-mêmes du code sécurisé et surveiller de près le code produit par les modèles d'IA. En associant les moteurs d'IA et les développeurs humains dans le cadre d'un partenariat étroit, les développeurs ayant le dernier mot, les entreprises peuvent bénéficier des avantages d'une productivité et d'une efficacité accrues tout en améliorant la sécurité, en limitant les risques et en garantissant la conformité.
Pour un aperçu complet de la manière dont le codage sécurisé peut contribuer à garantir le succès, la sécurité et les bénéfices des sociétés de services financiers, vous pouvez lire le nouveau guide Secure Code Warrior : Le guide ultime des tendances en matière de sécurité dans les services financiers.
Consultez le Secure Code Warrior des pages de blog pour en savoir plus sur la cybersécurité, le paysage des menaces de plus en plus dangereuses, et pour savoir comment vous pouvez utiliser des technologies innovantes et des formations pour mieux protéger votre organisation et vos clients.
Govern AI-driven development before it ships
Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.
Explore more blogs
Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.
%252520%252520(3).avif)
Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Security as culture: How Blue Prism cultivates world-class secure developers
Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

One Culture of Security: How Sage built their security champions program with agile secure code learning
Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.
.webp)
Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)
Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.
Secure AI-driven development before it ships
See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.


