Au cours des dernières années, la codification assistée par l’intelligence artificielle, connue comme le codage d’ambiance, a été consolidée comme une pratique largement adoptée dans le développement de logiciels et de processus de sécurité. Selon le rapport State of Cloud Security Report 2025 de Palo Alto Networks, 99 % des organisations utilisent des agents d’IA dans leurs processus de développement. Cependant, la dernière information de l’Unité 42, l’unité de renseignement de Palo Alto Networks, alerte sur le fait que cette nouvelle forme de programme peut générer des risques de sécurité significatifs s’il est adopté sans contrôles adéquats et sans une évaluation correcte des risques associés.
Ces outils permettent aux professionnels de la programmation et du développement, ainsi qu’aux développeurs citoyens ou aux profils sans connaissances techniques avancées en révision de code ou de sécurité, de générer de grands volumes de code fonctionnel à un moment donné. Cependant, le code généré peut contenir des vulnérabilités occultes, des maladies pratiques de sécurité ou des dépendances qui introduisent des risques supplémentaires, les choses pasan desapercibidose durant les essais initiaux et seules se détectent quand vous êtes en production, amplifiant les risques opérationnels et réputation.
Del desarrollo asistido al riesgo automatisé
Selon l’unité 42, le principal problème ne réside pas dans la technologie ici, mais dans la fausse sensation de sécurité qui peut générer, occultant les difficultés de détection dans les phases temporaires et subissant les risques réels. Le vibe coding ou le code créé pour « vérifier correctement » et remplir sa fonction, mais il n’est pas conçu de manière native pour remplir les normes de codage sécurisé, afin d’augmenter les risques de sécurité depuis l’origine.
En introduisant des changements pertinents dans la forme qui surgissent les vulnérabilités, de nombreuses erreurs de sécurité proviennent directement de la phase de développement, lorsque le code est généré automatiquement à grande vitesse, augmentant ainsi les risques d’intégration dans le processus différent des erreurs telles que :
• Assurez la sécurité des applications qui provoquent une violation de la sécurité et augmentez les risques d’exposition des données.
• L’installation logique de la plate-forme qui effectue l’exécution du code non autorisé, augmentant ainsi les risques opérationnels.
• L’installation logique de la plate-forme qui permet d’élucider l’authentification, générant des risques critiques d’accès indépendant.
• Élimination indépendante d’une base de données qui provoque une perte de données et de graves risques pour la continuité du commerce.
De plus, ces outils peuvent devenir un nouvel objectif pour les cyberdélinquants, qui doivent exploiter les risques associés à leur utilisation technique intermédiaire, comme l’injection d’instructions dans les programmeurs ou l’utilisation de fragments de codes procéduraux de sources externes que les logiciels malveillants, ampliando aún más los riesgos d’attaque.
Assurer la « vie du code » : une priorité stratégique
Pour faire face à ce scénario, l’Unité 42 a présenté le marco SHIELD, conçu pour réintroduire les principes de conception sûre dans la codification assistée par l’intelligence artificielle et réduire les risques dérivés de votre adoption. Cette marque propose aux organisations un guide pratique pour équilibrer la productivité du codage d’ambiance avec une gestion efficace des risques, évitant que l’innovation se traduise sur une grande surface d’attaque :
• S – Séparation des tâches : les plates-formes de codage d’ambiance peuvent otorgar privilegios excesivos, augmentant les risques. Evita funciones incompatibles y limita a los agents de IA a entornos de desarrollo y prueba.
• H – Human in the Loop : exige une révision humaine obligatoire et une approbation des relations publiques pour tout code critique, en atténuant les risques liés à la clé.
• I – Validation d’entrée/sortie : instructions séparées confiables de données non confiables et applications de validation de sécurité (SAST) avant de fusionner le code pour réduire les risques.
• E – Appliquer des modèles d’assistance axés sur la sécurité : utiliser des agents spécialisés pour valider la sécurité, détecter les secrets et vérifier les contrôles avant l’exécution, contrôler les risques.
• L – Least Agency : applique le principe du minimum de privilèges, restreignant les accès et les commandes destructives pour limiter les risques.
• D – Contrôles techniques défensifs : mettre en œuvre le SCA et désactiver l’auto-éjection pour renforcer la surveillance et minimiser les risques lors du déroulement.
Le Marco SHIELD propose aux organisations un guide pratique pour équilibrer la productivité du codage vidéo avec une gestion efficace des risques.
Alors que le codage d’ambiance représente une évolution naturelle dans le développement des logiciels, Palo Alto Networks affirme que de nombreuses organisations ont adopté des principes de sécurité consolidés, comme le « privilège minimum », en faveur de la rapidité et de la fonctionnalité, en assumant des risques inutiles.
Par conséquent, cette pratique ne doit pas être adoptée sans une révision approfondie des fonctions de sécurité et des risques associés, car la protection ne peut pas être limitée aux phases finales du cycle de vie de l’application, si elle est intégrée depuis la conception et la génération initiale du code, garantissant un développement sûr, fiable et avec des risques contrôlés.
