L’IA promet d’améliorer la sécurité des applications

On ne sait pas exactement dans quelle mesure l’intelligence artificielle (IA) pourrait améliorer la cybersécurité, mais il y a des raisons d’être optimiste. Une enquête menée par Evan Data auprès de 3 093 développeurs révèle qu’un tiers d’entre eux (33 %) s’attendent à ce que l’IA améliore la sécurité du code. Cependant, nul ne sait précisément quand et comment.

Les développeurs d’applications n’ayant pas tous les mêmes compétences en matière de sécurité, certains utilisent déjà des plateformes d’IA générative pour les aider à écrire du code plus sécurisé grâce aux recommandations fournies. Cependant, dans certains cas, ces plateformes peuvent aussi être à l’origine d’un plus grand nombre de vulnérabilités dans les applications.

Cette problématique s’explique par le mode d’entraînement de la première vague de plateformes d’IA générative. Par exemple, le processus d’entraînement de ChatGPT comprenait la collecte de contenu à partir de diverses sources sur le Web, qui englobait des échantillons de code contenant des vulnérabilités connues dans de nombreux cas. Sans surprise, une partie du code généré par ces plateformes présente les mêmes vulnérabilités connues. Les développeurs qui manquent d’expertise en cybersécurité ont tendance à se fier aux recommandations des plateformes d’IA générative, ce qui peut entraîner une augmentation des vulnérabilités qui se retrouvent dans les applications à mesure que le rythme d’écriture du code s’accélère.

Fort heureusement, la prochaine génération de grands modèles de langage (LLM) utilisés pour générer du code est en cours d’entraînement sur des échantillons dont les vulnérabilités ont été vérifiées par des experts. L’intégration de ces LLM dans les outils employés par les développeurs pour écrire du code améliorera la qualité globale du code généré. Outre les développeurs eux-mêmes, les professionnels de la cybersécurité, qui consacrent beaucoup de temps à la recherche de ces vulnérabilités dans les logiciels, sont les premiers à s’en réjouir.

En théorie du moins, l’IA devrait à terme améliorer les relations entre les professionnels de la cybersécurité et les développeurs d’applications. La plupart des alertes de vulnérabilité que reçoivent les développeurs se révèlent souvent être de fausses alertes, principalement parce que la vulnérabilité n’est pas réellement présente dans le code exécuté dans un environnement de production ou l’application elle-même n’est pas connectée à l’Internet. Plus les développeurs sont inondés d’alertes, plus ils risquent de ne plus y prêter attention. L’IA permet à la fois d’identifier et de corriger les vulnérabilités au moment où un développeur écrit du code, ce qui devrait réduire le nombre d’alertes générées longtemps après qu’il est passé à son prochain projet.

La plupart des développeurs ne consacrent qu’environ 10 % de leur temps à créer des correctifs pour les applications existantes. La pression liée au respect des délais pour les nouvelles applications est souvent trop forte pour qu’ils puissent résoudre les problèmes qui concernent les applications existantes. Cependant, si une plateforme d’IA générative peut créer le correctif nécessaire, les développeurs débutants devraient avoir plus de facilité à résoudre les problèmes d’une application qu’ils n’ont pas initialement écrite sans causer trop de dégâts. Si les entreprises ne corrigent pas les applications aussi souvent qu’elles le pourraient, c’est essentiellement en raison de la crainte des développeurs qu’un correctif ne détruise une application. Une vulnérabilité connue peut donc persister, car le risque de perturbation de l’activité peut être trop important.

Bien entendu, à l’ère des ransomwares, l’entreprise n’a peut-être pas plus à perdre en s’abstenant de corriger les applications quand tout à coup, les données dont l’organisation dépend pour fonctionner se retrouvent chiffrées. De nos jours, ne pas appliquer de correctif à une application comporte souvent plus de risques que de l’appliquer.

Espérons que l’IA résoudra un jour tous ces conflits inhérents. En attendant, les professionnels de la cybersécurité doivent s’assurer que tout le code généré aujourd’hui par l’IA ne va pas faire plus de mal que de bien.