Les outils d’IA pour écrire du code ne présagent rien de bon pour la cybersécurité

De nombreux risques de cybersécurité peuvent être attribués à des vulnérabilités qui étaient connues mais non résolues avant le déploiement d’une application en production. Les cybercriminels recherchent régulièrement ces vulnérabilités, car elles sont très fréquemment déployées ou laissées sans correctif. En fait, la liste des 10 plus fréquentes vulnérabilités trouvées dans les applications Web par la Fondation OWASP change rarement.

Alors que la quantité de code générée continue d’augmenter, on peut probablement affirmer que le nombre de vulnérabilités déployées dans les environnements de production continuera de croître. La plupart des grands modèles linguistiques (LLM) utilisés pour générer du code ont été entraînés à l’aide d’échantillons de code de qualité variable provenant du Web. Par conséquent, les nouvelles applications créées à l’aide de ce code généré présenteront de nombreuses vulnérabilités similaires à celles qui apparaissaient dans le code original utilisé pour entraîner le LLM.

De nombreux professionnels de la cybersécurité sont déjà conscients des implications. Une enquête auprès de 800 décideurs en matière de sécurité révèle que presque tous (92 %) s’inquiètent de l’utilisation de code généré par de grands modèles linguistiques (LLM) dans les applications.

Menée par Venafi, fournisseur d’une plateforme de sécurisation des identités des machines, l’enquête révèle également que 63 % des répondants ont envisagé d’interdire l’utilisation de l’IA dans le codage en raison des risques de sécurité. Cependant, 72 % ont également concédé qu’ils n’avaient pas d’autre choix que de permettre aux développeurs d’utiliser l’IA si leur organisation veut rester compétitive.

Deux tiers (63 %) des personnes interrogées ont également déclaré qu’il était impossible de régir l’utilisation sûre de l’IA dans leur organisation parce qu’elles ne savent pas où elle est utilisée. Moins de la moitié (47 %) ont déclaré que leur organisation avait mis en place des politiques pour garantir l’utilisation sûre de l’IA dans les environnements de développement.

Enfin, plus des trois quarts (78 %) ont déclaré que le code développé par l’IA permettrait de résoudre des problèmes de sécurité, 59 % d’entre eux perdant déjà le sommeil à cause des implications de l’IA en matière de sécurité.

Les équipes de cybersécurité ne peuvent pas faire grand-chose à ce stade si ce n’est continuer à encourager les équipes de développement d’applications à adopter les meilleures pratiques du DevSecOps afin d’identifier et de corriger le plus de vulnérabilités possible avant la création des logiciels. En attendant, il est presque certain qu’un tsunami de vulnérabilités se manifestera dans les environnements de production dans les mois à venir. Il est à espérer que ces vulnérabilités seront détectées et atténuées avant d’être exploitées.

Aussi troublant que cela puisse être, il existe néanmoins des raisons d’être optimiste. La prochaine génération de LLM est entraînée à l’aide d’un code qui a été rigoureusement examiné. Ces LLM devraient générer un code de bien meilleure qualité que les LLM tels que ChatGPT qui ont été entraînés à l’aide de bots qui ont collecté du code presque partout et n’importe où. Plutôt que de dire aux équipes de développement d’applications qu’elles ne peuvent pas utiliser d’outils d’IA, les équipes de cybersécurité seraient mieux avisées d’encourager les équipes de développement d’applications à utiliser des LLM qui ont été soit spécifiquement conçus pour créer des applications, soit personnalisés pour réduire le nombre de vulnérabilités générées.

Il faut s’y résoudre, le génie de l’IA générative est sorti et n’est pas près de retourner dans sa bouteille. Les développeurs d’applications vont utiliser ces outils avec ou sans autorisation. Ce que les équipes de cybersécurité doivent retenir, c’est que ces outils ne sont pas identiques. Il s’agit maintenant d’identifier ceux qui ont une réelle compréhension des principes fondamentaux de la sécurité des applications.