IA et cybersécurité – Le RSSI met en garde contre le « fléau » de la perte de compétences liée au vibe coding D'où vient votre code ? D'une IA ? Alors, il doit être parfait, non ? Faux. Un nouveau rapport expose les risques, et le RSSI du fournisseur alerte sur des problèmes à long terme.

La cybersécurité continue de présenter un paysage complexe, où chaque nouvelle innovation cloud semble ouvrir la porte à de nouveaux bugs et vulnérabilités. Le vieil adage selon lequel une organisation n'est aussi sûre que son maillon le plus faible, souvent humain, reste douloureusement vrai. Les nouvelles technologies remettent en question notre comportement quotidien et testent en qui ou quoi nous pouvons vraiment avoir confiance. Mais désormais, le risque s'infiltre plus profondément — intégré dans l'infrastructure de base et même dans les applications que les entreprises déploient. La partie effrayante ? Parfois, même les développeurs eux-mêmes ne peuvent pas identifier ces faiblesses, encore moins les corriger.\n\nCela touche surtout les Directeurs de la Sécurité des Systèmes d'Information (RSSI) et leurs équipes. Le coupable ? L'intelligence artificielle, en particulier la montée du code généré par IA et l'essor du vibe coding — où le code est produit rapidement avec l'aide de l'IA. Un rapport récent d'Aikido, spécialiste de la sécurité cloud et code, met en lumière cette menace croissante. Leur rapport "État de l'IA en sécurité et développement" dresse un tableau saisissant du tiraillement entre rapidité et sécurité alors que l'adoption de l'IA explose. Il est clair que les équipes précipitent les produits sur le marché, souvent avec une mentalité « sortir maintenant, patcher plus tard », ce qui élargit la surface d'attaque.\n\nL'étude, basée sur des interviews de 450 professionnels en Europe et aux États-Unis — incluant développeurs, responsables sécurité et ingénieurs sécurité applicative — a révélé que 69 % des organisations ont découvert des vulnérabilités liées au code généré par IA. Plus alarmant encore, 20 % ont signalé des incidents de sécurité graves attribués à cette cause. Étant donné que les incidents sont déjà fréquents — 27 % des organisations ont été durement touchées l'année passée — la question se pose : combien de violations restent non détectées ?\n\nLes enjeux ne pourraient être plus élevés. Des gros titres récents révèlent comment des services publics et des grandes marques ont été compromis, parfois à cause de systèmes fragiles plutôt que d'attaques directes — une réalité connue des géants comme Amazon et Microsoft. L'automatisation accélère les choses mais souvent au prix d'introduire des failles difficiles à détecter. Et cela nous mène à des eaux troubles concernant la responsabilité. Qui est responsable quand un code écrit par IA cause des dommages ? Est-ce le codeur qui a utilisé l'outil, le fournisseur d'IA qui a construit un système défaillant, ou l'équipe sécurité qui a manqué l'exploitation ?\n\nLégalement, la responsabilité incombe aux dirigeants, ce que le rapport souligne en montrant que 75 % des RSSI ont dû gérer des incidents graves récemment — bien plus que le nombre d'organisations admettant des violations majeures. Malgré cela, beaucoup de répondants ne savent pas vraiment qui est fautif. Plus de la moitié blâment l'équipe sécurité pour avoir manqué les exploits ; près de la moitié blâment les développeurs pour avoir généré le code risqué ; moins nombreux pointent du doigt les fournisseurs d'IA. Ce jeu de blâme complexe souligne les défis de gouvernance que le vibe coding introduit, créant un effet miroir où la responsabilité est difficile à cerner.\n\nLa confiance est une grande partie du problème. Sommes-nous vraiment prêts à faire confiance aux outils IA pour coder à cette échelle, surtout quand on sait que les grands modèles de langage et les chatbots peuvent halluciner, diffuser de la désinformation, et même violer des droits d'auteur ? Le vibe coding n'est pas différent — il hérite de ces risques. De plus, la prolifération d'outils de sécurité censés combattre ces problèmes cause ironiquement plus de maux de tête. Le rapport note que les équipes utilisant de nombreux outils de fournisseurs distincts font face à plus d'incidents et à des corrections plus longues à cause de problèmes d'intégration, comme des alertes en double et des données incohérentes. Les approches intégrées de sécurité applicative et cloud, quant à elles, montrent des taux d'incidents plus faibles.\n\nD'un point de vue humain, il est clair que les ingénieurs sécurité restent cruciaux. Un quart des RSSI avertissent que la perte même d'un seul expert en sécurité pourrait déclencher des violations graves, des retards dans la réponse aux incidents, et ralentir le développement produit. Le facteur humain compte toujours profondément, malgré l'engouement pour l'IA.\n\nDans une interview exclusive, Mike Wilkes, RSSI d'Aikido, a décrit la situation comme « démocratiser la capacité à livrer rapidement du code médiocre ». Il a souligné que l'automatisation et l'infrastructure as code n'ont pas amélioré la qualité du code mais ont juste accéléré la sortie de logiciels défectueux. Maintenant, avec le vibe coding et les outils low-code/no-code, n'importe qui peut produire du code risqué à grande échelle, un peu comme l'IA a démocratisé la création d'art ou de musique médiocre. Cette « démocratisation de la médiocrité » pose des risques réels et tangibles pour l'avenir.