Un nouveau rapport révèle un décalage entre les dirigeants et leur empressement à adopter les outils de codage IA et ceux qui les utilisent réellement et qui sont prudents à l'égard de l'IA.L'étude de Snyk montre que les directeurs techniques et les RSSI sont cinq fois plus nombreux que les développeurs à penser que les outils de codage IA ne présentent aucun risque et deux fois plus nombreux que les développeurs à penser qu'ils sont « extrêmement prêts » à adopter des outils de codage IA.
32 % des personnes interrogées dans la suite C décrivent l'adoption rapide des outils de codage IA comme critique, soit deux fois plus que les personnes interrogées dans le cadre de l'AppSec.
« L'ère de la GenAI est arrivée, et il n'est pas possible de “remettre le génie dans la bouteille”. Nous pensons qu'il incombe désormais au secteur de la cybersécurité de recommander des lignes directrices claires qui nous permettront à tous de bénéficier de cette productivité accrue, sans les sacrifices de sécurité associés », déclare Danny Allan, directeur de la technologie chez Snyk. « Cette dernière étude montre aussi clairement que la mise à l'échelle des outils de codage IA doit être un effort de collaboration. Les directeurs techniques devraient s'efforcer de travailler côte à côte et de faire confiance à leurs chefs d'équipe DevSecOps afin qu'ensemble, nous puissions récolter en toute sécurité tous les avantages de la GenAI sur le long terme. »
Dans l'ensemble, la sécurité du code généré par l'IA n'est pas une préoccupation majeure pour la majorité des organisations interrogées. Près des deux tiers (63,3 %) des personnes interrogées considèrent que la sécurité est excellente ou bonne, et seulement 5,9 % la considèrent comme mauvaise.
Une fois de plus, il y a un décalage, 38,3 % du personnel AppSec estimant que les outils de codage IA sont « très risqués ». Les répondants AppSec s'interrogent également sur les politiques de sécurité de leur organisation concernant les outils de codage IA. Près d'un tiers (30,1 %) des membres de l'équipe AppSec déclarent que les politiques de sécurité de leur organisation en matière d'IA sont insuffisantes, contre 11 % des personnes interrogées de la suite C et 19 % des développeurs/ingénieurs. 19 % des personnes interrogées de la suite C affirment que les outils de codage de l'IA ne sont pas du tout risqués, alors que seulement 4,1 % des personnes interrogées de l'AppSec sont d'accord avec cette affirmation.
Les résultats clés du rapport 2023 AI Code Security Report de Snyk sont présentés ci-dessous :
Selon le rapport 2023 AI Code Security Report de Snyk, 96 % des codeurs utilisent des outils d'IA générative dans leurs flux de travail. Les organisations qui conçoivent des logiciels savent qu'elles doivent adopter ces outils pour rester compétitives et pour attirer et retenir les talents. L'intégration d'outils de codage IA dans le cycle de développement des logiciels pose divers défis en matière de sécurité et d'exploitation. Dans quelle mesure les leaders technologiques et leurs équipes sont-ils prêts pour la nouvelle ère des outils de codage IA ? Et comment se préparent-ils à ce changement important dans la manière dont les logiciels sont écrits ?
Snyk a posé à plus de 400 technologues une série de questions destinées à évaluer le degré de préparation à l'IA de leurs organisations et à mesurer leurs perceptions des outils de codage IA. L'enquête a porté sur trois groupes : les cadres technologiques de haut niveau, les équipes de sécurité des applications et les développeurs/ingénieurs. Ces groupes avaient des points de vue différents sur la sécurité des outils de codage IA et du code, sur l'efficacité des politiques de sécurité du code IA et sur l'état de préparation des organisations au codage IA.
Les organisations sont confiantes dans leur préparation à l'IA, en particulier les dirigeants
Les organisations sont généralement convaincues qu'elles sont prêtes et préparées à adopter l'IA. En réponse aux questions portant directement ou indirectement sur l'état de préparation à l'IA, la majorité des organisations adoptent rapidement l'IA au point de court-circuiter l'analyse standard des cas d'utilisation et les tests de produits avant le déploiement. Pour leur part, les répondants de la suite C sont à la fois plus sûrs que leur organisation est prête à adopter l'IA et plus sûrs que leurs outils d'IA sont sécurisés.
Excellente préparation à l'IA ? Les RSSI et les directeurs techniques sont deux fois plus disposés à adopter l'IA que les développeurs
Dans les trois types de rôles, une majorité de répondants ont déclaré que leur organisation était « extrêmement prête » ou « très prête » pour l'adoption d'outils de codage IA. Moins de 4 % ont déclaré que leur organisation n'était pas prête. Cependant, les répondants de la suite C sont plus confiants que les autres groupes de répondants dans le fait que leur organisation est amorcée et prête pour le déploiement et l'adoption d'outils de codage IA. 40,3 % de ce groupe ont estimé que leur organisation était « extrêmement prête », contre seulement 26 % des membres de l'équipe AppSec et 22,4 % des développeurs. Il n'y avait pas de différence significative entre les RSSI et les CTO, ce qui semble contre-intuitif étant donné l'accent mis sur la sécurité et le risque par les RSSI. Cela pourrait être dû à la pression intense exercée sur le leadership technologique pour déployer rapidement des outils de codage IA et accélérer les processus de développement de logiciels. La réticence d'autres groupes reflète probablement des préoccupations sur le terrain concernant des problèmes de préparation spécifiques liés à la sécurité, à la formation, à la qualité du code et à d'autres détails de la couche de mise en œuvre.
Les organisations craignent sur la sécurité du codage IA mais ne se préparent pas correctement
Malgré des réponses fortement positives concernant la préparation des organisations, les politiques de sécurité, la qualité du code IA et le risque, les personnes interrogées citent toujours la sécurité comme le plus grand obstacle à l'adoption des outils de codage IA. En contradiction apparente avec ce sentiment, ils ne parviennent pas non plus à prendre des mesures de base pour minimiser les risques et préparer leurs organisations, telles que l'exécution de POC et la formation des développeurs sur les outils de codage IA.
Ceux qui travaillent plus étroitement avec le code ont plus de doutes sur les questions de sécurité
Les équipes AppSec ont tendance à avoir une vision plus négative des risques de sécurité de l'IA et de la façon dont leur organisation gère ces risques. Elles avaient notamment une moins bonne opinion de la sécurité du code généré par l'IA, une plus grande perception du risque lié aux outils d'IA et une moins bonne opinion de la suffisance des politiques de sécurité de leur organisation en matière d'IA.
Conclusion
Prêt ou non ? Les répondants sont généralement positifs quant à l'état de préparation des outils de codage IA dans leurs organisations. Ils pensent généralement que leurs politiques de sécurité sont suffisantes et que le code généré par l'IA est sécurisé. Dans l'ensemble, ils estiment être prêts pour l'adoption de l'IA. Cependant, ils restent partagés sur la question de la sécurité des outils de codage IA. Dans tous les rôles, les craintes en matière de sécurité sont perçues comme le plus grand obstacle à l'entrée des outils de codage IA. En ce qui concerne les processus pratiques de préparation, moins d'un cinquième des personnes interrogées ont déclaré que leur organisation avait réalisé des PoC, une étape fondamentale pour l'adoption d'une nouvelle technologie. Et moins de la moitié des répondants ont déclaré que la majorité de leurs développeurs avaient reçu une formation aux outils de codage IA. Ces contradictions peuvent indiquer un manque de planification et de stratégie, ainsi qu'un manque de structure autour de l'adoption de l'IA.
En approfondissant, les répondants à l'enquête ont montré une divergence constante par rôle dans leur perception de la qualité du code, de la sécurité des outils et de l'état de préparation général de l'organisation. Les membres de la suite C ont une vision plus positive des outils de codage IA et de l'état de préparation que les répondants qui travaillent plus près du code ou des processus et politiques de sécurité. En particulier, les membres de l'équipe de sécurité avaient une vision plus sombre de la sécurité des outils de codage IA, ce qui implique que ce groupe influent est exposé à davantage de problèmes générés par le codage IA et réagit en conséquence.
Les contradictions ci-dessus impliquent une planification insuffisante ou une stratégie cohésive autour de l'adoption d'outils de codage IA, ainsi qu'un manque de structure dans la détermination et le respect des conditions préalables nécessaires, potentiellement en raison d'un manque de visibilité interorganisationnelle cohérente. Cela peut s'expliquer par le fait que, comme dans le cas des smartphones et de certains logiciels grand public, l'adoption a d'abord été rapide et incontrôlée avant d'être institutionnalisée par les services informatiques. En ce sens, les déploiements ont pu être initialement chaotiques et difficiles à contrôler par la suite. En fin de compte, cependant, les organisations devraient envisager une approche plus structurée de l'adoption et de la sécurité des outils de codage IA, plus proche des processus d'adoption d'autres types de logiciels d'entreprise. Cette approche devrait également permettre de dissiper les craintes en matière de sécurité et de répondre aux préoccupations majeures des développeurs et des équipes de sécurité. Pour ce faire, elle mettra en place de meilleurs contrôles et équilibres et fournira une approche plus holistique, méthodique et programmatique du déploiement d'un changement fondamental dans le processus de développement de logiciels.
A propos de Snyk
Snyk est une plateforme pour la sécurité des développeurs d’applications et cloud. Elle leur permet de sécuriser l’ensemble de leur application en identifiant et corrigeant les vulnérabilités de leurs premières lignes de code à leur cloud de production. Snyk teste les vulnérabilités du code, les dépendances open source, les images de conteneur, les configurations d’infrastructure en tant que code et les environnements cloud, puis propose un contexte, une priorisation et des solutions de correction.
Source : "2023 AI Code Security Report" (étude de Snyk)
Et vous ?
Quel est votre avis sur le sujet ? Trouvez-vous les conclusions de cette étude de Snyk crédibles ou pertinentes ? Qui a raison ? les développeurs ou les managers ? Quelles sont vos expériences d'utilisation d'outils IA pour le codage ?Voir aussi :
87 % des organisations envisagent d'investir dans des outils de codage Gen AI, et 71 % des développeurs sont actuellement à divers stades d'adoption, allant des essais au déploiement complet Les développeurs écrivent-ils plus de code non sécurisé avec des assistants IA ? Oui, selon une étude qui note que les assistants IA les conduisent à produire du code plus susceptible d'être boggué 92 % des développeurs utiliseraient des outils d'intelligence artificielle, selon une enquête de GitHub auprès des développeurs 
