La plupart des développeurs (85 %) et des équipes de sécurité (75 %) ont des inquiétudes en matière de sécurité quant au fait de s'appuyer sur l'IA générative (GenAI) pour développer des logiciels, révèle un rapport de Legit Security.Ces inquiétudes sont soulignées par une étude de 2023 portant sur les capacités de génération de code informatique de ChatGPT, le chatbot d'IA générative d'OpenAI. Le rapport de l'étude a en effet révélé que ChatGPT génère non seulement du code informatique peu sûr, mais ne vous le dira pas à moins que vous ne le lui demandiez. Le chatbot ne fournirait donc des conseils utiles pour améliorer la qualité du code qu'après avoir été invité à remédier aux problèmes détectés par l'utilisateur. Les auteurs mettent ainsi en garde contre les risques d'une surconfiance en ChatGPT
Le récent rapport de Legit Security, basé sur une enquête menée auprès de plus de 400 professionnels de la sécurité et développeurs de logiciels en Amérique du Nord, révèle que 96 % des professionnels de la sécurité et du développement de logiciels déclarent que leurs entreprises utilisent des solutions basées sur l'IA générative pour créer ou fournir des applications.
Parmi ces répondants, 79 % indiquent que toutes ou la plupart de leurs équipes de développement utilisent régulièrement l'IA générative. Cependant, 84 % des professionnels de la sécurité sont préoccupés par l'utilisation des assistants de codage et citent les codes inconnus et/ou malveillants comme leur principale préoccupation. Tandis que 98 % estiment que les équipes de sécurité ont besoin de mieux maîtriser la façon dont les solutions basées sur la GenAI sont utilisées dans le développement. 94 % déclarent avoir besoin de moyens plus efficaces pour gérer l'utilisation de l'IA générative dans les efforts de recherche et de développement de leur entreprise.
« Alors que l'IA générative transforme le développement logiciel et s'intègre de plus en plus dans le cycle de vie du développement, il existe de réelles préoccupations en matière de sécurité parmi les développeurs et les équipes de sécurité », déclare Liav Caspi, cofondateur et directeur technique chez Legit. « Notre recherche a révélé que les équipes doivent trouver un équilibre entre les innovations de la GenAI et les risques qu'elle introduit en exposant leurs applications et leur chaîne d'approvisionnement logicielle à de nouvelles vulnérabilités. Bien que l'IA générative soit sans aucun doute l'avenir du développement logiciel, les organisations doivent être conscientes de ses nouveaux risques et s'assurer qu'elles disposent de la visibilité et du contrôle appropriés sur son utilisation. »
Les développeurs sont plus nombreux que les professionnels de la sécurité à s'inquiéter de la perte d'esprit critique due à l'utilisation de l'IA dans le développement de logiciels (8 % contre 3 %). 95 % des répondants prévoient que les développeurs de logiciels seront plus dépendants de l'IA générative au cours des cinq prochaines années, aucun ne prévoyant une diminution de la dépendance.
Outre ces précédentes inquiétudes liées l'utilisation de l'IA dans le développement de logiciels, des questions se posent également quant à l'efficacité réelle de la technologie. Les assistants d'IA de codage font-ils vraiment gagner du temps aux développeurs ? Une étude révèle que ces outils n'augmentent pas la vitesse de codage, mais augmentent significativement le taux de bogues. L'étude, réalisée par Uplevel, révèle notamment que l'utilisation de GitHub Copilot a entraîné une augmentation de 41 % des bogues, soulevant des inquiétudes quant à la qualité du code. En outre, malgré la diminution des heures de travail pour les groupes de contrôle et de test, ceux qui ont utilisé GitHub Copilot n'ont pas été soulagés de l'épuisement professionnel, ce qui indique l'efficacité limitée de l'outil dans la réduction du stress lié au travail. En somme, les développeurs passeraient donc plus de temps à examiner le code généré par l'IA, ce qui pourrait contrebalancer tout gain de temps.
Source : "Use and Security of GenAI in Software Development" (Etude de Legit Security)
Et vous ?
Quel est votre avis sur le sujet ? Trouvez-vous les conclusions de cette étude de Legit Security crédibles ou pertinentes ?Voir aussi :
Les défis croissants du code généré par l'IA : le code généré par l'IA pourrait augmenter la charge de travail des développeurs et accroître les risques, selon Harness Les failles de sécurité dans les applications d'IA montent en flèche, le nombre de vulnérabilités Zero Day liées à l'IA a triplé depuis novembre 2023, selon les dernières conclusions de Protect AI Copilot Autofix : la réponse de l'IA aux problèmes de vulnérabilité du code, le nouvel outil d'analyse de GitHub, piloté par l'IA, promet de révolutionner la détection et la correction des vulnérabilités