Veracode, un leader en gestion des risques applicatifs, a publié son rapport sur la sécurité du code généré par l’IA pour 2025, mettant en lumière des problèmes de sécurité significatifs dans le code produit par l’intelligence artificielle. L’étude a examiné 80 tâches de codage à travers plus de 100 modèles de langage de grande envergure, révélant que l’IA introduit des vulnérabilités de sécurité dans 45 % des cas. Malgré les progrès réalisés dans la génération de code syntaxiquement correct, la performance en matière de sécurité de l’IA stagne.
Les modèles d’IA de nouvelle génération optent souvent pour des méthodes de codage non sécurisées, comme l’a souligné Jens Wessling, directeur technique chez Veracode. Il a exprimé ses inquiétudes face à la tendance du “vibe coding”, où les développeurs se reposent sur l’IA sans spécifier d’exigences de sécurité. Ce changement permet à l’IA de prendre des décisions critiques en matière de sécurité, souvent au détriment de la sûreté. De plus, l’IA aide les attaquants en identifiant et en exploitant rapidement les vulnérabilités, augmentant ainsi la menace pour les mesures de sécurité traditionnelles.
Le rapport a révélé que Java est particulièrement risqué pour la génération de code par l’IA, avec un taux d’échec en matière de sécurité dépassant les 70 %. D’autres langages comme Python, C# et JavaScript présentent également des risques significatifs. Les modèles de langage de grande envergure peinent à gérer des problèmes de sécurité tels que le cross-site scripting et l’injection de journaux, échouant à sécuriser le code dans la majorité des cas.
Veracode suggère que les organisations intègrent des programmes de gestion des risques complets pour atténuer ces risques, en soulignant la nécessité d’outils capables de détecter et de corriger les vulnérabilités dès le début du processus de développement. L’entreprise insiste sur l’importance de faire évoluer la sécurité parallèlement aux capacités de l’IA pour éviter l’accumulation d’une dette de sécurité.
