Communiqués / Actualités > Le code généré par l’IA présente des risques de sécurité majeurs dans près de la moitié des tâches de développement, selon une étude de Veracode
Précédent
Voir tous les communiqués
Suivant

Le code généré par l’IA présente des risques de sécurité majeurs dans près de la moitié des tâches de développement, selon une étude de Veracode

  • Publié le : 30 juillet 2025

Une analyse complète de plus de 100 grands modèles de langage révèle des lacunes en matière de sécurité : Java apparaît comme le langage de programmation le plus risqué, tandis que l’IA ne détecte pas 86 % des menaces liées aux scripts intersites

BURLINGTON, Massachusetts--(BUSINESS WIRE)--Veracode, un chef de file mondial de la gestion des risques applicatifs, a dévoilé aujourd’hui son Rapport 2025 sur la sécurité des codes générés par l’IA générative (2025 GenAI Code Security Report), qui révèle des failles de sécurité critiques dans le code généré par l’IA. L’étude a analysé 80 tâches de codage réalisées à l’aide de plus de 100 grands modèles de langage (LLM), et a révélé que si l’IA génère du code fonctionnel, elle introduit des vulnérabilités de sécurité dans 45 % des cas.





L’étude révèle une tendance inquiétante : lorsqu’ils ont le choix entre une méthode sécurisée et une méthode non sécurisée pour écrire du code, les modèles d’IA générative (GenAI) choisissent l’option la moins sécurisée dans 45 % des cas. Plus inquiétant encore, l’étude de Veracode a également démontré une tendance critique : malgré les progrès réalisés dans la capacité des LLM à générer du code syntaxiquement correct, les performances en matière de sécurité n’ont pas suivi et sont restées inchangées au fil du temps.

« L’essor du vibe coding, où les développeurs s’appuient sur l’IA pour générer du code, généralement sans définir explicitement les exigences de sécurité, marque un changement fondamental dans la façon dont les logiciels sont construits », a déclaré Jens Wessling, directeur de la technologie chez Veracode. « Le principal problème est qu’ils n’ont pas besoin de spécifier les contraintes de sécurité pour obtenir le code souhaité, ce qui laisse les décisions relatives au codage sécurisé aux LLM. Nos recherches révèlent que les modèles d’IA générative font de mauvais choix près de la moitié du temps et cette situation ne va pas en s’améliorant. »

L’IA permet aux hackers d’identifier et d’exploiter les failles de sécurité plus rapidement et plus efficacement. Les outils alimentés par l’IA peuvent analyser les systèmes à grande échelle, identifier les faiblesses et même générer des codes d’exploitation avec un minimum d’intervention humaine. Cela abaisse la barrière à l’entrée pour les hackers moins qualifiés et accroît la vitesse et la sophistication des attaques, ce qui représente une menace importante pour les systèmes de sécurité traditionnels. Non seulement les vulnérabilités augmentent, mais il devient également de plus en plus facile de les exploiter.

Les LLM introduisent des niveaux dangereux de vulnérabilités communes en matière de sécurité

Pour évaluer les propriétés de sécurité du code généré par les LLM, Veracode a conçu un ensemble de 80 tâches d’achèvement de code présentant un potentiel connu de vulnérabilités de sécurité selon le système Common Weakness Enumeration (CWE) de MITRE, une classification standard des faiblesses logicielles susceptibles de se transformer en vulnérabilités. Les tâches ont incité plus de 100 LLM à compléter automatiquement un bloc de code de manière sécurisée ou non, que l’équipe de recherche a ensuite analysé à l’aide de la méthode d’analyse statique développée par Veracode. Dans 45 % de tous les cas de test, les LLM ont introduit des vulnérabilités figurant dans le Top 10 de l’OWASP (Open Web Application Security Project), c’est-à-dire des risques figurant parmi les plus critiques en matière de sécurité des applications web.

Veracode a constaté que Java était le langage le plus risqué pour la génération de code par l’IA, avec un taux d’échec de sécurité supérieur à 70 %. D’autres langages importants, comme Python, C# et JavaScript, ont également présenté un risque significatif, avec des taux d’échec compris entre 38 % et 45 %. L’étude a en outre révélé que les LLM ne permettaient pas de sécuriser le code contre les scripts intersites (CWE-80) et les attaques par injection de logs (CWE-117) dans 86 % et 88 % des cas, respectivement.

« En dépit des progrès réalisés dans le domaine du développement assisté par l’IA, il est clair que la sécurité n’a pas suivi », a poursuivi M. Wessling. « Nos recherches montrent que les modèles s’améliorent en termes de précision du codage, mais pas en matière de sécurité. Nous avons également constaté que les grands modèles ne sont pas beaucoup plus performants que les petits, ce qui suggère qu’il s’agit d’un problème systémique plutôt que d’un problème de mise à l’échelle du LLM. »

Gérer les risques liés aux applications à l’ère de l’IA

Si les pratiques de développement de la GenAI, comme le vibe coding, accélèrent la productivité, elles amplifient également les risques. Veracode souligne que les organisations ont besoin d’un programme complet de gestion des risques afin de prévenir les vulnérabilités avant qu’elles n’atteignent la production. Pour ce faire, il convient d’intégrer des contrôles de qualité du code et des correctifs automatisés directement dans le flux de travail de développement.

Alors que les organisations exploitent de plus en plus le développement alimenté par l’IA, Veracode recommande de prendre les mesures proactives suivantes pour garantir la sécurité :

  • Intégrer des outils alimentés par l’IA tels que Veracode Fix dans les flux de travail des développeurs pour remédier aux risques de sécurité en temps réel.
  • Tirer parti de l’analyse statique pour de détecter les failles précocement et automatiquement, empêchant ainsi le code vulnérable de progresser dans les pipelines de développement.
  • Intégrer la sécurité dans les flux de travail agentiques afin d’automatiser la conformité aux politiques et de garantir que les agents IA appliquent des normes de codage sécurisées.
  • Utiliser l’analyse de la composition des logiciels (Software Composition Analysis, SCA) pour veiller à ce que le code généré par l’IA n’introduise pas de vulnérabilités dues à des dépendances vis-à-vis de tiers et à des composants open source.
  • Adopter des conseils de remédiation sur mesure pilotés par l’IA pour donner aux développeurs des instructions de correction précises et les former à l’utilisation efficace des recommandations.
  • Déployer un pare-feu de filtrage des paquets pour détecter et bloquer automatiquement les paquets malveillants, les vulnérabilités et les violations de règles.

« Les assistants de codage IA et les flux de travail agentiques représentent l’avenir du développement des logiciels et vont continuer à évoluer à un rythme rapide », a conclu M. Wessling. « Le défi auquel chaque organisation est confrontée est de s’assurer que la sécurité évolue en même temps que ces nouvelles capacités. La sécurité ne peut pas être une réflexion après coup si l’on veut éviter l’accumulation d’une dette massive en la matière. »

L’intégralité du Rapport 2025 sur la sécurité des codes générés par l’IA générative (2025 GenAI Code Security Report) est disponible au téléchargement sur le site web de Veracode.

À propos de Veracode

Veracode est un chef de file mondial de la gestion des risques applicatifs à l'ère de l'IA. Alimentée par des milliers de milliards de lignes de code et un moteur de correction propriétaire assisté par IA, la plateforme Veracode est approuvée par les organisations du monde entier pour construire et maintenir des logiciels sécurisés, de la création de code au déploiement dans le cloud. Des milliers d’équipes de développement et de sécurité de premier plan utilisent Veracode chaque seconde de chaque jour pour obtenir une visibilité précise et exploitable des risques exploitables, remédier aux vulnérabilités en temps réel et réduire leur déficit de sécurité à grande échelle. Veracode est une société multi-primée offrant des capacités pour sécuriser l'ensemble du cycle de vie du développement logiciel, y compris Veracode Fix, l'analyse statique, l'analyse dynamique, l'analyse de la composition logicielle, la sécurité des conteneurs, la gestion de la posture de sécurité des applications, la détection des paquets malveillants et les tests de pénétration.

Pour en savoir plus, rendez-vous sur www.veracode.com, le blog Veracode, LinkedIn et X.

Copyright © 2025 Veracode, Inc. Tous droits réservés. Veracode est une marque déposée de Veracode, Inc. aux États-Unis et peut être déposée dans certaines autres juridictions. Tous les autres noms de produits, marques ou logos appartiennent à leurs détenteurs respectifs. Toutes les autres marques citées dans le présent document sont la propriété de leurs détenteurs respectifs.

Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.


Contacts

Presse et médias :
Katy Gwilliam
Responsable de la communication mondiale, Veracode
kgwilliam@veracode.com

Articles sur le web Contenus Sponsorisés

Laisser un avis pour

Merci de rester correct et de respecter les différents intervenants.

Il n’y a pas encore d’avis pour ,
soyez le premier à laisser un commentaire.