4 conseils pour sécuriser le développement assisté par l’IA générative

Gartner estime que l’IA générative deviendra un partenaire stratégique de 90 % des entreprises dès l’année prochaine. Les développeurs se tournent vers des assistants comme Github Copilot et Google Gemini Code Assist pour créer des applications à une vitesse encore jamais vue. 

Mais si l’IA générative booste la productivité et le rythme de travail, elle apporte également son lot de menaces et difficultés inédites pour les équipes chargées de la sécurité des applications. Les données d’entraînement utilisées par les grands modèles de langage (LLM) intègrent du code de qualité diverse, et ils peuvent donc introduire autant de vulnérabilités et d’imperfections que des développeurs juniors. Mais à la différence d’un junior, ces technologies sont capables de créer du code en quelques secondes seulement.

De plus, l’IA générative ne tient pas compte des politiques et meilleures pratiques de l’entreprise, et ne peut donc pas respecter vos règles de conformité ou directives de sécurité spécifiques. Il est également possible que les membres de l’équipe exposent sans le savoir des données sensibles en les saisissant dans un LLM. 

Comme vous le voyez, ces nouvelles technologies viennent avec plusieurs problématiques de sécurité qu’il ne faut pas négliger. Les équipes AppSec doivent mettre en place des stratégies leur permettant de suivre le rythme de l’IA générative et d’accompagner les développeurs sans les ralentir. 

Une sécurité en phase avec le rythme du développement assisté par l’IA

Quels sont les moyens les plus efficaces pour faire monter en puissance votre programme AppSec et l’adapter aux particularités des cycles de développement assistés par l’lA générative ?

Snyk a travaillé avec les experts AppSec de Deloitte sur un guide visant à aider les entreprises à comprendre les effets d’une utilisation toujours plus forte de l’IA générative. Pour renforcer la sécurité des applications tout en préservant votre croissance et en utilisant l’IA de manière sécurisée, Deloitte et Snyk vous conseillent les stratégies suivantes : 

Éliminez les obstacles avec une technologie pensée pour les développeurs 

Les outils de codage assisté par l’IA intéressent les développeurs, car ils sont très faciles à utiliser. Les développeurs n’ont qu’à saisir une prompt pour obtenir une réponse quasi immédiate et ajouter le code fraîchement généré à leur dépôt. Si la sécurité gêne ce processus, le développeur essaiera probablement de la contourner. Parmi les obstacles technologiques fréquemment rencontrés, citons les outils de sécurité qui forcent les développeurs à revenir en arrière, car ils détectent les vulnérabilités trop tard dans le pipeline ou les interfaces utilisateur pensées pour les équipes de sécurité qui imposent aux développeurs de passer d’une plateforme à l’autre pour corriger des problèmes. A contrario, l’inclusion d’outils de sécurité pour les développeurs qui s’intègrent parfaitement aux workflows de développement et sont synchronisés avec les outils de codage assistés par l’IA encouragera un développement plus sécurisé.

Mettez en place des formations pour expliquer les garde-fous

80 % des développeurs contourneraient les mesures de sécurité applicables au code généré par l’IA, car ils font davantage confiance à l’IA qu’aux autres développeurs. Il est donc important de former ces développeurs pour leur faire comprendre pourquoi ils doivent utiliser des outils de sécurité en temps réel en parallèle des assistants de codage. Les équipes de sécurité doivent également envisager la mise en place de formation expliquant comment utiliser et ne pas utiliser les LLM, par exemple en clarifiant les types de données que les développeurs peuvent copier-coller dans une prompt. 

Créez des processus adaptés à l’IA

Votre équipe a sans doute déjà compris à quel point l’IA générative permet de multiplier le volume de code envoyé dans vos dépôts. Il est donc plus important que jamais de mettre en place des processus simples de détection et de correction des problèmes de sécurité à un rythme permettant de suivre cette hausse du volume. Vous pouvez par exemple affiner et renforcer vos processus autour de la communication entre les équipes de développement et de sécurité, les revues des analyses de code et la hiérarchisation des vulnérabilités. 

Mettez à jour vos politiques pour les adapter aux outils d’IA générative

Il est également essentiel de définir des politiques claires applicables à l’IA générative. Avec les bonnes politiques, les équipes utiliseront l’IA au quotidien de manière plus sûre Voici quelques exemples de politiques de ce type : cas d’utilisation acceptables, sélection et utilisation des données, confidentialité et sécurité des données et obligations de conformité réglementaire. Il est également recommandé de fixer une fréquence d’actualisation de ces politiques pour tenir compte de l’utilisation de nouveaux outils et de l’évolution des pratiques de développement. 

Muscler votre programme AppSec pour relever les défis posés par l’IA

En définissant un ensemble de politiques et de garde-fous robustes en matière d’IA, votre équipe prépare votre entreprise à appréhender efficacement les nouveautés et évolutions de ces technologies. En associant les services d’orchestration et d’automatisation Secure by Design de Deloitte à une plateforme de sécurité des applications qui vous permet de détecter et corriger automatiquement les problèmes comme les vulnérabilités critiques et les failles zero-day au début du cycle de développement, les entreprises peuvent : 

• Étendre et faire évoluer la sécurité des applications sur tout le cycle de développement logiciel et automatiser les workflows avec une seule plateforme 

• Intégrer des outils et des processus automatisés pour améliorer l’adoption par les développeurs 

• Tirer parti des outils de sécurité basés sur l’IA et de l’automatisation pour permettre aux développeurs et équipes de sécurité de collaborer sans difficulté et de corriger les problèmes au plus tôt (dès qu’ils surviennent) et plus rapidement, et réduire les risques

• Bénéficier d’une aide à la correction des vulnérabilités pour réduire le nombre de correctifs en souffrance

• Accélérer la prise en main et l’adoption à l’aide d’une plateforme de sécurité des applications permettant de sécuriser votre code interne, y compris celui généré par l’IA, vos dépendances open source, le code en conteneur et l’infrastructure en tant que code

Pour en savoir plus sur les stratégies à suivre pour étendre votre programme de sécurité des applications et relever les nouveaux défis du développement assisté par l’IA générative, téléchargez notre livre banc Application Security at Scale for GenAI.