Rapport de Snyk sur l'état de préparation des organisations par rapport à l'IA

D’après le rapport 2023 de Snyk sur la sécurité du code généré par l’IA, 96 % des codeurs exploitent des outils d’IA générative dans leurs workflows. Les organisations qui conçoivent des logiciels savent qu'elles doivent adopter ces outils pour rester compétitives ainsi que pour attirer et retenir les talents. L'intégration des outils de codage basés sur l'IA dans le cycle de développement des logiciels pose divers problèmes de sécurité et d'exploitation. Dans quelle mesure les leaders technologiques et leurs équipes sont-ils prêts à entrer dans cette nouvelle ère où les outils de codage basés sur l'IA jouent un rôle prépondérant ? Et comment se préparent-ils à ce changement important au niveau de la manière dont le code des logiciels est écrit ? 

Snyk a posé, à plus de 400 technologues, une série de questions destinées à évaluer le degré de préparation par rapport à l'IA de leurs organisations et à mesurer leurs perceptions des outils de codage basés sur l'IA. L'enquête a porté sur trois groupes : les cadres technologiques occupant des postes de direction, les équipes de sécurité des applications et les développeurs/ingénieurs. Ces groupes avaient des points de vue différents sur la sécurité des outils de codage et le code basés sur l'IA, sur l'efficacité des politiques de sécurité du code généré par l'IA et sur l'état de préparation des organisations au codage basé sur l'IA. Dans ce rapport, nous présentons les résultats les plus marquants de cette étude.

Parmi les trois types de rôles sondés, la plupart des participants ont déclaré que leur organisation était « extrêmement bien préparée » ou « très bien préparée » pour l'adoption d'outils de codage basés sur l'IA. Moins de 4 % des participants ont déclaré que leur organisation n'était pas bien préparée. Les cadres supérieurs interrogés sont toutefois plus confiants que les autres groupes de participants en ce qui concerne la préparation de leur organisation au déploiement et à l'adoption d'outils de codage basés sur l'IA. 40,3 % d'entre eux considèrent que leur organisation est « extrêmement bien préparée », contre seulement 26 % des membres des équipes AppSec (sécurité des applications) et 22,4 % des développeurs. Il n'y avait pas de différence significative entre les CISO et les CTO, ce qui semble contre-intuitif étant donné l'accent mis sur la sécurité et les risques par les CISO. Cela pourrait s'expliquer par la pression intense exercée sur les dirigeants en charge des technologies, les incitant à déployer rapidement des outils de codage basés sur l'IA et à accélérer les processus de développement logiciel. La réticence des autres groupes reflète probablement des préoccupations plus pratiques liées à des problèmes de préparation spécifiques concernant la sécurité, la formation, la qualité du code et d'autres détails inhérents à la couche d'implémentation.

Bien préparées ou pas ? Les personnes interrogées ont une opinion généralement positive de l'état de préparation vis-à-vis des outils de codage basés sur l'IA au sein de leur organisation. En général, elles pensent que leurs politiques de sécurité sont suffisantes et que le code généré par l'IA est sûr. Dans l'ensemble, elles estiment être prêtes pour l'adoption de l'IA. Elles restent toutefois partagées sur la question de la sécurité des outils de codage basés sur l'IA. Quel que soit leur rôle, les préoccupations liées à la sécurité sont perçues comme le plus grand obstacle à l'entrée des outils de codage basés sur l'IA. En ce qui concerne les processus pratiques de préparation, moins d'un cinquième des personnes interrogées ont déclaré que leur organisation avait recours à des preuves de concept (POC pour « proof of concept »), une étape essentielle pour l'adoption d'une nouvelle technologie. Par ailleurs, moins de la moitié des participants ont déclaré que la majorité de leurs développeurs avaient reçu une formation aux outils de codage basés sur l'IA. Ces contradictions peuvent trahir des lacunes en matière de planification et de stratégie, ainsi qu'une carence en termes de structuration par rapport à l'adoption de l'IA. 

Si l'on creuse un peu plus loin, les participants à l'enquête ont manifesté des divergences notables en fonction de leur rôle, au niveau de leur perception de la qualité du code, de la sécurité des outils et de l'état de préparation général de leur organisation. Les cadres dirigeants ont une vision plus positive des outils de codage basés sur l'IA et de l'état de préparation que les personnes dont le travail est plus étroitement lié au code ou aux processus et politiques de sécurité. On peut en particulier noter que les membres des équipes de sécurité ont une vision moins positive de la sécurité des outils de codage axés sur l'IA, ce qui suggère que ce groupe influent est exposé à un plus grand nombre de problèmes découlant du codage basé sur l'IA et qu'il réagit en conséquence. 

Les contradictions susmentionnées témoignent d'une planification insuffisante ou d'une stratégie incohérente vis-à-vis de l'adoption des outils de codage basés sur l'IA, ainsi que d'un manque de structuration au niveau de la détermination et du respect des conditions préalables requises, potentiellement à cause d’une absence de visibilité cohérente dans l’ensemble de l'organisation. Cette situation peut s’expliquer par le fait que, comme dans le cas des smartphones et de certains logiciels grand public, le processus d’adoption ait d'abord été rapide et incontrôlé avant d'être institutionnalisé par les organisations informatiques. Il est ainsi possible que les déploiements aient été initialement chaotiques et difficiles à maîtriser par la suite. En fin de compte, les organisations devraient envisager une approche plus structurée de l'adoption et de la sécurité des outils de codage basés sur l'IA, plus proche des processus d'adoption d'autres types de logiciels d'entreprise. Il faudrait également que cette approche permette de dissiper les craintes en matière de sécurité et de répondre aux préoccupations majeures des développeurs et des équipes de sécurité. Il faudra pour cela mettre en place des contrôles et des équilibres plus efficaces et adopter une approche plus complète, méthodique et programmatique pour déployer un changement aussi fondamental dans le processus de développement des logiciels.

Pour ce rapport, nous avons interrogé 406 professionnels de l'informatique des quatre coins de la planète. Snyk a limité l'enquête aux personnes interrogées ayant décrit leur rôle comme « CTO », « CISO », « développeur », « ingénieur », « sécurité » ou « AppSec ». Snyk a l'intention de continuer à collecter des données pour cette enquête lors d'événements en ligne et hors ligne tout au long de l'année 2024 afin de dresser un tableau encore plus complet concernant l'état de préparation des entreprises vis à vis de l'IA, ainsi que les différences en termes de perception des risques, de l'état de préparation et des défis liés à l'IA.