La sécurité logicielle à l’ère de l’IA

L’IA a considérablement amplifié ce principe, en alimentant de nouveaux outils qui augmentent la vitesse et la capacité de détection des vulnérabilités.

La question est maintenant de savoir qui trouvera ces failles en premier : votre équipe de sécurité ou les acteurs malveillants ? Josh Lemos, RSSI chez GitLab nous partage quelques recommandations et explications sur le sujet.

Red teaming et IA : désormais incontournables

L’ascension de XBOW au sommet du classement américain de HackerOne a marqué un tournant pour la sécurité des applications (AppSec). En seulement 90 jours, son testeur d’intrusion autonome alimenté par l’IA a signalé plus de 1 060 vulnérabilités, dépassant ainsi les résultats obtenus par des milliers de chercheurs humains.

Ces résultats sont concrets. Les programmes de bug bounty ont aidé les entreprises à résoudre 130 vulnérabilités critiques identifiées par XBOW, avec plus de 300 autres en cours de traitement et en attente de résolution.

L’économie d’échelle de XBOW rend ses performances particulièrement significatives. Le système fonctionne de manière autonome, ne requiert aucun temps de repos et traite simultanément des milliers de cibles. Là où les chercheurs sélectionnent les cibles à forte valeur ajoutée, les systèmes d’IA peuvent tester méthodiquement l’ensemble des surfaces d’attaque. HackerOne indique dans son rapport que des agents autonomes ont soumis plus de 560 rapports valides rien qu’en 2025.

Les vulnérabilités connues, qui nécessitaient autrefois l’intervention de chercheurs en sécurité qualifiés, sont désormais détectables rapidement et en masse par des machines.

Josh Lemos, RSSI chez GitLab

La modélisation des menaces à la vitesse de l’IA

L’étude « AI Threat Modeling Co-Pilot » publiée par JPMorgan Chase montre comment les équipes chargées de la sécurité des applications en entreprise déploient déjà l’IA pour répondre aux contraintes de vélocité. Son système Auspex injecte les techniques de modélisation des menaces dans des prompts spécialisés qui guident l’IA à travers la décomposition des systèmes, l’identification des menaces et les stratégies d’atténuation afin que les équipes de développement puissent les traiter selon un modèle en libre-service.

Auspex combine l’IA générative avec des frameworks d’experts, les meilleures pratiques du secteur et les connaissances institutionnelles de JPMorgan. Le système encode ce contexte directement dans des prompts IA grâce au « tradecraft prompting ». Cette approche traite des diagrammes d’architecture et des descriptions textuelles, puis enchaîne les prompts pour générer des matrices de menaces qui précisent les scénarios, les types, les classifications de sécurité et les mesures d’atténuation potentielles.

La modélisation traditionnelle des menaces peut prendre des semaines, voire des mois. Les approches alimentées par l’IA, telles que celle utilisée par JPMorgan, raccourcissent ce délai à quelques minutes, tout en améliorant la qualité de l’analyse humaine.

Le facteur humain au cœur de la sécurité

Les cas d’usage émergents de l’IA illustrés par XBOW et Auspex offrent aux équipes AppSec une alternative au modèle traditionnel, qui mobilise d’énormes ressources pendant le développement et offre une couverture limitée.

Les backlogs de revues de code s’accumulent, la dette de sécurité s’alourdit, et les vulnérabilités critiques se glissent en production, car les équipes restent un goulot d’étranglement dans le cycle de développement logiciel. Une récente enquête menée par GitLab en France a révélé que les équipes perdaient 7 heures par semaine en raison de processus inefficaces.

L’IA change la donne. Les équipes de sécurité peuvent désormais se détourner des activités manuelles et répétitives afin de redéployer systématiquement leurs ressources vers l’élaboration de solutions sécurisées qui intègrent l’IA directement dans les workflows des équipes de développement.

Quelques stratégies éprouvées, alimentées par l’IA, peuvent aider une équipe AppSec moderne à évoluer efficacement :

• Constituez une base de données de sécurité interrogeable : intégrez chaque bogue de sécurité, rapport de vulnérabilité et incident dans des magasins de données structurées qui prennent en charge la recherche sémantique. Vous transformerez les résultats historiques en matière de sécurité en intégrations qui permettront aux systèmes d’IA d’identifier des modèles similaires au sein des codes sources. Lorsqu’une nouvelle catégorie de vulnérabilité émerge, l’IA peut instantanément interroger la base de données pour déterminer si des problèmes similaires existent ailleurs.
• Affinez les modèles en fonction de votre environnement : ne vous contentez pas d’outils génériques. Utilisez des approches RAG (Retrieval-Augmented Generation) pour enrichir les LLM avec des anti-modèles de sécurité et des normes architecturales spécifiques à votre organisation. L’association d’outils d’analyse statique tels que PMD et Checkstyle à des LLM affinés améliore significativement la précision des revues de code et réduit le nombre de faux positifs.
• Intégrez l’IA dans vos chaînes d’outils de développement : les failles de sécurité signalées des jours ou des semaines après l’écriture du code créent des frictions et exigent de fréquents changements de contexte. Intégrez plutôt directement l’analyse alimentée par l’IA dans vos IDE, vos pipelines CI/CD et vos workflows de pull request. Les équipes de développement recevront ainsi des conseils de sécurité en temps réel pendant l’écriture du code.
• Appliquez l’IA à la modélisation des menaces à grande échelle : prenez exemple sur JPMorgan et mettez en œuvre une modélisation des menaces alimentée par l’IA, capable d’analyser chaque nouvelle conception de système, spécification d’API et modification d’infrastructure. L’objectif n’est pas la perfection, mais la couverture : mieux vaut disposer de modèles de menaces générés par l’IA pour l’ensemble de vos systèmes que de modèles examinés par des experts pour 10 % d’entre eux.
• Tirez parti de l’IA pour améliorer vos tests statiques de sécurité des applications (SAST) : les outils SAST traditionnels génèrent un volume élevé de faux positifs qui désensibilisent les équipes de développement et complexifient la hiérarchisation des tâches. L’IA peut considérablement améliorer la précision de ces outils, car elle comprend le contexte du code, analyse les flux de données et identifie de réelles vulnérabilités que les outils de correspondance de modèles ne détectent pas.

La sécurité, une priorité à l’ère de l’IA

Les équipes de sécurité se trouvent à un moment charnière. La stratégie qui consistait à ajouter davantage d’ingénieurs pour les revues de code ne fonctionne plus lorsque le développement évolue aussi rapidement. L’IA peut cependant tenir ce rythme et protéger les logiciels aussi rapidement que les équipes les créent.

Mais cette transition ne se fera pas d’elle-même. Les responsables de sécurité doivent réorienter le travail de leurs équipes de manière proactive, repenser les workflows et redéfinir les compétences nécessaires à la collaboration entre les équipes et l’IA. Les organisations qui investissent dans ces stratégies en amont ont plus de chances de réussir cette transformation et de bénéficier d’une sécurité renforcée, de coûts réduits et de cycles de livraison accélérés.