10 prévisions clés : Secure Code Warrior parle de l'IA et de l'influence de Secureby-Design en 2025
Alors que nous nous tournons vers 2025, après une année passionnante et pleine de défis, l'intersection entre l'IA et le développement de logiciels continuera de façonner la communauté des développeurs de manière significative.
Les entreprises sont confrontées à des décisions difficiles en matière d'utilisation de l'IA pour favoriser la productivité à long terme, la durabilité et le retour sur investissement en matière de sécurité. Ces dernières années, nous avons compris que l'IA ne remplacera jamais totalement le rôle du développeur. Qu'il s'agisse de partenariats entre l'IA et les développeurs ou des pressions (et de la confusion) croissantes liées aux attentes en matière de sécurité dès la conception, examinons de plus près ce à quoi nous pouvons nous attendre au cours de l'année prochaine :
Réécrire l'équation de l'IA : pas IA au lieu de développeur, mais IA + développeur
« Alors que les entreprises sont incitées à prendre des mesures drastiques de réduction des coûts en 2025, il ne serait pas surprenant que les développeurs soient remplacés par des outils d'IA. Mais comme c'était le cas lorsque Generative AI a fait ses débuts et qu'il faudra encore des années de mises à jour, cette technologie n'est toujours pas un moteur de productivité sûr et autonome, en particulier lors de la création de code. L'IA est une technologie très perturbatrice avec de nombreuses applications et cas d'utilisation étonnants, mais elle ne remplace pas suffisamment les développeurs humains qualifiés. Je suis d'accord avec Forrester's prédiction selon laquelle cette transition vers l'IA et le remplacement de l'être humain en 2025 est susceptible d'échouer, surtout à long terme. Je pense que la combinaison de l'IA et du développeur est plus susceptible d'y parvenir que l'IA seule. »
L'IA offre un mélange de risques et d'opportunités
« En 2025, nous verrons émerger de nouveaux cas de risque liés au code généré par l'IA, notamment les effets indésirables de problèmes connus tels que le squatting par hallucination, les bibliothèques empoisonnées et les exploits affectant la chaîne d'approvisionnement logicielle. De plus, l'IA sera utilisée pour détecter davantage les failles dans le code, ainsi que pour écrire des exploits pour celui-ci, car Le projet Zero de Google Je viens de le démontrer. En revanche, je pense que nous verrons également certains niveaux de maturité initiaux atteints, les développeurs d'entreprise étant en mesure de tirer parti de ces outils dans leur travail sans trop de risques supplémentaires. Cependant, ce serait l'exception et non la règle, et cela dépendrait de la mesure active du risque pour les développeurs par leur organisation et ajustant son programme de sécurité en conséquence. Dans l'environnement de menaces en évolution rapide que l'année 2025 ne manquera pas d'apporter, ce seront les développeurs compétents et soucieux de la sécurité, dotés d'outils de codage d'IA approuvés, qui seront en mesure de produire du code plus rapidement, tandis que les développeurs peu sensibilisés à la sécurité et ayant des compétences générales ne feront que créer plus de problèmes, et ce, à des vitesses plus élevées. »
Sortir de l'ombre [IA]
« Le paysage législatif autour de l'IA évolue rapidement afin de suivre les avancées fréquentes de la technologie et son taux d'adoption. En 2025, les responsables de la sécurité doivent s'assurer qu'ils sont prêts à se conformer aux directives potentielles. La combinaison des éléments suivants, à savoir comprendre la nature de l' « IA fantôme », puis s'assurer qu'elle n'est pas utilisée dans l'organisation, puis utiliser strictement des outils approuvés et vérifiés installés sur les systèmes de l'entreprise, s'avérera très critique pour les organisations au cours de l'année à venir. Cela permettra de mieux évaluer la cohorte de développement, afin de comprendre comment elle doit être soutenue au mieux pour améliorer continuellement ses prouesses en matière de sécurité et les appliquer à tous les aspects de son travail. »
La réputation de sécurité d'AI Tools sera une mesure clé pour les développeurs
« À l'heure actuelle, il s'agit d'un marché gratuit pour tous en termes d'outils de codage alimentés par LLM. De nouveaux ajouts apparaissent en permanence, chacun offrant un meilleur rendement, une meilleure sécurité et une meilleure productivité. À l'approche de 2025, nous avons besoin d'une norme permettant de comparer et d'évaluer le niveau de sécurité de chaque outil d'IA. Cela inclut les capacités de codage, à savoir sa capacité à générer du code avec de bons modèles de codage sûrs qui ne peuvent pas être exploités par les acteurs de la menace. »
L'IA rendra plus difficile l'entrée sur le terrain pour les développeurs juniors
« Les obstacles à l'entrée pour les développeurs sont plus nombreux que jamais. Avec une main-d'œuvre hybride et distribuée et le niveau de compétences requis pour les postes d'entrée de gamme, la barre continue de monter chaque année pour les développeurs débutants. En 2025, les employeurs commenceront à s'attendre à ce que les développeurs débutants possèdent déjà les compétences et les connaissances nécessaires pour intégrer et optimiser les outils d'IA en toute sécurité dans leur flux de travail lorsqu'ils entrent en fonction, plutôt que de consacrer du temps à la formation en cours d'emploi. Au cours de la prochaine année, les développeurs qui n'apprendront pas à tirer parti des outils d'IA dans leur flux de développement seront confrontés à des conséquences importantes sur leur propre évolution de carrière et auront des difficultés à trouver des opportunités d'emploi. Ils risquent d'entraver leur « licence de programmation », ce qui les empêche de participer à des projets plus complexes, car une maîtrise sûre de l'IA deviendra finalement essentielle. »
Le temps empêchera les organisations de parvenir à la sécurité dès la conception
« Les développeurs ont besoin de suffisamment de temps et de ressources pour améliorer leurs compétences et se familiariser avec les bons outils et les bonnes pratiques afin de parvenir à la « sécurité dès la conception ». À moins que les organisations n'obtiennent l'adhésion des responsables de la sécurité et de l'ingénierie, leurs progrès seront entravés, voire totalement bloqués. Lorsque les organisations tentent de réduire les coûts ou de restreindre les ressources, elles donnent souvent la priorité aux efforts de remédiation immédiats plutôt qu'aux solutions à long terme, en se concentrant sur des outils de remédiation à multiples facettes qui font certaines choses « correctement » et tout le reste « médiocre ». En 2025, ce déséquilibre créera une plus grande disparité entre les organisations qui accordent la priorité au développement de logiciels sécurisés et celles qui souhaitent simplement une solution rapide pour suivre le rythme d'un environnement en mutation. »
Les audits de sécurité de la chaîne d'approvisionnement joueront un rôle essentiel dans l'atténuation des risques mondiaux
« Tous les fournisseurs externalisés/tiers vont commencer à faire l'objet d'une surveillance accrue. Vous pouvez avoir le meilleur programme de sécurité en interne, mais pour les entreprises vers lesquelles vous externalisez, si elles ne mettent pas en œuvre Secure by Design, l'ensemble du cadre de sécurité peut être compromis. En conséquence, les entreprises vont procéder à des audits approfondis de leurs efforts d'externalisation, faisant pression sur les chefs d'entreprise pour qu'ils suivent des directives strictes en matière de sécurité et de conformité du secteur. En fin de compte, le succès des équipes de sécurité dépend d'une vision globale à 360 degrés, y compris d'une approche unifiée à l'échelle de l'organisation et de tous les partenaires externes. »
L'IA jouera un rôle déterminant dans « Cutting Through the Noise »
»Les équipes de développement sont confrontées à des taux de faux positifs grâce aux scanners de vulnérabilité du code. Comment peuvent-ils être sûrs que les vulnérabilités qui leur sont attribuées constituent réellement un risque de sécurité ? En 2025, l'IA sera un outil essentiel pour aider les développeurs à « se débrouiller » en matière de correction du code, permettant ainsi de mieux comprendre le code lui-même. En tirant parti de l'apprentissage automatique, l'IA peut mieux hiérarchiser les menaces réelles en fonction du contexte, réduisant ainsi le temps passé à améliorer la précision des alertes de sécurité. Cela permettra aux équipes de se concentrer sur les vulnérabilités qui présentent réellement un risque, d'améliorer l'efficacité globale et de permettre des cycles de développement plus rapides et plus sûrs. »
L'analyse comparative sera la solution permettant aux organisations d'atteindre leurs objectifs de sécurité dès la conception
« L'absence de référence en matière de sécurité s'avérera préjudiciable aux organisations en 2025, car elles ne disposeront d'aucune base de référence claire pour mesurer leurs progrès en matière de conformité aux normes Secure by Design. En l'absence d'un système d'analyse comparative permettant d'évaluer la manière dont les équipes adhèrent aux pratiques de codage sécurisées, ces organisations risquent d'introduire par inadvertance des vulnérabilités susceptibles d'entraîner une violation majeure. Et en cas de violation, ils n'auront probablement pas le temps de mettre en œuvre un système d'analyse comparative, mais seront contraints d'accélérer leurs initiatives SBD sans avoir préalablement évalué la maturité de leurs équipes de développeurs en matière de sécurité, exposant ainsi leur organisation à des risques encore plus importants. »
La dette technique au détriment du code généré par l'IA
« Ce n'est un secret pour personne que l'industrie est déjà confrontée à un énorme problème de dette technique, et ce, en raison du code qui a déjà été écrit. Avec l'augmentation de la dépendance aveugle des développeurs à l'égard d'un code généré par l'IA, intrinsèquement peu sécurisé, ainsi que le contrôle exécutif limité, la situation ne fera qu'empirer. Il est fort possible que cette dynamique nous conduise à une multiplication par 10 des CVE signalés l'année prochaine. »
Pour réussir en 2025, les entreprises doivent être prêtes à introduire l'IA de manière responsable et sécurisée, tout en investissant dans la formation appropriée et l'atténuation des risques pour leurs équipes de développement. Alors que l'année prochaine marquera le premier anniversaire de l'engagement de CISA en matière de sécurité dès la conception, les marques qui conserveront leur avantage concurrentiel sont celles qui accordent la priorité à leur approche de développement sécurisé afin d'éliminer au mieux les risques associés à l'IA, aux problèmes de sécurité des tiers et aux nouvelles menaces émergentes.
Les entreprises sont confrontées à des décisions difficiles en matière d'utilisation de l'IA pour favoriser la productivité à long terme, la durabilité et le retour sur investissement en matière de sécurité. Ces dernières années, il est devenu évident pour nous que l'IA ne remplacera jamais totalement le rôle du développeur. Qu'il s'agisse de partenariats entre l'IA et les développeurs ou des pressions (et de la confusion) croissantes liées aux attentes en matière de sécurité dès la conception, examinons de plus près ce à quoi nous pouvons nous attendre au cours de l'année prochaine.
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostración
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
Alors que nous nous tournons vers 2025, après une année passionnante et pleine de défis, l'intersection entre l'IA et le développement de logiciels continuera de façonner la communauté des développeurs de manière significative.
Les entreprises sont confrontées à des décisions difficiles en matière d'utilisation de l'IA pour favoriser la productivité à long terme, la durabilité et le retour sur investissement en matière de sécurité. Ces dernières années, nous avons compris que l'IA ne remplacera jamais totalement le rôle du développeur. Qu'il s'agisse de partenariats entre l'IA et les développeurs ou des pressions (et de la confusion) croissantes liées aux attentes en matière de sécurité dès la conception, examinons de plus près ce à quoi nous pouvons nous attendre au cours de l'année prochaine :
Réécrire l'équation de l'IA : pas IA au lieu de développeur, mais IA + développeur
« Alors que les entreprises sont incitées à prendre des mesures drastiques de réduction des coûts en 2025, il ne serait pas surprenant que les développeurs soient remplacés par des outils d'IA. Mais comme c'était le cas lorsque Generative AI a fait ses débuts et qu'il faudra encore des années de mises à jour, cette technologie n'est toujours pas un moteur de productivité sûr et autonome, en particulier lors de la création de code. L'IA est une technologie très perturbatrice avec de nombreuses applications et cas d'utilisation étonnants, mais elle ne remplace pas suffisamment les développeurs humains qualifiés. Je suis d'accord avec Forrester's prédiction selon laquelle cette transition vers l'IA et le remplacement de l'être humain en 2025 est susceptible d'échouer, surtout à long terme. Je pense que la combinaison de l'IA et du développeur est plus susceptible d'y parvenir que l'IA seule. »
L'IA offre un mélange de risques et d'opportunités
« En 2025, nous verrons émerger de nouveaux cas de risque liés au code généré par l'IA, notamment les effets indésirables de problèmes connus tels que le squatting par hallucination, les bibliothèques empoisonnées et les exploits affectant la chaîne d'approvisionnement logicielle. De plus, l'IA sera utilisée pour détecter davantage les failles dans le code, ainsi que pour écrire des exploits pour celui-ci, car Le projet Zero de Google Je viens de le démontrer. En revanche, je pense que nous verrons également certains niveaux de maturité initiaux atteints, les développeurs d'entreprise étant en mesure de tirer parti de ces outils dans leur travail sans trop de risques supplémentaires. Cependant, ce serait l'exception et non la règle, et cela dépendrait de la mesure active du risque pour les développeurs par leur organisation et ajustant son programme de sécurité en conséquence. Dans l'environnement de menaces en évolution rapide que l'année 2025 ne manquera pas d'apporter, ce seront les développeurs compétents et soucieux de la sécurité, dotés d'outils de codage d'IA approuvés, qui seront en mesure de produire du code plus rapidement, tandis que les développeurs peu sensibilisés à la sécurité et ayant des compétences générales ne feront que créer plus de problèmes, et ce, à des vitesses plus élevées. »
Sortir de l'ombre [IA]
« Le paysage législatif autour de l'IA évolue rapidement afin de suivre les avancées fréquentes de la technologie et son taux d'adoption. En 2025, les responsables de la sécurité doivent s'assurer qu'ils sont prêts à se conformer aux directives potentielles. La combinaison des éléments suivants, à savoir comprendre la nature de l' « IA fantôme », puis s'assurer qu'elle n'est pas utilisée dans l'organisation, puis utiliser strictement des outils approuvés et vérifiés installés sur les systèmes de l'entreprise, s'avérera très critique pour les organisations au cours de l'année à venir. Cela permettra de mieux évaluer la cohorte de développement, afin de comprendre comment elle doit être soutenue au mieux pour améliorer continuellement ses prouesses en matière de sécurité et les appliquer à tous les aspects de son travail. »
La réputation de sécurité d'AI Tools sera une mesure clé pour les développeurs
« À l'heure actuelle, il s'agit d'un marché gratuit pour tous en termes d'outils de codage alimentés par LLM. De nouveaux ajouts apparaissent en permanence, chacun offrant un meilleur rendement, une meilleure sécurité et une meilleure productivité. À l'approche de 2025, nous avons besoin d'une norme permettant de comparer et d'évaluer le niveau de sécurité de chaque outil d'IA. Cela inclut les capacités de codage, à savoir sa capacité à générer du code avec de bons modèles de codage sûrs qui ne peuvent pas être exploités par les acteurs de la menace. »
L'IA rendra plus difficile l'entrée sur le terrain pour les développeurs juniors
« Les obstacles à l'entrée pour les développeurs sont plus nombreux que jamais. Avec une main-d'œuvre hybride et distribuée et le niveau de compétences requis pour les postes d'entrée de gamme, la barre continue de monter chaque année pour les développeurs débutants. En 2025, les employeurs commenceront à s'attendre à ce que les développeurs débutants possèdent déjà les compétences et les connaissances nécessaires pour intégrer et optimiser les outils d'IA en toute sécurité dans leur flux de travail lorsqu'ils entrent en fonction, plutôt que de consacrer du temps à la formation en cours d'emploi. Au cours de la prochaine année, les développeurs qui n'apprendront pas à tirer parti des outils d'IA dans leur flux de développement seront confrontés à des conséquences importantes sur leur propre évolution de carrière et auront des difficultés à trouver des opportunités d'emploi. Ils risquent d'entraver leur « licence de programmation », ce qui les empêche de participer à des projets plus complexes, car une maîtrise sûre de l'IA deviendra finalement essentielle. »
Le temps empêchera les organisations de parvenir à la sécurité dès la conception
« Les développeurs ont besoin de suffisamment de temps et de ressources pour améliorer leurs compétences et se familiariser avec les bons outils et les bonnes pratiques afin de parvenir à la « sécurité dès la conception ». À moins que les organisations n'obtiennent l'adhésion des responsables de la sécurité et de l'ingénierie, leurs progrès seront entravés, voire totalement bloqués. Lorsque les organisations tentent de réduire les coûts ou de restreindre les ressources, elles donnent souvent la priorité aux efforts de remédiation immédiats plutôt qu'aux solutions à long terme, en se concentrant sur des outils de remédiation à multiples facettes qui font certaines choses « correctement » et tout le reste « médiocre ». En 2025, ce déséquilibre créera une plus grande disparité entre les organisations qui accordent la priorité au développement de logiciels sécurisés et celles qui souhaitent simplement une solution rapide pour suivre le rythme d'un environnement en mutation. »
Les audits de sécurité de la chaîne d'approvisionnement joueront un rôle essentiel dans l'atténuation des risques mondiaux
« Tous les fournisseurs externalisés/tiers vont commencer à faire l'objet d'une surveillance accrue. Vous pouvez avoir le meilleur programme de sécurité en interne, mais pour les entreprises vers lesquelles vous externalisez, si elles ne mettent pas en œuvre Secure by Design, l'ensemble du cadre de sécurité peut être compromis. En conséquence, les entreprises vont procéder à des audits approfondis de leurs efforts d'externalisation, faisant pression sur les chefs d'entreprise pour qu'ils suivent des directives strictes en matière de sécurité et de conformité du secteur. En fin de compte, le succès des équipes de sécurité dépend d'une vision globale à 360 degrés, y compris d'une approche unifiée à l'échelle de l'organisation et de tous les partenaires externes. »
L'IA jouera un rôle déterminant dans « Cutting Through the Noise »
»Les équipes de développement sont confrontées à des taux de faux positifs grâce aux scanners de vulnérabilité du code. Comment peuvent-ils être sûrs que les vulnérabilités qui leur sont attribuées constituent réellement un risque de sécurité ? En 2025, l'IA sera un outil essentiel pour aider les développeurs à « se débrouiller » en matière de correction du code, permettant ainsi de mieux comprendre le code lui-même. En tirant parti de l'apprentissage automatique, l'IA peut mieux hiérarchiser les menaces réelles en fonction du contexte, réduisant ainsi le temps passé à améliorer la précision des alertes de sécurité. Cela permettra aux équipes de se concentrer sur les vulnérabilités qui présentent réellement un risque, d'améliorer l'efficacité globale et de permettre des cycles de développement plus rapides et plus sûrs. »
L'analyse comparative sera la solution permettant aux organisations d'atteindre leurs objectifs de sécurité dès la conception
« L'absence de référence en matière de sécurité s'avérera préjudiciable aux organisations en 2025, car elles ne disposeront d'aucune base de référence claire pour mesurer leurs progrès en matière de conformité aux normes Secure by Design. En l'absence d'un système d'analyse comparative permettant d'évaluer la manière dont les équipes adhèrent aux pratiques de codage sécurisées, ces organisations risquent d'introduire par inadvertance des vulnérabilités susceptibles d'entraîner une violation majeure. Et en cas de violation, ils n'auront probablement pas le temps de mettre en œuvre un système d'analyse comparative, mais seront contraints d'accélérer leurs initiatives SBD sans avoir préalablement évalué la maturité de leurs équipes de développeurs en matière de sécurité, exposant ainsi leur organisation à des risques encore plus importants. »
La dette technique au détriment du code généré par l'IA
« Ce n'est un secret pour personne que l'industrie est déjà confrontée à un énorme problème de dette technique, et ce, en raison du code qui a déjà été écrit. Avec l'augmentation de la dépendance aveugle des développeurs à l'égard d'un code généré par l'IA, intrinsèquement peu sécurisé, ainsi que le contrôle exécutif limité, la situation ne fera qu'empirer. Il est fort possible que cette dynamique nous conduise à une multiplication par 10 des CVE signalés l'année prochaine. »
Pour réussir en 2025, les entreprises doivent être prêtes à introduire l'IA de manière responsable et sécurisée, tout en investissant dans la formation appropriée et l'atténuation des risques pour leurs équipes de développement. Alors que l'année prochaine marquera le premier anniversaire de l'engagement de CISA en matière de sécurité dès la conception, les marques qui conserveront leur avantage concurrentiel sont celles qui accordent la priorité à leur approche de développement sécurisé afin d'éliminer au mieux les risques associés à l'IA, aux problèmes de sécurité des tiers et aux nouvelles menaces émergentes.
Alors que nous nous tournons vers 2025, après une année passionnante et pleine de défis, l'intersection entre l'IA et le développement de logiciels continuera de façonner la communauté des développeurs de manière significative.
Les entreprises sont confrontées à des décisions difficiles en matière d'utilisation de l'IA pour favoriser la productivité à long terme, la durabilité et le retour sur investissement en matière de sécurité. Ces dernières années, nous avons compris que l'IA ne remplacera jamais totalement le rôle du développeur. Qu'il s'agisse de partenariats entre l'IA et les développeurs ou des pressions (et de la confusion) croissantes liées aux attentes en matière de sécurité dès la conception, examinons de plus près ce à quoi nous pouvons nous attendre au cours de l'année prochaine :
Réécrire l'équation de l'IA : pas IA au lieu de développeur, mais IA + développeur
« Alors que les entreprises sont incitées à prendre des mesures drastiques de réduction des coûts en 2025, il ne serait pas surprenant que les développeurs soient remplacés par des outils d'IA. Mais comme c'était le cas lorsque Generative AI a fait ses débuts et qu'il faudra encore des années de mises à jour, cette technologie n'est toujours pas un moteur de productivité sûr et autonome, en particulier lors de la création de code. L'IA est une technologie très perturbatrice avec de nombreuses applications et cas d'utilisation étonnants, mais elle ne remplace pas suffisamment les développeurs humains qualifiés. Je suis d'accord avec Forrester's prédiction selon laquelle cette transition vers l'IA et le remplacement de l'être humain en 2025 est susceptible d'échouer, surtout à long terme. Je pense que la combinaison de l'IA et du développeur est plus susceptible d'y parvenir que l'IA seule. »
L'IA offre un mélange de risques et d'opportunités
« En 2025, nous verrons émerger de nouveaux cas de risque liés au code généré par l'IA, notamment les effets indésirables de problèmes connus tels que le squatting par hallucination, les bibliothèques empoisonnées et les exploits affectant la chaîne d'approvisionnement logicielle. De plus, l'IA sera utilisée pour détecter davantage les failles dans le code, ainsi que pour écrire des exploits pour celui-ci, car Le projet Zero de Google Je viens de le démontrer. En revanche, je pense que nous verrons également certains niveaux de maturité initiaux atteints, les développeurs d'entreprise étant en mesure de tirer parti de ces outils dans leur travail sans trop de risques supplémentaires. Cependant, ce serait l'exception et non la règle, et cela dépendrait de la mesure active du risque pour les développeurs par leur organisation et ajustant son programme de sécurité en conséquence. Dans l'environnement de menaces en évolution rapide que l'année 2025 ne manquera pas d'apporter, ce seront les développeurs compétents et soucieux de la sécurité, dotés d'outils de codage d'IA approuvés, qui seront en mesure de produire du code plus rapidement, tandis que les développeurs peu sensibilisés à la sécurité et ayant des compétences générales ne feront que créer plus de problèmes, et ce, à des vitesses plus élevées. »
Sortir de l'ombre [IA]
« Le paysage législatif autour de l'IA évolue rapidement afin de suivre les avancées fréquentes de la technologie et son taux d'adoption. En 2025, les responsables de la sécurité doivent s'assurer qu'ils sont prêts à se conformer aux directives potentielles. La combinaison des éléments suivants, à savoir comprendre la nature de l' « IA fantôme », puis s'assurer qu'elle n'est pas utilisée dans l'organisation, puis utiliser strictement des outils approuvés et vérifiés installés sur les systèmes de l'entreprise, s'avérera très critique pour les organisations au cours de l'année à venir. Cela permettra de mieux évaluer la cohorte de développement, afin de comprendre comment elle doit être soutenue au mieux pour améliorer continuellement ses prouesses en matière de sécurité et les appliquer à tous les aspects de son travail. »
La réputation de sécurité d'AI Tools sera une mesure clé pour les développeurs
« À l'heure actuelle, il s'agit d'un marché gratuit pour tous en termes d'outils de codage alimentés par LLM. De nouveaux ajouts apparaissent en permanence, chacun offrant un meilleur rendement, une meilleure sécurité et une meilleure productivité. À l'approche de 2025, nous avons besoin d'une norme permettant de comparer et d'évaluer le niveau de sécurité de chaque outil d'IA. Cela inclut les capacités de codage, à savoir sa capacité à générer du code avec de bons modèles de codage sûrs qui ne peuvent pas être exploités par les acteurs de la menace. »
L'IA rendra plus difficile l'entrée sur le terrain pour les développeurs juniors
« Les obstacles à l'entrée pour les développeurs sont plus nombreux que jamais. Avec une main-d'œuvre hybride et distribuée et le niveau de compétences requis pour les postes d'entrée de gamme, la barre continue de monter chaque année pour les développeurs débutants. En 2025, les employeurs commenceront à s'attendre à ce que les développeurs débutants possèdent déjà les compétences et les connaissances nécessaires pour intégrer et optimiser les outils d'IA en toute sécurité dans leur flux de travail lorsqu'ils entrent en fonction, plutôt que de consacrer du temps à la formation en cours d'emploi. Au cours de la prochaine année, les développeurs qui n'apprendront pas à tirer parti des outils d'IA dans leur flux de développement seront confrontés à des conséquences importantes sur leur propre évolution de carrière et auront des difficultés à trouver des opportunités d'emploi. Ils risquent d'entraver leur « licence de programmation », ce qui les empêche de participer à des projets plus complexes, car une maîtrise sûre de l'IA deviendra finalement essentielle. »
Le temps empêchera les organisations de parvenir à la sécurité dès la conception
« Les développeurs ont besoin de suffisamment de temps et de ressources pour améliorer leurs compétences et se familiariser avec les bons outils et les bonnes pratiques afin de parvenir à la « sécurité dès la conception ». À moins que les organisations n'obtiennent l'adhésion des responsables de la sécurité et de l'ingénierie, leurs progrès seront entravés, voire totalement bloqués. Lorsque les organisations tentent de réduire les coûts ou de restreindre les ressources, elles donnent souvent la priorité aux efforts de remédiation immédiats plutôt qu'aux solutions à long terme, en se concentrant sur des outils de remédiation à multiples facettes qui font certaines choses « correctement » et tout le reste « médiocre ». En 2025, ce déséquilibre créera une plus grande disparité entre les organisations qui accordent la priorité au développement de logiciels sécurisés et celles qui souhaitent simplement une solution rapide pour suivre le rythme d'un environnement en mutation. »
Les audits de sécurité de la chaîne d'approvisionnement joueront un rôle essentiel dans l'atténuation des risques mondiaux
« Tous les fournisseurs externalisés/tiers vont commencer à faire l'objet d'une surveillance accrue. Vous pouvez avoir le meilleur programme de sécurité en interne, mais pour les entreprises vers lesquelles vous externalisez, si elles ne mettent pas en œuvre Secure by Design, l'ensemble du cadre de sécurité peut être compromis. En conséquence, les entreprises vont procéder à des audits approfondis de leurs efforts d'externalisation, faisant pression sur les chefs d'entreprise pour qu'ils suivent des directives strictes en matière de sécurité et de conformité du secteur. En fin de compte, le succès des équipes de sécurité dépend d'une vision globale à 360 degrés, y compris d'une approche unifiée à l'échelle de l'organisation et de tous les partenaires externes. »
L'IA jouera un rôle déterminant dans « Cutting Through the Noise »
»Les équipes de développement sont confrontées à des taux de faux positifs grâce aux scanners de vulnérabilité du code. Comment peuvent-ils être sûrs que les vulnérabilités qui leur sont attribuées constituent réellement un risque de sécurité ? En 2025, l'IA sera un outil essentiel pour aider les développeurs à « se débrouiller » en matière de correction du code, permettant ainsi de mieux comprendre le code lui-même. En tirant parti de l'apprentissage automatique, l'IA peut mieux hiérarchiser les menaces réelles en fonction du contexte, réduisant ainsi le temps passé à améliorer la précision des alertes de sécurité. Cela permettra aux équipes de se concentrer sur les vulnérabilités qui présentent réellement un risque, d'améliorer l'efficacité globale et de permettre des cycles de développement plus rapides et plus sûrs. »
L'analyse comparative sera la solution permettant aux organisations d'atteindre leurs objectifs de sécurité dès la conception
« L'absence de référence en matière de sécurité s'avérera préjudiciable aux organisations en 2025, car elles ne disposeront d'aucune base de référence claire pour mesurer leurs progrès en matière de conformité aux normes Secure by Design. En l'absence d'un système d'analyse comparative permettant d'évaluer la manière dont les équipes adhèrent aux pratiques de codage sécurisées, ces organisations risquent d'introduire par inadvertance des vulnérabilités susceptibles d'entraîner une violation majeure. Et en cas de violation, ils n'auront probablement pas le temps de mettre en œuvre un système d'analyse comparative, mais seront contraints d'accélérer leurs initiatives SBD sans avoir préalablement évalué la maturité de leurs équipes de développeurs en matière de sécurité, exposant ainsi leur organisation à des risques encore plus importants. »
La dette technique au détriment du code généré par l'IA
« Ce n'est un secret pour personne que l'industrie est déjà confrontée à un énorme problème de dette technique, et ce, en raison du code qui a déjà été écrit. Avec l'augmentation de la dépendance aveugle des développeurs à l'égard d'un code généré par l'IA, intrinsèquement peu sécurisé, ainsi que le contrôle exécutif limité, la situation ne fera qu'empirer. Il est fort possible que cette dynamique nous conduise à une multiplication par 10 des CVE signalés l'année prochaine. »
Pour réussir en 2025, les entreprises doivent être prêtes à introduire l'IA de manière responsable et sécurisée, tout en investissant dans la formation appropriée et l'atténuation des risques pour leurs équipes de développement. Alors que l'année prochaine marquera le premier anniversaire de l'engagement de CISA en matière de sécurité dès la conception, les marques qui conserveront leur avantage concurrentiel sont celles qui accordent la priorité à leur approche de développement sécurisé afin d'éliminer au mieux les risques associés à l'IA, aux problèmes de sécurité des tiers et aux nouvelles menaces émergentes.
Haga clic en el enlace siguiente y descargue el PDF de este recurso.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Mostrar el informeReserve una demostración
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
Alors que nous nous tournons vers 2025, après une année passionnante et pleine de défis, l'intersection entre l'IA et le développement de logiciels continuera de façonner la communauté des développeurs de manière significative.
Les entreprises sont confrontées à des décisions difficiles en matière d'utilisation de l'IA pour favoriser la productivité à long terme, la durabilité et le retour sur investissement en matière de sécurité. Ces dernières années, nous avons compris que l'IA ne remplacera jamais totalement le rôle du développeur. Qu'il s'agisse de partenariats entre l'IA et les développeurs ou des pressions (et de la confusion) croissantes liées aux attentes en matière de sécurité dès la conception, examinons de plus près ce à quoi nous pouvons nous attendre au cours de l'année prochaine :
Réécrire l'équation de l'IA : pas IA au lieu de développeur, mais IA + développeur
« Alors que les entreprises sont incitées à prendre des mesures drastiques de réduction des coûts en 2025, il ne serait pas surprenant que les développeurs soient remplacés par des outils d'IA. Mais comme c'était le cas lorsque Generative AI a fait ses débuts et qu'il faudra encore des années de mises à jour, cette technologie n'est toujours pas un moteur de productivité sûr et autonome, en particulier lors de la création de code. L'IA est une technologie très perturbatrice avec de nombreuses applications et cas d'utilisation étonnants, mais elle ne remplace pas suffisamment les développeurs humains qualifiés. Je suis d'accord avec Forrester's prédiction selon laquelle cette transition vers l'IA et le remplacement de l'être humain en 2025 est susceptible d'échouer, surtout à long terme. Je pense que la combinaison de l'IA et du développeur est plus susceptible d'y parvenir que l'IA seule. »
L'IA offre un mélange de risques et d'opportunités
« En 2025, nous verrons émerger de nouveaux cas de risque liés au code généré par l'IA, notamment les effets indésirables de problèmes connus tels que le squatting par hallucination, les bibliothèques empoisonnées et les exploits affectant la chaîne d'approvisionnement logicielle. De plus, l'IA sera utilisée pour détecter davantage les failles dans le code, ainsi que pour écrire des exploits pour celui-ci, car Le projet Zero de Google Je viens de le démontrer. En revanche, je pense que nous verrons également certains niveaux de maturité initiaux atteints, les développeurs d'entreprise étant en mesure de tirer parti de ces outils dans leur travail sans trop de risques supplémentaires. Cependant, ce serait l'exception et non la règle, et cela dépendrait de la mesure active du risque pour les développeurs par leur organisation et ajustant son programme de sécurité en conséquence. Dans l'environnement de menaces en évolution rapide que l'année 2025 ne manquera pas d'apporter, ce seront les développeurs compétents et soucieux de la sécurité, dotés d'outils de codage d'IA approuvés, qui seront en mesure de produire du code plus rapidement, tandis que les développeurs peu sensibilisés à la sécurité et ayant des compétences générales ne feront que créer plus de problèmes, et ce, à des vitesses plus élevées. »
Sortir de l'ombre [IA]
« Le paysage législatif autour de l'IA évolue rapidement afin de suivre les avancées fréquentes de la technologie et son taux d'adoption. En 2025, les responsables de la sécurité doivent s'assurer qu'ils sont prêts à se conformer aux directives potentielles. La combinaison des éléments suivants, à savoir comprendre la nature de l' « IA fantôme », puis s'assurer qu'elle n'est pas utilisée dans l'organisation, puis utiliser strictement des outils approuvés et vérifiés installés sur les systèmes de l'entreprise, s'avérera très critique pour les organisations au cours de l'année à venir. Cela permettra de mieux évaluer la cohorte de développement, afin de comprendre comment elle doit être soutenue au mieux pour améliorer continuellement ses prouesses en matière de sécurité et les appliquer à tous les aspects de son travail. »
La réputation de sécurité d'AI Tools sera une mesure clé pour les développeurs
« À l'heure actuelle, il s'agit d'un marché gratuit pour tous en termes d'outils de codage alimentés par LLM. De nouveaux ajouts apparaissent en permanence, chacun offrant un meilleur rendement, une meilleure sécurité et une meilleure productivité. À l'approche de 2025, nous avons besoin d'une norme permettant de comparer et d'évaluer le niveau de sécurité de chaque outil d'IA. Cela inclut les capacités de codage, à savoir sa capacité à générer du code avec de bons modèles de codage sûrs qui ne peuvent pas être exploités par les acteurs de la menace. »
L'IA rendra plus difficile l'entrée sur le terrain pour les développeurs juniors
« Les obstacles à l'entrée pour les développeurs sont plus nombreux que jamais. Avec une main-d'œuvre hybride et distribuée et le niveau de compétences requis pour les postes d'entrée de gamme, la barre continue de monter chaque année pour les développeurs débutants. En 2025, les employeurs commenceront à s'attendre à ce que les développeurs débutants possèdent déjà les compétences et les connaissances nécessaires pour intégrer et optimiser les outils d'IA en toute sécurité dans leur flux de travail lorsqu'ils entrent en fonction, plutôt que de consacrer du temps à la formation en cours d'emploi. Au cours de la prochaine année, les développeurs qui n'apprendront pas à tirer parti des outils d'IA dans leur flux de développement seront confrontés à des conséquences importantes sur leur propre évolution de carrière et auront des difficultés à trouver des opportunités d'emploi. Ils risquent d'entraver leur « licence de programmation », ce qui les empêche de participer à des projets plus complexes, car une maîtrise sûre de l'IA deviendra finalement essentielle. »
Le temps empêchera les organisations de parvenir à la sécurité dès la conception
« Les développeurs ont besoin de suffisamment de temps et de ressources pour améliorer leurs compétences et se familiariser avec les bons outils et les bonnes pratiques afin de parvenir à la « sécurité dès la conception ». À moins que les organisations n'obtiennent l'adhésion des responsables de la sécurité et de l'ingénierie, leurs progrès seront entravés, voire totalement bloqués. Lorsque les organisations tentent de réduire les coûts ou de restreindre les ressources, elles donnent souvent la priorité aux efforts de remédiation immédiats plutôt qu'aux solutions à long terme, en se concentrant sur des outils de remédiation à multiples facettes qui font certaines choses « correctement » et tout le reste « médiocre ». En 2025, ce déséquilibre créera une plus grande disparité entre les organisations qui accordent la priorité au développement de logiciels sécurisés et celles qui souhaitent simplement une solution rapide pour suivre le rythme d'un environnement en mutation. »
Les audits de sécurité de la chaîne d'approvisionnement joueront un rôle essentiel dans l'atténuation des risques mondiaux
« Tous les fournisseurs externalisés/tiers vont commencer à faire l'objet d'une surveillance accrue. Vous pouvez avoir le meilleur programme de sécurité en interne, mais pour les entreprises vers lesquelles vous externalisez, si elles ne mettent pas en œuvre Secure by Design, l'ensemble du cadre de sécurité peut être compromis. En conséquence, les entreprises vont procéder à des audits approfondis de leurs efforts d'externalisation, faisant pression sur les chefs d'entreprise pour qu'ils suivent des directives strictes en matière de sécurité et de conformité du secteur. En fin de compte, le succès des équipes de sécurité dépend d'une vision globale à 360 degrés, y compris d'une approche unifiée à l'échelle de l'organisation et de tous les partenaires externes. »
L'IA jouera un rôle déterminant dans « Cutting Through the Noise »
»Les équipes de développement sont confrontées à des taux de faux positifs grâce aux scanners de vulnérabilité du code. Comment peuvent-ils être sûrs que les vulnérabilités qui leur sont attribuées constituent réellement un risque de sécurité ? En 2025, l'IA sera un outil essentiel pour aider les développeurs à « se débrouiller » en matière de correction du code, permettant ainsi de mieux comprendre le code lui-même. En tirant parti de l'apprentissage automatique, l'IA peut mieux hiérarchiser les menaces réelles en fonction du contexte, réduisant ainsi le temps passé à améliorer la précision des alertes de sécurité. Cela permettra aux équipes de se concentrer sur les vulnérabilités qui présentent réellement un risque, d'améliorer l'efficacité globale et de permettre des cycles de développement plus rapides et plus sûrs. »
L'analyse comparative sera la solution permettant aux organisations d'atteindre leurs objectifs de sécurité dès la conception
« L'absence de référence en matière de sécurité s'avérera préjudiciable aux organisations en 2025, car elles ne disposeront d'aucune base de référence claire pour mesurer leurs progrès en matière de conformité aux normes Secure by Design. En l'absence d'un système d'analyse comparative permettant d'évaluer la manière dont les équipes adhèrent aux pratiques de codage sécurisées, ces organisations risquent d'introduire par inadvertance des vulnérabilités susceptibles d'entraîner une violation majeure. Et en cas de violation, ils n'auront probablement pas le temps de mettre en œuvre un système d'analyse comparative, mais seront contraints d'accélérer leurs initiatives SBD sans avoir préalablement évalué la maturité de leurs équipes de développeurs en matière de sécurité, exposant ainsi leur organisation à des risques encore plus importants. »
La dette technique au détriment du code généré par l'IA
« Ce n'est un secret pour personne que l'industrie est déjà confrontée à un énorme problème de dette technique, et ce, en raison du code qui a déjà été écrit. Avec l'augmentation de la dépendance aveugle des développeurs à l'égard d'un code généré par l'IA, intrinsèquement peu sécurisé, ainsi que le contrôle exécutif limité, la situation ne fera qu'empirer. Il est fort possible que cette dynamique nous conduise à une multiplication par 10 des CVE signalés l'année prochaine. »
Pour réussir en 2025, les entreprises doivent être prêtes à introduire l'IA de manière responsable et sécurisée, tout en investissant dans la formation appropriée et l'atténuation des risques pour leurs équipes de développement. Alors que l'année prochaine marquera le premier anniversaire de l'engagement de CISA en matière de sécurité dès la conception, les marques qui conserveront leur avantage concurrentiel sont celles qui accordent la priorité à leur approche de développement sécurisé afin d'éliminer au mieux les risques associés à l'IA, aux problèmes de sécurité des tiers et aux nouvelles menaces émergentes.
Índice
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de formación sobre el código seguro
Nuestro contenido de vanguardia evoluciona constantemente para adaptarse al panorama en constante cambio del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la IA hasta la inyección de XQuery, ofrecidos para una variedad de puestos, desde arquitectos hasta ingenieros, pasando por jefes de producto y control de calidad. Descubra una visión general de lo que nuestro catálogo de contenidos tiene para ofrecer por tema y por función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon está de vuelta: las missions Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible todo el año en SCW. Implemente desafíos de seguridad avanzados relacionados con la IA y el LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la ley sobre ciberresiliencia: lo que significa para el desarrollo de software seguro desde el diseño.
Descubra qué exige la ley europea sobre ciberresiliencia (CRA), a quién se aplica y cómo los equipos de ingenieros pueden prepararse mediante prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el refuerzo de las capacidades de los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 da inicio a nuestra serie de 10 partes titulada «Facilitadores del éxito», mostrando cómo combinar la codificación segura con resultados comerciales, como la reducción de riesgos y la rapidez, para garantizar la madurez a largo plazo de los programas.
