10 prédictions clés : Secure Code Warrior sur l'influence de l'IA et de la conception sécurisée en 2025
À l'horizon 2025, après une année passionnante et pleine de défis, l'intersection de l'IA et du développement logiciel continuera à façonner la communauté des développeurs de manière significative.
Les organisations sont confrontées à des décisions difficiles sur l'utilisation de l'IA pour soutenir la productivité à long terme, la durabilité et le retour sur investissement de la sécurité. Au cours des dernières années, il nous est apparu clairement que l'IA ne remplacera jamais complètement le rôle du développeur. Des partenariats IA + développeurs aux pressions croissantes (et à la confusion) autour des attentes en matière de conception sécurisée, examinons de plus près ce à quoi nous pouvons nous attendre l'année prochaine :
Réécrire l'équation de l'IA : Non pas l'IA au lieu du développeur, mais l'IA + le développeur
"Alors que les entreprises sont incitées à prendre des mesures drastiques de réduction des coûts en 2025, il ne serait surprenant pour personne que les développeurs soient remplacés par des outils d'IA. Mais comme c'était le cas lorsque l'IA générative a fait ses débuts et maintenant avec des années de mises à jour et d'autres à venir, elle n'est toujours pas un moteur de productivité sûr et autonome, en particulier lorsqu'il s'agit de créer du code. L'IA est une technologie extrêmement perturbatrice avec de nombreuses applications et cas d'utilisation étonnants, mais elle n'est pas suffisante pour remplacer les développeurs humains qualifiés. Je suis d'accord avec la prédiction de Forrester selon laquelle cette évolution vers le remplacement de l'IA par l'homme en 2025 est susceptible d'échouer, en particulier à long terme. Je pense que la combinaison IA+développeur est plus susceptible d'y parvenir que l'IA seule."
L'IA, un mélange de risques et d'opportunités
"En 2025, nous verrons émerger de nouveaux cas de risque liés au code généré par l'IA, y compris les effets néfastes de problèmes connus tels que le squattage par hallucination, les bibliothèques empoisonnées et les exploits affectant la chaîne d'approvisionnement en logiciels. En outre, l'IA sera de plus en plus utilisée pour trouver des failles dans le code, ainsi que pour écrire des exploits, comme le Projet Zéro de Google vient de le démontrer. En revanche, je pense que nous verrons également certains niveaux initiaux de maturité atteints par les développeurs d'entreprise capables d'exploiter ces outils dans leur travail sans ajouter trop de risques supplémentaires, mais ce sera l'exception et non la règle, et cela dépendra de leur organisation qui mesurera activement les risques pour les développeurs et ajustera son programme de sécurité en conséquence. Dans l'environnement de menaces en évolution rapide que 2025 ne manquera pas d'apporter, ce seront les développeurs compétents, sensibilisés à la sécurité et disposant d'outils de codage IA approuvés qui seront en mesure de produire du code plus rapidement, tandis que les développeurs peu sensibilisés à la sécurité et disposant de compétences générales ne feront qu'introduire davantage de problèmes, et à des vitesses plus élevées."
Sortir de l'ombre de l'IA
" Le paysage législatif autour de l'IA évolue rapidement pour tenter de suivre les progrès fréquents de la technologie et son taux d'adoption. En 2025, les responsables de la sécurité doivent s'assurer qu'ils sont prêts à se conformer aux directives potentielles. La combinaison des éléments suivants - comprendre la nature de l'"IA de l'ombre" et s'assurer qu'elle n'est pas utilisée dans l'organisation, puis l'utilisation stricte d'outils approuvés et vérifiés installés sur les systèmes de l'entreprise - s'avérera la plus critique pour les organisations au cours de l'année à venir. Cela conduira à une plus grande assessment de la cohorte de développement, pour comprendre comment ils doivent être mieux soutenus pour développer continuellement leurs prouesses en matière de sécurité et l'appliquer à tous les aspects de leur travail."
La sécurité des outils d'IA sera une mesure clé pour les développeurs
"À l'heure actuelle, le marché des outils de codage alimentés par le LLM est en pleine effervescence. De nouveaux outils apparaissent en permanence, chacun vantant un meilleur rendement, une meilleure sécurité et une meilleure productivité. À l'approche de 2025, nous avons besoin d'une norme permettant de comparer et d'évaluer la sécurité de chaque outil d'IA. Cela inclut les capacités de codage, à savoir sa capacité à générer du code avec de bons modèles de codage sûrs qui ne peuvent pas être exploités par des acteurs menaçants".
L'IA rendra plus difficile l'entrée des développeurs juniors dans le secteur
"Les développeurs ont plus de barrières à l'entrée que jamais auparavant. Avec les effectifs hybrides et distribués et le niveau de compétences requis pour les postes de débutants, la barre continue de s'élever chaque année pour les développeurs juniors. En 2025, les employeurs commenceront à attendre des développeurs débutants qu'ils aient déjà les compétences et les connaissances nécessaires pour intégrer et optimiser les outils d'IA en toute sécurité dans leur flux de travail dès leur entrée en fonction - plutôt que de consacrer du temps à la formation sur le tas. Au cours de l'année à venir, les développeurs qui n'auront pas appris à exploiter les outils d'IA dans leur flux de travail seront confrontés à des conséquences significatives pour leur propre évolution de carrière - et auront des difficultés à obtenir des opportunités d'emploi. Ils risquent d'entraver leur "licence de codage", ce qui les empêchera de participer à des projets plus complexes, car une maîtrise sûre de l'IA deviendra finalement essentielle."
Le temps empêchera les organisations d'atteindre la sécurité dès la conception
"Les développeurs ont besoin de suffisamment de temps et de ressources pour se perfectionner et se familiariser avec les bons outils et les bonnes pratiques afin d'atteindre le niveau "Secure by Design". Si les organisations n'obtiennent pas l'adhésion des responsables de la sécurité et de l'ingénierie, leurs progrès seront entravés, voire complètement bloqués. Lorsque les entreprises tentent de réduire les coûts ou de limiter les ressources, elles donnent souvent la priorité aux efforts de remédiation immédiats plutôt qu'aux solutions à long terme - en se concentrant sur des outils de remédiation à multiples facettes qui font certaines choses juste "correctes", et tout le reste "médiocre". En 2025, ce déséquilibre créera une plus grande disparité entre les organisations qui donnent la priorité au développement de logiciels sécurisés et celles qui veulent simplement une solution rapide pour rester en phase avec un paysage changeant."
Les audits de sécurité de la chaîne d'approvisionnement joueront un rôle essentiel dans l'atténuation des risques mondiaux
"Tous les fournisseurs d'externalisation et de tierces parties vont commencer à faire l'objet d'un examen plus approfondi. Vous pouvez avoir le meilleur programme de sécurité en interne, mais pour les entreprises auxquelles vous faites appel, si elles ne pratiquent pas la conception sécurisée, l'ensemble du cadre de sécurité peut être compromis. En conséquence, les organisations vont procéder à des audits approfondis de leurs efforts d'externalisation, ce qui mettra la pression sur les chefs d'entreprise pour qu'ils suivent des lignes directrices strictes en matière de sécurité et de conformité sectorielle. En fin de compte, le succès des équipes de sécurité dépend d'une vision holistique, à 360 degrés - y compris une approche unifiée au sein de l'organisation et de tous les partenaires externes".
L'IA va jouer un rôle important pour "couper court au bruit".
"Leséquipes de développement sont confrontées à des taux de faux positifs avec les scanners de vulnérabilités de code. Comment peuvent-elles être sûres que les vulnérabilités qui leur sont attribuées représentent réellement un risque pour la sécurité ? En 2025, l'IA sera un outil crucial pour aider les développeurs à "couper à travers le bruit" lorsqu'il s'agit de remédier au code - en fournissant une compréhension plus profonde du code lui-même. En tirant parti de l'apprentissage automatique, l'IA peut mieux hiérarchiser les menaces réelles en fonction du contexte, réduisant ainsi le temps passé à améliorer la précision des alertes de sécurité. Cela permettra aux équipes de se concentrer sur les vulnérabilités qui posent réellement un risque, améliorant l'efficacité globale et permettant des cycles de développement plus rapides et plus sûrs."
L'analyse comparative sera la solution pour que les organisations atteignent leurs objectifs en matière de sécurité dès la conception.
"L'absence d'un référentiel de sécurité s'avérera préjudiciable aux organisations en 2025, car elles ne disposeront pas d'une base de référence claire pour mesurer leurs progrès en matière de respect des normes Secure by Design. En l'absence d'un système de référence permettant d'évaluer la façon dont les équipes adhèrent aux pratiques de codage sécurisé, ces organisations risquent d'introduire par inadvertance des vulnérabilités qui pourraient conduire à une violation majeure. Et si une faille se produit, elles n'auront probablement pas le temps de mettre en place un système de benchmarking, mais seront plutôt forcées d'accélérer leurs initiatives SBD sans d'abord évaluer la maturité de leurs équipes de développeurs en matière de sécurité, exposant finalement leur organisation à des risques encore plus importants."
La dette technique au détriment du code généré par l'IA
"Ce n'est un secret pour personne que le secteur est déjà confronté à un énorme problème de dette technique - et cela concerne le code qui a déjà été écrit. Avec l'augmentation de la confiance aveugle des développeurs dans le code généré par l'IA, intrinsèquement peu sûr, en plus d'une surveillance exécutive limitée, la situation ne fera qu'empirer. Il est très possible que cette dynamique nous conduise à multiplier par 10 le nombre de CVE signalés l'année prochaine."
Pour réussir 2025, les organisations doivent être prêtes à introduire l'IA de manière responsable et sécurisée, tout en offrant une formation appropriée et en investissant dans l'atténuation des risques pour leurs équipes de développement. Alors que l'année prochaine marquera le premier anniversaire de l'engagement Secure-by-Design de la CISA, les marques qui conserveront leur avantage concurrentiel seront celles qui donneront la priorité à leur approche de développement sécurisé afin d'éliminer au mieux les risques associés à l'IA, aux problèmes de sécurité des tiers et aux autres menaces émergentes.
Les organisations sont confrontées à des décisions difficiles sur l'utilisation de l'IA pour soutenir la productivité à long terme, la durabilité et le retour sur investissement de la sécurité. Au cours des dernières années, il nous est apparu clairement que l'IA ne remplacera jamais complètement le rôle du développeur. Des partenariats IA + développeurs aux pressions croissantes (et à la confusion) autour des attentes en matière de conception sécurisée, examinons de plus près ce à quoi nous pouvons nous attendre au cours de l'année prochaine.
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstration
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Plateforme D'apprentissage propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.
À l'horizon 2025, après une année passionnante et pleine de défis, l'intersection de l'IA et du développement logiciel continuera à façonner la communauté des développeurs de manière significative.
Les organisations sont confrontées à des décisions difficiles sur l'utilisation de l'IA pour soutenir la productivité à long terme, la durabilité et le retour sur investissement de la sécurité. Au cours des dernières années, il nous est apparu clairement que l'IA ne remplacera jamais complètement le rôle du développeur. Des partenariats IA + développeurs aux pressions croissantes (et à la confusion) autour des attentes en matière de conception sécurisée, examinons de plus près ce à quoi nous pouvons nous attendre l'année prochaine :
Réécrire l'équation de l'IA : Non pas l'IA au lieu du développeur, mais l'IA + le développeur
"Alors que les entreprises sont incitées à prendre des mesures drastiques de réduction des coûts en 2025, il ne serait surprenant pour personne que les développeurs soient remplacés par des outils d'IA. Mais comme c'était le cas lorsque l'IA générative a fait ses débuts et maintenant avec des années de mises à jour et d'autres à venir, elle n'est toujours pas un moteur de productivité sûr et autonome, en particulier lorsqu'il s'agit de créer du code. L'IA est une technologie extrêmement perturbatrice avec de nombreuses applications et cas d'utilisation étonnants, mais elle n'est pas suffisante pour remplacer les développeurs humains qualifiés. Je suis d'accord avec la prédiction de Forrester selon laquelle cette évolution vers le remplacement de l'IA par l'homme en 2025 est susceptible d'échouer, en particulier à long terme. Je pense que la combinaison IA+développeur est plus susceptible d'y parvenir que l'IA seule."
L'IA, un mélange de risques et d'opportunités
"En 2025, nous verrons émerger de nouveaux cas de risque liés au code généré par l'IA, y compris les effets néfastes de problèmes connus tels que le squattage par hallucination, les bibliothèques empoisonnées et les exploits affectant la chaîne d'approvisionnement en logiciels. En outre, l'IA sera de plus en plus utilisée pour trouver des failles dans le code, ainsi que pour écrire des exploits, comme le Projet Zéro de Google vient de le démontrer. En revanche, je pense que nous verrons également certains niveaux initiaux de maturité atteints par les développeurs d'entreprise capables d'exploiter ces outils dans leur travail sans ajouter trop de risques supplémentaires, mais ce sera l'exception et non la règle, et cela dépendra de leur organisation qui mesurera activement les risques pour les développeurs et ajustera son programme de sécurité en conséquence. Dans l'environnement de menaces en évolution rapide que 2025 ne manquera pas d'apporter, ce seront les développeurs compétents, sensibilisés à la sécurité et disposant d'outils de codage IA approuvés qui seront en mesure de produire du code plus rapidement, tandis que les développeurs peu sensibilisés à la sécurité et disposant de compétences générales ne feront qu'introduire davantage de problèmes, et à des vitesses plus élevées."
Sortir de l'ombre de l'IA
" Le paysage législatif autour de l'IA évolue rapidement pour tenter de suivre les progrès fréquents de la technologie et son taux d'adoption. En 2025, les responsables de la sécurité doivent s'assurer qu'ils sont prêts à se conformer aux directives potentielles. La combinaison des éléments suivants - comprendre la nature de l'"IA de l'ombre" et s'assurer qu'elle n'est pas utilisée dans l'organisation, puis l'utilisation stricte d'outils approuvés et vérifiés installés sur les systèmes de l'entreprise - s'avérera la plus critique pour les organisations au cours de l'année à venir. Cela conduira à une plus grande assessment de la cohorte de développement, pour comprendre comment ils doivent être mieux soutenus pour développer continuellement leurs prouesses en matière de sécurité et l'appliquer à tous les aspects de leur travail."
La sécurité des outils d'IA sera une mesure clé pour les développeurs
"À l'heure actuelle, le marché des outils de codage alimentés par le LLM est en pleine effervescence. De nouveaux outils apparaissent en permanence, chacun vantant un meilleur rendement, une meilleure sécurité et une meilleure productivité. À l'approche de 2025, nous avons besoin d'une norme permettant de comparer et d'évaluer la sécurité de chaque outil d'IA. Cela inclut les capacités de codage, à savoir sa capacité à générer du code avec de bons modèles de codage sûrs qui ne peuvent pas être exploités par des acteurs menaçants".
L'IA rendra plus difficile l'entrée des développeurs juniors dans le secteur
"Les développeurs ont plus de barrières à l'entrée que jamais auparavant. Avec les effectifs hybrides et distribués et le niveau de compétences requis pour les postes de débutants, la barre continue de s'élever chaque année pour les développeurs juniors. En 2025, les employeurs commenceront à attendre des développeurs débutants qu'ils aient déjà les compétences et les connaissances nécessaires pour intégrer et optimiser les outils d'IA en toute sécurité dans leur flux de travail dès leur entrée en fonction - plutôt que de consacrer du temps à la formation sur le tas. Au cours de l'année à venir, les développeurs qui n'auront pas appris à exploiter les outils d'IA dans leur flux de travail seront confrontés à des conséquences significatives pour leur propre évolution de carrière - et auront des difficultés à obtenir des opportunités d'emploi. Ils risquent d'entraver leur "licence de codage", ce qui les empêchera de participer à des projets plus complexes, car une maîtrise sûre de l'IA deviendra finalement essentielle."
Le temps empêchera les organisations d'atteindre la sécurité dès la conception
"Les développeurs ont besoin de suffisamment de temps et de ressources pour se perfectionner et se familiariser avec les bons outils et les bonnes pratiques afin d'atteindre le niveau "Secure by Design". Si les organisations n'obtiennent pas l'adhésion des responsables de la sécurité et de l'ingénierie, leurs progrès seront entravés, voire complètement bloqués. Lorsque les entreprises tentent de réduire les coûts ou de limiter les ressources, elles donnent souvent la priorité aux efforts de remédiation immédiats plutôt qu'aux solutions à long terme - en se concentrant sur des outils de remédiation à multiples facettes qui font certaines choses juste "correctes", et tout le reste "médiocre". En 2025, ce déséquilibre créera une plus grande disparité entre les organisations qui donnent la priorité au développement de logiciels sécurisés et celles qui veulent simplement une solution rapide pour rester en phase avec un paysage changeant."
Les audits de sécurité de la chaîne d'approvisionnement joueront un rôle essentiel dans l'atténuation des risques mondiaux
"Tous les fournisseurs d'externalisation et de tierces parties vont commencer à faire l'objet d'un examen plus approfondi. Vous pouvez avoir le meilleur programme de sécurité en interne, mais pour les entreprises auxquelles vous faites appel, si elles ne pratiquent pas la conception sécurisée, l'ensemble du cadre de sécurité peut être compromis. En conséquence, les organisations vont procéder à des audits approfondis de leurs efforts d'externalisation, ce qui mettra la pression sur les chefs d'entreprise pour qu'ils suivent des lignes directrices strictes en matière de sécurité et de conformité sectorielle. En fin de compte, le succès des équipes de sécurité dépend d'une vision holistique, à 360 degrés - y compris une approche unifiée au sein de l'organisation et de tous les partenaires externes".
L'IA va jouer un rôle important pour "couper court au bruit".
"Leséquipes de développement sont confrontées à des taux de faux positifs avec les scanners de vulnérabilités de code. Comment peuvent-elles être sûres que les vulnérabilités qui leur sont attribuées représentent réellement un risque pour la sécurité ? En 2025, l'IA sera un outil crucial pour aider les développeurs à "couper à travers le bruit" lorsqu'il s'agit de remédier au code - en fournissant une compréhension plus profonde du code lui-même. En tirant parti de l'apprentissage automatique, l'IA peut mieux hiérarchiser les menaces réelles en fonction du contexte, réduisant ainsi le temps passé à améliorer la précision des alertes de sécurité. Cela permettra aux équipes de se concentrer sur les vulnérabilités qui posent réellement un risque, améliorant l'efficacité globale et permettant des cycles de développement plus rapides et plus sûrs."
L'analyse comparative sera la solution pour que les organisations atteignent leurs objectifs en matière de sécurité dès la conception.
"L'absence d'un référentiel de sécurité s'avérera préjudiciable aux organisations en 2025, car elles ne disposeront pas d'une base de référence claire pour mesurer leurs progrès en matière de respect des normes Secure by Design. En l'absence d'un système de référence permettant d'évaluer la façon dont les équipes adhèrent aux pratiques de codage sécurisé, ces organisations risquent d'introduire par inadvertance des vulnérabilités qui pourraient conduire à une violation majeure. Et si une faille se produit, elles n'auront probablement pas le temps de mettre en place un système de benchmarking, mais seront plutôt forcées d'accélérer leurs initiatives SBD sans d'abord évaluer la maturité de leurs équipes de développeurs en matière de sécurité, exposant finalement leur organisation à des risques encore plus importants."
La dette technique au détriment du code généré par l'IA
"Ce n'est un secret pour personne que le secteur est déjà confronté à un énorme problème de dette technique - et cela concerne le code qui a déjà été écrit. Avec l'augmentation de la confiance aveugle des développeurs dans le code généré par l'IA, intrinsèquement peu sûr, en plus d'une surveillance exécutive limitée, la situation ne fera qu'empirer. Il est très possible que cette dynamique nous conduise à multiplier par 10 le nombre de CVE signalés l'année prochaine."
Pour réussir 2025, les organisations doivent être prêtes à introduire l'IA de manière responsable et sécurisée, tout en offrant une formation appropriée et en investissant dans l'atténuation des risques pour leurs équipes de développement. Alors que l'année prochaine marquera le premier anniversaire de l'engagement Secure-by-Design de la CISA, les marques qui conserveront leur avantage concurrentiel seront celles qui donneront la priorité à leur approche de développement sécurisé afin d'éliminer au mieux les risques associés à l'IA, aux problèmes de sécurité des tiers et aux autres menaces émergentes.
À l'horizon 2025, après une année passionnante et pleine de défis, l'intersection de l'IA et du développement logiciel continuera à façonner la communauté des développeurs de manière significative.
Les organisations sont confrontées à des décisions difficiles sur l'utilisation de l'IA pour soutenir la productivité à long terme, la durabilité et le retour sur investissement de la sécurité. Au cours des dernières années, il nous est apparu clairement que l'IA ne remplacera jamais complètement le rôle du développeur. Des partenariats IA + développeurs aux pressions croissantes (et à la confusion) autour des attentes en matière de conception sécurisée, examinons de plus près ce à quoi nous pouvons nous attendre l'année prochaine :
Réécrire l'équation de l'IA : Non pas l'IA au lieu du développeur, mais l'IA + le développeur
"Alors que les entreprises sont incitées à prendre des mesures drastiques de réduction des coûts en 2025, il ne serait surprenant pour personne que les développeurs soient remplacés par des outils d'IA. Mais comme c'était le cas lorsque l'IA générative a fait ses débuts et maintenant avec des années de mises à jour et d'autres à venir, elle n'est toujours pas un moteur de productivité sûr et autonome, en particulier lorsqu'il s'agit de créer du code. L'IA est une technologie extrêmement perturbatrice avec de nombreuses applications et cas d'utilisation étonnants, mais elle n'est pas suffisante pour remplacer les développeurs humains qualifiés. Je suis d'accord avec la prédiction de Forrester selon laquelle cette évolution vers le remplacement de l'IA par l'homme en 2025 est susceptible d'échouer, en particulier à long terme. Je pense que la combinaison IA+développeur est plus susceptible d'y parvenir que l'IA seule."
L'IA, un mélange de risques et d'opportunités
"En 2025, nous verrons émerger de nouveaux cas de risque liés au code généré par l'IA, y compris les effets néfastes de problèmes connus tels que le squattage par hallucination, les bibliothèques empoisonnées et les exploits affectant la chaîne d'approvisionnement en logiciels. En outre, l'IA sera de plus en plus utilisée pour trouver des failles dans le code, ainsi que pour écrire des exploits, comme le Projet Zéro de Google vient de le démontrer. En revanche, je pense que nous verrons également certains niveaux initiaux de maturité atteints par les développeurs d'entreprise capables d'exploiter ces outils dans leur travail sans ajouter trop de risques supplémentaires, mais ce sera l'exception et non la règle, et cela dépendra de leur organisation qui mesurera activement les risques pour les développeurs et ajustera son programme de sécurité en conséquence. Dans l'environnement de menaces en évolution rapide que 2025 ne manquera pas d'apporter, ce seront les développeurs compétents, sensibilisés à la sécurité et disposant d'outils de codage IA approuvés qui seront en mesure de produire du code plus rapidement, tandis que les développeurs peu sensibilisés à la sécurité et disposant de compétences générales ne feront qu'introduire davantage de problèmes, et à des vitesses plus élevées."
Sortir de l'ombre de l'IA
" Le paysage législatif autour de l'IA évolue rapidement pour tenter de suivre les progrès fréquents de la technologie et son taux d'adoption. En 2025, les responsables de la sécurité doivent s'assurer qu'ils sont prêts à se conformer aux directives potentielles. La combinaison des éléments suivants - comprendre la nature de l'"IA de l'ombre" et s'assurer qu'elle n'est pas utilisée dans l'organisation, puis l'utilisation stricte d'outils approuvés et vérifiés installés sur les systèmes de l'entreprise - s'avérera la plus critique pour les organisations au cours de l'année à venir. Cela conduira à une plus grande assessment de la cohorte de développement, pour comprendre comment ils doivent être mieux soutenus pour développer continuellement leurs prouesses en matière de sécurité et l'appliquer à tous les aspects de leur travail."
La sécurité des outils d'IA sera une mesure clé pour les développeurs
"À l'heure actuelle, le marché des outils de codage alimentés par le LLM est en pleine effervescence. De nouveaux outils apparaissent en permanence, chacun vantant un meilleur rendement, une meilleure sécurité et une meilleure productivité. À l'approche de 2025, nous avons besoin d'une norme permettant de comparer et d'évaluer la sécurité de chaque outil d'IA. Cela inclut les capacités de codage, à savoir sa capacité à générer du code avec de bons modèles de codage sûrs qui ne peuvent pas être exploités par des acteurs menaçants".
L'IA rendra plus difficile l'entrée des développeurs juniors dans le secteur
"Les développeurs ont plus de barrières à l'entrée que jamais auparavant. Avec les effectifs hybrides et distribués et le niveau de compétences requis pour les postes de débutants, la barre continue de s'élever chaque année pour les développeurs juniors. En 2025, les employeurs commenceront à attendre des développeurs débutants qu'ils aient déjà les compétences et les connaissances nécessaires pour intégrer et optimiser les outils d'IA en toute sécurité dans leur flux de travail dès leur entrée en fonction - plutôt que de consacrer du temps à la formation sur le tas. Au cours de l'année à venir, les développeurs qui n'auront pas appris à exploiter les outils d'IA dans leur flux de travail seront confrontés à des conséquences significatives pour leur propre évolution de carrière - et auront des difficultés à obtenir des opportunités d'emploi. Ils risquent d'entraver leur "licence de codage", ce qui les empêchera de participer à des projets plus complexes, car une maîtrise sûre de l'IA deviendra finalement essentielle."
Le temps empêchera les organisations d'atteindre la sécurité dès la conception
"Les développeurs ont besoin de suffisamment de temps et de ressources pour se perfectionner et se familiariser avec les bons outils et les bonnes pratiques afin d'atteindre le niveau "Secure by Design". Si les organisations n'obtiennent pas l'adhésion des responsables de la sécurité et de l'ingénierie, leurs progrès seront entravés, voire complètement bloqués. Lorsque les entreprises tentent de réduire les coûts ou de limiter les ressources, elles donnent souvent la priorité aux efforts de remédiation immédiats plutôt qu'aux solutions à long terme - en se concentrant sur des outils de remédiation à multiples facettes qui font certaines choses juste "correctes", et tout le reste "médiocre". En 2025, ce déséquilibre créera une plus grande disparité entre les organisations qui donnent la priorité au développement de logiciels sécurisés et celles qui veulent simplement une solution rapide pour rester en phase avec un paysage changeant."
Les audits de sécurité de la chaîne d'approvisionnement joueront un rôle essentiel dans l'atténuation des risques mondiaux
"Tous les fournisseurs d'externalisation et de tierces parties vont commencer à faire l'objet d'un examen plus approfondi. Vous pouvez avoir le meilleur programme de sécurité en interne, mais pour les entreprises auxquelles vous faites appel, si elles ne pratiquent pas la conception sécurisée, l'ensemble du cadre de sécurité peut être compromis. En conséquence, les organisations vont procéder à des audits approfondis de leurs efforts d'externalisation, ce qui mettra la pression sur les chefs d'entreprise pour qu'ils suivent des lignes directrices strictes en matière de sécurité et de conformité sectorielle. En fin de compte, le succès des équipes de sécurité dépend d'une vision holistique, à 360 degrés - y compris une approche unifiée au sein de l'organisation et de tous les partenaires externes".
L'IA va jouer un rôle important pour "couper court au bruit".
"Leséquipes de développement sont confrontées à des taux de faux positifs avec les scanners de vulnérabilités de code. Comment peuvent-elles être sûres que les vulnérabilités qui leur sont attribuées représentent réellement un risque pour la sécurité ? En 2025, l'IA sera un outil crucial pour aider les développeurs à "couper à travers le bruit" lorsqu'il s'agit de remédier au code - en fournissant une compréhension plus profonde du code lui-même. En tirant parti de l'apprentissage automatique, l'IA peut mieux hiérarchiser les menaces réelles en fonction du contexte, réduisant ainsi le temps passé à améliorer la précision des alertes de sécurité. Cela permettra aux équipes de se concentrer sur les vulnérabilités qui posent réellement un risque, améliorant l'efficacité globale et permettant des cycles de développement plus rapides et plus sûrs."
L'analyse comparative sera la solution pour que les organisations atteignent leurs objectifs en matière de sécurité dès la conception.
"L'absence d'un référentiel de sécurité s'avérera préjudiciable aux organisations en 2025, car elles ne disposeront pas d'une base de référence claire pour mesurer leurs progrès en matière de respect des normes Secure by Design. En l'absence d'un système de référence permettant d'évaluer la façon dont les équipes adhèrent aux pratiques de codage sécurisé, ces organisations risquent d'introduire par inadvertance des vulnérabilités qui pourraient conduire à une violation majeure. Et si une faille se produit, elles n'auront probablement pas le temps de mettre en place un système de benchmarking, mais seront plutôt forcées d'accélérer leurs initiatives SBD sans d'abord évaluer la maturité de leurs équipes de développeurs en matière de sécurité, exposant finalement leur organisation à des risques encore plus importants."
La dette technique au détriment du code généré par l'IA
"Ce n'est un secret pour personne que le secteur est déjà confronté à un énorme problème de dette technique - et cela concerne le code qui a déjà été écrit. Avec l'augmentation de la confiance aveugle des développeurs dans le code généré par l'IA, intrinsèquement peu sûr, en plus d'une surveillance exécutive limitée, la situation ne fera qu'empirer. Il est très possible que cette dynamique nous conduise à multiplier par 10 le nombre de CVE signalés l'année prochaine."
Pour réussir 2025, les organisations doivent être prêtes à introduire l'IA de manière responsable et sécurisée, tout en offrant une formation appropriée et en investissant dans l'atténuation des risques pour leurs équipes de développement. Alors que l'année prochaine marquera le premier anniversaire de l'engagement Secure-by-Design de la CISA, les marques qui conserveront leur avantage concurrentiel seront celles qui donneront la priorité à leur approche de développement sécurisé afin d'éliminer au mieux les risques associés à l'IA, aux problèmes de sécurité des tiers et aux autres menaces émergentes.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstration
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior crée une culture de développeurs axés sur la sécurité en leur donnant les compétences nécessaires pour coder de manière sécurisée. Notre programme phare Agile Plateforme D'apprentissage propose des parcours pertinents basés sur les compétences, des exercices pratiques missions et des outils contextuels permettant aux développeurs d'apprendre, de développer et d'appliquer rapidement leurs compétences pour écrire du code sécurisé.
À l'horizon 2025, après une année passionnante et pleine de défis, l'intersection de l'IA et du développement logiciel continuera à façonner la communauté des développeurs de manière significative.
Les organisations sont confrontées à des décisions difficiles sur l'utilisation de l'IA pour soutenir la productivité à long terme, la durabilité et le retour sur investissement de la sécurité. Au cours des dernières années, il nous est apparu clairement que l'IA ne remplacera jamais complètement le rôle du développeur. Des partenariats IA + développeurs aux pressions croissantes (et à la confusion) autour des attentes en matière de conception sécurisée, examinons de plus près ce à quoi nous pouvons nous attendre l'année prochaine :
Réécrire l'équation de l'IA : Non pas l'IA au lieu du développeur, mais l'IA + le développeur
"Alors que les entreprises sont incitées à prendre des mesures drastiques de réduction des coûts en 2025, il ne serait surprenant pour personne que les développeurs soient remplacés par des outils d'IA. Mais comme c'était le cas lorsque l'IA générative a fait ses débuts et maintenant avec des années de mises à jour et d'autres à venir, elle n'est toujours pas un moteur de productivité sûr et autonome, en particulier lorsqu'il s'agit de créer du code. L'IA est une technologie extrêmement perturbatrice avec de nombreuses applications et cas d'utilisation étonnants, mais elle n'est pas suffisante pour remplacer les développeurs humains qualifiés. Je suis d'accord avec la prédiction de Forrester selon laquelle cette évolution vers le remplacement de l'IA par l'homme en 2025 est susceptible d'échouer, en particulier à long terme. Je pense que la combinaison IA+développeur est plus susceptible d'y parvenir que l'IA seule."
L'IA, un mélange de risques et d'opportunités
"En 2025, nous verrons émerger de nouveaux cas de risque liés au code généré par l'IA, y compris les effets néfastes de problèmes connus tels que le squattage par hallucination, les bibliothèques empoisonnées et les exploits affectant la chaîne d'approvisionnement en logiciels. En outre, l'IA sera de plus en plus utilisée pour trouver des failles dans le code, ainsi que pour écrire des exploits, comme le Projet Zéro de Google vient de le démontrer. En revanche, je pense que nous verrons également certains niveaux initiaux de maturité atteints par les développeurs d'entreprise capables d'exploiter ces outils dans leur travail sans ajouter trop de risques supplémentaires, mais ce sera l'exception et non la règle, et cela dépendra de leur organisation qui mesurera activement les risques pour les développeurs et ajustera son programme de sécurité en conséquence. Dans l'environnement de menaces en évolution rapide que 2025 ne manquera pas d'apporter, ce seront les développeurs compétents, sensibilisés à la sécurité et disposant d'outils de codage IA approuvés qui seront en mesure de produire du code plus rapidement, tandis que les développeurs peu sensibilisés à la sécurité et disposant de compétences générales ne feront qu'introduire davantage de problèmes, et à des vitesses plus élevées."
Sortir de l'ombre de l'IA
" Le paysage législatif autour de l'IA évolue rapidement pour tenter de suivre les progrès fréquents de la technologie et son taux d'adoption. En 2025, les responsables de la sécurité doivent s'assurer qu'ils sont prêts à se conformer aux directives potentielles. La combinaison des éléments suivants - comprendre la nature de l'"IA de l'ombre" et s'assurer qu'elle n'est pas utilisée dans l'organisation, puis l'utilisation stricte d'outils approuvés et vérifiés installés sur les systèmes de l'entreprise - s'avérera la plus critique pour les organisations au cours de l'année à venir. Cela conduira à une plus grande assessment de la cohorte de développement, pour comprendre comment ils doivent être mieux soutenus pour développer continuellement leurs prouesses en matière de sécurité et l'appliquer à tous les aspects de leur travail."
La sécurité des outils d'IA sera une mesure clé pour les développeurs
"À l'heure actuelle, le marché des outils de codage alimentés par le LLM est en pleine effervescence. De nouveaux outils apparaissent en permanence, chacun vantant un meilleur rendement, une meilleure sécurité et une meilleure productivité. À l'approche de 2025, nous avons besoin d'une norme permettant de comparer et d'évaluer la sécurité de chaque outil d'IA. Cela inclut les capacités de codage, à savoir sa capacité à générer du code avec de bons modèles de codage sûrs qui ne peuvent pas être exploités par des acteurs menaçants".
L'IA rendra plus difficile l'entrée des développeurs juniors dans le secteur
"Les développeurs ont plus de barrières à l'entrée que jamais auparavant. Avec les effectifs hybrides et distribués et le niveau de compétences requis pour les postes de débutants, la barre continue de s'élever chaque année pour les développeurs juniors. En 2025, les employeurs commenceront à attendre des développeurs débutants qu'ils aient déjà les compétences et les connaissances nécessaires pour intégrer et optimiser les outils d'IA en toute sécurité dans leur flux de travail dès leur entrée en fonction - plutôt que de consacrer du temps à la formation sur le tas. Au cours de l'année à venir, les développeurs qui n'auront pas appris à exploiter les outils d'IA dans leur flux de travail seront confrontés à des conséquences significatives pour leur propre évolution de carrière - et auront des difficultés à obtenir des opportunités d'emploi. Ils risquent d'entraver leur "licence de codage", ce qui les empêchera de participer à des projets plus complexes, car une maîtrise sûre de l'IA deviendra finalement essentielle."
Le temps empêchera les organisations d'atteindre la sécurité dès la conception
"Les développeurs ont besoin de suffisamment de temps et de ressources pour se perfectionner et se familiariser avec les bons outils et les bonnes pratiques afin d'atteindre le niveau "Secure by Design". Si les organisations n'obtiennent pas l'adhésion des responsables de la sécurité et de l'ingénierie, leurs progrès seront entravés, voire complètement bloqués. Lorsque les entreprises tentent de réduire les coûts ou de limiter les ressources, elles donnent souvent la priorité aux efforts de remédiation immédiats plutôt qu'aux solutions à long terme - en se concentrant sur des outils de remédiation à multiples facettes qui font certaines choses juste "correctes", et tout le reste "médiocre". En 2025, ce déséquilibre créera une plus grande disparité entre les organisations qui donnent la priorité au développement de logiciels sécurisés et celles qui veulent simplement une solution rapide pour rester en phase avec un paysage changeant."
Les audits de sécurité de la chaîne d'approvisionnement joueront un rôle essentiel dans l'atténuation des risques mondiaux
"Tous les fournisseurs d'externalisation et de tierces parties vont commencer à faire l'objet d'un examen plus approfondi. Vous pouvez avoir le meilleur programme de sécurité en interne, mais pour les entreprises auxquelles vous faites appel, si elles ne pratiquent pas la conception sécurisée, l'ensemble du cadre de sécurité peut être compromis. En conséquence, les organisations vont procéder à des audits approfondis de leurs efforts d'externalisation, ce qui mettra la pression sur les chefs d'entreprise pour qu'ils suivent des lignes directrices strictes en matière de sécurité et de conformité sectorielle. En fin de compte, le succès des équipes de sécurité dépend d'une vision holistique, à 360 degrés - y compris une approche unifiée au sein de l'organisation et de tous les partenaires externes".
L'IA va jouer un rôle important pour "couper court au bruit".
"Leséquipes de développement sont confrontées à des taux de faux positifs avec les scanners de vulnérabilités de code. Comment peuvent-elles être sûres que les vulnérabilités qui leur sont attribuées représentent réellement un risque pour la sécurité ? En 2025, l'IA sera un outil crucial pour aider les développeurs à "couper à travers le bruit" lorsqu'il s'agit de remédier au code - en fournissant une compréhension plus profonde du code lui-même. En tirant parti de l'apprentissage automatique, l'IA peut mieux hiérarchiser les menaces réelles en fonction du contexte, réduisant ainsi le temps passé à améliorer la précision des alertes de sécurité. Cela permettra aux équipes de se concentrer sur les vulnérabilités qui posent réellement un risque, améliorant l'efficacité globale et permettant des cycles de développement plus rapides et plus sûrs."
L'analyse comparative sera la solution pour que les organisations atteignent leurs objectifs en matière de sécurité dès la conception.
"L'absence d'un référentiel de sécurité s'avérera préjudiciable aux organisations en 2025, car elles ne disposeront pas d'une base de référence claire pour mesurer leurs progrès en matière de respect des normes Secure by Design. En l'absence d'un système de référence permettant d'évaluer la façon dont les équipes adhèrent aux pratiques de codage sécurisé, ces organisations risquent d'introduire par inadvertance des vulnérabilités qui pourraient conduire à une violation majeure. Et si une faille se produit, elles n'auront probablement pas le temps de mettre en place un système de benchmarking, mais seront plutôt forcées d'accélérer leurs initiatives SBD sans d'abord évaluer la maturité de leurs équipes de développeurs en matière de sécurité, exposant finalement leur organisation à des risques encore plus importants."
La dette technique au détriment du code généré par l'IA
"Ce n'est un secret pour personne que le secteur est déjà confronté à un énorme problème de dette technique - et cela concerne le code qui a déjà été écrit. Avec l'augmentation de la confiance aveugle des développeurs dans le code généré par l'IA, intrinsèquement peu sûr, en plus d'une surveillance exécutive limitée, la situation ne fera qu'empirer. Il est très possible que cette dynamique nous conduise à multiplier par 10 le nombre de CVE signalés l'année prochaine."
Pour réussir 2025, les organisations doivent être prêtes à introduire l'IA de manière responsable et sécurisée, tout en offrant une formation appropriée et en investissant dans l'atténuation des risques pour leurs équipes de développement. Alors que l'année prochaine marquera le premier anniversaire de l'engagement Secure-by-Design de la CISA, les marques qui conserveront leur avantage concurrentiel seront celles qui donneront la priorité à leur approche de développement sécurisé afin d'éliminer au mieux les risques associés à l'IA, aux problèmes de sécurité des tiers et aux autres menaces émergentes.
Table des matières
Secure Code Warrior fait du codage sécurisé une expérience positive et attrayante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son propre parcours d'apprentissage, afin que les développeurs compétents en matière de sécurité deviennent les super-héros quotidiens de notre monde connecté.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
La puissance d'OpenText Fortify + Secure Code Warrior
OpenText Fortify et Secure Code Warrior unissent leurs forces pour aider les entreprises à réduire les risques, à transformer les développeurs en champions de la sécurité et à renforcer la confiance des clients. Pour en savoir plus, cliquez ici.
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
Ressources pour vous aider à démarrer
OWASP Top 10 pour les applications LLM : Ce qui est nouveau, ce qui a changé et comment rester en sécurité
Gardez une longueur d'avance dans la sécurisation des applications LLM avec les dernières mises à jour du Top 10 de l'OWASP. Découvrez ce qui est nouveau, ce qui a changé et comment Secure Code Warrior vous fournit des ressources d'apprentissage actualisées pour atténuer les risques dans l'IA générative.
La note de confiance révèle la valeur des initiatives d'amélioration de la sécurité par la conception
Nos recherches ont montré que la formation au code sécurisé fonctionne. Le Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité à réduire les vulnérabilités et la manière de rendre l'initiative encore plus efficace.
.png)
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Codage axé sur le développeur.
En toute sécurité.
Contactez-nous dès aujourd'hui et faites de la sécurité des logiciels une partie intrinsèque de votre processus de développement.
