Définie comme toute faille qui persiste sans être corrigée pendant plus d’un an, la dette de sécurité logicielle des entreprises est de plus en plus critique, estime Veracode. Et l’IA n’arrange rien.

La dette de sécurité existe dans 42 % des applications. Pis, elle est présente dans 71 % des organisations, selon le Software Security 2024 Report. Plus inquiétant encore est le fait que 46 % des organisations présentent des défauts persistants, qui plus est de grande gravité, qui constituent une dette de sécurité dite « critique ». Ces vulnérabilités, estime Veracode, représentent un risque important pour les entreprises, « car nous définissons la gravité comme l’impact potentiel sur la confidentialité, l’intégrité et la disponibilité. »

L’explication ? « 89 % des grandes entreprises dans le monde ont en cours une transformation numérique et IA », justifie la Harvard Business Review. Dans une autre étude, GitHub rapporte : « 92 % des développeurs basés aux États-Unis utilisent déjà des outils de codage d’IA dans le cadre de leur travail et en dehors. » Si ces avancées apportent de nombreux avantages, elles introduisent également de nouveaux défis en matière de cybersécurité.

L’IA susceptible d’accélérer l’introduction de nouvelles failles

Selon Chris Eng, Chief Research Officer, Veracode, « les études ont montré à plusieurs reprises que le code développé par l’IA contient à peu près le même pourcentage de failles de sécurité que celui généré par les humains ! » Ainsi, même si l’IA peut accélérer la vitesse du code, elle est également susceptible d’accélérer l’introduction de nouvelles failles.

Ce besoin de rapidité et d’innovation a conduit à une accumulation potentielle encore plus importante de dettes de sécurité, dont les défauts restent non corrigés pendant de longues périodes – mais dans quelle mesure cette accumulation entraîne-t-elle des risques ? Les principales conclusions vont bien au-delà de ce que Veracode avait envisagé.

« Compte tenu de l’ampleur de la dette de sécurité logicielle que nous avons constatée, il convient de se demander si les outils de remédiation assistés par l’IA peuvent être utiles pour réduire cette dette, sans avoir à réorienter les équipes de développement ou à en augmenter la taille ». L’étude a également révélé un nombre considérable de failles dans les codes de première main et de tierce partie, soulignant l’importance de les tester tous les deux tout au long du cycle de vie du développement logiciel.

Les failles critiques en baisse, mais pas éliminées

L’étude a révélé qu’en 2023, la prévalence des failles de grande gravité avait chuté (dans 17,9 % des applications) à la moitié de son niveau de 2016 (dans 37,9 % des applications). Et si, 3,2 % seulement de toutes les failles ont été jugées très graves (score CVSS supérieur ou égal à 9), près de 16 % de ces brèches étaient « fortement susceptibles » d’être exploitées. Cela signifie qu’un peu moins de 1 % (0,7 %) de toutes les vulnérabilités détectées en 2023 étaient à la fois critiques et hautement exploitables.

Globalement, d’après les analyses SAST, DAST et SCA de Veracode, 80 % de toutes les applications actives présentent des failles non résolues, alors que ce chiffre était de 73 % pour les analyses SAST uniquement, qui prennent en compte les problèmes spécifiques à la phase de développement des applications. Les failles détectées dans les composants tiers et open-source étaient comparables à celles détectées dans les codes de première main. En fait, 63,4 % des applications présentaient des failles dans les codes d’origine, tandis que 70,2 % des applications présentaient des failles dans les codes de tierce partie.

Selon l’étude, conclut Veracode, cette situation est liée à l’adoption plus large de l’IA et nécessite une analyse approfondie des deux sources dans le cycle de développement.