AI et Régulation Redéfinissent la Sécurité des Applications, Selon une Nouvelle Étude Mondiale
Selon une étude majeure de l’industrie, l’intelligence artificielle a surpassé toutes les autres forces influençant la sécurité des applications, révélant que les organisations se précipitent pour sécuriser le code généré par l’IA tout en répondant à une pression réglementaire croissante.
Un Aperçu du Modèle de Maturité BSIMM
La 16ème édition du Building Security In Maturity Model (BSIMM), publiée par Black Duck, a analysé les pratiques de sécurité logicielle dans 111 organisations à travers le monde, couvrant plus de 91 000 applications développées par 223 000 développeurs. C’est la plus grande et la plus longue étude de ce type, offrant une vue basée sur des données de l’évolution des programmes de sécurité des applications en 2026.
L’IA Comme Facteur Central
Pour la première fois dans l’histoire de BSIMM, l’IA est devenue le facteur le plus influent redéfinissant les priorités de sécurité. Les organisations doivent maintenant relever un double défi : sécuriser les outils de développement alimentés par l’IA, comme les assistants de codage basés sur des modèles de langage de grande taille (LLM), tout en se protégeant contre des attaques de plus en plus sophistiquées activées par l’IA.
Risques du Code Généré par l’IA
Le rapport souligne la préoccupation croissante que le code généré par l’IA, bien qu’il semble souvent poli et prêt pour la production, puisse cacher de graves flaws de sécurité. Par conséquent, les organisations introduisent de nouveaux contrôles spécifiquement conçus pour gérer les risques liés à l’IA.
BSIMM16 a révélé une augmentation de 12 % des organisations utilisant des méthodes de classement des risques pour déterminer où le code généré par les LLM peut être déployé en toute sécurité. De plus, il y a eu une augmentation de 10 % des équipes appliquant des règles de sécurité personnalisées aux outils de révision de code automatisés pour détecter les vulnérabilités uniques au code généré par l’IA.
Réglementation et Investissement en Sécurité
Parallèlement à l’IA, la réglementation gouvernementale est un puissant moteur de changement. De nouveaux mandats, y compris la Loi sur la Résilience Cybernétique de l’UE et les exigences fédérales américaines en matière de sécurité logicielle, obligent les organisations à renforcer la visibilité de la chaîne d’approvisionnement logicielle et à améliorer leur capacité à démontrer leur conformité.
Le rapport indique une augmentation de près de 30 % des organisations produisant des factures de matériaux logiciels (SBOMs) pour les logiciels déployés, reflétant une demande croissante de transparence dans les composants logiciels. La vérification automatisée de la sécurité des infrastructures a augmenté de plus de 50 %, tandis que les processus de divulgation responsable des vulnérabilités ont crû de plus de 40 %.
Sécurité de la Chaîne d’Approvisionnement au Premier Plan
BSIMM16 montre également que les organisations élargissent leur focus au-delà du code développé en interne pour aborder les risques à travers la chaîne d’approvisionnement logicielle plus large. L’utilisation accrue de composants tiers, de logiciels open source et de développement assisté par l’IA a intensifié le besoin de standardisation et de visibilité.
Le rapport a observé une augmentation de plus de 40 % des organisations établissant des piles technologiques standardisées, ainsi qu’une adoption continue des SBOMs, signalant que la sécurité de la chaîne d’approvisionnement devient un élément central des programmes de sécurité des applications.
Formation à la Sécurité Adaptée au Développement Moderne
Les approches traditionnelles de formation à la sécurité évoluent également. Les cours en classe longs sont de plus en plus remplacés par des guides spécifiques au rôle livrés directement au sein des flux de travail des développeurs.
BSIMM16 a enregistré une augmentation de 29 % des organisations fournissant une expertise en sécurité via des canaux de collaboration ouverts, permettant aux développeurs d’accéder à un soutien immédiat lorsqu’ils rencontrent des questions de sécurité.
Stabilité du Cadre Indiquant Maturité
Notamment, BSIMM16 n’introduit aucun changement à la structure du cadre pour la première fois depuis la création du modèle. Bien que de nombreuses activités de sécurité individuelles aient montré une croissance significative, aucune n’a suffisamment changé pour justifier une reclassement.
Selon les auteurs du rapport, cette stabilité signale que la sécurité des applications en tant que discipline a atteint un niveau de maturité structurelle, même si l’IA, la réglementation et la complexité de la chaîne d’approvisionnement continuent de redéfinir la manière dont les organisations mettent en œuvre la sécurité en pratique.
Alors que les organisations naviguent dans un paysage de développement de plus en plus piloté par l’IA, BSIMM16 offre un aperçu de la manière dont les principales équipes de sécurité s’adaptent, fournissant une référence pour d’autres cherchant à équilibrer innovation, conformité et gestion des risques dans des environnements logiciels modernes.