Par Martyn Ditchburn, CTO pour la région EMEA (Zscaler)

L’IA, comme toute technologie, n’est fondamentalement ni bonne ni mauvaise. Comme toujours, cela dépend de qui l’utilise et à quelles fins. Ce qui est toutefois indéniable, c’est que l’IA évolue plus rapidement que les normes et les lois, les législateurs peinant toujours à suivre le rythme. Bien sûr, le fait que l’IA innove au sein même de l’IA n’aide pas. Cela entraîne une accélération en chaîne sans précédent du développement technologique.

Tout cela crée de nouveaux défis très spécifiques en matière de sécurité, dont le plus récent est le vibe coding. Comme pour tout cycle d’innovation en IA, il est crucial d’en comprendre les fondamentaux, et  les implications en matière de sécurité.

Mais alors, qu’est-ce que le vibe coding ?

À l’origine, le vibe coding est une nouvelle approche du développement logiciel. Ce changement s’explique principalement par l’évolution du rôle du développeur. Autrefois, un développeur devait écrire manuellement chaque ligne de code, avant de passer par le processus habituel d’inspection, de test, de correction et de mise en production. Désormais, avec l’introduction du vibe coding, un développeur, voire un amateur (trouver alternative), peut sauter cette première étape, laisser l’IA écrire le code à sa place, et simplement le guider, le tester et le peaufiner.

Sur le papier, les avantages sont évidents. Les développeurs peuvent travailler plus efficacement, cela démocratise et ouvre l’acte de coder à des personnes non formées, et cela encourage la créativité et l’expérimentation, avec la création de nouvelles applications destinées au grand public, intuitives et faciles à utiliser. Même le PDG de Google, Sundar Pichai, s’y est essayé, déclarant que « c’est un vrai plaisir d’être développeur », après avoir laissé entendre qu’il s’amusait à créer une application web.

Comme pour toute innovation en IA, et étant donné l’accessibilité croissante des outils d’IA, ces derniers gagnent en visibilité dans l’industrie et les habitudes évoluent. Il y a quelques semaines à peine, l’entreprise de vibe coding Lovable était en discussion pour une valorisation de 1,5 milliard de dollars. Ce qui est clair, c’est que l’on ne peut pas arrêter la marée. Il s’agit d’accompagner le mouvement, de construire les garde-fous nécessaires, et de gérer correctement les risques associés. 

Mais quels sont ces risques ?

Le vibe coding représente une véritable innovation, il peut aussi nourrir les cybermenaces. Pour être robustes face aux menaces actuelles, les entreprises ont besoin de code sécurisé, conforme et maintenable. En réalité, un code malveillant n’a pas besoin d’être de haute qualité ou durable pour avoir un impact.

Dans le paysage des menaces pilotées par l’IA d’aujourd’hui, les acteurs malveillants peuvent même utiliser des commandes vocales pour générer du code malveillant et cibler des vulnérabilités. Si l’on pousse l’analyse plus loin, les agents IA ajouteront une autre dimension dangereuse. Bien que l’IA générative puisse fournir des capacités de codage dans le cadre du vibe coding, elle doit encore être déployée et exécutée de manière isolée. Ce ne sera plus le cas lorsqu’un agent IA prendra cette responsabilité en charge.

Le vibe coding peut également engendrer des problèmes au sein même des équipes de sécurité. Il est souvent pratiqué individuellement, ce qui entache la nature collaborative et agile des pratiques DevOps. Sans programmation structurée et sans conscience des enjeux de sécurité, le vibe coding peut introduire des risques invisibles.

Stratégies de défense

Le vibe coding représente un saut en termes d’abstraction, permettant aux programmeurs de générer du code à partir du langage naturel. Et bien qu’il abaisse la barrière d’entrée et démocratise l’accès à la programmation, il augmente en fin de compte le risque de mauvaise utilisation par des utilisateurs non qualifiés. Les entreprises doivent adopter une vision à long terme. Le vibe coding n’est que la dernière itération des attaques pilotées par l’IA, et bien qu’il soit facile de se concentrer sur la technologie du moment, les organisations doivent être prêtes à se défendre contre le vibe coding – et contre les futures innovations.

La première stratégie défensive consiste à déployer une architecture Zero Trust. En son cœur, le Zero Trust est un processus de sécurité qui part du principe qu’aucune entité ne doit être considérée comme digne de confiance par défaut, même à l’intérieur du périmètre réseau. L’adage « si vous pouvez y accéder, vous pouvez le compromettre » s’applique pleinement ici. Ainsi, en réduisant ou éliminant la surface d’attaque, il est possible de bien se protéger. Ensuite, les technologies basées sur des plateformes ont une valeur considérable. L’intelligence que les fournisseurs de plateformes tirent de millions de clients est inestimable. C’est un peu comme une immunité collective : si une solution est appliquée à l’un, elle bénéficie à tous. En somme, vous tirez parti de la participation des autres dans ce modèle. Enfin, il est essentiel que les entreprises adoptent une posture proactive en matière de sécurité, en passant de la défense à l’offensive, ce que nous appelons la chasse aux menaces. En atténuant les risques avant qu’ils ne s’aggravent, les entreprises peuvent renforcer leur posture de sécurité globale.

Perspectives

En fin de compte, pour des raisons telles que l’efficacité des coûts, l’IA continuera de bouleverser nos modes de travail et influencera donc la manière dont nous nous protégeons face à l’évolution du paysage des menaces. À l’avenir, le vibe coding pourrait impliquer plusieurs agents IA, chacun chargé d’un aspect du processus, avec un agent pour la créativité, un autre pour la sécurité, et un autre encore pour la structure.

Une cybersécurité bien faite peut devenir un vecteur de revenus, permettant l’expansion sur de nouveaux marchés, une plus grande agilité, et de meilleures pratiques commerciales. Mal faite, elle expose les entreprises aux risques liés aux dernières innovations et tendances en matière d’IA. En adoptant une vision à long terme du paysage des menaces, en déployant le Zero Trust, et en adoptant une approche proactive de leur posture de sécurité, les entreprises peuvent alors prospérer.