Une enquête récente révèle un fossé grandissant entre l’adoption rapide de nouvelles technologies et la capacité des entreprises à sécuriser leurs applications. Malgré une prise de conscience accrue des risques, beaucoup continuent à déployer du code comportant des failles — volontairement.
L’IA : accélérateur de développement… et de vulnérabilités
Selon l’étude menée par Censuswide (entre 2023 et 2025) pour Checkmarx auprès de plus de 4 500 professionnels (développeurs, responsables sécurité, CISO), l’intelligence artificielle est déjà largement utilisée dans le développement logiciel. Environ un tiers des développeurs interrogés affirment que plus de 60% de leur code est généré par l’IA — parfois jusqu’à plus de 80%.
Mais cette adoption rapide se fait souvent sans règles claires : moins de 20% des entreprises ont défini une liste officielle d’outils d’IA autorisés. Résultat : de nombreux employés utilisent des assistants non validés par leur organisme, un phénomène qualifié de « Shadow AI ».
Cela mène à un manque de traçabilité dans la provenance du code et à l’introduction de vulnérabilités invisibles, que les équipes de sécurité peinent à détecter.
On livrera quand même : la culture du ‘patch plus tard’
Le constat le plus frappant de l’étude est que 81% des organisations admettent publier volontairement du code vulnérable en production. Autrement dit, les failles ne sont pas seulement des erreurs inattendues, mais souvent des compromis conscients.
La pression pour livrer rapidement de nouvelles fonctionnalités pousse les équipes à privilégier la vitesse plutôt que la sécurité. On adopte alors la démarche du “patch later” : publier le produit, puis le corriger après coup. Mais les attaquants, eux, ne patientent pas.
Près d’un tiers des développeurs avouent avoir déjà espéré que certaines vulnérabilités passeraient inaperçues après mise en production.
Les conséquences sont multiples : des attaques exploitant les failles surviennent, les coûts de correction augmentent, et la confiance des utilisateurs diminue. De plus, les équipes techniques se retrouvent piégées entre la pression concurrentielle et une dette de sécurité qui finit par rattraper l’organisation.
Des outils de sécurité sous-exploités
Malgré l’existence de solutions matures (tests de sécurité dynamiques, analyses de code d’infrastructure, scans API, etc.), beaucoup d’entreprises ne les intègrent pas complètement à leurs processus.
Moins de la moitié des organisations les utilisent de manière efficace. Les outils sont souvent fragmentés, chaque solution produisant des alertes isolées, sans vision unifiée des priorités. En l’absence d’orchestration cohérente, la sécurité devient une charge et génère de la fatigue opérationnelle.
Fracture entre développeurs et sécurité
L’étude met également en lumière un désalignement entre les équipes de développement et celles de la sécurité. Sur le terrain, les développeurs font face à des délais serrés qui les poussent parfois à livrer du code imparfait. Du côté des responsables sécurité, beaucoup pensent que les développeurs corrigent quasiment toutes les vulnérabilités, tandis que les gestionnaires applicatifs (AppSec managers) sont beaucoup plus prudents.
Ce décalage de perception révèle un manque de visibilité, une communication inefficace et des priorités mal définies.
Vers une sécurité pilotée par l’IA
Si l’IA est aujourd’hui perçue comme un risque dans le développement, elle pourrait devenir un allié puissant pour la sécurité logicielle. Le rapport note que la vitesse imposée par l’IA dépasse ce que les revues manuelles peuvent suivre.
Aujourd’hui, la moitié des organisations utilisent déjà des assistants de sécurité basés sur l’IA, et 40% prévoient d’investir davantage. Ces outils peuvent analyser le code en temps réel, proposer des correctifs ou former les équipes directement dans leur environnement de travail.
Cependant, pour que ces bénéfices se concrétisent, il est impératif d’encadrer l’usage de l’IA. Tant que l’utilisation des assistants reste désordonnée, les risques générés du côté développement ne seront pas compensés. L’enjeu est donc de définir des règles strictes d’usage de l’IA tout en déployant des outils automatisés capables de sécuriser le cycle de développement à la vitesse même de l’IA.
Source : Étude : 81 % des entreprises livrent volontairement du code vulnérable
