2024 s’impose comme l’année du changement où les équipes DevSecOps utilisent de plus en plus l’IA pour automatiser les processus de sécurité, notamment en s’éloignant des modèles “shift-left”.
Le secteur de la cybersécurité fait face à une multiplication des attaques à l’encontre de la chaîne d’approvisionnement logicielle. Cela a été le cas récemment de SolarWinds, mais deux des attaques ont particulièrement touchées les logiciels open-source (OSS) avec 3CX et XZ Utils.
Ces derniers exemples démontrent notamment l’impact dévastateur de ces failles de sécurité. Un phénomène qui n’est d’ailleurs pas prêt de s’arrêter puisque, selon un récent rapport de Gartner, près de 45 % des organisations à travers le monde devraient subir une attaque contre leur chaîne d’approvisionnement logicielle d’ici 2025.
Cette recrudescence des attaques contre la chaîne d’approvisionnement des logiciels open source est d’ailleurs facilitée par la capacité des cybercriminels à pouvoir automatiser maintenant les attaques dans les gestionnaires de paquets et les projets de logiciels open source les plus répandus.
De nombreux RSSI et équipes DevSecOps ne sont pas suffisamment équipés pour intégrer des outils de contrôle dans leurs systèmes de développement existants afin d’atténuer ces menaces.
Mais 2024 s’impose comme l’année du changement où les équipes DevSecOps utilisent de plus en plus l’IA pour automatiser les processus de sécurité, notamment en s’éloignant des modèles “shift-left” pour favoriser plutôt le « shifting down » dans le but de soulager le workflow des développeurs.
Pour mieux aborder ce processus, il faut tout d’abord revenir sur quelques-uns des facteurs liés
à l’augmentation des attaques de la chaîne d’approvisionnement logicielle, pour comprendre
ensuite comment l’IA peut permettre d’optimiser le travail des développeurs tout en les aidant à
créer un code plus sûr.
L’augmentation des attaques contre la chaîne d’approvisionnement des logiciels open-
source
Les bibliothèques et les langages open source représentent le socle de plus de 90 % des logiciels dans le monde.
Selon l’Open Source Monitor France 2023, une étude de référence sur l’usage de l’open source au sein des entreprises et administrations françaises, plus de huit entreprises sur dix utilisent des technologies open source, et neuf organisations sur dix dans le secteur public. Un phénomène qui explique de façon structurelle l’augmentation des attaques contre la chaîne d’approvisionnement logicielle et l’omniprésence des logiciels libres à l’échelle mondiale.
Gouvernance et chaîne d’approvisionnement des données : deux enjeux cruciaux
Les professionnels de la sécurité doivent prendre en compte la façon dont les vulnérabilités en
matière de sécurité peuvent s’étendre à la chaîne d’approvisionnement des données. Bien que
les organisations intègrent généralement des logiciels développés en externe par le biais de leurs chaînes d’approvisionnement logicielle, celles basées sur la donnée requièrent souvent des mécanismes bien définis pour comprendre ou contextualiser les données.
Contrairement aux logiciels qui disposent de systèmes ou de fonctions structurés, les données ne sont ni structurées ou semi-structurées et sont soumises à un large éventail de normes réglementaires.
Par ailleurs, de nombreuses entreprises construisent des systèmes d’intelligence artificielle ou
de machine learning à partir d’énormes pools de données provenant de sources diverses. Les
modèles de ML sont déployés dans des model zoos avec une compréhension minimale du
code et du contenu utilisé pour produire ces modèles.
Ces derniers doivent donc être traités par les ingénieurs logiciels, ainsi que les données, avec autant de soin que le code intégré dans le logiciel en création, tout en prêtant attention à sa provenance.
De plus, les équipes DevSecOps se doivent d’évaluer les responsabilités liées à l’utilisation des
données, en particulier lorsqu’elles construisent des LLM pour former des outils d’IA. Cela exige
une gestion minutieuse des données au sein des modèles afin d’éviter la transmission accidentelle de données sensibles à des tiers tels qu’OpenAI.
Enfin, les organisations devraient adopter des politiques strictes définissant ce qui est approuvé
en terme de génération de code par l’IA et, lorsqu’elles intègrent des plateformes tierces pour l’IA, suivre attentivement la procédure de due diligence (DD) afin de s’assurer que leurs données ne seront pas utilisées pour l’entraînement et le fine-tuning des modèles d’IA/ML.
L’automatisation de la sécurité grâce à l’IA pour aider les entreprises à passer du « shift-left » au « shift-down »
Le secteur industriel a adopté le concept de « shift-left » il y a une dizaine d’années dans le but de
remédier aux failles de sécurité dès le début du cycle du développement logiciel, en améliorant
ainsi le workflow des développeurs. Alors que les équipes DevSecOps naviguent dans les
méandres de la gouvernance des données, elles doivent également pouvoir évaluer l’impact de
l’évolution “shift-left” sur les prises de décision en matière de sécurité de leur organisation.
Les entreprises vont donc choisir d’adopter l’IA afin d’automatiser entièrement les processus de
sécurité et de les retirer du workflow des développeurs. Cette approche s’appelle “shifting down” car cela automatise le système de sécurité en l’intégrant dans les fonctions de niveau faible de la pile technologique, évitant ainsi aux développeurs de devoir prendre des décisions souvent difficiles.
Selon notre étude sur le rôle de l’IA dans le développement logiciel, les développeurs affirment
ne consacrer que 25 % de leur temps à la génération de code. Or, l’IA peut permettre
d’optimiser les 75 % restants et d’améliorer ainsi leur productivité. En effet, les entreprises
devraient tirer parti de de la capacité de l’IA à résoudre des problèmes techniques spécifiques
tout en améliorant l’efficacité et la productivité de l’ensemble du cycle de vie du développement
logiciel.
En 2024, la multiplication des menaces dans l’écosystème des logiciels open-source, impactant
les chaînes d’approvisionnement logicielles à travers le monde, aura été un véritable moteur
dans la mise en place de nouvelles mesures en matière de stratégies de cybersécurité. Cela
comprend notamment une demande accrue envers l’IA qui vient protéger les infrastructures
numériques.
Il est évident que le secteur de la cybersécurité est en train de se transformer considérablement, en mettant un accent particulier sur la réduction des vulnérabilités de la chaîne d’approvisionnement, l’application de la gouvernance des données et l’intégration de l’IA
dans les mesures de sécurité.
Cette transformation promet d’orienter les équipes DevSecOps vers des processus de développement de logiciels qui placent l’efficacité et la sécurité au premier plan.
