Dans le développement logiciel, le recours à l'IA accélère les processus, mais il fait aussi émerger des risques inédits. Des experts alertent sur une nouvelle catégorie de menaces associée aux agents d'IA : ceux-ci peuvent agir pour le compte de l'utilisateur et interagir directement avec le code, les fichiers et les systèmes extérieurs.
Le cœur du problème ? L'IA ne se limite plus à traiter du texte ou du code : elle opère désormais sur des infrastructures complètes. Ce qui accroît les risques de perturbations système involontaires, de changements de configuration, ou encore de fuites de données sensibles hors de l'organisation. Les canaux de communication entre l'IA et le développeur sont aussi une source de danger : ils peuvent être interceptés ou exploités par des attaquants.
Les études indiquent qu'une large part des fuites de données provient déjà d'employés qui injectent des données corporate dans des services d'IA publics – extraits de code, documents, données commerciales, politiques internes. Avec les agents d'IA, l'enjeu monte d'un cran : ils ne se contentent pas de répondre à des questions ; ils exécutent des actions, comme accéder à des API, lire des fichiers ou interagir directement avec les systèmes.
Les experts mettent en garde : si les droits d'accès sont mal configurés ou le contrôle insuffisant, l'IA peut involontairement exposer des clés, des jetons ou des données confidentielles. S'ajoutent les menaces d'empoisonnement du contexte, d'instructions malveillantes et d'erreurs dans les interactions entre agents.
En parallèle, l'IA constitue une nouvelle surface de vulnérabilité à la croisée du développement et de la cybersécurité. Il s'agit de problèmes qui ne cadrent pas avec les modèles de sécurité classiques : empoisonnement du contexte, requêtes dangereuses, abus d'outils, ou encore comptes de service trop permissifs.
Pour autant, les experts voient en l'IA un outil précieux pour l'analyse de code et la détection de vulnérabilités. Elle repère plus vite les failles courantes – injections SQL, XSS – et apporte ainsi une couche de contrôle supplémentaire.
Compter uniquement sur l'IA pour les décisions de sécurité serait une erreur. Les modèles peuvent errer, ignorer la logique métier et instaurer un faux sentiment de sécurité. Les experts recommandent de faire de l'IA un outil d'appoint, en laissant le dernier mot aux professionnels de la cybersécurité.