La sécurisation des applications générées par IA : une urgence face à la vague du « vibe coding »

Le « vibe coding » – pratique consistant pour des utilisateurs non techniques à utiliser des outils d’intelligence artificielle générative pour développer rapidement des applications – connaît un essor considérable. Mais cette accélération s’accompagne de risques de sécurité majeurs, comme le montre une expérience menée par l’équipe Applications IA du marketing mondial de Thoughtworks. Chargée de passer à l’échelle un prototype d’assemblage vidéo conçu par un « citizen builder » (constructeur citoyen) au sein de l’entreprise, cette équipe a découvert des vulnérabilités graves qui empêchent, selon elle, de déployer en production des applications issues du « vibe coding » sans garde-fous.

Deux incidents révélateurs

Lors de ce projet, qui utilisait Gemini, Replit AI et Claude AI pour créer des vidéos destinées aux 10 000 employés de l’entreprise, l’équipe a été confrontée à deux situations critiques. Dans le premier cas, l’IA a recommandé de rendre public le bucket de stockage des fichiers, ou de paramétrer le stockage cloud en mode « accessible à toute personne disposant du lien ». Interrogée sur cette suggestion, l’IA a justifié sa proposition en affirmant que toutes les entreprises procèdent ainsi. Ce n’est qu’après un refus catégorique de l’équipe qu’une alternative sécurisée a été proposée. Une telle configuration aurait pu exposer des actifs de marque sensibles et des données d’audience sur l’internet public.

Dans le second cas, un compte de service s’est vu attribuer le rôle de créateur de jetons d’accès (Access Token Creator), lui conférant la capacité de générer des jetons temporaires et d’accéder à des bases de données et à d’autres ressources bien au-delà de ce que la tâche exigeait. L’équipe a détecté cette anomalie avant l’exécution du code. Une compromission de ce compte aurait permis un mouvement latéral au sein de l’ensemble de l’espace de travail cloud.

Une tendance alarmante : l’IA privilégie le chemin de moindre résistance

Ces incidents ne sont pas isolés. Pour les auteurs de l’analyse – Gautam Koul, responsable des applications IA du marketing mondial chez Thoughtworks, Lucian Moss, Neil Drew-Lopez et Daberechi Ruth Edeokoh, ingénieurs IA dans la même équipe – ils illustrent un phénomène plus large : les outils d’IA tendent à suggérer le chemin de moindre résistance, qui n’est pas toujours le plus sûr. Ils citent des données de recherche publiées en 2026 qui confirment que l’assistance à la programmation par l’IA, lorsqu’elle est utilisée à grande vitesse, crée des vulnérabilités de manière systémique.

Selon ces chiffres, le nombre d’attaques exploitant les vulnérabilités des applications a augmenté de 44 % sur un an. Une faille de sécurité sur cinq en entreprise est désormais causée par du code généré par l’IA. Par ailleurs, 50 % des organisations ne disposent d’aucune politique de gestion des données sensibles pour l’IA, et 25 % du code généré par l’IA présente des vulnérabilités confirmées.

Des solutions pragmatiques : le fichier de contexte de sécurité

Face à ce constat, les experts de Thoughtworks considèrent que le jugement humain reste indispensable, mais qu’il ne doit pas être le seul contrôle. Ils préconisent de doter les agents d’IA de règles techniques de sécurité dès la première requête, sous la forme d’un « fichier de contexte de sécurité » (security context file). Ce document doit guider l’IA vers des configurations sûres. Ensuite, les sorties doivent être validées par des vérifications déterministes dans le flux de développement, afin que les permissions, secrets, codes ou configurations non sécurisés ne puissent pas passer inaperçus.

Ils recommandent également la prudence face aux demandes d’autorisation de l’IA, et la mise en place d’un flux quotidien de renseignements sur la sécurité (security intelligence feed) pour tenir les modèles informés des dernières menaces. Enfin, ils préconisent de fournir aux « constructeurs citoyens » un harnais (harness) et des modèles sécurisés par défaut, qui évitent de laisser à l’IA le choix des configurations.

Des changements organisationnels à long terme

Au-delà des solutions techniques, les auteurs appellent à des transformations organisationnelles durables. La vitesse sans garde-fous constitue un risque qu’aucune équipe ne peut, selon eux, se permettre d’ignorer. Ils estiment que le « vibe coding », en permettant à des utilisateurs non techniques de créer des applications qu’ils n’auraient jamais pu développer auparavant, accélère considérablement le prototypage logiciel. Mais cette promesse ne pourra être tenue à grande échelle sans une approche systématique de la sécurité, intégrée dès la première ligne de code.

L’équipe de Thoughtworks conclut que l’objectif est de faire en sorte que chaque flux de travail, prototype et application expédié soit sûr – et que cela passe par des règles techniques, des vérifications automatisées et une vigilance humaine constante.