Accueil Cybersécurité ANSSI et le BSI publient des bonnes pratiques sur la sécurité sur...

ANSSI et le BSI publient des bonnes pratiques sur la sécurité sur la génération de code par l’IA

“Alors que le recours à l’IA ne cesse de s’accélérer, l’utilisation d’assistants de programmation basés sur l’IA est déjà répandue dans de nombreuses entités publiques et privées. Ces outils sont utilisés à différents stades du processus de développement de logiciels – principalement pour générer du code source, aider les développeurs à se familiariser avec le code source de nouveaux projets, ou encore générer des tests et de la documentation. L’utilisation de ces assistants ne peut que s’accentuer à l’avenir, faisant de ces outils des éléments incontournables du développement de logiciels.

S’ils présentent des avantages certains, ces produits peuvent aussi induire de nouveaux risques de sécurité et doivent nécessairement être abordés avec prudence. Dans ce cadre, l’ANSSI et le BSI présentent, dans un document rédigé en anglais, les opportunités et les risques de l’utilisation d’assistants de programmation basés sur l’IA, notamment les risques liés aux services mutualisés, accessibles depuis Internet. Le document a pour objectif de contribuer à une utilisation responsable et sûre de ces outils et propose une série de recommandations de sécurité à destination des responsables et développeurs.” évoque l’annonce officielle.

Le document s’intitule “AI Coding Assistants”. Il faut avouer que ces recommandations ne révolutionnent pas les réflexes à avoir même s’il est toujours utile de les rappeler.

L’ANSII et le BSI rappellent qu’il ne faut pas faire confiance aux générateurs de codes pilotés par l’IA. Il faut tout d’abord bien choisir les LLM et les SLM, qu’il faut toujours vérifier et qualifier les codes générés avant de les intégrer.

Les risques potentiels sont nombreux : vulnérabilités, manque de tests, codes non autorisées, modèles déviants, autocomplétion pouvant introduire du code fantôme, etc. Les deux institutions rappellent aussi l’intérêt de génération de codes : générer des tests, gagner en productivité, etc.

Site : https://cyber.gouv.fr/actualites/lanssi-et-le-bsi-publient-leurs-recommandations-de-securite-concernant-les-assistants-de