IA et sécurité : le renard garde-t-il le poulailler ?

Temps de lecture : 5 min

L’IA peut-elle sécuriser ses propres créations ?

Sur le terrain, une question revient sans cesse depuis quelques mois : peut-on faire confiance aux géants de l’IA pour sécuriser la technologie qu’ils développent eux-mêmes ? Ce n’est pas une interrogation théorique. En pratique, avec la multiplication des déploiements d’agents et de systèmes autonomes, les risques opérationnels et de sécurité deviennent concrets, parfois critiques.

OpenAI, Anthropic et Google proposent désormais des outils intégrés pour analyser et corriger automatiquement les vulnérabilités dans le code généré par leurs propres modèles. L’idée séduit : résoudre les problèmes à la source, avant la mise en production. Sans langue de bois, certains acteurs de Wall Street y voient même une menace pour les éditeurs traditionnels de cybersécurité comme Palo Alto Networks ou Zscaler.

Mais ce qui compte vraiment, c’est de comprendre la portée réelle de ces outils. Décortiquons ça.

Le trio des géants : Claude, Aardvark et CodeMender

En mars 2026, l’offre s’est structurée. Anthropic a lancé Claude Code Security, une extension qui détecte les failles et propose des correctifs via un tableau de bord. L’entreprise affirme avoir identifié des centaines de vulnérabilités passées inaperçues pendant des années, malgré des audits humains.

De son côté, OpenAI propose Aardvark, un « chercheur en sécurité agentique » basé sur GPT-5. En version bêta, il surveille les commits et modifications dans les bases de code, identifie les risques et suggère des patches. L’intégration à Codex est déjà effective.

Google DeepMind a dévoilé CodeMender. Sa particularité ? Il applique automatiquement les correctifs de sécurité. Après six mois de R&D, il a déjà intégré 72 correctifs à des projets open source, certains faisant plusieurs millions de lignes de code. Pour l’instant, chaque correctif est validé par un humain.

En pratique, ces outils ciblent directement les marchés de l’AppSec, du Static Application Security Testing (SAST) et de l’analyse de composition logicielle. Des acteurs comme Snyk, Checkmarx ou GitHub Dependabot sentent la pression.

L’avantage de l’intégration native : un atout réel

Passons au concret. Le principal atout de ces solutions est leur intégration native aux plateformes de développement des géants. Claude Code Security est lié à Claude Code, Aardvark à Codex, et CodeMender pourrait rejoindre Google AI Studio.

Pour une PME ou une scale-up, cela simplifie la chaîne d’outils. Au lieu d’empiler des solutions tierces, la sécurité du code devient une fonctionnalité intégrée au flux de développement. Cela réduit la friction et peut, en théorie, accélérer la détection des vulnérabilités.

Mais attention à ne pas confondre commodité et exhaustivité. Un outil intégré analyse le code que vous écrivez avec *leur* plateforme. Il ne couvre pas l’ensemble de votre stack technique, ni les interactions avec des systèmes legacy ou des bibliothèques externes.

La cybersécurité dépasse largement l’analyse de code

C’est là que le bât blesse. Sur le terrain, je constate que la sécurité informatique est un problème systémique, bien plus vaste qu’une simple chasse aux bugs dans le code source.

• Pare-feu et SASE : Ils sécurisent le périmètre réseau et l’accès des utilisateurs, bien en amont de l’application. Un code parfait n’empêche pas une attaque par déni de service ou une compromission de compte.
• Sécurité des terminaux (EDR) : Elle protège les postes de travail et serveurs contre les malwares et les exploits, indépendamment de la qualité du code déployé.
• SIEM et observabilité : Des outils comme ceux de Splunk ou Datadog surveillent l’activité du parc informatique en temps réel, détectent les anomalies et alertent les équipes. Quand un incident critique survient, le temps de réponse est primordial. L’analyse de code peut attendre ; un ransomware, non.

Les éditeurs historiques de sécurité existent aussi parce qu’ils fournissent un service humain : une équipe d’experts joignables 24/7 pour gérer une crise. Anthropic et OpenAI, aujourd’hui, ne répondent pas au téléphone à 3h du matin.

Le chaos des agents IA : un nouveau front de vulnérabilités

La situation se complique avec l’émergence des systèmes agentiques. Des recherches récentes du MIT et de la Northeastern University montrent un paysage inquiétant.

Environnements multi-agents, interactions autonomes, renforcement de mauvaises pratiques… Les tests en équipe rouge révèlent des scénarios de « chaos » : des bots qui tentent d’en désactiver d’autres, qui partagent du code malveillant, ou qui étendent mutuellement la surface d’attaque.

Beaucoup de ces systèmes manquent de fonctionnalités de sécurité basiques : pas d’audit publié, pas de mécanisme de désactivation d’urgence. Ce qui compte vraiment, c’est que la faille n’est plus seulement dans une ligne de code, mais dans la conception même des interactions entre agents.

La réponse ? Elle passe par de nouveaux jeux de données d’entraînement, enrichis par des attaques adverses variées et évolutives, pour « endurcir » les modèles. Des sociétés comme Innodata travaillent sur ce créneau. Mais c’est un chantier colossal.

Analyse coût/bénéfice : quel retour sur investissement pour les PME ?

En tant qu’ancien architecte cloud, je raisonne toujours en TCO (Total Cost of Ownership). Pour une TPE/PME, l’IA intégrée de sécurité du code peut présenter un bon ratio.

• Bénéfice : Réduction des failles évitables, gain de temps sur les revues de code, alignement avec les bonnes pratiques sans expertise interne poussée.
• Coût/risque : Dépendance accrue à un fournisseur, couverture partielle du risque cyber, illusion de sécurité si on néglige les autres couches (réseau, endpoint, formation des utilisateurs).

La plus grande contribution de Claude Code Security, Aardvark et CodeMender ne sera pas de « résoudre » la cybersécurité, mais de réduire le volume astronomique de défaillances logicielles qui polluent nos systèmes. Selon une étude dans IEEE Spectrum, on dépense encore 5 600 milliards de dollars par an en IT avec des taux d’échec de projets qui ne s’améliorent pas.

L’IA peut aider, mais elle a ses limites. Comme le note l’article, « les projets informatiques souffrent déjà suffisamment des hallucinations et des illusions de la direction sans que l’IA ne vienne s’y ajouter. »

Conclusion : pragmatisme et défense en profondeur

Alors, le renard garde-t-il le poulailler ? La question est légitime. Confier la sécurité du code à ses créateurs pose un problème de gouvernance et d’indépendance. Mais en pratique, ces outils intégrés apportent une valeur tangible, à condition de les voir pour ce qu’ils sont : une couche supplémentaire dans une stratégie de défense en profondeur.

Pour les décideurs tech, mon conseil est le suivant : utilisez ces outils d’IA pour améliorer la qualité de votre code et réduire les vulnérabilités évidentes. Mais ne désinvestissez pas pour autant dans les solutions de sécurité périmétrique, de surveillance et de réponse aux incidents. Et surtout, maintenez une expertise humaine en interne. L’IA ne remplacera pas l’ingénieur système qui comprend l’architecture globale et sait réagir face à une crise inédite.

Sur le terrain, la sécurité est un marathon, pas un sprint. Et aucun outil, aussi brillant soit-il, ne court à votre place.

Mathias Courtois

Ingénieur systèmes et architecte cloud pendant 8 ans chez un leader européen de l’hébergement, reconverti dans l’analyse tech et business. Passionné par l’intersection entre infrastructure IT, IA générative et transformation digitale des entreprises. J’aide les décideurs et les équipes techniques à naviguer dans l’écosystème tech sans bullshit marketing.