L'IA a facilité le déploiement de logiciels en quelques jours au lieu de plusieurs mois. Cette rapidité est un atout, mais elle modifie également la place de la sécurité et la vitesse à laquelle les risques peuvent s'introduire dans votre application. Dans cette Masterclass Aikido, Bill Harmer (CISO, Supabase) et Igor Andriushchenko (CISO, Lovable) ont partagé les clés pour maintenir la vélocité sans perdre le contrôle. Ce récapitulatif présente les éléments que chaque développeur devrait appliquer dès maintenant.
Intégrer la sécurité dès le début
Lovable vous aide à passer rapidement de l'idée à l'interface. Supabase vous fournit la base de données et le backend. Bill a commencé par rappeler un point plus important que le choix de n'importe quel outil : la sécurité est une décision de conception, et non un correctif de dernière minute.
“La sécurité est intégrée dès la conception, et non ajoutée après coup.” - Bill Harmer, CISO Supabase
Lorsque les fondations sont sécurisées, tout ce qui se trouve au-dessus reste plus serein. Maintenez la logique sensible et l'accès aux données sur le backend, appuyez-vous sur des configurations sécurisées par défaut plutôt que de développer votre propre système d'authentification, et évitez de pousser des correctifs rapides dans le navigateur juste pour débloquer une build.
Utilisez ce que les plateformes vous offrent
Les équipes reconstruisent souvent des contrôles qui existent déjà au sein de leur stack. Supabase et Lovable sont livrés avec des garde-fous qui permettent de gagner des mois de travail si vous les activez et les utilisez comme prévu.
“Nous construisons Supabase pour que les équipes héritent de contrôles de niveau entreprise dès le premier jour.” - Bill Harmer, CISO Supabase
L'authentification, les permissions, les politiques de stockage et le chiffrement sont déjà présents. Le travail consiste à les configurer et à les respecter, et non à les remplacer par quelque chose de plus risqué.
N'ignorez pas la sécurité au niveau des lignes
La sécurité au niveau des lignes (RLS) est simple, puissante et trop souvent ignorée. Elle détermine précisément quelles lignes un utilisateur peut voir ou modifier. Sans elle, le rayon d'impact est la table entière.
« Si vous ne faites rien d'autre, activez la sécurité au niveau des lignes et configurez-la. » - Bill Harmer, CISO Supabase
Lovable active la RLS par défaut, mais vous devez toujours écrire et tester les politiques. Considérez la RLS comme une ceinture de sécurité. Vous ne remarquez son absence que lorsqu'il est trop tard.
La sécurité vous ralentit un peu, et c'est normal.
L'ajout de contrôles peut casser quelque chose. C'est normal. Le point d'Igor n'était pas d'éviter les frictions, mais de les considérer comme un signe que vous faites le bon travail.
« La sécurité n'est pas gratuite. La récompense est la tranquillité d'esprit et moins d'incidents. » - Igor Andriushchenko, CISO Lovable
Si une règle bloque un chemin, corrigez le chemin plutôt que de supprimer la règle. Quelques heures maintenant valent mieux que des jours de nettoyage plus tard. La vraie vitesse, c'est de déployer en toute confiance.
Pensez en couches
Il n'y a pas de fonctionnalité unique qui protège une application. Une bonne sécurité est un empilement de petits contrôles qui rattrapent les oublis des autres.
« Pensez en couches. Chaque couche devrait échouer en mode fermé. » - Igor Andriushchenko, CISO Lovable
Utilisez l'AMF et l'accès basé sur les rôles. Déplacez la logique sensible vers les fonctions edge. Appliquez le RLS au niveau de la base de données. Scannez les secrets et les vulnérabilités avant le merge. Surveillez le trafic runtime et définissez des limites de débit. Chaque couche réduit l'impact en cas de défaillance.
Les développeurs deviennent des bâtisseurs.
L'IA a transformé le métier. La valeur réside moins dans la saisie et davantage dans la conception de systèmes qui résistent au changement.
« Embauchez des bâtisseurs. Des personnes qui résolvent les problèmes avec des systèmes. L'outil est secondaire. » - Igor Andriushchenko, CISO Lovable
Les développeurs comprennent les limites, les flux de données et les points de défaillance. Ils savent ce qui appartient au navigateur, ce qui reste en périphérie et ce que la base de données doit faire respecter. Cette approche empêche les risques subtils de se transformer en incidents publics.
Définir des garde-fous pour l'IA
Les grands modèles linguistiques sont conçus pour exécuter du code. Si une contrainte semble être la cause d'un échec, le modèle essaiera de la supprimer. Cela peut être un contrôle de sécurité.
« L'IA supprimera les contraintes pour faire fonctionner le code, à moins que vous ne lui disiez de ne pas le faire. » - Igor Andriushchenko, CISO Lovable
Définissez des règles avant de générer. Gardez les secrets hors du navigateur. Laissez les fonctions edge gérer la logique sensible. Laissez la base de données appliquer le RLS. Demandez à l'IA de vous aider à construire, et non de décider ce qui est sûr.
Déployez avec les bases couvertes
Le dernier rappel de Bill était de s'appuyer sur des configurations par défaut sécurisées et de vérifier les fondamentaux avant le déploiement.
« Les configurations par défaut sécurisées facilitent tout. » - Bill Harmer, CISO Supabase
Activez et testez le RLS. Activez l'authentification multifacteur (MFA). Gardez les secrets hors des dépôts. Ajoutez des limites de débit et la protection contre les bots pour les points d'accès publics. Séparez les environnements de staging et de production. Examinez les journaux et les alertes. Automatisez les scans dans la CI. Ces étapes sont simples, et ce sont elles qui évitent les gros titres.
Le point à retenir
La rapidité ne doit pas rimer avec fragilité. Lovable vous permet de construire rapidement. Supabase vous offre une base sécurisée. Aikido relie le tout en détectant et en corrigeant les risques dans votre code, votre cloud et votre runtime, afin que vous puissiez continuer à livrer sans vous demander ce que vous avez manqué.
Si vous voulez une liste pratique que vous pouvez appliquer dès aujourd'hui, commencez par la Checklist de sécurité du Vibe Coder.
Regardez l'enregistrement complet de la Masterclass pour l'entendre directement des CISOs.
Sécurisez votre logiciel dès maintenant.
