2026

État de l'IA en Sécurité et Développement

Notre nouveau rapport recueille les témoignages de 450 leaders de la sécurité (CISO ou équivalent), développeurs et ingénieurs AppSec à travers l'Europe et les États-Unis. Ensemble, ils révèlent comment l'IA dans la cybersécurité et le développement logiciel perturbe déjà les choses, comment la prolifération des outils aggrave la sécurité, et comment l'expérience développeur est directement liée aux taux d'incidents. C'est là que vitesse et sécurité s'entrechoquent en 2026.

Télécharger le rapport complet

Principales conclusions

Œuvre d'art numérique abstraite mettant en vedette les couleurs rouge, bleu et blanc avec une superposition de grille et des effets de dégradé.
01

Adoption de l'IA

1 sur 5 a subi un incident grave lié au code IA

Graphique semi-circulaire montrant les réponses aux failles de sécurité provenant du code généré par l'IA : 49 % problème mineur, 20 % incident grave, 20 % non conscient, 11 % non.

« Alors que les organisations luttent pour tirer parti des avantages de l'IA, il y a souvent une bataille cachée associée qui se déroule, celle de protéger leur organisation contre l'augmentation des cyber-risques que l'IA présente. Le rôle du CISO est de s'assurer que la posture de sécurité évolue aussi rapidement que la technologie. »

Femme souriante aux longs cheveux bruns, portant des boucles d'oreilles en perles et un haut vert olive.
Christelle Heikkilä
Ancien DSI/CISO, Arsenal FC

53% blâment l'équipe de sécurité pour les incidents liés au code IA

Q : Si une vulnérabilité introduite par du code GenAI entraînait ultérieurement un incident de sécurité, qui serait ultimement tenu responsable au sein de votre organisation ? Sélectionnez toutes les réponses applicables

« Il y a clairement un manque de clarté parmi les répondants quant à la répartition des responsabilités pour une bonne gestion des risques. »

Homme aux longs cheveux gris ondulés, portant des lunettes rectangulaires noires et une chemise blanche à col, sur fond uni.
Andy Boura
CISO, Rothesay
Illustration numérique abstraite représentant des formes texturées bleu foncé et violet recouvertes d'une grille blanche translucide.
02

Expérience Développeur

15 %
du temps des ingénieurs est perdu à trier les alertes

Cela représente 20 millions de dollars par an pour une organisation de 1000 développeurs.

Argent gaspillé en faux positifs
Reste de l'argent gaspillé en triage.

Coût annuel estimé du temps des développeurs consacré au tri

Graphique à barres comparant les coûts de 50 développeurs (280 000 $), 250 développeurs (1,4 million de dollars) et 1 000 développeurs (5,6 millions de dollars) par rapport aux labels 1 million, 5 millions et 20 millions de dollars.
$720k
$3.6m
$14.4m

2/3 des répondants contournent la sécurité, ignorent les résultats ou retardent les correctifs

44%
37%
35%
34%
32%
22%
Q : Comment la gestion des faux positifs des outils de sécurité a-t-elle affecté vos pratiques de développement ? Sélectionnez toutes les réponses applicables.

« Lorsque les outils de sécurité submergent les développeurs de bruit, ils se tournent vers des solutions de contournement risquées. Nous visons à rétablir l'équilibre en éliminant les faux positifs, en renforçant les garde-fous et en améliorant l'expérience développeur, afin que les équipes puissent se concentrer sur ce qui compte vraiment. »

Homme aux cheveux noirs courts, barbu, portant des lunettes et une chemise noire, debout à l'intérieur, les bras croisés.
Darshit Pandya
Ingénieur Principal Senior - Plateforme, Serko

Les outils conçus pour les équipes de développement et de sécurité ont enregistré beaucoup moins d'incidents

Les équipes utilisant des outils conçus à la fois pour les développeurs et les équipes de sécurité étaient plus de deux fois plus susceptibles de signaler zéro incident, comparé à celles utilisant des outils conçus pour un seul groupe.

Graphique linéaire indiquant les pourcentages déclarant aucun incident : 21 % pour les outils de sécurité, 23 % pour les outils destinés aux développeurs et 55 % pour les outils destinés aux deux.

« Donner aux développeurs le bon outil de sécurité, qui fonctionne avec les outils et les workflows existants, permet aux équipes de mettre en œuvre les meilleures pratiques de sécurité et d'améliorer leur posture. »

Jeune homme à la barbe taillée et aux cheveux courts, vêtu d'une chemise bleu marine, à l'intérieur, sous un éclairage ambiant.
Walid Mahmoud
Responsable DevSecOps, Cabinet Office du Royaume-Uni
Fond numérique abstrait avec une grille superposée et des motifs texturés rouge vif sur un dégradé violet.

La réalité de la sécurité

03

« Il est un peu ironique que l'industrie parle tant de remplacer les humains par l'IA, mais dans la sécurité, nous nous inquiétons bien plus de ne pas avoir suffisamment de personnel de sécurité. »

Igor Andriushchenko,
CISO, Lovable
Graphique à barres illustrant les conséquences du départ d'un ingénieur en sécurité de haut niveau : retard de 40 % dans la réponse aux incidents, ralentissement de 40 % du développement des produits, panne de 37 % des outils clés, retard de 35 % dans les corrections, risque de non-conformité de 34 %, risque d'attaque grave de 28 %, aucun impact de 12 %.

Les équipes utilisant des outils AppSec et CloudSec distincts ont 50 % plus de chances de faire face à des incidents

Graphique à barres comparant les pourcentages d'incidents : 31 % des incidents utilisent des outils distincts, tandis que 20 % utilisent des outils combinés AppSec CloudSec.

"Il est clair que nous devons combiner nos programmes AppSec et Cloud Security en une seule équipe de sécurité produit. Pour les entreprises où l'infrastructure est définie comme du code, la sécurité du cloud est fondamentalement la sécurité du code, et cela conduit à de meilleurs résultats."

James Berthoty
Fondateur, Latio Tech

L'avenir de l'IA

96 % pensent que l'IA écrira du code sécurisé et fiable

D'ici 1 à 2 ans
20%
3-5 ans
44%
24%
6-10 ans
+10 ans
8%
4%
jamais
Mais seulement 21 % pensent que ce sera sans supervision humaine

9 organisations sur 10 s'attendent à ce que l'IA prenne en charge les tests d'intrusion, avec un délai moyen de 5,5 ans.

9 organisations sur 10

Si vous travaillez dans la sécurité logicielle, vous devez lire ceci.

Télécharger le rapport complet