2026

État de l'IA en Sécurité et Développement

Notre nouveau rapport recueille les témoignages de 450 leaders de la sécurité (CISO ou équivalent), développeurs et ingénieurs AppSec à travers l'Europe et les États-Unis. Ensemble, ils révèlent comment l'IA dans la cybersécurité et le développement logiciel perturbe déjà les choses, comment la prolifération des outils aggrave la sécurité, et comment l'expérience développeur est directement liée aux taux d'incidents. C'est là que vitesse et sécurité s'entrechoquent en 2026.

Télécharger le rapport complet

Principales conclusions

Œuvre d'art numérique abstraite présentant des couleurs rouge, bleu et blanc avec une superposition de grille et des effets de dégradé.
01

Adoption de l'IA

1 sur 5 a subi un incident grave lié au code IA

Graphique semi-circulaire présentant les réponses aux vulnérabilités de sécurité issues de code généré par IA : 49 % problème mineur, 20 % incident grave, 20 % non informé, 11 % non.

« Alors que les organisations luttent pour tirer parti des avantages de l'IA, il y a souvent une bataille cachée associée qui se déroule, celle de protéger leur organisation contre l'augmentation des cyber-risques que l'IA présente. Le rôle du CISO est de s'assurer que la posture de sécurité évolue aussi rapidement que la technologie. »

Femme souriante aux cheveux bruns longs, portant des boucles d'oreilles en perles et un haut vert olive.
Christelle Heikkilä
Ancien DSI/CISO, Arsenal FC

53% blâment l'équipe de sécurité pour les incidents liés au code IA

Q : Si une vulnérabilité introduite par du code GenAI entraînait ultérieurement un incident de sécurité, qui serait ultimement tenu responsable au sein de votre organisation ? Sélectionnez toutes les réponses applicables

« Il y a clairement un manque de clarté parmi les répondants quant à la répartition des responsabilités pour une bonne gestion des risques. »

Homme aux cheveux gris longs et ondulés, portant des lunettes rectangulaires noires et une chemise blanche à col sur un fond uni.
Andy Boura
CISO, Rothesay
Illustration numérique abstraite de formes texturées bleu foncé et violettes superposées à une grille blanche translucide.
02

Expérience Développeur

15 %
du temps des ingénieurs est perdu à trier les alertes

Cela représente 20 millions de dollars par an pour une organisation de 1000 développeurs.

Argent gaspillé en faux positifs
Reste de l'argent gaspillé en triage.

Coût annuel estimé du temps des développeurs consacré au tri

Graphique à barres comparant les coûts de 50 développeurs (280k $), 250 développeurs (1,4 M$) et 1 000 développeurs (5,6 M$) par rapport aux étiquettes 1 M$, 5 M$ et 20 M$.
$720k
$3.6m
$14.4m

2/3 des répondants contournent la sécurité, ignorent les résultats ou retardent les correctifs

44%
37%
35%
34%
32%
22%
Q : Comment la gestion des faux positifs des outils de sécurité a-t-elle affecté vos pratiques de développement ? Sélectionnez toutes les réponses applicables.

« Lorsque les outils de sécurité submergent les développeurs de bruit, ils se tournent vers des solutions de contournement risquées. Nous visons à rétablir l'équilibre en éliminant les faux positifs, en renforçant les garde-fous et en améliorant l'expérience développeur, afin que les équipes puissent se concentrer sur ce qui compte vraiment. »

Homme aux cheveux noirs courts, barbu et portant des lunettes, vêtu d'une chemise noire, debout à l'intérieur, les bras croisés.
Darshit Pandya
Ingénieur Principal Senior - Plateforme, Serko

Les outils conçus pour les équipes de développement et de sécurité ont enregistré beaucoup moins d'incidents

Les équipes utilisant des outils conçus à la fois pour les développeurs et les équipes de sécurité étaient plus de deux fois plus susceptibles de signaler zéro incident, comparé à celles utilisant des outils conçus pour un seul groupe.

Graphique linéaire montrant les pourcentages déclarant aucun incident : 21 % pour les outils de sécurité, 23 % pour les outils destinés aux développeurs et 55 % pour les outils pour les deux.

« Donner aux développeurs le bon outil de sécurité, qui fonctionne avec les outils et les workflows existants, permet aux équipes de mettre en œuvre les meilleures pratiques de sécurité et d'améliorer leur posture. »

Jeune homme à la barbe taillée et aux cheveux courts, portant une chemise bleu marine à l'intérieur, sous un éclairage ambiant.
Walid Mahmoud
Responsable DevSecOps, Cabinet Office du Royaume-Uni
Fond numérique abstrait avec une superposition de grille et des motifs texturés rouges lumineux sur un dégradé violet.

La réalité de la sécurité

03

« Il est un peu ironique que l'industrie parle tant de remplacer les humains par l'IA, mais dans la sécurité, nous nous inquiétons bien plus de ne pas avoir suffisamment de personnel de sécurité. »

Igor Andriushchenko,
CISO, Lovable
Graphique à barres montrant les impacts du départ d'un ingénieur de sécurité senior : 40 % de retards dans la réponse aux incidents, 40 % de ralentissement du développement produit, 37 % d'outils clés défaillants, 35 % de correctifs retardés, 34 % de risque de non-conformité, 28 % d'attaque grave probable, 12 % aucun impact.

Les équipes utilisant des outils AppSec et CloudSec distincts ont 50 % plus de chances de faire face à des incidents

Graphique à barres comparant les pourcentages d'incidents : 31 % des incidents utilisent des outils distincts, tandis que 20 % utilisent des outils AppSec et CloudSec combinés.

"Il est clair que nous devons combiner nos programmes AppSec et Cloud Security en une seule équipe de sécurité produit. Pour les entreprises où l'infrastructure est définie comme du code, la sécurité du cloud est fondamentalement la sécurité du code, et cela conduit à de meilleurs résultats."

James Berthoty
Fondateur, Latio Tech

L'avenir de l'IA

96 % pensent que l'IA écrira du code sécurisé et fiable

D'ici 1 à 2 ans
20%
3-5 ans
44%
24%
6-10 ans
+10 ans
8%
4%
jamais
Mais seulement 21 % pensent que ce sera sans supervision humaine

9 organisations sur 10 s'attendent à ce que l'IA prenne en charge les tests d'intrusion, avec un délai moyen de 5,5 ans.

9 organisations sur 10

Si vous travaillez dans la sécurité logicielle, vous devez lire ceci.

Télécharger le rapport complet