Claude Code Security vient d’être annoncé. Présenté comme un module de cybersécurité automatisée alliée à la génération de code. Anthropic n’est pas avare d’éloges : « our team found over 500 vulnerabilities in production open-source codebases – bugs that had gone undetected for decades, despite years of expert review ».

Wow. Dans la foulée, les actions des entreprises de cybersécurité dévissent, comme si le match était plié.

Et pourtant. Quelle entreprise devant garantir que ses logiciels sont exempts de défaut de sécurité ferait confiance à une IA, maintenant ou même dans 10 ou 20 ans ?

Dans le célèbre film 2001, l’odyssée de l’espace, le super-ordinateur de bord CARL 500 (HAL 9000 en version d’origine) explique qu’il n’y a jamais eu jusqu’à aujourd’hui un ordinateur de génération CARL ayant fait une erreur. Mais c’est un film.

De nos jours les IA génératives sont très utiles pour produire beaucoup de contenus. Mais font de grossières erreurs, hallucinent, etc. Et même pire : du fait même de leur fonctionnement probabiliste, elles peuvent passer à côté d’un unique problème. Contrairement à un logiciel de recherche de vulnérabilité dédié qui lui peut garantir qu’il a étudié toutes les cas possibles d’un code source donné pour une liste de vulnérabilités recherchées explicitement. La différence entre une recherche statistique et une recherche exhaustive. Mais en manière de sécurité on ne peut pas compter sur la chance.

Pour autant, tout n’est pas à jeter.

1/ Déjà si les IA pouvaient produire du code moins risqué, ce serait un premier pas dans le bon sens.

2/ Allier les résultats des logiciels de recherche de vulnérabilités avec des serveurs MCP, ce serait une belle avancée. En effet, l’IA peut alors être utilisée intelligemment pour par exemple déterminer quel(s) composant(s) remplacer, ce qu’il faudrait corriger en priorité, etc. Bref, que les logiciels de sécurité fournissent de la donnée utilisable par les IA, et que les IA en profitent pour fournir davantage de valeur.

Trouver 500 vulnérabilités dans des dépôts publics n’est pas un exploit. Les logiciels spécialisés sur lesquels je travaille en voient passer des quantités autrement plus élevées.

Comme on le voit, les Nostradamus des temps modernes prédisent que l’IA va tout remplacer. Le discours est lancinant. En réalité, tous les domaines vont s’imprégner de l’IA pour accroître la valeur ajoutée.