La quatrième vague : quand l'IA écrit le code — et le pirate

Nous avons franchi un point d'inflexion significatif dans l'évolution vers la quatrième vague. et l'avenir du développement et de la distribution de logiciels. La quatrième vague ne se limite pas à une ingénierie plus rapide ; elle vise à faire de l’IA un acteur à part entière tout au long du cycle de vie du logiciel. Les assistants de codage sont passés du stade expérimental à la pratique courante en moins de deux ans, et leur impact est déjà mesurable : près de 90 % des entreprises du Fortune 100 utilisent des outils de codage basés sur l’IA, environ 40 à 50 % du code est désormais généré par l’IA dans de nombreux environnements, et l’adoption par les développeurs est en passe de se généraliser au sein des équipes d’entreprise.

Dans le même temps, les entreprises prennent conscience d'une réalité dérangeante : une génération de code plus rapide ne signifie pas automatiquement une livraison de valeur plus rapide dans le processus métier complexe et global du développement logiciel. Les agents de codage ne représentent qu'un élément de ce processus. — et dans la plupart des grandes organisations, les véritables frictions se situent en amont, au niveau de la planification, et en aval, au niveau des tests, de la sécurité et de la mise en production, et non dans la tâche de codage elle-même.

Mais le plus important ici ne réside pas dans les points de blocage que nous avons déjà identifiés. Un changement parallèle est en cours, moins évoqué mais bien plus lourd de conséquences.

L'IA est désormais un acteur de menace de premier ordre

Les mêmes capacités qui accélèrent le développement accélèrent désormais les attaques.

Des développements récents, tels que le modèle Mythos d'Anthropic et le consortium associé Project Glasswing, illustrent les progrès considérables réalisés dans ce domaine. Ces systèmes sont capables d'identifier des vulnérabilités jusqu'alors inconnues et de générer des exploits avec une intervention humaine minimale. Ils peuvent effectuer une rétro-ingénierie d'applications en quelques secondes et des agents peuvent être utilisés par des acteurs malveillants pour lancer une série d'attaques.
Nous ne sommes plus face à des améliorations progressives des outils de sécurité ou à une sophistication accrue des attaquants. Nous entrons dans un monde où l'IA peut découvrir et exploiter les vulnérabilités plus rapidement que la plupart des organisations ne peuvent réagir. L'accélération du risque ne se limite pas à la vitesse ; elle concerne également la complexité, l'échelle, la sophistication et l'étendue. Lorsque les créateurs de ces modèles expriment leurs inquiétudes quant aux conséquences d'une large diffusion, nous savons que le moment est venu pour le secteur de revoir sa stratégie.

La surface d'attaque s'étend — des deux côtés

Ce qui rend ce moment particulier, c'est que le risque augmente simultanément de deux directions.

Extérieurement, L'IA transforme l'écosystème des attaquants :

• Les délais d'attaque se réduisent de plusieurs heures à quelques secondes.
• Les agents et les essaims d'agents permettent d'atteindre une échelle et une complexité d'attaques sans précédent.
• Le nombre de petits groupes de pirates informatiques actifs augmente à mesure que les barrières à l'entrée diminuent et que les coûts chutent.
• L'IA permet la reconnaissance automatisée, la génération d'exploits et les attaques adaptatives

Intérieurement, L'IA transforme la façon dont le code est produit :

• Les développeurs génèrent beaucoup plus de code, et plus rapidement que jamais.
• Le code généré par l'IA peut introduire des vulnérabilités qui ne sont pas toujours pleinement comprises.
• De nombreuses utilisations de Coding Copilot créent davantage de situations de « boîte noire » où les développeurs eux-mêmes ne comprennent pas le code.
• Les schémas de sécurité non sécurisés peuvent désormais se propager à grande échelle à travers des systèmes souvent immatures et manuels. DevOps des processus qui ne font qu'empirer les choses

Nous constatons déjà que les données reflètent ce changement. Selon Digital.ai's 2025 Application Security Rapport sur les menaces :

• 83 % des applications sont constamment attaquées, soit une augmentation de près de 20 % par rapport à l'année précédente.
• Les taux d'attaque ont explosé dans tous les grands secteurs d'activité : télécommunications (91 %), services financiers (87.5 %), automobile (86 %) et santé (78.5 %).
• L'écart entre les taux d'attaques sur iOS et Android s'est considérablement réduit à mesure que les techniques de jailbreak et l'exploitation assistée par l'IA ont gagné en maturité.
• Les outils d'IA disponibles gratuitement ont rendu plus facile que jamais pour les acteurs malveillants de procéder à une ingénierie inverse, d'analyser et d'exploiter des applications à grande échelle.

Il en résulte une nouvelle forme d'asymétrie. Le délai entre la création et l'exploitation d'une vulnérabilité se réduit comme peau de chagrin. Nos données de 2026, bientôt disponibles, montreront à quel point ce délai s'est encore allongé.

Pourquoi l'ancien modèle de sécurité s'effondre

La plupart des stratégies de sécurité d'entreprise ont été conçues pour une autre époque, caractérisée par un développement au rythme humain et des attaques à l'échelle humaine.
 
Ce modèle suppose :

• Le code est écrit et relu par les développeurs.
• Les vulnérabilités sont découvertes au fil du temps ; des correctifs sont publiés dès que possible.
• Les défenseurs disposent d'une fenêtre de détection et de réponse.

Aucune de ces hypothèses ne se vérifie dans le cadre de la quatrième vague.
 
Lorsque le code est généré instantanément et que les attaques sont exécutées instantanément, la sécurité ne peut être ni périodique ni réactive. Elle ne peut se limiter au périmètre de sécurité ni reposer uniquement sur l'analyse et la mise à jour des logiciels de sécurité. Elle doit être intégrée à l'application elle-même : continue, adaptative et en temps réel.

L'accélération de l'application de l'autodéfense

C’est pourquoi la protection des applications revêt une importance accrue. Des fonctionnalités comme l’obfuscation, la protection contre la falsification, l’autoprotection des applications en cours d’exécution (RASP) et la cryptographie en boîte blanche existent depuis un certain temps, mais avec la quatrième vague de cybersécurité, ces approches sont passées du statut de protections supplémentaires optionnelles à celui de nécessité pour survivre face aux menaces actuelles. Elles sont désormais devenues les composantes fondamentales d’une stratégie de sécurité moderne. Non pas parce qu’elles sont nouvelles, mais parce que l’environnement a changé.
Dans un monde où l'IA traque sans relâche les failles, décompile les applications en quelques secondes et intensifie les attaques comme jamais auparavant, les applications doivent pouvoir se défendre en interne, en temps réel, sans intervention extérieure. C'est particulièrement vrai pour les applications mobiles et web, où la surface d'attaque est très exposée, le réseau hors de votre contrôle et l'environnement d'exécution non maîtrisé.

L'implication stratégique

La quatrième vague de l'IA se caractérise par une dynamique simple mais puissante : l'IA accélère la façon dont les logiciels sont conçus, mais aussi dont ils sont attaqués. Cette dualité crée des opportunités et des risques à une échelle sans précédent. Les organisations qui considèrent l'IA uniquement comme un levier de productivité passeront à côté de l'essentiel. Celles qui comprendront la nécessité de faire évoluer leur modèle de sécurité parallèlement à leur modèle de développement seront les leaders. Dans ce nouvel environnement, la vitesse seule n'est pas un avantage. La vitesse sans sécurité est un handicap.
 
Les gagnants de la quatrième vague construiront et innoveront plus rapidement, mais surtout, ils fourniront des applications sécurisées à la vitesse de la machine.
 
Logiciel plus intelligent. Vitesse optimisée. Sécurité intégrée.