« vibe coding » : une menace que les DSI ne peuvent ignorer

Les données qui devraient vous empêcher de dormir

Chaque année, il y a toujours un bon volume de statistiques de sécurité qui peuvent empêcher les professionnels de l'informatique de dormir. Le vibe coding introduit un ensemble de préoccupations entièrement nouveau.

Les conclusions de Red Access

Parmi les principales conclusions du rapport de Red Access, on trouve :

• 2 000 des 5 000 applications codées en vibe contenaient des données sensibles sans authentification, sans contrôles d'accès et sans piste d'audit.
• Les types de données exposées comprenaient des dossiers financiers, des conversations de patients, des documents stratégiques et des identifiants ainsi que des clés API.
• Selon Red Access, dans un « nombre significatif de cas », les applications accordaient par défaut un accès administratif à tout visiteur atteignant l'URL.
• Les cas comprenaient un tableau de bord financier en direct dans l'une des plus grandes banques d'Amérique latine et des documents stratégiques d'une entreprise de 200 milliards de dollars, accessibles via l'outil d'un fournisseur.
• Les expositions documentées couvraient tous les secteurs d'activité et tous les continents, y compris des entreprises du Fortune 500, accessibles via des outils de fournisseurs tiers, les organisations passant parfois des audits de conformité alors que les expositions restaient actives.

« Ce que nous avons trouvé, c'est qu'aucun secteur n'était exempt. Le droit, la santé, les administrations, la finance et, avec une certaine ironie, des cas liés à des entreprises de cybersécurité, ce mélange est ce qui nous a fait changer de perspective », a déclaré Dor Zvi, PDG de Red Access. Selon lui, « ce n'est pas un problème de niche dans un seul secteur. C'est un schéma au niveau de la catégorie, et cela signifie que le travail des équipes de sécurité est à la fois un travail de pile logique et un travail de coaching, car les personnes qui construisent ces applications ne sont pas malveillantes. Ce sont des employés compétents qui résolvent de vrais problèmes plus rapidement que ne le pourrait leur organisation ».

Le paysage de la sécurité du codage IA

Le rapport de Red Access n'est pas le premier, ni le dernier, rapport sur les risques de codage assisté par IA. Les conclusions de Red Access s'inscrivent dans un tableau plus large des risques de sécurité liés au vibe coding et des vulnérabilités du code généré par IA.

• Le rapport sur la sécurité du code GenAI 2025 de Veracode a trouvé des faiblesses de sécurité dans 45 % des échantillons de code générés par IA.
• Apiiro a signalé que les développeurs assistés par IA livraient du code trois à quatre fois plus rapidement tout en produisant des résultats de sécurité à un rythme environ dix fois supérieur.
• Une étude de mars 2025 de l'Université du Texas à San Antonio a trouvé que près d'un échantillon de code généré par IA sur cinq de la série GPT référençait des paquets logiciels inexistants.
• Escape.tech a analysé plus de 2 000 vulnérabilités critiques dans 1 400 applications de production codées en vibe, ainsi que des secrets et des informations sensibles exposés.
• Harness a rapporté dans son État de la livraison logicielle 2025 que 67 % des développeurs passent plus de temps à déboguer le code généré par IA qu'avant d'adopter des outils de codage IA.

L'impact financier

Le risque lié à une application codée de manière non sécurisée peut être matériel pour une organisation.

L'édition 2025 rapport d'IBM sur le coût d'une violation de données fournit des chiffres précis sur les coûts des incidents d'IA fantôme pour les organisations.

• Les incidents d'IA fantôme représentent en moyenne 4,63 millions de dollars par violation, soit 670 000 dollars de plus que la base des violations standard.
• 63 % des organisations ayant subi des violations liées à l'IA ne disposaient pas d'une politique de gouvernance de l'IA.
• 32 % des organisations affectées ont payé des amendes réglementaires, dont 48 % ont dépassé 100 000 dollars.

Les coûts cachés s'étendent souvent plus loin avec la dette technique provenant du code IA non révisé, le traitement des défauts de performances et les correctifs d'urgence à mesure que les applications non sécurisées passent du prototype à la production.

Pourquoi c'est votre plus grande zone d'ombre

Le défi pour de nombreuses entreprises est que les contrôles de sécurité traditionnels ont été conçus pour le déploiement d'applications contrôlé par l'informatique. Avec le vibe coding, ce n'est plus le cas, ce qui entraîne des applications IA non sécurisées et des risques d'exposition du code.

Le fossé de visibilité. Il existe un fossé de visibilité clair dans la sécurité des outils de codage IA, car il réside dans un domaine que la sécurité informatique traditionnelle ne surveille pas.

« Le problème avec l'IA fantôme, c'est qu'elle échappe à tous les différents types de contrôles et de processus d'entreprise, qui supposent qu'il y a une révision de la gouvernance, des achats, de l'architecture, de la sécurité et de la gestion des changements », relève Erik Avakian, conseiller technique chez Info-Tech Research Group et ancien directeur de la sécurité des systèmes d'information pour le Commonwealth de Pennsylvanie.

Le paradoxe de la vitesse. Le vibe coding est rapide, permettant aux utilisateurs de passer rapidement d'une idée à un système de production publiquement accessible connecté à des données d'entreprise en direct.

Le double tranchant de la démocratisation. Les employés non techniques peuvent désormais construire et déployer des applications complètes, et la plupart n'ont aucune connaissance en matière d'authentification, de contrôles d'accès ou de classification des données.

« Ces employés non techniques pensent améliorer la productivité », explique Charles Henderson, responsable de DivisionHex chez Coalfire. Mais « en réalité, ils créent une nouvelle surface d'attaque qui n'est pas surveillée et n'est pas sécurisée ».

La mentalité « c'est juste un outil rapide ». Les employés ne considèrent pas les outils internes comme des risques de sécurité. Ce qui est pensé comme « seulement pour notre équipe » devient une URL publiquement accessible, et le prototype devient la production sans révision car le déploiement est un simple clic. « Ils peuvent partager un lien sans réaliser qu'il peut être transféré. Ils peuvent connecter un dossier entier alors que l'outil n'a besoin que de cinq champs », souligne Tom Levi, RSSI de terrain et directeur de la stratégie de cyber-risque chez CYE, une société mondiale de cybersécurité. Pour lui, « c'est là qu'un petit raccourci de workflow peut devenir une exposition métier significative ».

Les scénarios réels

Les risques liés au vibe coding ne sont pas hypothétiques ; il existe des scénarios réels, y compris les exemples suivants :

• Le tableau de bord des ventes. Un responsable des ventes construit un outil de suivi des affaires dans un outil de vibe coding, le connecte au CRM et le publie sans authentification. Les noms des clients, les montants des contrats et les prévisions sont situés à une URL devinable, indexée par Google. « La version composite d'un cas que j'ai vu plus d'une fois : un petit tableau de bord interne puisant dans un extrait de CRM, déployé via le flux de publication par défaut de la plateforme sur le web. Une clé API intégrée directement dans le paquet frontal. Aucune porte d'authentification », rapporte Krti Tallam, membre senior du personnel technique chez KamiwazaAI. 
• L'outil RH. Un coordinateur RH construit un annuaire des employés avec des fourchettes de salaire, des évaluations de performance et des informations personnelles. Le lien est partagé en interne, et l'application est également accessible au public. Le développeur n'a jamais envisagé la responsabilité réglementaire ou le manque de piste d'audit. 
• L'assistant de support client. Une équipe commerciale construit un outil pour résumer les tickets clients ou les conversations de patients, et la sécurité découvre qu'il traite des noms de clients, des détails de contrat et des données réglementées en dehors des contrôles normaux. 
• Le suivi financier. Un membre de l'équipe financière construit un outil de suivi des dépenses connecté aux systèmes comptables. Des données financières sensibles sont accessibles via une URL publique, créant une exposition de conformité que le développeur n'a jamais envisagée.

Pourquoi les approches de sécurité traditionnelles échouent

Les entreprises disposent de multiples outils et processus en place pour la sécurité ; cependant, la plupart des approches de sécurité traditionnelles échouent pour plusieurs raisons.

Le problème de la prolifération des outils

Le marché du vibe coding couvre des dizaines de plateformes, dont Lovable, Replit, Base44, Bolt et Cursor, avec de nouveaux entrants constamment. Les bloquer toutes couperait le travail dont les organisations dépendent. « Bloquer tout semble décisif, mais cela pousse généralement l'activité dans des endroits que la sécurité ne peut pas voir », explique Tom Levi.

Le défi de la détection

Les applications sont déployées sur l'hébergement externe de Netlify, Vercel et Replit, et non sur l'infrastructure ou les réseaux d'entreprise, ne générant aucun signal dans les outils traditionnels de découverte d'actifs et aucun enregistrement DNS pointant vers des domaines d'entreprise. Elles n'apparaissent dans aucun inventaire d'actifs. Des pages de phishing usurpant l'identité de Bank of America, FedEx, Trader Joe's et Costco sur des sous-domaines de plateformes de vibe coding, trouvées par les chercheurs de Red Access, héritent de la réputation de domaine de la plateforme, neutralisant ainsi le filtrage basé sur le domaine.

« Le suivi traditionnel n'a pas été conçu pour voir l'activité centrée sur l'IA », explique Charles Henderson : « il manque des choses comme l'exfiltration de données basée sur des prompts, les intégrations OAuth IA, les outils basés sur le navigateur, les interactions modèle-données et la prolifération des jetons API ».

Le plan d'action immédiat

Les DSIs ne sont pas impuissants face aux risques du vibe coding. Il existe des mesures immédiates qui peuvent être prises pour aider à gérer le risque.

Découverte et évaluation

Commencez par l'inventaire, pas par la politique, et terminez-le dans les 30 jours. Cadrez cela comme une demande, pas comme un audit. « Avant toute décision d'outillage, lancez une demande d'inventaire à l'échelle de la main-d'œuvre. Pas un audit — une demande », insiste Dor Zvi.

Actions à entreprendre :

• Sonder les équipes de développement sur l'utilisation des outils de codage IA.
• Examiner les relevés de carte de crédit pour les abonnements aux plateformes et rechercher des adresses e-mail d'entreprise sur Lovable, Replit, Base44 et des plateformes similaires.
• Vérifier les applications déployées sous des comptes d'entreprise sur Netlify, Vercel et Replit.
• Identifier les équipes qui traitent des données sensibles, évaluer les impacts de la conformité réglementaire et calculer l'exposition financière.

Atténuation immédiate des risques

Une fois que vous savez ce qui existe, agissez en priorité sur les expositions les plus risquées. Les applications publiquement accessibles sans authentification sont la priorité.

Actions à entreprendre :

• Mettre en place une pause temporaire sur les nouveaux déploiements d'applications codées en vibe.
• Exiger que toutes les applications existantes soient enregistrées et clarifier ce qui se passe si les équipes ne se conforment pas.
• Ajouter une authentification à toute application publiquement accessible immédiatement et supprimer les données sensibles des applications qui ne peuvent pas être sécurisées rapidement.
• Fournir des plateformes approuvées avec des contrôles intégrés comme alternative.

Cadre de gouvernance à long terme

L'objectif à long terme est de permettre aux utilisateurs d'utiliser le vibe coding pour construire des applications sécurisées sans recourir à une approche fantôme.

« Construisez un chemin pavé », recommande Will Bengtson, CISO chez ConductorOne : « créez les fichiers de compétences IA, le processus, la voie approuvée pour déployer une application au sein de votre organisation ».

Actions à entreprendre :

• Développer une politique de gouvernance du codage IA couvrant les cas d'utilisation acceptables, les types de données interdites et les workflows d'approbation.
• Déployer des outils de découverte, étendre les règles de protection contre la perte de données aux domaines des principales plateformes de vibe coding et intégrer l'analyse de sécurité dans les workflows approuvés.
• Fournir une formation aux utilisateurs au sein de l'organisation sur l'authentification, les contrôles d'accès et la classification des données avant qu'ils ne construisent.

« Le but n'est pas d'arrêter le codage IA fantôme », explique Krti Tallam : « c'est de s'assurer que la piste d'audit y survit ».

Conclusion : à l'heure du choix

L'utilisation du vibe coding est réelle et ne va pas disparaître. Les DSIs et les dirigeants informatiques responsables et proactifs doivent faire face à la réalité montrée par les données.

Red Access a trouvé 5 000 applications codées en vibe à usage d'entreprise exposées sur l'internet public. Ces applications n'ont pas nécessité d'exploitation pour être accessibles, et elles n'étaient répertoriées dans aucun inventaire d'actifs. En d'autres termes, ce n'est pas un risque hypothétique ou une préoccupation future. Les applications sont actives maintenant, et les employés continuent d'en construire davantage.

Pour la plupart des organisations, le choix d'activer le développement assisté par IA a effectivement déjà été fait. La vraie question est de savoir si les DSIs mettent une gouvernance autour de cela avant que l'une de ces applications ne devienne le prochain incident de sécurité.

Sean Michael Kerner est un consultant informatique, un passionné de technologie et un bricoleur. Il a retiré Token Ring, configuré NetWare et est connu pour compiler son propre noyau Linux. Il conseille des organisations de l'industrie et des médias sur les questions technologiques.