90 % des responsables sécurité sont activement préoccupés par les risques du code généré par IA, mais 38 % des organisations s'appuient encore principalement sur la revue manuelle pour les détecter, créant un dangereu... Un essai clinique rigoureux du METR a révélé que des développeurs expérimentés étaient 19 % plus...

Create a landscape editorial hero image for this Studio Global article: What security risks, adoption rates, governance gaps, and developer perception issues surround AI-generated code, according to Salt Security. Article summary: Here are the key findings from Salt Security's June 2026 report **"AI Coding Assistants and the New Security Challenge"** [1][2].. Topic tags: general, academic, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "The rapid adoption of AI coding assistants is creating a new governance challenge for enterprise security teams, according to research released by Salt Security, which found that n" source context "Salt Security AI coding assistants" Reference image 2: visual subject "Salt Security launches Salt Code, the first agentic security solution to enforce security policies inside AI coding assistants
La vitesse d'adoption de l'IA dans l'ingénierie logicielle a créé une fracture qui n'était pas censée apparaître. D'un côté, les équipes de développement ont embrassé les assistants de codage à une vitesse extraordinaire. De l'autre, l'appareil de sécurité censé gouverner ce code fonctionne toujours comme si chaque ligne était tapée par un seul humain à un rythme prévisible. Le rapport de juin 2026 de Salt Security, « Assistants de codage IA : le nouveau défi de la sécurité », quantifie cet écart en des termes sévères — et introduit un terme qui pourrait définir la prochaine ère de la sécurité applicative : la dérive de sécurité.
Les assistants de codage IA ne sont plus une expérimentation marginale. L'étude de Salt révèle que 67 % des organisations déclarent que ces outils sont largement adoptés par leurs équipes de développement . L'entreprise prévoit que le code assisté par IA dépassera 50 % du code total en entreprise d'ici 2027 — un seuil qui ferait du code généré par machine l'intrant dominant dans les systèmes en production
.
Une telle croissance serait célébrée dans presque n'importe quel autre domaine de la technologie d'entreprise. Le problème est ce qui arrive quand ce code est livré sans une réponse sécuritaire proportionnée. 90 % des responsables sécurité ont confié à Salt qu'ils s'inquiètent activement des risques introduits par le code généré par l'IA . Leur inquiétude n'est pas abstraite. Les derniers tests de Veracode, cités dans le rapport de Salt, établissent le taux de réussite en matière de sécurité du code généré par IA à environ 55 % — un chiffre pratiquement inchangé depuis deux ans, ce qui signifie que près de la moitié du code généré contient des vulnérabilités connues en l'absence de consignes de sécurité explicites
.
Parmi les répondants de Salt, 29 % ont pointé du doigt les motifs de codage non sécurisés comme le risque principal, tandis que 15 % estimaient que la préoccupation majeure était le non-alignement avec les politiques de sécurité internes . Ces deux craintes découlent de la même cause racine : les assistants de codage IA sont entraînés sur du code public, et non sur les politiques de sécurité, les cadres sectoriels ou les exigences de conformité propres à chaque organisation
.
Le rapport introduit la « dérive de sécurité » comme le mécanisme qui transforme le paradoxe de l'adoption en une exposition bien réelle. L'idée est simple. Une organisation écrit ses règles de sécurité dans des wikis, des PDF et un savoir-faire tribal que l'assistant IA n'a jamais lu. Ce dernier génère un code syntaxiquement correct et fonctionnellement utile, mais qui enfreint silencieusement ces politiques internes. Personne ne le détecte car les processus de revue n'arrivent pas à suivre .
Cela amène Salt à l'une de ses conclusions les plus exploitables — et les plus alarmantes — en matière de gouvernance. 38 % des organisations s'appuient encore principalement sur la revue de code manuelle pour gérer la production des assistants de codage IA. Le volume de code généré par l'IA a déjà dépassé ce que les relecteurs humains peuvent inspecter de manière significative, et la projection de Salt pour 2027 suggère que cet écart ne fera que se creuser . Seule une petite minorité d'organisations a intégré des garde-fous de sécurité automatisés dans ses flux de travail de codage IA
.
Roey Eliyahu, PDG de Salt Security, a résumé la situation sans détour : la gouvernance n'a pas réussi à suivre le rythme auquel les assistants de codage IA ont modifié le développement logiciel . Les outils traditionnels d'analyse statique et dynamique (SAST/DAST) détectent les problèmes trop tard dans le pipeline, au moment où chaque correction devient une réécriture et chaque réécriture un retard
.
La gouvernance n'est pas le seul domaine où la perception s'est écartée de la réalité. Le rapport de Salt met en lumière une conclusion issue d'une étude externe devenue une référence dans les débats sur les outils de développement : l'essai clinique randomisé du METR publié en juillet 2025 .
L'étude a mis 16 développeurs open-source expérimentés face à 246 tâches réelles sur leurs propres dépôts matures — des bases de code comptant en moyenne plus d'un million de lignes et des dizaines de milliers d'étoiles sur GitHub. Les participants ont été répartis aléatoirement pour utiliser soit des outils d'IA (principalement Cursor Pro avec Claude 3.5/3.7 Sonnet), soit travailler sans eux .
Le résultat principal a été si souvent cité qu'il risque de devenir un bruit de fond, mais les chiffres restent frappants. Les développeurs utilisant l'IA ont accompli leurs tâches 19 % plus lentement que ceux qui travaillaient sans aucune assistance. Avant l'essai, ces mêmes développeurs avaient prédit que l'IA les rendrait 24 % plus rapides. Après avoir accompli leurs tâches, ils estimaient que les outils les avaient rendus environ 20 % plus rapides — bien que la mesure objective ait montré qu'ils étaient plus lents. L'écart entre la productivité ressentie et la productivité réelle dépassait les 39 points de pourcentage .
Cette conclusion du METR ne signifie pas que les outils d'IA sont inutiles — le contexte compte énormément. Des gains ont été observés dans les scénarios d'intégration de nouveaux développeurs, la génération de code standard et les tâches où les développeurs connaissent moins bien la base de code. Mais pour des ingénieurs expérimentés travaillant sur des tâches complexes et dépendantes de la base de code, les preuves suggèrent que ces outils peuvent introduire des frictions que les développeurs n'enregistrent pas consciemment .
Salt a synchronisé la sortie de son étude avec le lancement d'un produit conçu pour combler précisément le fossé de gouvernance identifié par le rapport. Le 1er juin 2026, la société a présenté Salt Code, un nouveau composant de sa plateforme de sécurité agentique (Agentic Security Platform) .
L'approche de Salt Code consiste à stopper la dérive de sécurité avant qu'elle ne commence. Plutôt que d'analyser le code généré par l'IA une fois qu'il est écrit, il fait respecter les règles internes de sécurité et de conformité d'une organisation directement à l'intérieur de l'assistant de codage IA au moment même de la génération du code. Le produit fonctionne avec les principaux outils que les entreprises sont en train d'adopter comme standards : Claude Code, Cursor, GitHub Copilot, Windsurf, Codex et Gemini CLI .
L'objectif est de faire du code conforme aux politiques le résultat par défaut, et non pas un élément nécessitant une analyse en aval et une réécriture. Pour les équipes de sécurité, cela fournit une couche unique de gouvernance des politiques couvrant la création de code, les vérifications dans le pipeline et la supervision à l'exécution — un basculement de la détection d'erreurs à leur prévention pure et simple .
Que Salt Code ou des outils similaires parviennent à combler le fossé de gouvernance à la vitesse exigée par l'adoption de l'IA reste une question ouverte. Mais la direction est claire. Si la projection se vérifie — que l'IA écrira plus de la moitié du code d'entreprise d'ici dix-huit mois — alors la politique de sécurité doit passer du stade de la revue à celui du paramètre par défaut. L'alternative, comme le prévient le rapport de Salt, est une dérive de sécurité à l'échelle industrielle.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
90 % des responsables sécurité sont activement préoccupés par les risques du code généré par IA, mais 38 % des organisations s'appuient encore principalement sur la revue manuelle pour les détecter, créant un dangereu...
90 % des responsables sécurité sont activement préoccupés par les risques du code généré par IA, mais 38 % des organisations s'appuient encore principalement sur la revue manuelle pour les détecter, créant un dangereu... Un essai clinique rigoureux du METR a révélé que des développeurs expérimentés étaient 19 % plus lents avec des outils d'IA, tout en étant persuadés d'avoir été 20 % plus rapides, exposant un immense fossé entre perce...
Salt prévoit que le code assisté par IA dépassera 50 % du code d'entreprise d'ici 2027, mais avertit que la gouvernance n'a pas suivi le rythme, laissant des motifs non sécurisés "dériver" en production sans être déte...