95 % des RSSI admettent avoir été contraints de reporter ou contourner des exigences de conformité sous la pression des délais métier. C’est l’un des constats les plus frappants du rapport 2026 Future of Application Security de Checkmarx, conduit auprès de 2 350 professionnels dans 14 pays. Derrière ce chiffre, un phénomène structurel : l’adoption massive de l’IA dans le développement logiciel creuse l’écart entre vitesse de production et maîtrise du risque.
Quand l’IA génère du code, elle génère aussi de la surface d’attaque
Quatre-vingt-seize pour cent des développeurs déclarent utiliser des outils d’IA intégrés à leur environnement de développement et les jugent globalement efficaces. Pourtant, moins d’un sur cinq sécurise son code de manière continue pendant qu’il l’écrit. Les vulnérabilités sont donc détectées à des étapes fixes du cycle de développement, souvent après mise en production, parfois uniquement lors d’incidents.
Le rapport établit une corrélation directe entre la part d’IA dans le code produit et le risque livré : les organisations dont 81 à 100 % du code en production est généré par IA sont près de trois fois plus susceptibles de livrer des logiciels contenant des vulnérabilités connues que celles dont la part reste inférieure à 20 %. Soixante-quinze pour cent des organisations admettent déployer volontairement du code vulnérable à un moment ou à un autre, sous la pression des délais ou dans l’espoir que les failles passent inaperçues.
Une maturité déclarée qui ne résiste pas aux faits
Le décalage entre perception et réalité opérationnelle est saisissant : 73 % des organisations s’estiment en posture de sécurité « avancée » ou « hautement mature », tandis que 93 % déclarent dans le même souffle avoir subi une violation récente liée à leurs propres applications. Sur le terrain de la gouvernance, le retard est tout aussi net. Soixante-dix-huit pour cent des organisations ne disposent toujours pas de politique encadrant l’usage de l’IA, exposant leurs environnements à la prolifération d’outils non contrôlés et à du code généré sans filet.
En un an, la proportion d’organisations dotées d’une telle politique est passée de 18 % à 22 %, une progression réelle, mais sans commune mesure avec la rapidité à laquelle les fenêtres d’exploitation se réduisent, passant selon le rapport de plusieurs années à quelques minutes. Florent Mauzé, Country Manager France de Checkmarx, pointe la pression spécifique qui pèse sur les équipes : maintenir le rythme de remédiation tout en intégrant les exigences de conformité réglementaire, NIS2, RGPD, contraintes sectorielles, au cœur même des opérations de sécurité.
