Actualités & ressources

Actualités & ressources

Nos articles, conseils et nouveautés sur la cybersécurité, l'IA et la data.

← Tous les articles
Cybersécurité2026-07-03 · 9 min de lecture · KLE Formations

45 % du code généré par l'IA contient des failles : le piège du « vibe coding »

Écran de code informatique avec des alertes de sécurité surlignées

Décrire ce que l'on veut, laisser l'IA écrire le code : le « vibe coding » a démocratisé la programmation et fait exploser la productivité. Mais il a un revers massif : près d'une fois sur deux, le code produit comporte une faille de sécurité. Derrière la magie apparente se cache une dette de sécurité qui s'accumule plus vite qu'on ne la corrige. Et la solution n'est pas d'arrêter l'IA, mais de former ceux qui relisent ce qu'elle produit. Décryptage.

Le « vibe coding », nouvelle façon de programmer

Le terme désigne une pratique en plein essor : faire confiance à l'IA pour l'implémentation technique, en se concentrant sur l'idée et le résultat. On décrit une fonctionnalité en langage naturel, et un outil comme un assistant de codage génère le code correspondant. Le gain de vitesse est réel, et l'accès à la programmation s'est élargi à des profils non spécialistes.

L'ampleur du phénomène est considérable : l'IA génère aujourd'hui 30 à 40 % du code en entreprise, et un quart des jeunes pousses d'une célèbre promotion d'incubateur en 2025 déclaraient des bases de code générées à 95 % par l'IA. Le problème, c'est que la vitesse a pris de l'avance sur la sécurité.

Près de la moitié du code généré comporte une faille

Le chiffre qui a fait le tour du secteur vient de l'éditeur Veracode, dont l'étude longitudinale a évalué plus de 150 grands modèles de langage sur des tâches de codage sensibles : 45 % du code généré introduit une vulnérabilité du Top 10 de l'OWASP (la liste de référence des failles applicatives les plus critiques). Plus inquiétant, ce taux de réussite en sécurité stagne autour de 55 % depuis deux ans, alors même que la justesse fonctionnelle du code, elle, dépasse désormais 95 %. Autrement dit, les modèles progressent sur ce pour quoi ils sont optimisés (produire du code qui marche), mais pas sur la sécurité. Le langage Java s'en tire le plus mal, avec un taux d'échec de l'ordre de 72 %.

D'autres travaux convergent, avec des chiffres allant de 25 à 45 % selon la méthode employée. Les failles les plus fréquentes sont les injections (un tiers des cas), les falsifications de requête côté serveur, et surtout les secrets codés en dur (mots de passe, clés d'API laissés dans le code) et les logiques d'authentification défaillantes.

Ce que ce chiffre veut dire (et ne veut pas dire)

Par honnêteté, une précision s'impose, car ce chiffre est souvent mal interprété. Les 45 % ne signifient pas que 45 % des lignes de tout le code en production sont vulnérables. Ils signifient que, dans 45 % des tâches testées, le modèle a choisi une implémentation non sécurisée alors qu'une version sûre était possible. Le code réel bénéficie de plus de contexte, d'instructions plus précises et, surtout, de relectures après génération.

La nuance est importante, mais elle ne change pas la conclusion : la direction est sans ambiguïté. Une part très substantielle du code produit par l'IA est vulnérable par défaut, et l'outillage pour détecter ces failles n'a pas suivi le même rythme que la génération.

La « dette de sécurité » qui s'accumule

C'est le cœur du problème, et il est mécanique. Selon une note de recherche de la Cloud Security Alliance, les développeurs assistés par IA produisent des contributions de code trois à quatre fois plus vite que leurs pairs, mais y introduisent des problèmes de sécurité dix fois plus souvent. Le résultat est une dette de sécurité qui s'accumule plus vite que les organisations ne peuvent la résorber.

Les signaux concrets ne manquent pas : un projet de recherche universitaire a recensé 35 vulnérabilités officielles (CVE) directement attribuables à des outils de codage IA sur le seul mois de mars 2026, en estimant le total réel cinq à dix fois supérieur. Ailleurs, l'analyse de milliers d'applications « vibe-codées » a révélé plus de 2 000 vulnérabilités et des centaines de secrets exposés.

Pourquoi ce phénomène ? Parce que les modèles ont été entraînés sur d'immenses volumes de code public, contenant à la fois de bonnes et de mauvaises pratiques, qu'ils reproduisent avec la même assurance. Et parce qu'ils sont optimisés pour produire du code fonctionnel, pas du code sûr. À noter que le problème a un double tranchant : la même IA qui écrit du code vulnérable aide aussi les attaquants à trouver ces failles plus vite, comme nous l'expliquons dans notre article sur la découverte de vulnérabilités par l'IA.

Le vrai remède : des humains formés

Face à ce constat, la mauvaise réponse serait de diaboliser l'IA ou de l'interdire : son apport de productivité est réel, et la tendance est irréversible. La bonne réponse tient en un mot : la relecture. Le rôle du développeur ne disparaît pas, il se déplace vers celui de superviseur et de relecteur averti, capable de repérer une faille dans du code généré, de corriger une authentification bancale ou un secret exposé, et d'imposer une logique de « sécurité dès la conception ».

Cela suppose des compétences précises : la sécurité applicative (AppSec), la revue de code sécurisée, et l'intégration d'outils d'analyse automatique (SAST) dans la chaîne de développement, comme filet de sécurité. Ces outils, dont certains commencent à s'intégrer directement aux plateformes de vibe coding, aident à détecter tôt les problèmes, mais ne remplacent pas le jugement humain. L'IA propose, l'humain formé valide.

Une compétence très recherchée

Pour qui se forme ou se reconvertit vers la tech, ce sujet dessine un débouché en or. À mesure que le code généré par IA se répand, la capacité à le sécuriser devient une compétence rare et précieuse. Les entreprises ont un besoin croissant de profils capables de faire le pont entre développement et sécurité, ce qu'on appelle souvent le DevSecOps. C'est une spécialisation accessible, très demandée, et au cœur de la valeur.

Chez KLE Formations, notre parcours en cybersécurité pose ces fondations : sécurité applicative, revue de code, gestion des secrets et des accès, gouvernance. Accessible et finançable (CPF, France Travail, OPCO, Transitions Pro), il vise un titre RNCP de niveau 7. Pour prolonger, lisez notre article sur les faux plugins d'IA, un cas concret de code piégé, et notre analyse de l'IA fantôme en entreprise.

Le vibe coding n'est ni un miracle ni une menace : c'est un formidable accélérateur qui, sans garde-fou humain, fabrique des failles à la chaîne. Dans un monde où l'IA écrit une part croissante de nos logiciels, savoir relire la machine est devenu l'une des compétences les plus stratégiques qui soient.


Sources : Veracode (études GenAI Code Security 2025-2026, plus de 150 modèles testés, taux de 45 % de code introduisant des vulnérabilités OWASP) ; Cloud Security Alliance (note de recherche sur la dette de sécurité du code généré, avril 2026) ; Trend Micro (intensification des vulnérabilités lors de l'intégration de composants IA) ; Museum of Vibe Coding, Cycode et Paperclipped (nuances méthodologiques, convergence des études 25-45 %, cas Georgia Tech et applications vibe-codées). Chiffres à jour à la mi-2026 ; ils varient selon les méthodes de test et ne doivent pas être lus comme la part du code de production réellement exploitable. Cet article traite le sujet sous l'angle défensif, sans détailler de procédé offensif.