Pourquoi GitHub est-il optimiste quant à l’IA dans la cybersécurité ?
GitHub prévoit le rôle central de l’IA dans le cycle de vie du développement logiciel, y compris la sécurité. Au cours de la dernière année, la société a intégré plus de 70 fonctionnalités dans la sécurité avancée de GitHub. Cependant, lors du GitHub Universe 2023 qui s’est tenu en novembre, il a annoncé l’ajout de l’IA générative au mix.
L’entreprise estime désormais que les failles de sécurité peuvent être identifiées dès la phase d’écriture du code. En tirant parti d’un LLM, GitHub identifie désormais non seulement les vulnérabilités potentielles, mais fournit également aux développeurs des suggestions de code sécurisées dès le départ.
« Avec la correction automatique, nous allons suggérer le correctif dans la demande d’extraction pour eux. Ainsi, les développeurs verront non seulement l’alerte, mais également une suggestion de correctif optimisée par l’IA sur place », a déclaré Jacob Depriest, vice-président et directeur adjoint de la sécurité chez GitHub. BUT.
Ce ne sont pas des correctifs ordinaires. Il s’agit de suggestions concises et exploitables permettant de comprendre et de traiter rapidement les vulnérabilités. Les développeurs peuvent désormais résoudre les problèmes plus rapidement et empêcher de nouvelles vulnérabilités de s’infiltrer dans vos bases de code.
Depriest a déclaré que GitHub avait déjà connu un grand succès avec le taux de correction actuel de l’analyse de code. « Cela implique que lorsque les développeurs reçoivent une alerte pendant qu’ils travaillent, ils résolvent le problème environ 50 % du temps avant qu’il n’atteigne la production, ce qui est énorme. Grâce à la nouvelle fonctionnalité de correction automatique de l’analyse de code basée sur l’IA, les développeurs peuvent s’appuyer sur un taux de correction déjà élevé.
Protéger les secrets avec l’IA
GitHub n’utilise pas seulement les LLM uniquement pour découvrir des vulnérabilités potentielles du code ; l’entreprise utilise également ces modèles puissants pour détecter les fuites de mots de passe avec moins de faux positifs.
Selon Depriest, près de 80 % des violations proviennent de fuites d’identifiants ou de secrets. « L’analyse secrète fait partie intégrante de la sécurité avancée de GitHub, constituant un élément clé de notre programme de sécurité.
« Maintenant, grâce à l’IA, nous allons également détecter les secrets génériques et les modèles de faible confiance dans le code, ce qui va vraiment améliorer cette capacité et capturer davantage et protéger les secrets avant même qu’ils n’atteignent la production. »
De plus, Depriest estime que la sécurité commence avec le développeur et, pour être plus précis, avec le compte du développeur. Compte tenu du nombre élevé de fuites d’informations d’identification, il a choisi de s’appuyer fortement sur l’activation de l’authentification multifacteur pour tous les contributeurs sur github.com.
« Ce n’était pas une chose facile à faire. Ce n’était pas une chose rapide à faire. Il a fallu beaucoup de planification et beaucoup d’investissements pour que cela fonctionne. Mais nous pensons vraiment que c’est la bonne chose à faire », a-t-il déclaré.
Et maintenant, l’introduction de la nouvelle fonctionnalité d’analyse des secrets permet à GitHub de détecter les secrets génériques ou non structurés dans le code.
Se protéger contre les vulnérabilités de l’IA
Malgré la position optimiste de GitHub quant à l’exploitation de l’IA dans la cybersécurité, l’ère de l’IA générative a présenté plusieurs cas où elle apparaît comme une menace importante pour la cybersécurité. Par exemple, les attaques par injection rapide restent un défi important à relever pour les équipes de cybersécurité. Au fil du temps, nous avons constaté que les LLM sont vulnérables aux attaques par injection rapide.
Compte tenu de l’alliance étroite de GitHub avec Microsoft, il pourrait tirer parti des modèles GPT d’OpenAI, notamment GPT-4, le LLM le plus avancé à ce jour. Cependant, GPT-4 s’est également révélé vulnérable aux attaques par injection rapide.
Depriest estime que l’intégration responsable et les mesures de sécurité au sein de l’outillage sont cruciales pour se prémunir contre de telles manipulations. Cette approche est fondamentale pour garantir la protection dans des scénarios impliquant une injection rapide et des vulnérabilités similaires.
De plus, selon Depriest, la protection à la fois de l’infrastructure et de l’espace de travail réseau dans son ensemble reste un aspect clé de la cybersécurité, même à l’ère de l’IA.
« Nous abordons cette responsabilité avec la même diligence que pour le reste de notre infrastructure, y compris la protection de github.com. Cela implique la détection des menaces, les opérations de sécurité et la garantie de la sécurité du code, et cela s’étend aux modèles d’IA. Nous respectons des contrôles uniformes et des principes de conformité dans toutes les facettes de nos principales responsabilités.
L’IA change-t-elle fondamentalement la cybersécurité ?
Si GitHub mise largement sur les capacités de l’IA générative, y compris pour la cybersécurité, Depriest ne pense pas que cela changera fondamentalement le paysage de la cybersécurité.
« La réalité est que chaque nouvelle technologie est à double usage. Cette tendance a été constante dans diverses technologies au cours des deux dernières décennies. Je ne pense toujours pas que cela changera fondamentalement la façon dont nous abordons la sécurité de ce que nous devons faire, quel est notre travail et comment nous assurerons la sécurité de la plateforme.
Il est convaincu que les avantages de générer du code sécurisé dès le départ et de maintenir systématiquement sa sécurité dépassent de loin les risques potentiels associés à certaines menaces présentes dans le paysage.
« Nous sommes convaincus que nos efforts chez GitHub, en intégrant l’IA dans le flux de travail des développeurs, auront un impact substantiel et très précieux, dépassant de loin les risques potentiels dans le paysage des menaces. Bien que la mise à l’échelle reste un défi pour l’industrie, nous envisageons cela comme l’avenir pour améliorer la sécurité dans le domaine des développeurs.