Vent de panique sur les marchés financiers avec les annonces successives d’Anthropic dans certains domaines de l’IT à savoir la sécurité et la programmation. En effet, le fournisseur a présenté en fin de semaine dernière une pré-version de Claude Security Code et a provoqué une chute brutale du cours des actions des principaux fournisseurs en cybersécurité. Dans son communiqué, Anthropic précise que son assistant « analysera les lignes de code à la recherche de failles de sécurité et proposera des correctifs logiciels ciblés pour une vérification humaine, permettant ainsi aux équipes de détecter et de corriger les problèmes de sécurité souvent négligés par les méthodes traditionnelles.» Le service est disponible dans un premier temps pour les clients Enterprise et Teams avec un accès privilégié pour les mainteneurs de projets open source.

Même chose pour la programmation sur le Cobol. Dans un blog, Anthropic a indiqué comment moderniser les applications écrites en Cobol avec l’IA. L’assistant est capable de fixer des priorités en fonction des risques, des dépendances et de la complexité identifiés lors de l'analyse. Il se charge aussi des tests et de la validation du code pour vérifier que le code migré produit des résultats identiques à l'application initiale. Cette simple annonce du fournisseur a provoqué une chute de 13% du cours de l’action IBM.

Des réactions disproportionnées

Est-ce que ces annonces justifiaient une telle réaction ? Après tout, les entreprises, notamment CrowdStrike (-7%), Zscaler, Palo Alto Networks (-6%) et Okta (-10%), développent leurs propres solutions d'analyse de code. Et même si ce n'était pas le cas, les fonctionnalités de vérification de code promises par Anthropic ne sont pas destinées à remplacer leurs solutions existantes. « La sécurité du code est un élément essentiel d'un programme de cybersécurité et d'une infrastructure IT globale, mais loin d'être le seul », a souligné Justin Greis, DG du cabinet de conseil Acceligence. Pour lui, « il ne fait aucun doute qu'améliorer la sécurité du code et optimiser le cycle de vie de développement logiciel et produit renforcera la sécurité d'une organisation, mais cela ne supprimera pas le besoin d'outils et de services tels que l'EDR/MDR, la gestion des identités et des accès (IAM), le renseignement sur les menaces et la protection des données. »

Sur la partie Cobol, le constat est similaire. IBM propose aussi des outils de modernisation des applications Cobol et ce dès 2023. Le fournisseur avait présenté WatsonX Code Assistant for Z en portant ces applications vers Java. De son côté Kyndryl s’est associé avec AWS pour réaliser ces travaux de migration. En 2022, une étude de Microfocus (racheté par OpentText) évalue entre 775 et 800 milliards de lignes de code Cobol quotidiennement exploitées.

Le besoin de contrôle humain

Dans le cadre de la cybersécurité, Justin Greis alerte les RSSI qui s’appuient « aveuglément » sur n’importe quel outil d’analyse de code IA pour remplacer les bonnes pratiques de sécurité, « ne sous-traitez pas l’expertise qui protège la proposition de valeur du produit ou du service que vous développez ». Il insiste sur le fait de « maintenir l’expertise humaine au cœur du processus et veiller à utiliser l'IA comme un accélérateur, et non comme un substitut à l'expertise » Anthropic a anticipé cette inquiétude en rappelant que la décision finale revient toujours au développeur.

Pas de quoi rassurer certains spécialistes. « Dès que les développeurs intègrent un modèle de base à leur pipeline d'intégration continue, leur posture de sécurité n'est plus uniquement ancrée au code de l'entreprise. Il est intégré au comportement du modèle ». Et de constater que « Anthropic peut mettre à jour les pondérations, ajuster les heuristiques de raisonnement, affiner les couches de sécurité ou modifier l'interprétation des schémas sémantiques. Rien de tout cela ne requiert votre approbation ».