Google et OpenAI retirent résolument les scans traditionnels pour éliminer la majorité des fausses alertes. Leur pivot vers la « validation inférée » change radicalement le ratio coût-bénéfice pour les PME et les DSI.
De SAST à la sécurité par agent : le changement de paradigme
Principe simple : au lieu de parcourir chaque ligne de code, on met l’IA face à un environnement exécutif isolé et on lui demande : « Que peut-elle faire de nocif ici ? » Les faux positifs tombent de 70 % à 5 % selon Google. Les vulnérabilités réelles sont cernées en 30 s plutôt qu’en 2 h.
Rakuten illustre bien ce passage : MTTR divisé par deux, reviews CI/CD automatisées, déploiements accélérés sans ingénieurs de sécurité supplémentaires.
Implémentation rapide en entreprise
Périmètre idéal pour un POC
- Applications web internes en Node ou Python
- Service critique (paiements, authentification) qualifié « trop lent » aux revues
- Équipe de 3 à 8 développeurs prêts à accepter 5 tests par jour
Pipeline léger
- Conteneur temporaire (image officielle Codex Security ou Google OSS-Fuzz)
- Prompt minimal : « Liste les vulnérabilités exploitables en production »
- Webhook vers Slack ou MS Teams pour alertes prioritaires P1-P2
Investissement initial : une VM isolée (2 vCPU, 4 Go RAM) et un job GH Actions. TCO à 0 € si votre CI/CD tourne déjà sur GitHub.
Échelle et gouvernance
Clé : hiérarchisation des instructions. Le prompt au plus haut niveau (« blocker = vuln critiques ») écrase toute tentative d’injection adverse, garantissant la conformité RGPD et SOC2 sans surcharge d’audit.
Prochaine étape : relier la sortie de l’agent aux boards ticketing (Zendesk, ServiceNow) pour créer un flux sans ticket manuel. Les entreprises anticipent un gain d’un ETP sur les 6 prochains mois.
Sources
Cet article fait partie du Neurolinks AI & Automation blog.
Lire en: English | neerlandais