Les entreprises utilisent l'IA et le ML ; Mais pas autant que la direction le pense

Nous avons interrogé plus de 1 200 professionnels de la technologie du monde entier, dont plus de 300 vice-présidents et cadres dirigeants, sur leur utilisation de l'IA/ML et leurs efforts de sécurité de la chaîne d'approvisionnement logicielle (SSC). Après analyse, un écart surprenant est apparu entre ce que les dirigeants pensent et ce que les développeurs et les ingénieurs rapportent.

Voici ce que nous avons découvert :

• 88 % des dirigeants, contre seulement 60 % des développeurs, déclarent que les outils d'IA/ML sont intégrés dans leurs processus d'analyse et de remédiation de sécurité.
• 90 % des dirigeants contre seulement 63 % des développeurs déclarent que leur organisation utilise des modèles ML dans nos applications logicielles.
• 92 % des dirigeants, contre seulement 70 % des développeurs, déclarent disposer de solutions pour détecter les packages open source malveillants.
• 66 % des dirigeants, contre seulement 41 % des développeurs, déclarent appliquer des analyses de sécurité au niveau du code et des binaires.

Téléchargez le rapport ou continuez à lire ici pour en savoir plus.

En ce qui concerne l'utilisation de l'IA/ML, 88 % des dirigeants pensent que cette nouvelle technologie est intégrée dans leurs processus d'analyse de sécurité et de correction des vulnérabilités, mais seulement 60 % des développeurs déclarent que c'est le cas.

L'étude a également mis en évidence des variations régionales.

La région APAC apparaît comme le leader mondial, avec 99 % des dirigeants estimant que leur organisation intègre l'IA/ML dans leurs processus de sécurité. Les États-Unis suivent de près avec 91 %, progressant plus rapidement dans l'intégration des modèles ML dans les applications logicielles que la région EMEA (82 %), ce qui pourrait refléter les pressions concurrentielles aux États-Unis et/ou un climat plus avare en Europe en matière de risques en raison de réglementations strictes. .

Utilisez-vous des modèles ML dans des applications logicielles ?

Les organisations doivent se concentrer en priorité sur les modèles ML et les composants d'IA, en veillant à ce qu'il y ait un alignement entre les dirigeants et les développeurs concernant ces tâches. Plus de 90 % des dirigeants ont déclaré que leur organisation intégrait des modèles de ML dans leurs applications logicielles, mais seuls 63 % des développeurs étaient d'accord avec cette affirmation.

Avez-vous des solutions pour détecter les packages open source malveillants ?

Alors que 92 % des dirigeants étaient convaincus que leur organisation disposait des outils nécessaires pour identifier les packages open source malveillants, seuls 70 % des développeurs partageaient cette conviction. Cet écart indique une variation dans la compréhension des défis de sécurité open source entre les deux groupes. Les dirigeants semblaient sous-estimer le temps que les équipes de sécurité consacraient à la correction des vulnérabilités et à l'obtention des approbations pour de nouveaux packages ou bibliothèques.

De plus, les dirigeants ont supposé qu’une plus grande proportion de révisions de code étaient automatisées que ce que les développeurs pensaient.

Appliquez-vous des analyses de sécurité aux niveaux du code et du binaire ?

Alors que les deux tiers des dirigeants estiment que leur organisation effectue des analyses de sécurité au niveau du code ou du binaire, seuls 41 % des développeurs sont d'accord. Les dirigeants ont également indiqué qu'un nombre plus élevé de solutions de sécurité des applications sont utilisées au sein de leur organisation par rapport aux rapports des développeurs, ce qui peut suggérer que ces outils sont sous-utilisés.

Combler le fossé

Alors que les acteurs malveillants intensifient leur attention sur les SSC, les organisations subissent une pression croissante pour renforcer leurs défenses. La croissance continue de l'écosystème open source, ainsi que l'évolution rapide des outils de sécurité, obligent les dirigeants à rechercher des méthodes plus efficaces pour protéger leurs processus de développement logiciel. La protection de l’IA/ML n’est pas une solution simple en une seule étape. La première étape consiste à bien comprendre comment et où l’IA est exploitée au sein de votre organisation, puis à concevoir une stratégie de protection. Les responsables de la sécurité et de l'informatique doivent également s'assurer que chacun, des dirigeants aux développeurs, comprend les risques et la situation de sécurité actuels de l'entreprise, en particulier en ce qui concerne son utilisation de l'IA. En adoptant une approche proactive pour adhérer aux nouvelles réglementations, en s’engageant à protéger le périmètre pour empêcher l’entrée de « mauvaises choses », ainsi qu’en assurant la qualité et la sécurité des modèles d’IA, les organisations peuvent renforcer leurs défenses tout en offrant à leurs développeurs la liberté d’innover.