Les 10 Commandements du Développement Sécurisé Assisté par Intelligence Artificielle :
1) Le code de l'IA point tu ne copieras sans comprendre :
Tu dois posséder et maîtriser chaque ligne de code générée. La compréhension de la logique métier doit primer sur l'intuition de l'assistant.
2) Tes propres garde-fous tu maintiendras :
L'IA ne remplace pas la rigueur. Le linting, la relecture par les pairs et les tests unitaires restent obligatoires, même pour un « quick win ».
3) Les outils ASCA tu adopteras :
Tu utiliseras des solutions de AI Security Coding Assistance pour détecter les « hallucinations » de l'IA et les vulnérabilités dès la saisie dans l'IDE.
4) À la source tes dépendances tu vérifieras :
Tout package ou bibliothèque suggéré par l'IA doit être inspecté (origine, version, licence) avant d'être intégré au projet.
5) Les secrets jamais dans le code tu ne laisseras :
Aucune clé d'API, mot de passe ou jeton d'authentification ne doit figurer en clair dans les scripts ou les fichiers de configuration.
6) Tes entrées systématiquement tu assainiras :
Tu appliqueras scrupuleusement la validation et l'encodage des données entrantes pour bloquer toute tentative d'injection (SQL, XSS).
7) Des logs sécurisés par design tu produiras :
Tu veilleras à ce que tes journaux d'erreurs ne contiennent aucune donnée personnelle (PII) ni information sensible sur l'architecture interne.
8) Les routes de debug avant la production tu supprimeras :
Tout endpoint de test ou outil de développement temporaire doit être nettoyé pour ne pas offrir de porte dérobée aux attaquants.9) L'authentification jamais tu ne simplifieras :
Tu refuseras les flux d'authentification « faciles » qui contournent le MFA ou utilisent des sessions aux identifiants prévisibles.
10) La sécurité dès le premier prompt tu intégreras :
Tu ne traiteras pas la sécurité comme une checklist de fin de projet, mais comme un élément indissociable du cycle de développement (Shift-Left).