Le monde de la sécurité applicative vient de connaître un séisme. Anthropic et OpenAI, deux des plus grandes entreprises dans le domaine de l'intelligence artificielle, ont simultanément lancé des outils gratuits qui remettent en question l'efficacité des solutions SAST (Static Application Security Testing) traditionnelles.

Anthropic a ouvert le bal avec Claude Code Security, suivi de près par OpenAI avec Codex Security. La particularité de ces nouveaux scanners réside dans leur approche : au lieu de se baser sur la simple correspondance de motifs (pattern matching), ils utilisent le raisonnement des grands modèles de langage (LLM) pour identifier les vulnérabilités. Cette approche novatrice leur permet de détecter des classes entières de vulnérabilités que les outils SAST classiques, conçus autour du pattern matching, ne peuvent tout simplement pas voir.

C'est un véritable coup de tonnerre pour les entreprises qui ont massivement investi dans les solutions SAST. Ces outils, qui constituent un pilier de la sécurité applicative depuis des années, se révèlent structurellement aveugles à certaines failles. Leurs limites sont désormais exposées au grand jour par ces nouveaux venus basés sur l'IA.

La compétition féroce entre Anthropic et OpenAI, dont la valorisation combinée dépasse le trillion de dollars, est une aubaine pour les entreprises. Cette rivalité devrait accélérer l'amélioration de la qualité de la détection des vulnérabilités, à un rythme qu'aucun fournisseur de solutions SAST ne pourrait atteindre seul. En d'autres termes, les entreprises vont bénéficier d'innovations constantes et rapides dans ce domaine.

Il est important de souligner que ni Claude Code Security ni Codex Security ne sont conçus pour remplacer complètement les solutions de sécurité existantes. Ils viennent plutôt les compléter, en offrant une couche de détection supplémentaire basée sur le raisonnement de l'IA. Cependant, leur arrivée change fondamentalement l'équation économique de la sécurité applicative. En étant gratuits pour les entreprises, ils rendent accessible une technologie de pointe qui était auparavant hors de portée pour beaucoup.

L'impact de ces outils gratuits est immense. Ils permettent aux entreprises de renforcer leur posture de sécurité en détectant des vulnérabilités auparavant invisibles. Ils obligent également les fournisseurs de solutions SAST à se remettre en question et à innover pour rester compétitifs. Enfin, ils démocratisent l'accès à une sécurité applicative plus performante, en la rendant accessible à un plus grand nombre d'entreprises, quelle que soit leur taille ou leur budget. L'avenir de la sécurité applicative semble donc s'écrire avec l'intelligence artificielle au cœur de la détection des vulnérabilités. C'est un tournant majeur dont les implications sont encore en train de se dessiner.