Code généré par IA : risques et bonnes pratiques pour l'entreprise

Loin d'être un jugement de valeur, le constat repose sur des données. Plusieurs travaux indépendants ont mesuré les vulnérabilités intrinsèques du code produit par IA. Les chiffres ci-dessous proviennent d'analyses de sécurité conduites par des chercheurs et des cabinets spécialisés entre 2025 et le début 2026.

CVE-2025-48757 : 170 applications Lovable exposées

Divulguée le 29 mai 2025 par le chercheur Matt Palmer au terme d'un processus de signalement coordonné de 45 jours. 170 applications Lovable, pourtant vitrines de la plateforme, laissaient fuir des données confidentielles de leurs utilisateurs : identités, courriels, numéros de téléphone, coordonnées bancaires, clés d'API de services IA payants, jetons Google Maps.

Rapporté à l'échantillon de 1 645 applications passées au crible, ce volume avoisine les 10 %. À l'origine du problème : 303 points d'accès Supabase acceptaient les requêtes sans contrôler les droits, faute d'un Row Level Security paramétré comme il faut.

45% du code AI-généré échoue aux tests de sécurité

La référence, ici, c'est le Veracode 2025 GenAI Code Security Report, l'enquête systématique la plus vaste menée jusqu'à présent. Plus d'une centaine de modèles soumis à 80 exercices de codage répartis sur 4 langages (Java, JavaScript, Python, C#). 45 % des fragments de code embarquaient au moins une faille du top 10 OWASP : XSS, clés d'API en dur, injections SQL, authentification non vérifiée. Côté Java, la proportion d'échecs grimpe jusqu'à 72 %.

89% des apps Lovable auditées avec une RLS défaillante

Dans Supabase, le Row Level Security est le garde-fou qui interdit à un utilisateur de consulter ou d'altérer les données d'un autre. Sa mise en place est manuelle, table après table. D'après un audit indépendant paru sur DEV Community en 2025 (Tomer Goldi, examen de 50 applications Lovable en production), 89 % des applications présentent au moins une table dont la RLS est mal réglée ou tout bonnement coupée. Il suffit alors d'un compte authentifié et d'une requête élémentaire pour aspirer l'intégralité de la base.

Février 2026 : 18 697 utilisateurs exposés sur une seule app

En décortiquant une application vedette de la page Discover de Lovable, le chercheur Taimur Khan a relevé 16 vulnérabilités, dont 6 jugées critiques. La fuite a touché 18 697 enregistrements d'utilisateurs : 14 928 adresses e-mail uniques, des identifiants étudiants, des comptes professionnels et plusieurs centaines de profils d'identité complets. L'affaire a été relayée par The Register le 27 février 2026. L'application tournait en production depuis déjà plusieurs mois.

Pourquoi ça arrive

Un modèle de langage produit, en moyenne, du code qui "a l'air" juste. Face aux schémas de sécurité (RLS, CSRF, CORS, assainissement des entrées), il tombe statistiquement juste mais reste naïf sur le fond. Il ne raisonne pas sur la surface d'attaque. Il ignore le contexte métier qui détermine ce qui relève du sensible. Résultat : le code valide les tests fonctionnels et trébuche sur les tests de sécurité.

Les sollicitations affluent : des entreprises me confient une application montée sur Lovable ou Bolt qu'elles veulent basculer en production. J'y retrouve, sans exception, le même trio de failles : des données utilisateurs accessibles sans aucun filtre, des clés d'accès affichées en clair dans le code, et pas la moindre ligne de test automatisé. Le temps grappillé au départ se règle toujours à l'arrivée, et c'est moi qu'on appelle pour réparer et verrouiller.

Driss Redouane, expert web indépendant — ReydenWeb

Voici une grille de lecture sans complaisance. Si l'ensemble des points ci-dessous se vérifie, foncez sans état d'âme.

• Il s'agit d'une maquette, d'une preuve de concept ou d'une démo destinée à être jetée
• Aucune donnée personnelle sensible n'entre en jeu
• L'application n'est ni facturée ni vitale pour vos clients
• L'audience visée reste réduite (moins de 50 personnes)
• Le code pourra être abandonné d'ici 3 à 6 mois sans dommage
• Aucun paiement ni branchement bancaire n'est en cause

Qu'un seul de ces points vienne à basculer et le code mérite un œil expert avant la moindre mise en ligne.

L'IA tient une place dans ma boîte à outils quotidienne depuis 2023. Mon parti pris : repérer où elle fait réellement gagner du temps et où elle introduit des risques techniques pour le projet.

Dans mes projets clients

Je m'appuie sur Claude Code, Cursor et Copilot pour amorcer des squelettes, rédiger des tests, produire la documentation technique ou débroussailler un débogage. J'estime le temps économisé entre 10 et 20 % sur la production, davantage encore sur les tâches répétitives. Chaque ligne franchit toutefois une relecture humaine et passe mes propres exigences de sécurité avant tout déploiement.

Je ne prescris pas ce que je ne maîtrise pas

Je n'emploie ni Lovable, ni Bolt, ni v0 pour fabriquer du code client. Ce n'est pas une posture dogmatique : ma responsabilité est de livrer un code que je comprends, que je sécurise et que je peux entretenir sur plusieurs années. En parallèle, j'audite et je reprends régulièrement des bases produites par ces outils — c'est ce qui me permet d'en cartographier précisément les angles morts et d'épauler ceux qui ont démarré dessus.

Audit de code IA existant

De plus en plus d'entreprises me sollicitent avec une application déjà bâtie sur Lovable ou Bolt qu'il faut faire passer en production. Mon audit englobe : recherche des failles de sécurité (top 10 OWASP), paramétrage de la RLS côté base, contrôle RGPD, mise en conformité RGAA, ajout de tests et bascule vers une infrastructure sous contrôle. Enveloppe habituelle : de 3 000 € à 15 000 € selon le périmètre.

Développement sur base IA

Quand un client souhaite démarrer vite à partir d'une base générée, je récupère le code, je l'audite et j'érige la vraie application par-dessus. La formule revient souvent moins cher qu'un développement reparti de zéro. Enveloppe habituelle : de 10 000 € à 40 000 € selon la complexité.