Retour au blog
IA & LLMauditHR Tech

IA et audit de sécurité : ce que l'IA fait bien, ce qu'elle rate, et pourquoi ça ne remplace pas un audit humain

Publié le 2026-06-078 min de lectureCleanIssue

Le paysage en 2026

Les outils de sécurité augmentés par l'IA sont partout : scanners qui utilisent des LLM pour analyser le code, assistants qui génèrent des policies de sécurité, plateformes qui promettent un "audit complet en 5 minutes".

En tant qu'auditeurs, on utilise certains de ces outils. Mais on voit aussi leurs limites au quotidien. Voici un état des lieux honnête.

Ce que l'IA fait bien

Détection de patterns connus

L'IA excelle à repérer des patterns de vulnérabilités connues dans le code : injections SQL, XSS, SSRF, utilisation de fonctions dépréciées. Les outils SAST (Static Application Security Testing) augmentés par l'IA ont considérablement réduit les faux positifs par rapport aux scanners traditionnels.

Analyse de dépendances

L'IA peut analyser votre arbre de dépendances, croiser les versions avec les bases de CVE, et prioriser les mises à jour en fonction du risque réel. C'est un gain de temps considérable.

Triage et priorisation

Quand un scanner remonte 200 alertes, l'IA peut les trier par criticité réelle, en tenant compte du contexte (cette faille est-elle exploitable dans votre configuration ?).

Rédaction de rapports

L'IA peut aider à structurer un rapport, à rédiger des recommandations standards, à formater les preuves. C'est un outil d'efficacité pour l'auditeur.

Ce que l'IA rate

La logique métier

C'est la limite fondamentale. L'IA ne comprend pas votre métier. Elle ne sait pas qu'un salarié ne devrait pas pouvoir voir le bulletin de paie de son manager. Elle ne sait pas qu'un candidat ne devrait pas pouvoir modifier le statut de sa candidature. Elle ne sait pas qu'un export DSN ne devrait pas être accessible sans authentification.

Les failles de logique métier représentent 40 à 60 % des constats dans nos audits de SaaS RH. L'IA n'en trouve aucune.

Le contexte multi-tenant

Un SaaS multi-tenant a des frontières entre organisations. L'IA ne teste pas naturellement l'isolation entre tenants — elle ne sait pas qu'accéder aux données de l'entreprise B en étant connecté comme utilisateur de l'entreprise A est un problème.

L'enchaînement d'actions

Les vulnérabilités les plus graves sont souvent des chaînes : une fuite d'information mineure qui permet de deviner un ID, qui permet d'accéder à un endpoint non protégé, qui permet de modifier un rôle. L'IA analyse chaque point isolément mais ne construit pas la chaîne.

Le jugement sur l'impact

Une fuite du nom d'un collaborateur et une fuite de son bulletin de paie sont deux choses très différentes en termes d'impact RGPD. L'IA classe les deux comme "fuite de données personnelles". L'auditeur humain sait que l'une justifie une notification CNIL et l'autre non.

Notre approche

Chez CleanIssue, on utilise l'IA comme outil d'aide :

  • Scan automatisé en pré-audit pour identifier les quick wins
  • Analyse de dépendances pour prioriser les mises à jour
  • Aide à la rédaction pour accélérer la production du rapport

    • Mais l'audit lui-même — les tests manuels, l'exploration de la logique métier, les tentatives d'escalade de privilèges, la vérification de l'isolation multi-tenant — reste entièrement humain.

    C'est d'ailleurs ce qui différencie un audit d'un scan. Le scan vous dit "cette porte est ouverte". L'audit vous dit "en passant par cette porte, j'ai accédé aux bulletins de paie de 3 000 salariés".

    Conseil

    Utilisez les outils IA pour votre hygiène quotidienne (scans réguliers, mise à jour des dépendances). Mais pour un vrai état des lieux de sécurité — celui que vos clients vous demandent, celui qui identifie les vrais risques métier — un audit externe humain reste indispensable.

    Pour aller plus loin

    Voir la page HR Tech

    La synthèse CleanIssue pour les logiciels RH, paie et recrutement.

    Découvrir la Revue Externe

    Le format le plus rapide pour clarifier l'exposition réelle d'un produit RH.

    Articles liés

    Trois analyses proches pour continuer la lecture sur la meme surface de risque.

    HR Techaudit

    Audit éditeur de paie : quoi vérifier en priorité

    Les premières zones à regarder sur un éditeur de paie : accès, exports, documents, support, journalisation et logique multi-tenant.

    2026-04-16 · 5 min de lecture
    IA & LLMvibe coding

    Vibe coding et sécurité : les vraies CVE causées par Cursor, Lovable, Bolt et Copilot en 2026

    Le code généré par IA contient des vulnérabilités systématiques. Analyse des CVE réelles issues d'outils de vibe coding en 2026.

    2026-03-25 · 8 min de lecture
    IA & LLMagents IA

    Agents IA et function calling : pourquoi c'est la nouvelle surface d'attaque

    Les agents IA qui appellent des outils (API, bases de données, systèmes de fichiers) via function calling ouvrent des vulnérabilités critiques. Analyse et défenses.

    2026-03-22 · 8 min de lecture

    Sources

    Rédigé par CleanIssue
    Revu le 2026-06-07

    Analyse éditoriale fondée sur la documentation officielle des éditeurs, projets et autorités concernées.

    Services associés

    Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.

    Audit Complet

    Documenter toutes les failles prioritaires et obtenir un vrai plan de remédiation.

    Revue Externe

    Obtenir rapidement une lecture claire de l'exposition réelle de votre produit.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit