Salt Security a présenté Salt Code, une nouvelle composante de sa plateforme de sécurité proactive conçue pour répondre à un défi croissant auquel font face de nombreuses entreprises : le code généré par les assistants d’intelligence artificielle qui croît plus rapidement que la capacité des équipes de sécurité à l’auditer. La solution vise à intégrer des politiques de sécurité directement dans des outils tels que Claude Code, Cursor, GitHub Copilot, Windsurf, Kiro, Codex, Gemini CLI ou Antigravity, depuis le premier prompt jusqu’à la mise en production.
Ce lancement marque une étape importante dans l’évolution du développement logiciel. L’intelligence artificielle n’est plus seulement utilisée pour compléter des lignes de code isolées ou accélérer des tâches répétitives. De plus en plus, dans diverses organisations, elle rédige des composants entiers, génère des API, modifie des configurations, propose des intégrations et participe à des flux de travail de façon autonome. Cependant, ces assistants ne disposent pas par défaut de la connaissance des politiques internes, des exigences réglementaires, des standards architecturaux ou des décisions de sécurité que les entreprises ont historiquement adoptés.
Le nouveau risque lié au code généré par l’IA
Salt Security part d’une réalité troublante : les outils de sécurité traditionnels interviennent souvent trop tard. Les analyses statiques (SAST), dynamiques (DAST), les revues de code ou la vérification dans les pipelines CI/CD restent essentiels, mais détectent généralement les vulnérabilités après que le code a été écrit. Corriger ces problèmes à ce stade implique souvent de réécrire du code, d’ouvrir des tickets, de retarder les déploiements et de négocier les priorités entre développement et sécurité.
Avec Salt Code, l’objectif est d’intégrer ces contrôles dès la phase de création du code. L’idée est que l’assistant de programmation génère du code conforme aux politiques de l’organisation par défaut, évitant ainsi que le développeur ait à se souvenir d’ajouter des consignes de sécurité dans le prompt ou à consulter un guide interne stocké sur un wiki.
Ce contexte explique l’importance croissante de cette approche. Salt cite des données de marché indiquant que GitHub Copilot est déjà déployé dans 90 % des entreprises du Fortune 100, avec 4,7 millions d’abonnés payants en janvier 2026. Par ailleurs, les assistants de programmation représenteraient déjà 46 % du code écrit sur GitHub, tandis qu’une enquête Sonar de 2026 estime que 42 % du code d’entreprise est généré ou assisté par IA, avec une prévision de dépasser 50 % en 2027.
L’aspect sécurité est particulièrement critique. Selon des tests de Veracode cités par Salt, 45 % des échantillons de code générés par des modèles de langage dans des tâches sensibles comportaient des vulnérabilités listées dans l’OWASP Top 10. Salt mentionne également une analyse de CodeRabbit attribuant aux pull requests générées par IA 2,74 fois plus de vulnérabilités qu’aux contributions humaines. Comme avec toute donnée de cette nature, il faut prendre ces chiffres avec précaution, mais le message est clair : si l’IA participe à la rédaction croissante du logiciel, elle peut aussi amplifier à grande échelle des modèles de programmation dangereux ou non conformes.
| Section | Ce que propose Salt Code | Pourquoi c’est important |
|---|---|---|
| Génération de code | Applique des politiques pendant la création | Prévient l’introduction d’erreurs dès le départ |
| Gouvernance unifiée | Standardise et déploie une fois pour toutes dans plusieurs environnements | Réduit les écarts entre équipes, assistants et dépôts |
| MCP | Utilise des serveurs compatibles avec le Model Context Protocol | Permet l’intégration avec des assistants modernes et des flux agéntiques |
| CI/CD | Valide les politiques dans le pipeline de déploiement | bloque les non-conformités avant la mise en production |
| Runtime | Supervise APIs, MCP et agents en fonctionnement | Vérifie le comportement réel, pas seulement la conception |
| Correction | Retourne les résultats au développeur pour action | Facilite des corrections concrètes et l’amélioration continue |
| Intégrations | GitHub, GitLab, Bitbucket, VS Code, Jira, ServiceNow et CI/CD | S’intègre dans les outils déjà utilisés par les équipes |
Politiques de sécurité intégrées au code
Au cœur de Salt Code se trouve le Posture Governance Engine de Salt, une couche de politiques qui définit les standards de sécurité et de conformité, puis les applique tout au long du cycle de vie du développement. Avec cette nouvelle offre, ce modèle s’étend à trois niveaux cruciaux dans un système agéntique : le code, la configuration du plan de contrôle et le comportement en runtime.
Salt propose aussi une bibliothèque de politiques préparamétrées couvrant OWASP API Top 10, MCP Security Top 10, LLM Security Top 10, conformité OpenAPI/Swagger et des cadres réglementaires courants. Elle permet aussi d’ajouter des politiques spécifiques à chaque organisation, indispensables pour respecter des normes internes sur l’authentification, l’autorisation, la gestion des secrets, l’exposition des API, le traitement des données sensibles ou certains patterns architecturaux.
Une clé technique réside dans MCP, le Model Context Protocol, initialement développé par Anthropic puis adopté par OpenAI, Google et Microsoft. MCP permet aux assistants IA de se connecter à un contexte externe et à des outils variés. Salt Code exploite cette approche pour interfacer avec des assistants et des flux compatibles, permettant à la politique de sécurité d’intervenir durant la création et la révision du code.
L’ambition est grande : appliquer une norme unique à tous les développeurs, qu’ils soient expérimentés ou moins techniques, utilisant des outils classiques ou des environnements de prototypage rapide. Salt affirme que cela évite que chaque assistant, dépôt ou équipe ne fonctionne selon ses propres règles.
Du shift-left au contrôle en runtime
Salt Code ne se limite pas à la vérification en amont. La solution couvre cinq phases : découverte, application lors de la génération, gouvernance dans le pipeline, validation en runtime et correction. Cette approche est essentielle car de nombreux problèmes de sécurité ne se révèlent qu’au moment où une API, une intégration MCP ou un agent sont déployés ou deviennent actifs en conditions réelles.
Durant la phase de découverte, Salt Code identifie API, serveurs MCP et intégrations d’agents dans les dépôts et environnements cloud. Lors de la génération, il applique les politiques en temps réel. En CI/CD, il vérifie la conformité et bloque les violations avant déploiement. Une fois le système déployé, il surveille le comportement en API, intégrations et agents pour détecter toute déviation, brèche de posture ou activité anormale.
Ce parcours assure une continuité que la plupart des outils de sécurité ne proposent pas, où les vérifications sont souvent fragmentées entre revue de code, scan de dépendances, protection d’API et surveillance en production. Salt veut unifier ces couches dans un même modèle de politiques. Si cela fonctionne comme prévu, la sécurité n’aurait plus besoin de traduire manuellement les exigences entre documents, pipelines et alertes en runtime.
Ce lancement participe aussi à la gestion croissante de la gouvernance de l’IA dans l’entreprise. Avec la multiplication des assistants de code, les entreprises manquent souvent de visibilité sur les outils déployés, les extensions installées, les dépôts manipulés ou les modèles de mauvaises pratiques qui prolifèrent. Salt Code cherche à instaurer une couche commune pour gérer cette diversité.
Pour les équipes de sécurité, cela peut réduire le bruit en empêchant certains erreurs de parvenir jusqu’au pipeline. Pour les développeurs, l’acceptabilité dépendra d’une expérience fluide : la sécurité intégrée doit offrir des corrections compréhensibles, à faible friction et contextualisées. Sinon, elle risquerait d’être perçue comme une surcharge invisible.
Salt Security indique que Salt Code est opérationnel depuis le 1er juin 2026. Les clients actuels le reçoivent sans coût supplémentaire dans le cadre de leur licence, tandis que les organisations non clientes peuvent demander un accès gratuit via un programme Early Access limité aux 100 premières entreprises, incluant quatre packages de politiques préconfigurées : OWASP API Top 10, MCP Security Top 10, LLM Security Top 10, et conformité OpenAPI/Swagger.
L’émergence de Salt Code illustre la direction prise par le marché : à mesure que l’IA écrit davantage de code, le paradigme de la sécurité doit évoluer. Il ne s’agit plus seulement de détection en aval ; la sécurité doit intervenir dès la phase de génération, dans le pipeline et en production. La véritable question n’est plus si les développeurs utilisent l’IA, mais si cette IA programme dans un cadre défendable pour l’organisation.
Questions fréquentes
Qu’est-ce que Salt Code ?
Salt Code est une solution de Salt Security pour appliquer des politiques de sécurité et conformité dans les assistants d’IA, les pipelines de développement et les environnements en production.
Compatibilité avec quels assistants d’IA ?
Salt Security indique un support pour Claude Code, Cursor, GitHub Copilot, Windsurf, Kiro, Codex, Gemini CLI et Antigravity, en plus de flux compatibles MCP et d’outils de développement tels que GitHub, GitLab, Bitbucket et VS Code.
Quel problème Salt Code souhaite-t-il résoudre ?
Il vise à empêcher que le code généré par IA introduise des vulnérabilités ou ne respecte pas les politiques internes. Plutôt que d’attendre la fin du pipeline pour détecter les écarts, il intervient dès la création du code.
Quelles standards inclut Salt Code ?
Salt Code intègre des paquets de politiques pour OWASP API Top 10, MCP Security Top 10, LLM Security Top 10 et conformité OpenAPI/Swagger, tout en supportant des politiques personnalisées adaptées à chaque organisation.
source : salt.security
