Vibe coding et sécurité : le code IA est-il fiable en santé ?

Un sujet légitime, pas un frein

Si vous êtes RSSI, DPO ou DSI dans un établissement de santé, la question est naturelle : peut-on faire confiance à du code généré par l'intelligence artificielle pour traiter des données de santé ?

La réponse courte : pas aveuglément. Mais avec les bons garde-fous, le vibe coding professionnel produit du code aussi fiable, voire plus fiable, que le développement classique. Parce que les contrôles sont automatisés, systématiques et documentés.

Cet article détaille les risques réels du code généré par IA, puis les mesures concrètes que nous appliquons chez Ducal pour les éliminer.

Les risques documentés

Le chiffre qui fait réfléchir

Le rapport GenAI Code Security 2025 de Veracode est sans ambiguïté : 45% du code généré par l'IA contient des vulnérabilités de sécurité. Les modèles de langage choisissent des méthodes non sécurisées près d'une fois sur deux. Des chercheurs de Stanford et NYU confirment : jusqu'à 40% des programmes générés par IA contiennent des failles exploitables.

Ces chiffres ne sont pas un argument contre l'IA. Ils sont un argument contre l'utilisation de l'IA sans supervision.

Les vulnérabilités les plus fréquentes

Le code généré par IA est particulièrement exposé à certaines catégories de failles :

• Injection SQL : l'IA génère des requêtes par concaténation de chaînes au lieu de requêtes paramétrées
• Exposition de secrets : clés d'API, mots de passe ou tokens codés en dur dans le code source
• Données sensibles dans les logs : identifiants patients, numéros de sécurité sociale ou données médicales affichés dans les journaux d'application
• Contrôle d'accès insuffisant : fonctions sensibles accessibles sans vérification des droits
• Injection de commandes : exécution de commandes système avec des paramètres non validés

Pourquoi c'est plus grave en santé

Dans un site e-commerce, une faille de sécurité expose des données bancaires. Dans un système de santé, elle expose des données médicales : diagnostics, traitements, résultats d'examens, numéros de sécurité sociale. Les conséquences sont d'un autre ordre, tant pour les patients que pour l'établissement.

La réglementation l'exige : tout système manipulant des données de santé doit être hébergé chez un hébergeur certifié HDS, respecter le RGPD et appliquer les recommandations de l'ANSSI. Ces obligations s'appliquent quel que soit le mode de développement, y compris le vibe coding.

Les garde-fous que nous appliquons

Chez Ducal, la sécurité du code n'est pas un audit de fin de projet. C'est un processus continu, intégré à chaque étape du développement.

Scans automatiques spécifiques santé

Chaque ligne de code passe par Semgrep, un outil d'analyse statique que nous avons configuré avec un jeu de règles personnalisées, spécifiques aux données de santé. Ces règles sont classées par sévérité et référencées selon les standards CWE et OWASP Top 10. Elles détectent automatiquement :

• Injection SQL et injection de commandes : requêtes construites par concaténation de chaînes, appels système avec des paramètres non validés (CWE-89, CWE-78)
• Secrets en dur : mots de passe, clés d'API, tokens ou chaînes de connexion codés directement dans le code source (CWE-798)
• Données patients dans les logs : patterns de NIR, identifiants patients, notes médicales ou codes diagnostics dans les instructions de journalisation (CWE-532)
• Contrôle d'accès : routes d'API qui ne vérifient pas la session utilisateur avant de traiter une requête (CWE-306)
• Stockage non chiffré : données sensibles enregistrées sans chiffrement côté client ou côté serveur (CWE-311)
• Conversions de type non sécurisées : sur les objets manipulant des données patients, des credentials ou des informations médicales

Un hook pré-commit (via Husky) bloque automatiquement toute validation de code contenant une faille de sévérité critique. Le développeur ne peut pas contourner ce contrôle : la correction est obligatoire avant que le code n'avance dans le pipeline.

Gestion des secrets dans un coffre-fort

Les secrets (clés d'API, identifiants de base de données, clés de chiffrement AES-256) ne sont jamais stockés dans le code source ni dans les fichiers de configuration. Ils sont centralisés dans HashiCorp Vault, un coffre-fort numérique de référence dans l'industrie. Chaque application s'authentifie via un mécanisme dédié (AppRole) pour obtenir des credentials éphémères à durée de vie limitée.

Cette architecture garantit que même si le code source ou un serveur applicatif était compromis, aucun secret permanent ne serait exposé. La rotation des credentials est automatique et ne nécessite aucune modification du code.

Revue humaine systématique

L'IA génère le code, mais un expert le valide. Chaque modification fait l'objet d'une revue manuelle qui vérifie :

• La logique métier (le code fait-il bien ce qui est attendu ?)
• La sécurité (les bonnes pratiques sont-elles respectées ?)
• La conformité (les données sensibles sont-elles correctement protégées ?)
• La maintenabilité (le code sera-t-il compréhensible dans six mois ?)

En vibe coding professionnel, l'IA est un assistant puissant. Mais la responsabilité reste humaine. Chaque décision technique, chaque choix d'architecture, chaque validation est portée par un expert qui connaît le secteur et ses exigences.

Pipeline de vérification automatisé

Avant qu'une modification atteigne l'environnement de production, elle traverse un pipeline d'intégration continue en cinq étapes, orchestré par GitHub Actions :

1. Qualité du code : validation syntaxique et analyse statique (PHPStan, TypeScript strict)
2. Scan de sécurité HDS : exécution des règles Semgrep personnalisées — secrets en dur, injections SQL, failles XSS, paramètres non validés
3. Tests automatisés : tests unitaires, tests de sécurité et tests d'intégration
4. Validation structurelle : vérification de la cohérence de l'architecture et des dépendances
5. Déploiement contrôlé : sauvegarde automatique, déploiement progressif, vérification de santé, et retour arrière automatique en cas d'anomalie

Si une seule étape échoue, le déploiement est bloqué. En complément, un scan de sécurité hebdomadaire programmé vérifie l'ensemble du code source, même en l'absence de modification. Les résultats sont centralisés dans un tableau de bord de sécurité (format SARIF), classés par sévérité, et tout incident critique déclenche une alerte immédiate.

Traçabilité et audit trail

Toute action sur des données de santé est tracée automatiquement : consultation, création, modification, suppression, export. Chaque événement enregistre l'identité de l'utilisateur, l'adresse IP, l'horodatage et le contexte de l'action. Cette traçabilité est une exigence de la certification HDS et du RGPD.

Les journaux d'audit intègrent un mécanisme de protection des données sensibles : les mots de passe, tokens, numéros de sécurité sociale et notes médicales sont automatiquement expurgés avant enregistrement. Aucune donnée patient en clair n'apparaît dans les logs, même en cas d'erreur ou de débogage. Les journaux sont structurés, conservés conformément aux durées légales et consultables pour répondre aux contrôles de la CNIL ou de l'ARS.

Hébergement souverain

Le code sécurisé ne suffit pas si l'infrastructure ne l'est pas. Toutes nos solutions sont hébergées sur des infrastructures certifiées HDS et qualifiées SecNumCloud par l'ANSSI. Les données restent en France, sur des serveurs exploités par des opérateurs français, hors de portée du Cloud Act américain.

Le vibe coding supervisé est plus sûr que le développement classique non audité

C'est le paradoxe. Un développeur classique qui écrit du code manuellement sans pipeline de sécurité automatisé produit statistiquement plus de vulnérabilités qu'un expert en vibe coding dont chaque ligne passe par un hook pré-commit Semgrep, cinq étapes de vérification CI/CD et un scan hebdomadaire programmé.

Le vibe coding professionnel force la rigueur. Parce que l'IA peut générer des erreurs, on automatise les contrôles. Et ces contrôles bénéficient à l'ensemble du code, y compris les parties écrites manuellement.

Le résultat : une couverture de sécurité systématique, reproductible et documentée. Exactement ce que demandent les audits HDS et les contrôles de conformité.

Ce qu'il faut retenir

Le code généré par l'IA n'est pas intrinsèquement dangereux. Il est dangereux quand il est déployé sans vérification. Le vibe coding professionnel, avec ses garde-fous automatisés et sa supervision humaine, offre un niveau de sécurité supérieur à de nombreuses pratiques de développement classiques.

Pour un établissement de santé, la question n'est pas "faut-il utiliser l'IA pour développer ?" mais "quelles garanties mon prestataire apporte-t-il pour que le code IA soit conforme et sécurisé ?". Scans automatiques spécifiques santé, gestion des secrets, revue humaine, pipeline de vérification, traçabilité, hébergement souverain : voilà les six critères à exiger.

Chez Ducal, ces six critères sont intégrés dans chaque projet. C'est notre manière de faire du vibe coding en santé sans jamais compromettre la sécurité de vos données ni celle de vos patients. Pour aller plus loin, découvrez comment nous intégrons la conformité HDS, RGPD et RGAA dans notre workflow de développement.