Menu
Mais Encore

Security musings

SIFT : Comment Amadeus utilise l’IA pour chasser les secrets (et sauver 56 jours de travail)

Catégories

Tags

🔍 Licence d'Utilisation 🔍

Sauf mention contraire, le contenu de ce blog est sous licence CC BY-NC-ND 4.0.

© 2025 à 2042 Sébastien Gioria. Tous droits réservés.

Aujourd’hui, j’étais à l’Azur Tech Winter à Sophia Antipolis pour donner une présentation. J’en ai profité pour assister à une présentation passionnante de l’équipe sécurité d’Amadeus (Mickael Bridard, Jean-Philippe Carlens et Nicolas De Toffoli).

Le sujet ? “Moins de faux positifs, plus de sécurité”. Ou comment ne pas devenir fou en triant des milliers d’alertes de sécurité.

Voici ce que j’ai retenu de leur outil maison, SIFT, et pourquoi vous devriez jeter un œil à mon sketchnote ci-dessous.

Sketchnote SIFT Amadeus

Le Problème : L’échelle industrielle 🏗️

Amadeus, c’est du lourd :

  • ~10 000 Développeurs
  • 1,2 Milliard d’€ de R&D
  • Une quantité astronomique de code.

Quand on lance un scan de secrets (comme Gitleaks) sur une telle base de code, on se retrouve noyé sous les alertes. Le sketchnote le montre bien : sur un échantillon de 15 000 “findings” (découvertes potentielles de secrets exposés), le tri manuel est une tâche titanesque.

La Solution : L’IA Locale à la rescousse 🤖

L’équipe a présenté SIFT. L’idée n’est pas de remplacer les outils de scan, mais de nettoyer ce qui en sort.

L’architecture (dessinée au centre du sketchnote) est maligne :

  1. Le scanner (Gitleaks) génère un rapport (format SARIF).
  2. SIFT entre en jeu.
  3. Il utilise OLLAMA pour faire tourner un LLM en local (ici Mistral-Small).
  4. Le tout est processé via des prompts spécifiques pour déterminer si c’est un vrai secret ou du bruit.

Pourquoi du local ? Pour la confidentialité, évidemment. On ne veut pas envoyer des bouts de code potentiellement sensibles sur un cloud public.

Le Résultat : David contre Goliath ⏱️

C’est là que les chiffres du bas du dessin font mal (dans le bon sens du terme). Pour traiter 15 000 alertes :

  • 🧑‍💻 L’Humain : Il lui faut 59 Jours. Il est précis (100% de True Positives), mais il est lent.
  • 🤖 La Machine (SIFT) : Elle plie l’affaire en 3 Jours. Elle garde un taux de détection excellent (97% de True Positives) et nettoie la majorité du bruit.

On parle d’un gain de temps monstrueux, libérant les ingénieurs sécurité pour des tâches plus complexes que de vérifier si une variable PASSWORD est bien un secret ou juste un test unitaire.

C’est Open Source ! 🎁

La cerise sur le gâteau, c’est que l’outil n’est pas gardé jalousement en interne. Vous pouvez le retrouver sur GitHub : 👉 github.com/AmadeusITGroup/sift

Une belle démonstration que l’IA générative (GenAI) a des cas d’usage très concrets et ROI-stes dès maintenant dans le cycle de développement sécurisé (SDLC).

Note : Sketchnote réalisé en live durant la session et résumé de la présentation via Gemini Pro avec relecture humaine. :)

LinkedIn Reddit