Le développement assisté par l'IA a répondu exactement aux attentes des équipes : il a permis de créer à moindre coût des outils internes et des applications destinées aux clients à une vitesse fulgurante. Mais cette même rapidité engendre aujourd'hui un autre type de dette technique. Lorsqu'une instruction peut générer une application fonctionnelle en quelques minutes, les étapes de vérification de la sécurité, de conception du contrôle d'accès et de gestion des secrets, qui ralentissaient autrefois les projets, peuvent tout aussi facilement être ignorées.
Une nouvelle vague de rapports sur les applications codées à la va-vite montre à quelle vitesse ce risque peut devenir réel. Des chercheurs ont découvert des milliers d'applications créées par l'IA qui exposaient des données d'entreprise et personnelles sur le Web public. Le problème n'est pas que les modèles ne peuvent pas générer de code. C'est que le processus logiciel qui les entoure n'a pas suivi le rythme du volume et de la vitesse de production de ces modèles.
Pourquoi le risque s'étend
- Les applications sont créées par des personnes qui n'ont pas nécessairement une formation traditionnelle en sécurité ou en développement de plateformes.
- Les paramètres par défaut privilégient souvent la rapidité au détriment du contrôle d'accès, ce qui peut entraîner une exposition publique accidentelle.
- Les secrets, les bases de données et les interfaces d'administration peuvent être publiés sans passer par un cycle de révision classique.
- Les équipes considèrent que « ça fonctionne » comme un critère de déploiement, même lorsque l'application n'a pas été sécurisée pour les utilisateurs réels.
Cela a de l’importance car le développement assisté par l’IA modifie la nature du risque. Dans un flux de travail classique, la partie la plus difficile de la livraison d’un logiciel est souvent la compilation elle-même. Dans un flux de travail de « vibe-coding », la compilation est facile. La difficulté se déplace vers tout ce qui entoure la compilation : identité, autorisations, observabilité, restauration, tests, et la question de savoir si l’application aurait dû être rendue publique dès le départ.
Le prochain goulot d'étranglement est la gouvernance
C'est pourquoi le véritable avantage concurrentiel ne réside plus uniquement dans la génération de code. Il s'agit de la capacité à automatiser des paramètres par défaut sécurisés : déploiements privés par défaut, analyse des secrets, accès tenant compte de l'identité, barrières de politique et boucles de révision légères qui suivent le rythme de la production de l'IA.
Pour les équipes produit, cela signifie considérer la création d’applications pilotée par des invites comme faisant partie intégrante de la chaîne de production logicielle, et non comme une activité parallèle. Pour les équipes de sécurité, cela signifie se rapprocher de la couche de création plutôt que d’attendre une version candidate. Et pour les dirigeants, cela signifie reconnaître que le codage par IA peut réduire le temps de prototypage tout en augmentant le nombre de problèmes qui peuvent survenir discrètement si la gouvernance est reléguée au second plan.
La conclusion principale est simple : le codage par IA n'échoue pas parce qu'il ne peut pas écrire suffisamment de code. Il échoue lorsque les organisations peuvent générer des logiciels plus rapidement qu'elles ne peuvent décider qui doit les voir, les manipuler ou les livrer. Les entreprises qui combleront ce fossé en premier transformeront le codage par IA d'un handicap en une pratique prête pour la production.
