L’intelligence artificielle générative a bouleversé le paysage du développement logiciel à une vitesse fulgurante. Depuis l’arrivée d’outils comme GitHub Copilot ou ChatGPT, la promesse est séduisante : coder plus vite, réduire les coûts et pallier la pénurie de talents techniques. Cependant, chez La Fabrique du Net, notre position d’observateur privilégié du marché des agences digitales et des ESN (Entreprises de Services du Numérique) nous permet de voir l’envers du décor. Nous assistons à une augmentation inquiétante de projets en difficulté, non pas par manque de fonctionnalités, mais à cause d’une base de code devenue ingérable.
Le phénomène est insidieux : des développeurs, parfois juniors ou isolés, s’appuient massivement sur l’IA pour générer des blocs entiers de code qu’ils ne comprennent pas fondamentalement. Le résultat immédiat semble fonctionnel, mais sous le capot, c’est une bombe à retardement faite de failles de sécurité, de logique incohérente et d’une dette technique qui explose. En tant que plateforme de référence mettant en relation des milliers de décideurs avec des experts du numérique, nous constatons que la « confiance aveugle » dans l’IA devient un risque opérationnel majeur pour les entreprises françaises. Cet article analyse en profondeur pourquoi le recours non contrôlé à l’IA nécessite plus que jamais l’intervention de structures expertes, capables d’auditer, de sécuriser et de pérenniser vos actifs numériques.
La mécanique de l’illusion : comprendre comment l’IA génère du code
Pour comprendre les risques, il est impératif de démystifier le fonctionnement des assistants de code basés sur les grands modèles de langage (LLM). Contrairement à un développeur humain qui raisonne en termes de logique, d’architecture et de contraintes métier, l’IA fonctionne sur un principe probabiliste.
Le leurre de la syntaxe parfaite
Les modèles d’IA sont entraînés sur des milliards de lignes de code open source. Lorsqu’on leur demande de résoudre un problème, ils prédisent le « token » (le morceau de mot ou de code) le plus probable pour compléter la séquence. Le résultat est syntaxiquement correct dans la quasi-totalité des cas. Le code compile, les parenthèses sont fermées, les variables sont nommées correctement. C’est ici que réside le piège principal pour un développeur junior ou un décideur non technique : la forme est parfaite, ce qui donne une illusion de compétence et de robustesse.
Cependant, la justesse syntaxique ne garantit en rien la justesse sémantique ou logique. Nous avons observé, sur des projets audités via notre réseau d’agences partenaires, des algorithmes de calcul de TVA générés par IA qui appliquaient des taux obsolètes ou des règles fiscales d’autres pays, simplement parce que ces règles étaient statistiquement prédominantes dans les données d’entraînement. Le code « tournait », mais le résultat métier était faux, entraînant des redressements comptables pour l’entreprise cliente.
L’absence de contexte architectural
Un développeur expérimenté au sein d’une ESN ne code pas une fonction de manière isolée. Il réfléchit à son impact sur la base de données, à la consommation mémoire si la fonction est appelée un million de fois par heure, et à sa cohérence avec le reste de l’architecture logicielle. L’IA, elle, a une « fenêtre de contexte » limitée. Elle propose une solution qui répond à la consigne immédiate, souvent de la manière la plus naïve possible.
Cela conduit à ce que nous appelons du « code spaghetti moderne ». Chaque bout de code fonctionne individuellement, mais l’ensemble manque de cohérence globale. Les dépendances sont mal gérées, des bibliothèques redondantes sont importées, et l’application devient progressivement une chimère lourde et instable. Pour une entreprise, cela se traduit par des coûts d’hébergement qui grimpent inutilement et des performances qui se dégradent dès que le trafic augmente.
Les vulnérabilités de sécurité : la porte ouverte aux cyberattaques
La sécurité est sans doute le domaine où la confiance aveugle dans l’IA est la plus dangereuse. Les statistiques de cybersécurité montrent une recrudescence des failles basiques dans les nouvelles applications, un phénomène que beaucoup d’experts lient à l’usage massif de code auto-généré sans revue stricte.
La réplication de failles connues
Les modèles d’IA ont appris à coder en lisant tout ce qui est disponible publiquement, y compris du code vulnérable, obsolète ou mal sécurisé. Si un développeur demande à une IA de créer un formulaire de connexion sans préciser les contraintes de sécurité, il y a une probabilité non négligeable que l’IA propose une solution vulnérable aux injections SQL ou aux attaques XSS (Cross-Site Scripting), simplement parce que des milliers de tutoriels non sécurisés existent sur le web et font partie de son apprentissage.
Chez La Fabrique du Net, nous recevons régulièrement des demandes de secours de la part de PME ayant subi des fuites de données. Dans plusieurs cas récents, l’audit post-incident a révélé que des modules entiers, copiés-collés depuis une suggestion d’IA, contenaient des failles identifiées depuis des années (OWASP Top 10) que n’importe quel développeur senior aurait évitées par réflexe.
L’effet « boîte noire » et les dépendances fantômes
Un autre risque majeur est « l’hallucination » de paquets ou de bibliothèques. Il est arrivé que des IA suggèrent d’importer des bibliothèques qui n’existent pas ou, pire, qui portent des noms très similaires à des bibliothèques légitimes mais qui sont en réalité des logiciels malveillants déposés par des hackers (une technique appelée « typosquatting »).
Un développeur junior, pressé par les délais, peut intégrer ces suggestions sans vérifier la légitimité de la source. Faire appel à une ESN structurée permet de mettre en place des barrières : scanners de vulnérabilités, gestionnaires de paquets privés et revues de code systématiques qui empêchent ce type d’intrusion dans votre système d’information.
La dette technique : le coût caché de la vitesse
La promesse de l’IA est souvent la vitesse de développement. « Ce module a été codé en 2 heures au lieu de 2 jours ». C’est un argument financier puissant pour un décideur. Mais en développement logiciel, la vitesse à court terme se paie souvent par une dette technique à long terme, avec des intérêts composés très élevés.
Le code orphelin et inmaintenable
Le cœur du problème réside dans la compréhension. Lorsqu’un développeur écrit son propre code, il construit un modèle mental de son fonctionnement. Lorsqu’il génère du code via une IA, il agit comme un éditeur. S’il ne possède pas l’expertise pour comprendre intimement ce que l’IA a produit, ce code devient une « boîte noire » au sein même de votre entreprise.
Imaginez que le développeur quitte l’entreprise ou change de projet. La personne qui reprendra le code se retrouvera face à des blocs logiques complexes, générés par une machine, sans commentaires explicatifs sur « l’intention » du code (puisque l’IA n’a pas d’intention). La maintenance devient alors un cauchemar. Modifier une simple ligne peut casser une fonctionnalité ailleurs. Nous constatons que pour les projets fortement assistés par IA sans supervision senior, le coût de maintenance évolutive (ajouter de nouvelles fonctions) est 30% à 50% plus élevé après la première année par rapport à un code artisanal propre.
La complexité accidentelle
L’IA a tendance à être verbeuse. Pour résoudre un problème simple, elle peut proposer une structure complexe, utilisant des modèles de conception (design patterns) inadaptés ou trop lourds pour le besoin réel. Cette « complexité accidentelle » alourdit le code, rend le débogage difficile et ralentit la montée en compétence des nouvelles recrues. Une ESN compétente privilégiera toujours la simplicité et la lisibilité (le principe KISS : Keep It Simple, Stupid), car elle sait que le code est lu dix fois plus souvent qu’il n’est écrit.
Retour d’expérience avec une agence partenaire
Pour illustrer concrètement ces risques, nous souhaitons partager un cas réel rencontré par l’une de nos agences partenaires (une ESN basée en Île-de-France), impliquant un client du secteur de la logistique industrielle.
Le contexte du projet
Une PME industrielle souhaitait moderniser son outil interne de gestion des stocks. Disposant d’un budget serré, elle a initialement confié le développement à un développeur freelance junior, très enthousiaste quant à l’utilisation de nouveaux outils d’IA pour « booster sa productivité ». L’objectif était de livrer une version fonctionnelle en 3 mois pour un budget d’environ 15 000 €.
Le problème rencontré
L’application a été livrée dans les temps et semblait fonctionner correctement lors des démos. Cependant, dès la mise en production avec des volumes de données réels (plusieurs milliers de mouvements de stock par jour), le système a commencé à ralentir drastiquement. Plus grave encore, des incohérences de stock sont apparues : des produits indiqués « en stock » n’étaient pas physiquement présents.
L’intervention de l’ESN
La PME a contacté La Fabrique du Net pour trouver une agence capable de reprendre le projet en urgence. L’ESN sélectionnée a réalisé un audit du code. Le verdict a été sans appel :
Le freelance avait utilisé une IA pour générer les requêtes de base de données (SQL). Ces requêtes, bien que fonctionnelles sur de petits jeux de données, étaient catastrophiques en termes de performance (absence d’index, jointures inefficaces). De plus, la logique de gestion des transactions (qui garantit que le stock n’est décrémenté que si la commande est validée) était gérée de manière aléatoire par des scripts incohérents.
Le bilan chiffré
L’ESN a dû réécrire près de 60% du code backend. Le coût de la refonte s’est élevé à 25 000 €, et l’application a été indisponible pendant 4 semaines supplémentaires. Au final, le désir d’économiser initialement a coûté à l’entreprise plus du double du budget prévu, sans compter les pertes d’exploitation liées aux erreurs de stock. Ce cas démontre que l’expertise humaine en architecture et en base de données reste irremplaçable pour valider les propositions de l’IA.
Les erreurs les plus fréquentes des développeurs face à l’IA
À travers notre veille technologique et les audits réalisés par notre communauté, nous avons identifié les erreurs récurrentes qui transforment un projet assisté par IA en échec technique.
1. Le copier-coller sans isolation
L’erreur la plus banale mais la plus destructrice est l’intégration directe de code généré dans le cœur critique de l’application sans tests unitaires. Les développeurs font confiance à la solution proposée et l’intègrent sans « filet de sécurité ».
Conséquence : Une régression silencieuse qui n’est découverte qu’en production.
La solution : Tout code généré par IA doit être traité comme du code provenant d’une source externe non fiable : il doit être isolé, testé et validé par une revue humaine.
2. La négligence des licences et de la propriété intellectuelle
Les IA sont entraînées sur du code open source, dont certains sont sous licences restrictives (comme la GPL). Il arrive qu’une IA reproduise un morceau de code protégé par le droit d’auteur.
Conséquence : Un risque juridique majeur pour l’entreprise cliente, qui peut se voir contrainte de rendre son code source public si elle a intégré par mégarde du code sous licence contaminante.
La solution : Travailler avec des ESN qui utilisent des outils de scan de conformité (SCA – Software Composition Analysis) pour garantir que le code livré est libre de droits tiers.
3. L’ignorance des contextes métier spécifiques
Les développeurs demandent à l’IA de coder des règles métier (ex : calcul de remise) sans lui fournir l’intégralité des contraintes (ex : non cumulable avec les soldes, sauf pour les clients VIP). L’IA hallucine une règle simpliste.
Conséquence : Des pertes financières directes ou des erreurs de facturation.
La solution : Ne jamais laisser l’IA définir la logique métier. Elle ne doit être qu’un exécutant technique (comment écrire la boucle), pas un décideur fonctionnel (quelle réduction appliquer).
Comment bien choisir son agence pour éviter ces écueils
Face à ces risques, le choix de votre partenaire technique (ESN ou agence digitale) est crucial. Il ne s’agit pas de refuser l’IA, mais de l’encadrer. Voici les critères concrets que nous recommandons chez La Fabrique du Net pour évaluer la maturité d’une agence sur ce sujet.
Questions précises à poser lors de l’appel d’offres
Ne vous contentez pas d’un « oui, nous utilisons les dernières technos ». Posez des questions qui dérangent :
- Quelle est votre politique interne sur l’utilisation de Copilot / ChatGPT ? Une réponse floue est un mauvais signal. Une bonne agence doit avoir une charte d’utilisation claire.
- Comment garantissez-vous qu’aucun code propriétaire ou donnée sensible de mon projet n’est envoyé aux IA publiques ? Les agences sérieuses utilisent des versions « Entreprise » des outils qui garantissent la confidentialité des données (pas d’entraînement sur vos données).
- Quel est votre ratio Seniors / Juniors sur le projet ? L’IA permet aux juniors d’aller plus vite, mais elle nécessite plus de seniors pour la relecture. Un projet composé uniquement de juniors équipés d’IA est un projet à très haut risque.
- Avez-vous des processus de revue de code (Code Review) obligatoires ? Aucun code, qu’il soit humain ou IA, ne doit être fusionné sans avoir été relu par un pair expérimenté.
Signaux d’alerte (Red Flags) à surveiller
Soyez vigilants si vous observez les comportements suivants dans la proposition commerciale ou lors des premiers échanges :
- Des délais anormalement courts : Si une agence promet de développer une plateforme complexe en moitié moins de temps que ses concurrents grâce à l’IA, méfiance. La phase de conception, d’architecture et de test ne peut pas être compressée par l’IA.
- L’absence de budget de maintenance ou de tests : L’IA génère du code, mais ne le maintient pas. Si l’agence ne prévoit pas de budget conséquent pour la QA (Assurance Qualité) et les tests automatisés, c’est qu’elle sous-estime la fragilité du code généré.
- Un refus de transparence sur les outils : Vous avez le droit de savoir quels outils génératifs sont utilisés sur votre projet.
Tendances et évolutions du marché ESN / SSII
Le marché des services numériques est en pleine mutation. Chez La Fabrique du Net, nous observons une transformation du modèle économique des ESN induite par ces technologies.
Vers une facturation à la valeur et non plus au jour-homme
Historiquement, les ESN facturent au temps passé (TJM – Taux Journalier Moyen). Avec l’IA qui accélère la production de code « brut », ce modèle est remis en question. Nous voyons émerger des offres au forfait ou basées sur la valeur livrée. Les développeurs passent moins de temps à « pisser du code » (boilerplate) et plus de temps sur l’architecture, la sécurité et l’expérience utilisateur. Pour le client, cela signifie que le budget n’est pas forcément réduit, mais qu’il est réalloué vers des tâches à plus haute valeur ajoutée que la simple écriture de syntaxe.
L’émergence du développeur « Augmenté » mais « Supervisé »
La tendance n’est pas au remplacement du développeur, mais à sa montée en gamme. Les profils les plus recherchés par nos clients ne sont plus les « codeurs rapides », mais les « architectes auditeurs ». Les ESN investissent massivement dans la formation de leurs équipes pour passer d’une posture de créateur à une posture de validateur critique. Les outils d’analyse statique de code (SonarQube, etc.) deviennent des standards obligatoires pour filtrer la production de l’IA.
La souveraineté des données et l’IA locale
Une nouvelle demande forte que nous recevons concerne la confidentialité. Les grandes entreprises et les acteurs publics exigent désormais que le code ne transite pas par des serveurs américains (OpenAI, GitHub/Microsoft). Cela pousse les ESN françaises à s’équiper de modèles LLM open source (comme Llama ou Mistral) hébergés sur leurs propres infrastructures sécurisées (On-Premise) pour assister leurs développeurs sans risque de fuite de propriété intellectuelle. C’est un différenciateur clé pour les agences haut de gamme.
Ressource prête à l’emploi : Grille d’évaluation « Maturité IA & Qualité de Code »
Pour vous aider à auditer une agence ou à cadrer votre équipe interne, voici une grille d’évaluation (Scorecard) que vous pouvez utiliser immédiatement. Elle permet de noter le niveau de sécurité et de professionnalisme dans l’usage de l’IA.
| Critère d’évaluation | Niveau Risqué (0 pt) | Niveau Standard (1 pt) | Niveau Expert (2 pts) |
|---|---|---|---|
| Politique d’usage IA | Aucune politique, usage sauvage (« Shadow AI ») | Usage autorisé mais déclaré | Charte écrite, outils « Entreprise » obligatoires, clauses de confidentialité |
| Revue de Code | Pas de revue systématique ou auto-validation | Revue par les pairs (Junior validant Junior) | Revue obligatoire par un Senior/Lead Tech pour tout code généré |
| Tests Automatisés | Tests manuels uniquement | Tests unitaires basiques | Couverture de tests > 80%, TDD (Test Driven Development), tests de sécurité (SAST) |
| Compréhension du code | « Ça marche, on ne touche pas » | Documentation sommaire | Le développeur peut expliquer la logique de chaque fonction sans lire l’écran |
| Gestion des dépendances | Copier-coller aveugle des imports | Vérification manuelle rapide | Scanner automatique de vulnérabilités et de licences dans la CI/CD |
Interprétation des scores :
0 – 4 points : Danger critique. Risque élevé de dette technique et de failles. À éviter pour des projets stratégiques.
5 – 8 points : Bon niveau. L’agence a conscience des risques mais peut progresser sur l’outillage.
9 – 10 points : Excellence. L’agence maîtrise l’IA comme un outil de productivité sans sacrifier la qualité.
FAQ : Questions fréquentes sur le développement assisté par IA
Voici les réponses aux questions que les décideurs nous posent le plus souvent concernant l’impact de l’IA sur leurs projets de développement.
L’utilisation de l’IA fait-elle baisser le prix de mon projet web ?
Pas nécessairement de manière directe sur la facture totale. Si l’IA permet de coder certaines parties plus vite (gain de 20-30% sur le développement pur), ce temps gagné doit être réinvesti dans la conception, les tests et la sécurisation pour éviter les effets de bord. Chez La Fabrique du Net, nous constatons que les budgets restent stables mais que la qualité et la robustesse du produit final augmentent si l’agence travaille bien. Méfiez-vous des devis cassés (-50%) justifiés par l’IA : c’est souvent signe d’un travail bâclé.
Suis-je propriétaire du code généré par une IA ?
C’est une zone grise juridique complexe. Aux États-Unis, le bureau du Copyright a statué que le code généré entièrement par une machine n’est pas protégeable. En Europe, la situation évolue. Si votre agence utilise l’IA comme une aide mais que l’intervention humaine (sélection, modification, assemblage) est substantielle, l’œuvre est protégée. C’est pourquoi il est crucial de contractualiser avec une ESN qui garantit la cession des droits et assume la responsabilité de l’œuvre livrée, quelle que soit la méthode de production.
Comment savoir si mes développeurs utilisent l’IA en cachette ?
Il est difficile d’avoir une certitude absolue, mais certains signes ne trompent pas : un code avec des styles de commentaires très variables, des changements soudains dans la convention de nommage des variables, ou des bouts de code inutilement complexes pour des tâches simples. Plutôt que de « fliquer », nous recommandons d’instaurer une culture de transparence où l’usage de l’IA est encadré et discuté lors des revues de code.
Pourquoi le code généré par IA est-il difficile à maintenir ?
Parce qu’il manque souvent de cohérence systémique. L’IA résout des problèmes locaux (une fonction, une classe) sans vision globale de l’architecture. De plus, si le développeur qui a « prompté » l’IA ne comprend pas intimement le résultat (ce qu’on appelle le syndrome du « passager clandestin »), il sera incapable de le modifier six mois plus tard sans tout casser. La maintenabilité repose sur la compréhension humaine, que l’IA tend à court-circuiter.
L’IA peut-elle remplacer les développeurs seniors ?
Absolument pas. Au contraire, elle rend leur rôle encore plus critique. L’IA commoditise la production de code « junior ». La valeur se déplace vers la capacité à auditer ce code, à concevoir des architectures résilientes et à comprendre les besoins métier complexes. Un projet sans développeurs seniors pour superviser l’IA court droit à la catastrophe technique.
Conclusion
L’intelligence artificielle est un levier de productivité indéniable, mais elle est aussi un amplificateur de médiocrité si elle est laissée entre des mains inexpertes. La « confiance aveugle » dans le code généré est un pari risqué qui expose les entreprises à des failles de sécurité critiques, à des imbroglios juridiques et à une dette technique paralysante. Le code n’est pas qu’une suite d’instructions pour une machine ; c’est un actif stratégique de votre entreprise qui doit être durable, lisible et sécurisé.
Chez La Fabrique du Net, nous croyons fermement que la technologie doit être au service de l’expertise humaine, et non l’inverse. Faire appel à une agence ou une ESN qualifiée, c’est s’assurer que l’IA reste un outil (puissant) et ne devienne pas le maître d’œuvre défaillant de votre projet. Les agences que nous sélectionnons ont l’expérience, les processus (CI/CD, Code Review) et la maturité nécessaires pour tirer le meilleur parti de ces innovations tout en garantissant la pérennité de vos investissements numériques.
Ne laissez pas votre code devenir une boîte noire. Prenez le temps de sélectionner des partenaires qui comprennent ces enjeux.
