Technologies

Agents IA et développement : une autonomie à hauts risques

Si les agents d’IA débouchent sur des gains de productivité, leurs coûts et les risques qu’ils entraînent doivent inciter les DSI à trouver le bon équilibre dans l’usage des agents au sein du cycle de développement logiciel. (Photo : Hack Capital/Unsplash

Surtout utilisée jusqu'en 2025 pour l'auto-complétion, l'IA rayonne désormais sur tout le cycle de développement. Certaines organisations préfèrent en circonscrire les tâches, tandis que d'autres prévoient une automatisation presque totale. En attendant, le CERT-FR préconise de ne pas utiliser des agents autonomes, sous peine de multiplier les risques.

PublicitéEn 2025, une étude sur l'expérience développeurs de l'éditeur Atlassian, menée auprès de 3500 développeurs dans le monde, montrait que presque deux-tiers d'entre eux gagnaient 10 heures par semaine grâce à l'usage de l'IA générative. Des gains portant surtout sur l'écriture du code. Outre cette tâche et la documentation, l'IA Gen était, à ce moment-là, surtout utilisée pour des tests unitaires. Un panel d'usages à nuancer selon les organisations. Ainsi, Bpifrance a acquis il y a deux ans des licences Github Copilot pour tous ses développeurs, internes et prestataires, et encourage son usage intensif. Son CTO, Philippe Martin, explique : « en 2025, l'IA générative était surtout utilisée par les développeurs pour de l'auto-complétion de code, mais, depuis début 2026, les usages ont basculé vers l'IA agentique pour produire des pans entiers. Résultat, nous avons produit 800 000 lignes de code en 2025 contre 11 millions pour les seuls six premiers mois de l'année. » Une production de masse qui pose une question. L'IA Gen serait-elle plus bavarde que l'humain ? Mais plus que le seul nombre de lignes, c'est la diversification de ses usages qui progresse rapidement depuis quelques mois. « Elle prend en charge une grande partie du testing, l'exécution des tests, mais aussi, en amont leur description et leur écriture », illustre Philippe Martin.

Le constat est similaire chez BlaBlaCar. Tout au moins jusqu'en 2025. Ses développeurs utilisaient également l'IA pour l'auto-complétion. « Cette technologie était, à ce moment-là, prometteuse. En regard, nous avons alors formé l'ensemble des équipes et autorisé son usage pour le développement, notamment avec Github Copilot, donnant accès à un large panel de modèles, et Gemini comme chatbot du quotidien », détaille Nicolas Salvy, son CTO. Parallèlement à la formation, des tests sont menés. « Résultats, demander à l'IA de générer telle ou telle fonctionnalité ne donnait pas un code adapté. Par contre, utiliser un pattern du genre 'utilise tel algorithme à tel endroit pour ce faire' était efficace, détaille-t-il. Il ne s'agit pas de faire de l'IA pour faire de l'IA mais d'identifier des cas d'usage pertinents avec ce nouvel outil ».

La pizza team réduite à 2 personnes

Une démarche contrôlée qui ne met pas en oeuvre toutes les promesses annoncées de l'IA Gen. Au-delà du code, cette technologie peut également être mise à contribution pour écrire des 'user story', en d'autres mots, la description en langage naturel de fonctionnalités du point de vue de l'utilisateur. Et, dans la même logique, elle peut prendre en charge l'écriture du cahier des charges. Dans un registre plus technique, elle génère encore les scripts de déploiement.

Mettre en oeuvre une approche industrialisée sur toutes les étapes du cycle de développement suppose d'utiliser des outils. Bpifrance expérimente le framework Open Source BMAD (Breakthrough Method for Agile AI-Driven Development) pour industrialiser les processus de delivery applicatif dans une approche de 'Spec Driven Development'. Ce framework vise à dépasser les limites du vibe coding en apportant un cadre complet de delivery, de l'analyse à l'implémentation, et fournit une vingtaine d'agents IA spécialisés (Business Analyst, UX...), qui interviennent sur les différentes phases du workflow. « Nous testons cette approche pour nous faire des convictions avec l'idée de passer à l'échelle en 2027. Nous testons ce workflow sur des équipes réduites en passant de la pizza team (8 à 10 personnes) à des équipes 'pod' de 2 personnes composées d'un profil fonctionnel et d'un profil technique », détaille Philippe Martin.

PublicitéNouveaux composants : plus de place à l'IA

BlaBlaCar reste plus modeste, préfère éviter tout dérapage et ne met en oeuvre, pour l'heure, des agents IA que pour des fonctions techniques bien cadrées. « Des agents sont chargés d'identifier des patterns de dettes techniques et de proposer des solutions de remédiation. Par exemple de remplacer des éléments devenus obsolètes avec des montées de versions », détaille Nicolas Salvy. Autre illustration, un autre agent est chargé des revues de code basiques, pour respecter les règles de nommage... et corriger si besoin. « Un vrai plus pour cette tâche, c'est un bon moyen d'uniformiser les pratiques, mais aussi d'aider les développeurs juniors à se perfectionner. Le vrai travail d'ingénierie demeure humain », insiste le CTO.

Nicolas Salvy, CTO de BlaBlaCar : « En l'absence d'historique et de dette technique, nous pouvons laisser plus de place à l'IA pour produire le code. » (Photo : D.R.)

Des agents IA sont également mis à contribution pour d'autres tâches mineures et bien délimitées, « par exemple répondre à une demande d'un product manager visant à remplacer le texte 'Gare de Bercy- Gare de Lyon-Perrache' par 'Paris-Lyon' », illustre Nicolas Salvy. Pour autant, il ne s'interdit pas d'aller plus loin : « nous expérimentons aussi l'IA de manière plus transformative dans des équipes ayant besoin de construire de nouveaux composants. En l'absence d'historique et de dette technique, nous pouvons laisser plus de place à l'IA pour produire le code. Nos ingénieurs orchestrent les travaux, mais gardent la main sur l'architecture et les spécifications ».

Les risques annulent les gains de productivité

Problème, le recours aux agents spécialisés augmente le niveau de risques. Le 13 avril dernier, un bulletin du CERT-FR, l'entité nationale assurant la mise en oeuvre de la fonction d'autorité de défense des systèmes d'intérêt pour la nation, alertait sur « la multiplication des risques de sécurité liés au déploiement d'agents IA autonomes (comme OpenClaw ou Claude Cowork) sur les postes de travail. » Des outils utilisés par les développeurs en lieu et place des commandes Shell, entre autres. Selon ce même bulletin, ces risques annulent même les gains de productivité. Et le CERT-FR de recommander explicitement de ne pas déployer ces outils en production.

Chez Bpifrance, le choix a été fait de compartimenter les agents. « Ceux qui crawlent le web n'ont pas accès aux applications et données internes et, inversement, ceux qui accèdent à nos ressources internent ne peuvent accéder au web, décrit Philippe Martin. La création d'agents est par ailleurs très cadrée et une gouvernance spécifique a été mise en place : qui est le propriétaire de l'agent, à quoi sert-il, à quelles données a-t-il accès, quels sont ses droits sur le SI, etc. »

Revues de code et maintenance : jusqu'où automatiser ?

Dans son approche de n'utiliser ces outils que pour des tâches bien définies, BlaBlaCar se sert d'un agent IA pour analyser son code base et détecter les failles connues. Celui-ci se met régulièrement à jour sur les dernières CVE identifiées. « Une revue de code finale reste toujours effectuée par un humain », prévient toutefois Nicolas Salvy. L'approche est différente chez Bpifrance, les revues de code « reposeront sur des agents exécutés au niveau de l'équipe, mais également en central avec d'autres agents exécutés au niveau de la CI/CD. » Même chose pour la maintenance du code. « La production de code sera réalisée en très grande partie par des agents IA et sa maintenance sera réalisée également par des agents IA sous gouvernance et supervision humaine », décrit Philippe Martin.

Philippe Martin, CTO de Bpifrance : « Notre stratégie [d'optimisation des coûts] est basée sur le choix des modèles, l'infrastructure d'inférence, l'utilisation de cache ou encore l'optimisation des contextes. » (Photo : D.R.)

Autre risque, déjà avéré : le coût de l'IA Gen dans ses versions professionnelles payantes. Un coût lié aux tokens, mais également à l'infrastructure et à la cyber. « Il représente actuellement quelques centaines de milliers d'euros par an, une ligne qui se remarque dans un budget, l'équivalent de quelques postes de développeurs, ce qui reste encore mineur sur les quelque 250 collaborateurs de la tech », évalue Nicolas Salvy. Un coût surtout tiré par les utilisateurs intensifs dans un rapport de 10 à 20 fois la moyenne. Constat similaire chez Bpifrance qui utilise majoritairement MS Copilot, « dont le coût a été multiplié par 4 en juin dernier suite au passage d'une facturation au forfait à une facturation à l'usage », souligne Philippe Martin. Un risque d'autant plus sensible que prévoir les coûts des tokens comme le recours à ces derniers par les développeurs est impossible. Des agents IA pourraient ainsi très prochainement devenir plus onéreux que des développeurs.

Des agents sur tout le cycle de développement

Classiquement, les entreprises tentent de contrer ces dérapages par l'optimisation et en élargissant leur panel de fournisseurs. « Nous travaillons sur une stratégie d'optimisation de notre consommation de tokens. Cette stratégie est basée sur le choix des modèles (un agent pour un modèle), l'infrastructure d'inférence (cloud, edge, local), l'utilisation de cache ou encore, l'optimisation des contextes, énumère Philippe Martin. Nous avons par ailleurs mis en place un suivi FinOps de l'usage des tokens et responsabilisons les développeurs via du chargeback (de la refacturation interne, NDLR). » L'objectif pour la banque publique est également de réduire sa dépendance. « Le projet de gigafactory d'IA AION, mené avec Iliad, Scaleway, etc., devrait représenter une bonne solution », espère le CTO. De son côté, BlaBlaCar a opté pour une approche consistant à multiplier les fournisseurs. « Nous avons quelques licences payantes avec les acteurs majeurs. Les solutions évoluent tellement vite que la meilleure solution le reste rarement plus que quelques mois. Nous voulons pouvoir bénéficier des innovations de l'écosystème », avance Nicolas Salvy.

A terme, l'automatisation totale reste en question. Pour Philippe Martin, « l'objectif est d'éviter des créer des goulets d'étranglement sur la chaîne de delivery, il est primordial d'utiliser l'IA agentique sur toutes les étapes du cycle de développement logiciel, des spécifications au déploiement en production, et ne pas se limiter aux phases de développement et au testing. Ce n'est qu'à cette condition que l'on obtient l'accélération et les gains de performance promis. » BlaBlaCar a opté pour une approche moins radicale. Des différences qui amènent à se poser les questions de fond. Tout est-il automatisable, à quel prix et avec quels risques financiers et de dépendance ?

Les développeurs face à la déferlante GenAI

Dans cette vague, voire face à cet emballement, les entreprises ont des approches différentes avec les premiers concernés, à savoir les développeurs. « Toute la population, les développeurs mais aussi les fonctionnels, les business analysts notamment, vont être formés à l'IA. Les métiers vont changer, les développeurs vont remonter dans la chaîne de valeur, se rapprocher du métier, couvrir tous les aspects techniques du projet, contrôler le travail des agents, les optimiser et devenir en quelque sorte des managers d'agents IA », pronostique Philippe Martin.

L'attitude est plus mesurée chez BlaBlaCar. « L'entreprise ne positionne pas l'IA comme un concurrent des développeurs. La consommation de tokens n'est pas mesurée individuellement et les développeurs ne sont pas obligés d'utiliser les agents, explique Nicolas Salvy. Le but est d'avancer dans l'usage de cette technologie à une vitesse moyenne, de ne pas laisser quelques 'early adopters' mettre la pression tout en accompagnant et encourageant la montée en compétence. » S'il est encore trop tôt pour vérifier l'impact de l'usage de l'IA sur les professionnels, notamment sur l'évolution des burn-out, quelques études soulignent quelques effets de bord inattendus. Selon le laboratoire indépendant METR (Model Evaluation and Transparency Research), l'IA ralentirait ainsi les développeurs expérimentés dans 19% des cas.

Article rédigé par

Patrick Brébion, Journaliste
Après quelques années dans le développement logiciel, Patrick est devenu journaliste. Depuis le siècle dernier, il couvre plus spécialement tous les sujets IT pour la presse spécialisée. Il a également passé quelques années en tant qu'ingénieur de recherche à l'Université.