Technologies

L'arrivée de l'IA dans le développement d'applications critiques secoue les DSI

L'arrivée de l'IA dans le développement d'applications critiques secoue les DSI
De gauche à droite, Jérémy Couture, RSSI de FDJ United, Jonathan Veyssière, data and AI security officer de Decathlon, et Clément Cassaet, RSSI de CAGIP. (Photo : E.D.)

À l'occasion de la Cyber IA Expo à Paris début février 2026, CAGIP, Decathlon et FDJ United ont décrypté la façon dont l'IA transforme le développement et la mise en production d'environnements critiques. Au programme, écriture du code, bien sûr, mais aussi protection cyber ou tests.

PublicitéEn juillet 2025, une application développée dans une entreprise avec l'outil de vibe coding Replit a tout simplement effacé la base clients, malgré une interdiction explicite de toucher à cette base en production. À la suite de cet incident, l'IA a tout simplement 'menti' à son créateur/utilisateur, cachant certains bugs qu'elle avait identifiés, et surtout allant jusqu'à recréer de faux comptes clients pour effacer ses traces ! Cette anecdote, véritable cauchemar éveillé de DSI, c'est Jonathan Veyssière, data and AI security officer de Decathlon qui l'a racontée lors de la Cyber IA Expo, début février 2026, à Paris. Le point de départ d'un débat sur la sécurisation de l'exploitation du SI face aux nouveaux risques, lorsque la GenAI est utilisée pour les opérations critiques, débat auquel étaient associés Clément Cassaet, RSSI de CAGIP (Crédit Agricole group infrastructure platform) et Jérémy Couture, RSSI de FDJ United.

S'il est un environnement où la GenAI a pris ses aises, c'est bien dans le développement informatique. Et l'intégrer de façon professionnelle et sécurisée quand elle intervient sur des environnements critiques du SI importe d'autant plus que, comme le précise Jonathan Veyssière, même au niveau de l'exploitation de l'infrastructure physique, aujourd'hui, « tout passe de plus en plus par le code, et de moins en moins par des interventions physiques. On va provisionner de l'infrastructure as code, faire du patch management as code, etc. »

Nourrir une réflexion sur la revue de code à l'heure de la GenAI

L'anecdote de la base clients effacée met en lumière plusieurs éléments, selon Jonathan Veyssière. A commencer, bien sûr, par l'importance de ne pas connecter un agent qui génère du code à des éléments en production. Mais elle rappelle aussi le rôle central du HITL, ou human in the loop, pour contrôler l'agent. Même si celui-ci permet de livrer du code plus rapidement, il faut une personne pour vérifier ses actions et ses performances. Enfin, il s'agit aussi de se souvenir qu'une IA va aussi chercher à 'faire plaisir' à son créateur ou à son utilisateur. « Ce sont des éléments qui doivent nourrir tout un débat, tout un travail sur les revues de code dans des pipelines CI/CD [intégration continue/déploiement continu) à certaines étapes clé, voire dès le début de l'écriture du code. »


« Nous n'avons vraiment aucun recul sur ce sujet [de la GenAI]. C'est du code auquel nous faisons tous confiance, alors que nous ne sommes pas sûrs de le maîtriser, ni même de pouvoir le consulter », dit Jérémy Couture, RSSI de FDJ United. (Photo : E.D.)

Plus globalement, la GenAI va donc désormais potentiellement intervenir dans la génération de code sur des opérations critiques pour l'entreprise. Une des difficultés centrales de son exploitation dans ce cadre, c'est que l'on « ne sait pas comment le modèle initial a été conçu, comme l'estime Jérémy Couture, RSSI de FDJ United. On ne connaît pas ses biais potentiels. On ne sait pas, par exemple, si dans certaines instructions fondamentales, l'IA ne va pas petit à petit ouvrir des backdoors. Nous n'avons vraiment aucun recul sur ce sujet. C'est du code auquel nous faisons tous confiance, alors que nous ne sommes pas sûrs de le maîtriser, ni même de pouvoir le consulter ».

PublicitéLa capacité à accélérer et rendre plus performant le développement et la mise en production du code aveugle certaines entreprises. « Il va être tentant d'utiliser un agent pour la gestion des vulnérabilités en cas d'urgence, ajoute ainsi Jérémy Couture. Pour patcher vite et en masse, un week-end où personne n'est d'astreinte, par exemple. On évoque souvent ce remplacement par des IA des niveaux 1 dans le SOC. Reste qu'avant d'appliquer une contre-mesure, l'agent ne disposera pas forcément de toutes les règles de criticité business et ne va donc pas les respecter. Aujourd'hui, on utilise plutôt un agent IA sur la plateforme d'observabilité. En général, du machine learning avec un modèle stable et des fonctions claires qui lui sont affectées. Il faut vraiment s'interroger sur les modèles d'IA qu'on va utiliser, et sur les limites qu'on leur donne. »

Un cahier des charges précis à destination de l'IA

Caroline Moulin-Schwartz, déléguée technique du CRIP (club des responsables des infrastructures, des technologies et de la production IT), qui animait le débat, rappelle que selon une étude de Google en 2025, 90% des développeurs ont déclaré utiliser l'IA dans leurs tâches professionnelles et 66% l'ont exploité pour modifier un code existant ou en générer du nouveau. « Ces statistiques révèlent deux réalités, précise Jonathan Veyssière. D'un côté la création de code, de l'autre, la modification de code existant. On sait par expérience, que cette deuxième option est beaucoup plus compliquée, parce qu'elle exige du reverse engineering, et elle demande bien sûr de comprendre ce qui se passe si on coupe telle ou telle branche de code. On va se demander si les tests unitaires, les tests fonctionnels sont toujours pertinents avant la mise en production. Alors qu'avec un code nouveau, l'enjeu principal, c'est de savoir s'il est sécurisé, s'il respecte les bonnes pratiques, etc. En vibe coding, on constate aussi en général que la première version est correcte, mais que, dès que l'on itère, que l'on ajoute des fonctions avant de les retirer par exemple, 'ça vrille'. De plus, on dispose rarement de tests unitaires ou de la génération d'une documentation... ». La phase de test proprement dite constitue d'ailleurs une des étapes les plus complexes avec l'arrivée de l'IA dans le développement lors de la reprise de code existant. « Aujourd'hui, on peut cependant éviter les principaux écueils avec de l'analyse de code dynamique. »


« L'IA est programmée pour produire un résultat, et non pour produire le bon résultat, celui qu'on attend. Cela impose une supervision humaine, qui va nécessiter un renforcement des compétences », souligne Clément Cassaet, RSSI de CAGIP. (Photo : E.D.)

Le premier conseil de Jonathan Veyssière consiste à rédiger un cahier des charges le plus précis possible à destination de l'IA. Le second conseil, c'est de porter un regard critique sur ce qui est prévu par cette IA. « On passe d'un rôle de développeur simplement là pour écrire des pages de code, faire fonctionner quelque chose, à un développeur avec une vue d'avion de l'architecture globale du code, et un regard critique sur ce que l'IA va produire. » Le data and AI security officer de Decathlon insiste sur la nécessité d'accompagner les développeurs dans cette montée en compétence, sur la capacité, par exemple, à demander des commentaires à l'IA sur ses choix de type de code, de librairie, etc. et ainsi sur la capacité à engager un dialogue avec elle avant de pousser le code en production. « La supervision humaine de l'IA est un enjeu crucial », confirme Clément Cassaet, RSSI de CAGIP, pour qui il faut se souvenir que l'IA est programmée pour produire un résultat, et non pour produire le bon résultat, celui qu'on attend. « Cette supervision humaine va nécessiter forcément un renforcement des compétences », prévient-il encore.

Un pré-diagnostic cyber du code par IA

Autre enjeu, celui des risques cyber. « Les opérations critiques et la cyber peuvent agir en forces contraires », encore davantage avec l'arrivée de l'IA, estime Jonathan Veyssière. La cyber peut en effet ralentir la production et le déploiement de code, quand les opérations souhaiteraient accélérer avec cette même IA. Pour le data and AI security officer de Decathlon, il est ainsi essentiel d'anticiper ce sujet avec deux démarches. D'abord en mesurant, dès le début de l'écriture du code, les éléments cyber nécessaires et en proposant des suggestions au développeur en fonction de ces mesures. Ensuite, en déployant des agents IA de gouvernance pour vérifier la fiabilité, la qualité, la sécurité du code pour établir un diagnostic simple du type 'passe ou bloque'.


Sur les aspects cyber, « il faut des agents IA plutôt spécialisés, moins créatifs que les agents de développement, auxquels on va donner une personnalité "tatillonne" », lance Jonathan Veyssière, data and AI security officer de Decathlon. (Photo : E.D.)

« Il faut des agents plutôt spécialisés, moins créatifs que les agents de développement, précise Jonathan Veyssière. Et auxquels on va donner une personnalité "tatillonne". Celui qui va analyser les failles dans le détail, par exemple, ou celui qui va se concentrer sur une base de données ». Ce pré-diagnostic va aider les développeurs humains à prendre la décision de passer ou non en production. En revanche, Jonathan Veyssière appelle à la prudence vis-à-vis des biais de « réplicabilité », lorsque le modèle d'entraînement des agents de gouvernance est le même que celui de l'agent de développement. L'IA pourrait dès lors ne pas être très objective. « Il est important de fonctionner en multi vendeurs, et peut-être même, quand on a un modèle A de développement, de choisir pour la gouvernance un modèle B connu pour être un peu psychorigide. »

Vibe coding, entre contrôle et laisser-faire

Reste le sujet, sensible s'il en est, du vibe coding - comme a pu le mettre douloureusement en lumière ce cas d'une IA destructrice de base clients, prompte à masquer ses erreurs. Decathlon a choisi d'aborder ce sujet de front. « Cela permet à des employés, y compris en magasin, de répondre rapidement à leurs propres besoins. Demain, l'IT se concentrera peut-être d'ailleurs uniquement sur des sujets corporate majeurs. Mais quoiqu'il en soit, aujourd'hui, nous ne voulons pas considérer le vibe coding comme du shadow AI, car de toute façon, les employés vont le pratiquer. Pour nous, la seule réponse, c'est la détection - identification de prompts potentiellement dangereux ou d'utilisation d'outils tiers non sécurisés - et la prise en compte de ces développements. Cela demande néanmoins d'utiliser des outils pour protéger l'accès à certaines données ou aux backups, par exemple ». Decathlon n'exclut néanmoins pas de restreindre ultérieurement ce type d'usages en fonction de ses évolutions, mais il préfère pour l'instant accompagner la tendance plutôt que de la bloquer à tout prix.

La sécurité, gage de performance et de confiance

CAGIP est, au contraire, très restrictif, mais accompagne les équipes. « Je veux comprendre pourquoi elles vont vers du shadow AI et comment je peux les aider », insiste Clément Cassaet. Pour lui, plus globalement, l'IA va bel et bien rendre les équipes plus efficaces, aider à détecter des signaux faibles, etc. « En revanche, pour que tout cela marche, il faut bien avoir en tête que la sécurité est un critère de performance. Car si demain, vous livrez une super solution, mais qu'elle n'est pas sécurisée, au premier problème, plus personne n'en voudra. Et j'explique bien à mes équipes que nous ne sommes pas là pour challenger le besoin ou la solution, mais pour faire en sorte que la solution proposée soit sécurisée et exprime ainsi son plein potentiel. » La clé résidant dans la formation des développeurs, afin d'augmenter leur maturité sur ces sujets. Decathlon abonde en ce sens, en précisant qu'il est important de rappeler que la sécurité participe au produit, et que « son gain principal, c'est la confiance ». Sans oublier, qu'un incident cyber a aujourd'hui des conséquences majeures, comme le rappelle Clément Cassaet. « Pour une société cotée, cela se traduit directement par une chute de l'action, une perte de valeur. »

La prochaine étape, c'est bien sûr l'agentique. Un objet qui pose encore de nombreuses questions sur l'étendue de son terrain de jeu, comme l'explique Jérémy Couture, RSSI de FDJ United : « quelles sont les données utilisées, quels sont les biais de cette IA, à quoi va-t-on lui donner accès ? » Le RSSI raconte néanmoins comment son entreprise a décidé de basculer son système de réponse à incidents pour les JOP 2024 vers de l'IA pour aller plus vite, tout en étant efficace. « Jusque là, nous avions des personnes derrière leurs consoles en permanence, très spécialisées sur tel ou tel périmètre, et qui se passaient l'information. Or, avec un événement comme les Jeux, il fallait être véloces ». Pour y arriver, FDJ United a créé un agent qui appelle via une API toutes ses solutions de sécurité, de façon centralisée. « Pour autant, je n'ai pas encore de réponses aux nombreuses questions sur l'agentique. »

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis