🦉
Le Veilleur

I gave our developers an AI coding assistant. The security team nearly mutinied

Article original : cio.com Lire en 🇫🇷 via Google Translate
Auteurs
Maman Ibrahim, cio.com
Thème
Leadership
Mots-clés
coding-assistant, gouvernance, sécurité, ciso, copilot
Ton
opinion

Résumé

Maman Ibrahim raconte sa décision de déployer un assistant de code IA dans son organisation, et la quasi-mutinerie de l'équipe sécurité qui s'en est suivie. Le récit est honnête : il assume avoir validé l'outil sur un business case solide, puis avoir compris que le vrai sujet n'était pas la qualité du code généré, mais le décalage entre la nouvelle vélocité de production et la cadence des contrôles. La conclusion est nette : les outils IA ne changent pas seulement la livraison logicielle, ils changent les termes de la confiance dans l'entreprise.

💡 Pourquoi ça compte

Ce témoignage est précieux parce qu'il vient d'un dirigeant qui assume avoir validé un outil et raconte sans fard pourquoi sa décision a quasi-fracturé son organisation. Pour qui cherche à déployer un coding assistant, c'est une feuille de route plus utile que dix livres blancs.

Analyse approfondie

L'article s'ouvre sur une scène que tout dirigeant tech reconnaîtra : la pause silencieuse en réunion, le raclement de gorge, et la phrase qui prédit la suite : "On va peut-être devoir faire monter le RSSI là-dessus." Ce qui a déclenché l'alerte n'était pas une faille, ni une attaque. C'était un assistant de code.

L'auteur assume avoir validé l'outil. Le business case tenait debout : les équipes étaient noyées sous le travail répétitif, les délais se resserraient, la dette technique se reproduisait dans le noir. Un assistant pouvait rédiger des tests, expliquer du vieux code, suggérer des refactorings, aider les juniors à arrêter d'utiliser Stack Overflow comme une pharmacie clandestine. Et l'usage n'était plus marginal : Microsoft annonçait 15 millions de devs utilisateurs de Copilot en 2025.

Sauf que la sécurité a failli se révolter.

Une décision raisonnable dans un modèle de contrôle dépassé

L'auteur fait un constat lucide : beaucoup de mauvaises décisions ne commencent pas comme des décisions stupides. Elles commencent comme des décisions raisonnables prises à l'intérieur d'un modèle de contrôle qui n'est plus adapté. C'était exactement le cas. Le business case avait du sens. L'erreur, c'était de supposer que l'ancien système de revue allait tenir le rythme.

Cette supposition est tenace. Les dirigeants pensent que le risque logiciel change quand le code change. Souvent, il change avant : ce sont les conditions de production qui basculent. Si une machine rédige désormais ce que les humains écrivaient ligne par ligne, le sujet n'est plus seulement la qualité du code. C'est le volume, l'origine, et le temps qui rétrécit entre la suggestion et la mise en production.

Pourquoi la sécurité a perdu patience

L'équipe sécurité n'était pas en colère contre l'outil. Elle voyait l'arithmétique : la production de code allait monter en flèche, le temps de revue non. C'est dans cet écart que les ennuis s'installent. Le vrai souci n'est pas "l'IA pourrait écrire du mauvais code" — c'est la version maternelle du problème. Les vraies questions sont : qui a relu la sortie ? Quel package caché le modèle a-t-il poussé dans le build ? Quel contexte sensible a été collé dans la fenêtre de prompt ? Quel junior a fait confiance à une suggestion parce qu'elle paraissait calme et propre ? Quelle politique présupposait une rédaction humaine alors que le brouillon vient d'ailleurs ?

Les quatre dimensions du vrai débat

  1. Velocity : l'assistant accélère la production bien au-delà de ce que l'assurance qualité peut suivre
  2. Visibility : on ignore où l'outil est utilisé, quels prompts on lui passe, quel code il influence, quels composants externes il introduit dans la conversation
  3. Validation : les contrôles existants supposent qu'un humain produit le premier jet — un monde qui s'estompe
  4. Governance : personne n'a écrit les règles qui comptent. Quels usages sont OK, lesquels sont interdits, qui porte le risque de l'acceptation, quelles preuves prouvent un usage assez sûr ?

Ce qu'ils ont fait après

Ni interdiction théâtrale, ni laisser-passer aveugle. L'auteur a rétréci le déploiement et réécrit les conditions de confiance.

Les usages à faible risque sont restés ouverts : rédaction de tests, explication de code legacy, documentation, boilerplate. Les zones à fort risque ont reçu des limites strictes : flux d'authentification, gestion de secrets, logique de chiffrement, infrastructure-as-code en environnement sensible. Tout ce qui touche à des données régulées passait par une revue plus stricte ou restait hors périmètre.

Une ligne dure a été tracée sur l'hygiène des prompts : pas de données client, pas de credentials, pas d'éléments d'architecture confidentielle dans une fenêtre de chat. Les standards de revue ont été relevés : sign-off humain réel, pas un coup d'œil suivi d'un merge. Le scanning a élargi son périmètre dépendances et code. La provenance compte plus. La journalisation compte plus. Les chemins d'exception doivent être explicites, pas sociaux.

Surtout, la sécurité est passée de critique en fin de chaîne à co-conceptrice du déploiement. La question n'est plus "peut-on utiliser ceci ?" mais "à quelles conditions peut-on en faire un usage qu'on saura défendre plus tard ?".

La leçon pour les dirigeants

Si vos devs produisent plus de code avec moins d'effort, votre charge de gouvernance monte même si votre headcount ne monte pas. Le vieux ratio entre output et oversight est cassé. Beaucoup d'entreprises ne se sont pas encore ajustées.