Transformation numérique, Technologie, Intelligence artificielle

Un développeur dans une grande institution financière utilise un assistant de codage IA pour modifier la logique de calcul des intérêts dans une application de prêts à la consommation. Le changement est propre. Il passe tous les tests unitaires. La pull request est révisée et approuvée, puis déployée en production.

Quatre mois plus tard, un audit interne détecte une anomalie. Une directive réglementaire, discutée lors d'une rencontre de conformité et documentée dans une page wiki enfouie à trois clics de profondeur dans Confluence, exigeait une méthodologie d'arrondi spécifique pour les produits à taux variable. Cette directive n'avait jamais été transformée en ticket Jira, en architectural decision record ni en aucun artefact accessible à l'IA. La remédiation exige maintenant une correction de code, un recalcul rétroactif pour les comptes touchés, un dépôt réglementaire et une conversation avec le conseil d'administration que personne ne veut avoir.

L'IA n'a pas échoué. Elle a fait exactement ce qu'on lui a demandé. C'est l'organisation qui n'a pas su structurer ce qu'elle savait de manière à gouverner ce qui était construit.

Ce n'est pas un scénario hypothétique. Des variantes de cette situation se produisent en ce moment même dans des banques, des assureurs et des entreprises réglementées partout en Amérique du Nord. Le domaine change : une règle d'adjudication de réclamations en assurance, un calcul d'adéquation des fonds propres en banque, ou une exclusion de couverture qui ne respecte plus un bulletin réglementaire provincial. Le pattern, lui, reste le même.

L'écart spécification-exécution : pourquoi les métriques de codage IA sont trompeuses

La plupart des entreprises mesurent l'adoption du codage IA par des métriques de production : lignes de code générées, pull requests soumises, vélocité de sprint. Ces chiffres sont impressionnants, mais ils sont aussi trompeurs.

Ce qu'ils masquent, c'est un changement structurel qui s'est produit dès que les outils de codage IA ont été déployés à grande échelle. Avant ces outils, une équipe de développement passait environ 60 % de son effort à spécifier, c'est-à-dire à recueillir les exigences, résoudre les ambiguïtés, s'aligner sur les contraintes et documenter les compromis, et 40 % à écrire du code. La phase de codage était lente, mais cette lenteur avait une utilité. Elle donnait aux organisations le temps de faire émerger le contexte, de permettre aux bonnes personnes d'intervenir et de repérer les nuances réglementaires avant qu'elles ne deviennent des incidents de production.

L'IA a comprimé la phase de codage presque du jour au lendemain, mais elle n'a pas comprimé la phase de spécification. Pas même un peu.

Le résultat est une asymétrie croissante : les organisations peuvent maintenant produire du code à la vitesse machine, mais elles spécifient toujours ce qui devrait être construit à la vitesse humaine. Et chaque jour où cet écart se creuse, le risque s'accumule silencieusement et invisiblement, jusqu'à ce qu'un audit ou un incident le fasse éclater au grand jour.

Pourquoi les pipelines RAG et les fenêtres de contexte plus larges ne résoudront pas la conformité en entreprise

La réaction instinctive, c'est de donner plus d'information à l'IA. Élargir la fenêtre de contexte. Construire des pipelines RAG. Nourrir le modèle avec plus de documents. Ça aide à la marge, mais ça ne résout pas le problème structurel.

Un projet d'entreprise d'envergure génère des décisions, des contraintes, des dépendances et des compromis qui dépassent de loin la capacité de n'importe quel modèle, peu importe la taille de la fenêtre de contexte. La recherche montre systématiquement que le contexte non pertinent dégrade la performance de l'IA. Plus n'est pas mieux. Le bon contexte, structuré et connecté, est mieux.

Le RAG peut faire ressortir un document qui mentionne une exigence de conformité. Ce qu'il ne peut pas faire, c'est reconstituer la chaîne de raisonnement qui relie une directive réglementaire à une règle d'affaires, puis à une décision architecturale, puis à un pattern d'implémentation spécifique, puis aux tests qui valident la contrainte. C'est cette chaîne de raisonnement qui rend le code correct dans un environnement réglementé. Et elle ne se trouve dans aucun document unique. Elle est dispersée dans cinq systèmes, trois équipes et une rencontre qui a eu lieu il y a six semaines.

Des copilotes aux agents : le rayon d'impact est sur le point de s'élargir

Si on ne parlait que de suggestions de type autocomplétion, le risque serait gérable. Un copilote suggère une ligne de code. Un développeur la révise. Le rayon d'impact d'une erreur est petit.

Mais l'industrie ne s'arrête pas aux copilotes. Elle se dirige rapidement vers des agents autonomes, des systèmes d'IA capables de planifier l'implémentation de fonctionnalités, d'écrire du code dans plusieurs fichiers, de générer des tests, de mettre à jour la documentation et de soumettre une pull request avec un minimum d'intervention humaine. Selon Gartner, 33 % des applications logicielles d'entreprise intégreront de l'IA agentique d'ici 2028, contre moins de 1 % en 2024. La même étude souligne que plus de 40 % des projets d'IA agentique seront annulés d'ici la fin de 2027 en raison d'une gouvernance inadéquate, ce qui confirme que la vitesse sans structure produit de l'échec, pas de la croissance.

Un agent qui opère sans contexte structuré n'est pas un multiplicateur de productivité, c'est un multiplicateur de risque. Il peut commettre le même type d'erreur que dans le scénario du calcul d'intérêts, techniquement correct mais contextuellement erroné, sur un périmètre plus large, plus rapidement et avec moins de supervision humaine à chaque étape.

Pour que les agents opèrent de façon sécuritaire à l'échelle de l'entreprise, ils ont besoin de plus que l'accès au code. Ils ont besoin d'accéder aux décisions architecturales qui balisent leur travail, aux exigences réglementaires qui gouvernent leur domaine et à une spécification vivante qui lie le tout. Sans cette structure, faire croître l'IA agentique dans une entreprise réglementée n'est pas une stratégie de croissance, c'est une constatation d'audit en attente.

L'impératif stratégique : le contexte structuré comme avantage concurrentiel

La vérité inconfortable, c'est que toutes les données disponibles racontent la même histoire. Le rapport 2025 de Veracode sur la sécurité du code généré par l'IA révèle que 45 % du code produit par l'IA introduit des vulnérabilités de sécurité classées dans le OWASP Top 10. La recherche de Sonar montre que plus de 90 % des problèmes dans le code généré par l'IA sont des « code smells » architecturaux plutôt que des bogues fonctionnels. Le constat est clair : le développement accéléré par l'IA produit plus de risque en même temps que plus de résultats.

Les organisations qui vont prospérer dans cet environnement ne sont pas celles qui ont les meilleurs outils d'IA. Ces outils sont accessibles à tout le monde. Ce sont les organisations qui bâtissent un contexte structuré, incluant des spécifications vivantes, des décisions connectées et une mémoire institutionnelle, pour gouverner ce que ces outils produisent. Ce contexte est un actif stratégique. Sa valeur se bonifie avec le temps. Et les concurrents qui commencent plus tard ne peuvent pas le répliquer sans un investissement équivalent en temps, peu importe leur budget ou leur talent.

La question n'est pas de savoir si votre organisation en a besoin. La question, c'est de savoir si vous commencez à le bâtir maintenant, pendant que l'écart est gérable, ou plus tard, après que la prochaine constatation d'audit aura forcé la main.

Points clés : conformité du code IA dans les entreprises réglementées

Les outils de codage IA compriment la phase d'exécution, mais pas la phase de spécification, ce qui crée un écart croissant entre la vélocité du code et la préparation organisationnelle.

• 45 % du code généré par l'IA introduit des vulnérabilités OWASP Top 10 (Veracode, 2025) et plus de 90 % des problèmes sont des code smells architecturaux (Sonar, 2025).
• Le RAG et les fenêtres de contexte plus larges ne peuvent pas reproduire la chaîne de raisonnement qui relie les directives réglementaires aux règles d'affaires et aux patterns d'implémentation.
• D'ici 2028, 33 % des logiciels d'entreprise intégreront de l'IA agentique (Gartner), mais plus de 40 % des projets d'IA agentique échoueront en raison d'une gouvernance inadéquate.
• Le contexte organisationnel structuré, soit les spécifications vivantes, les décisions connectées et la mémoire institutionnelle, est la couche de gouvernance manquante et un avantage concurrentiel émergent.