Comment la génération de code par l’IA accélère le DevSecOps à la vitesse de la machine.

L’IA générative redéfinit le rôle des développeurs dans la création de code

Le génie logiciel entre dans une nouvelle ère, sous l’impulsion de l’IA générative. Les développeurs ne sont plus limités à l’écriture de code ligne par ligne. Au lieu de cela, ils supervisent des systèmes intelligents qui génèrent et déploient des logiciels plus rapidement que jamais. Ce passage d’une implication directe dans le codage à la supervision de pipelines de développement pilotés par l’IA redéfinit ce qu’est l’efficacité de l’ingénierie.

Tom Scully, architecte principal pour le gouvernement et les infrastructures critiques chez Palo Alto Networks (Asie-Pacifique et Japon), décrit cette transition comme le passage d’une situation où l’on est « dans la boucle » à une situation où l’on est « dans la boucle ». Les agents d’IA s’occupent désormais de tâches telles que l’écriture et le test du code, tandis que les ingénieurs veillent à la qualité et à la correction à l’échelle. Le rythme accéléré de la production remet en question les cadres traditionnels d’assurance qualité et de sécurité qui ont été conçus pour des cycles de développement plus lents.

Les entreprises ne peuvent plus compter uniquement sur le contrôle humain pour maintenir la conformité et la sécurité. Le système lui-même doit intégrer ces contrôles. Les décideurs doivent repenser les modèles de gouvernance, investir dans des mécanismes de surveillance plus intelligents et renforcer les structures de responsabilité sans ralentir l’innovation.

Le rythme du changement est indéniable. Le rapport State of Cloud Security Report 2025 de Palo Alto Networks montre que 53 % des organisations déploient du code au moins une fois par semaine, 17 % le font quotidiennement, et 85 % estiment que la sécurité ralentit les livraisons. C’est précisément sur cette tension entre vitesse et sécurité que le leadership doit se concentrer, en veillant à ce que l’automatisation accélère les progrès sans introduire de risques cachés.

Pour les dirigeants, l’objectif est clair : utiliser l’IA pour accélérer les opérations tout en conservant une visibilité totale sur le fonctionnement de cette intelligence. Les développeurs deviennent des orchestrateurs de l’automatisation, et leur supervision déterminera si les organisations progressent en toute sécurité à grande échelle.

Les plateformes DevSecOps intégrées doivent fusionner la vitesse avec une gouvernance robuste de la sécurité.

À mesure que l’automatisation se répand dans les processus de développement, le lien entre la rapidité des logiciels et l’intégrité de la sécurité devient de plus en plus critique. L’intégration et le déploiement continus sont désormais si rapides que les contrôles de sécurité manuels ne peuvent plus suivre. Tom Scully affirme que l’avenir réside dans le partage des tâches de DevSecOps où les équipes chargées de la sécurité, des opérations et de l’infrastructure travaillent à partir d’une base unique et unifiée.

Lorsque les contrôles de gouvernance, les outils d’inspection et l’automatisation coexistent sur une même plateforme, les organisations peuvent fonctionner en toute sécurité à ce que Scully appelle « la vitesse de la machine ». Les avantages sont immédiats : les problèmes découverts dans la production peuvent être retracés jusqu’à des points spécifiques du pipeline CI/CD, les contrôles peuvent être appliqués automatiquement et les écarts de conformité peuvent être comblés instantanément.

Pour les dirigeants, cette intégration doit être considérée comme une nécessité stratégique. Elle permet à chaque équipe, des ingénieurs aux spécialistes de la cybersécurité, de travailler avec une visibilité synchronisée. Cette coordination réduit les risques et accélère l’innovation sans compromettre la confiance ou la conformité.

Les plateformes Prisma et Cortex de Palo Alto Networks incarnent cette approche, en fournissant un modèle de sécurité proactive de bout en bout sur l’ensemble du cycle de vie des logiciels. Elles associent une visibilité continue à une détection automatisée des menaces qui couvre les flux de travail du code au cloud.

Les dirigeants devraient s’assurer que leurs organisations adoptent des architectures unifiées similaires pour supprimer les silos entre le développement, la sécurité et les opérations. Ce faisant, ils obtiendront à la fois une livraison rapide et une forte résilience, un résultat dont toute entreprise tournée vers l’avenir a désormais besoin pour être compétitive dans un monde axé sur l’IA.

La validation de la sécurité en plusieurs étapes est essentielle pour atténuer les risques dans les déploiements automatisés.

L’automatisation va vite, mais la sécurité doit aller plus vite. Alors que la génération de code par l’IA accélère le développement de logiciels, chaque étape, de l’écriture du code à l’exécution, doit inclure une validation intégrée. S’appuyer sur des tests en fin de parcours n’est plus suffisant. Les organisations les plus sûres créent des couches de contrôles dans l’ensemble du pipeline DevSecOps.

Tom Scully insiste sur le concept de défense en profondeur, qui consiste à appliquer de multiples mesures de protection lors des phases de création, de prédéploiement, de déploiement et d’exécution. Il s’agit notamment de l’analyse statique du code, de la validation de la configuration des fichiers de déploiement et des contrôles de posture qui identifient les configurations erronées avant que le code ne soit publié. Une fois en production, des outils automatisés de sécurité d’exécution et de red-teaming permettent de détecter et de remédier à tous les problèmes restants.

Cette approche systématique permet de résister à la complexité croissante des logiciels augmentés par l’IA. Chaque couche renforce la suivante, ce qui rend le système global plus solide et plus fiable. Pour les dirigeants, cela se traduit par une exposition réduite et une réponse plus rapide aux incidents lorsque des problèmes surviennent. Cela garantit également qu’à mesure que l’automatisation augmente, la supervision et la responsabilité restent intactes.

Les dirigeants devraient donner la priorité aux investissements dans les tests automatisés et les chaînes d’outils qui peuvent fonctionner en temps réel parallèlement à la génération rapide de code d’IA. Ces systèmes permettent de fournir des logiciels en continu sans compromettre l’intégrité que les clients et les régulateurs attendent. La gestion des risques à travers de multiples lignes de contrôle n’est plus optionnelle, c’est le seul moyen de s’assurer que la vitesse ne sacrifie pas la sécurité.

La supervision humaine reste indispensable dans les environnements de codage pilotés par l’IA

Les grands modèles de langage s’améliorent rapidement, mais ils produisent encore des résultats incohérents. La qualité du code et la sécurité restent tributaires d’une supervision humaine qualifiée. Le rôle des développeurs et des architectes se transforme en un rôle d’orientation et de validation, où ils surveillent, interprètent et corrigent les résultats des systèmes d’IA.

Tom Scully décrit cela comme le maintien d’une approche humaine dans la boucle. Cela signifie que l’homme doit être impliqué non seulement à la fin du processus de développement, mais tout au long du cycle de vie, en observant les performances du système, en vérifiant les erreurs et en confirmant que les décisions automatisées s’alignent sur les normes établies. Ce niveau d’implication garantit la responsabilité, en particulier dans les environnements où le code généré par les machines affecte directement l’infrastructure critique de l’entreprise.

Pour les équipes dirigeantes, le message est clair : l’automatisation ne doit pas supprimer l’expertise. Les développeurs qualifiés doivent continuer à diriger le processus, en veillant à ce que chaque cycle piloté par l’IA produise des résultats sûrs, conformes et fiables. La collaboration homme-machine permet aux équipes de tirer parti de l’efficacité de l’automatisation tout en préservant le jugement humain là où il compte le plus.

Les décideurs devraient considérer cette surveillance non pas comme un goulot d’étranglement, mais comme une garantie pour l’innovation. Les organisations les plus performantes seront celles qui cultiveront des équipes techniques capables de superviser efficacement les outils d’IA, en équilibrant l’autonomie, la vérification et la capacité d’agir lorsque les systèmes s’écartent des performances attendues.

Les boucles de rétroaction automatisées et les systèmes de notation peuvent améliorer la qualité et la sécurité du code généré par l’IA.

L’IA ne se perfectionne pas d’elle-même. La qualité du code généré par l’IA dépend d’une évaluation et d’une amélioration continues, ce qui nécessite des boucles de rétroaction et des mécanismes de notation automatisés intégrés directement dans le processus de développement. Les entreprises ont besoin de systèmes qui évaluent l’exactitude, la conformité et la sécurité de chaque résultat avant qu’il n’entre en production.

Tom Scully présente une approche qui mesure les résultats du code par rapport à des normes de sécurité et de qualité définies. Ces boucles automatisées permettent d’évaluer les vulnérabilités du code, de vérifier s’il n’y a pas de violation de la politique et de déterminer s’il répond aux exigences architecturales internes. Lorsque les résultats ne sont pas à la hauteur, les invites peuvent être affinées et le modèle entraîné à nouveau, créant ainsi un processus de progression constante plutôt qu’une performance statique.

Cette structure de contrôle réduit les risques en garantissant que le code risqué ou non conforme n’atteigne jamais le stade de la publication. M. Scully insiste également sur la mise en place de garde-fous pour détecter et bloquer des problèmes tels que l’exposition d’informations personnelles identifiables, des autorisations inadéquates ou un contenu toxique avant le déploiement. Les contrôles automatisés constituent un système d’alerte en temps réel qui permet à l’organisation de respecter ses obligations en matière de conformité.

Pour les dirigeants, l’intégration de ces systèmes de retour d’information soutient simultanément deux priorités : l’efficacité opérationnelle et la gestion des risques. Le processus constant de notation et d’affinement renforce la fiabilité des modèles et contribue à maintenir la confiance des clients et des régulateurs. Les organisations qui mettent en œuvre des systèmes de retour d’information mesurables acquièrent un avantage durable, car elles améliorent continuellement leur production technique et leur posture de gouvernance.

Une gouvernance au niveau de la direction et des normes claires en matière de sécurité de l’IA sont essentielles pour une innovation sûre.

L’IA jouant un rôle central dans l’ingénierie logicielle, la gouvernance doit évoluer avec elle. Les normes et la responsabilité doivent être définies par le conseil d’administration, et non pas traitées après coup. Tom Scully conseille aux équipes dirigeantes de définir des politiques d’utilisation de l’IA à l’échelle de l’entreprise, de les relier à des cadres reconnus et de veiller à ce que ces politiques soient appliquées par le biais d’un examen cohérent.

Des cadres tels que la norme ISO 27001 et le cadre de gestion des risques du NIST (États-Unis) offrent des méthodes établies pour maintenir l’alignement de la sécurité et de la conformité. Ces cadres aident les organisations à identifier les risques, à concevoir des contrôles et à mesurer la manière dont les systèmes d’IA répondent aux exigences internes et réglementaires. L’établissement de ces pratiques au plus haut niveau permet aux organisations de savoir clairement quels modèles et outils sont autorisés, comment les évaluations sont menées et ce qui se passe lorsqu’une vulnérabilité est détectée.

M. Scully insiste également sur la nécessité d’une surveillance continue, d’un suivi de la posture d’exécution, de la mise à jour des inventaires de modèles et de la documentation des évaluations de risques en cours. Pour les dirigeants, cela se traduit par une visibilité et une assurance que l’innovation est gérée de manière responsable. Cela permet aux équipes chargées de l’IA d’aller de l’avant dans l’automatisation et le développement de produits, tout en restant en parfaite adéquation avec les normes de l’entreprise et les normes réglementaires.

L’innovation sûre dépend d’une gouvernance structurée. Lorsque les conseils d’administration s’engagent à mettre en place des politiques transparentes, une surveillance cohérente et des normes applicables, l’organisation gagne en liberté pour innover sans compromettre ses obligations en matière d’éthique et de sécurité. Cet équilibre entre rapidité, supervision et responsabilité définit la prochaine phase de croissance pour les entreprises qui adoptent l’IA dans leur pipeline de livraison de logiciels.

Principaux enseignements pour les décideurs

• L’IA redéfinit les rôles des développeurs : L’automatisation fait passer les développeurs du statut de créateurs de code à celui de superviseurs de systèmes. Les dirigeants devraient investir dans la formation et les cadres de gouvernance pour gérer de manière responsable le développement piloté par l’IA tout en préservant les normes de contrôle et de sécurité.
• Les plateformes DevSecOps unifiées accélèrent la sécurité : l’intégration de la sécurité, des opérations et de l’infrastructure sur une seule plateforme permet des déploiements plus rapides et plus sûrs. Les dirigeants devraient soutenir les systèmes unifiés qui fusionnent l’automatisation, l’inspection et la gouvernance pour opérer en toute sécurité à l’échelle.
• La validation en couches protège contre les risques rapides : La sécurité doit être intégrée à chaque étape du développement. Les dirigeants devraient privilégier les contrôles en plusieurs étapes et les systèmes automatisés d’assurance qualité qui détectent les vulnérabilités avant le déploiement, afin de garantir à la fois la rapidité et la conformité.
• La supervision humaine reste non négociable : L’IA peut générer du code rapidement, mais elle a toujours besoin de la supervision d’un expert. Les dirigeants doivent s’assurer que les équipes conservent un contrôle pratique, en vérifiant les résultats et en maintenant la responsabilité tout au long du processus.
• Les boucles de rétroaction automatisées améliorent la qualité des résultats : L’évaluation et l’amélioration des résultats de l’IA grâce à un retour d’information continu renforcent la fiabilité et la conformité. Les dirigeants devraient investir dans des garde-fous automatisés qui bloquent les contenus à risque et optimisent les modèles de codage.
• La gouvernance de l’IA commence au niveau du conseil d’administration : Une innovation sûre nécessite des politiques descendantes alignées sur les cadres ISO 27001 et NIST. Les dirigeants doivent définir les outils approuvés, mettre en œuvre la surveillance et contrôler la posture afin de combiner l’innovation rapide avec un contrôle discipliné.