Agentation
le sujet qui fâche

Sécurité du code généré par IA.

L'IA écrit du code qui marche — et qui fuit. Près d'une tâche de développement sur deux confiée à un assistant IA introduit une faille de sécurité, et 81 % des organisations admettent livrer sciemment du code vulnérable. Le problème n'est pas le modèle. C'est qu'on le laisse pousser en prod sans que rien ne vérifie. Voici les vrais risques, ce que dit le RGPD, et la seule structure qui rend ce code défendable.

Get in line for first access See pricing
l'état des lieux

Le « vibe coding » accélère tout — y compris les failles.

Générer du logiciel en le décrivant à une IA est devenu la norme. En entreprise, sans garde-fou, c'est le bordel : du code que personne ne relit, suggéré en quelques secondes, mergé parce qu'il « passe les tests cliquables ». Les études convergent — environ 45 % des tâches de dev assistées par IA contiennent une vulnérabilité exploitable, 60 % des entreprises utilisent ces outils mais seulement 18 % ont une politique pour les encadrer, et 29 % à peine des développeurs se disent confiants pour repérer ces failles à la lecture. La vitesse est réelle. Le risque aussi.

  • Injections SQL, XSS, secrets en dur, dépendances obsolètes : les classiques que l'IA reproduit en masse.
  • « Slopsquatting » : le modèle invente des noms de paquets ; des attaquants les enregistrent avec du code malveillant.
  • Personne ne relit ce qui est généré en volume — la revue humaine ne scale pas à la vitesse de génération.
pourquoi ça casse

Le modèle n'est pas responsable. L'absence de structure l'est.

Un LLM produit le code le plus probable, pas le plus sûr. Il ne connaît pas vos conventions, votre menace, vos secrets, votre périmètre RGPD. Demander à un humain de tout relire après coup ne tient pas : la génération est quasi gratuite, votre attention ne l'est pas, et c'est elle qui craque en premier. Tant qu'on traite la sécurité comme une relecture finale optionnelle, la dette et les failles s'accumulent. La seule issue est d'inverser : la vérification doit être un mur déterministe que le code traverse avant la prod, pas un humain fatigué en bout de chaîne.

la méthode

La Méthode Digital Native : encoder les règles une fois, vérifier à chaque fois.

C'est la réponse, et elle est simple à énoncer. Un Product Owner décrit l'intention directement sur le produit en ligne. Un Tech Lead encode les règles une seule fois — architecture, conventions, sécurité, vos obligations métier et RGPD. Des agents IA livrent à l'intérieur de ces règles. Et une structure de gates déterministes vérifie tout — lint, types, tests, scan de sécurité, détection de secrets — avant qu'une ligne n'atteigne la prod, le tout via VOTRE GitHub. « Je ne lis pas le code » ne veut plus dire « personne ne le contrôle » : ça veut dire qu'une structure le contrôle, à chaque commit, à la place d'un humain de temps en temps.

  • Le Tech Lead encode la politique de sécurité une fois ; aucun agent ne peut livrer en dehors.
  • Les gates tournent avant la prod : vert, ou ça ne passe pas. Zéro token d'IA, 100 % déterministe.
  • Tout transite par votre GitHub, sur votre plan IA existant — le code reste chez vous.
le software

Une méthode ne suffit pas. Il faut le logiciel qui l'applique : Agentation.

On peut écrire la meilleure méthode du monde sur un wiki ; sans outil pour la rendre obligatoire, elle reste un vœu pieux. Agentation est ce logiciel. Vous annotez le produit live, l'intention devient une tâche, le Tech Lead dispatche des agents dans des worktrees isolés, et rien ne remonte en revue tant que les gates ne sont pas verts. C'est ce qui transforme « le code IA est dangereux » en « le code IA est vérifié avant chaque merge ». La sécurité n'est plus un audit trimestriel : c'est une propriété de la chaîne de livraison.

  • Annotation → tâche → agent → gates → revue → prod, sans saut d'étape possible.
  • Worktrees git isolés par tâche : un agent ne touche jamais le périmètre d'un autre.
  • Pre-push gate : convention de commit, scan de secrets, dérive de lock-file, avant tout push.
RGPD & souveraineté

Conforme par construction, et souverain là où ça compte.

Le RGPD s'applique intégralement à l'IA générative : tout appel à une API hébergée hors UE est un transfert de données au sens du chapitre V, avec des sanctions jusqu'à 20 M€ ou 4 % du chiffre d'affaires mondial. Agentation est une entreprise française, une équipe de français. Notre position est nette : on n'est peut-être pas souverains sur les MODÈLES (Claude, GPT…), mais on peut être souverains sur les OUTILS qui les orchestrent — et c'est déjà une énorme partie, car avec juste des modèles, on ne fait pas grand-chose. L'orchestration, l'état, la vérification, les données projet : tout ça, on le maîtrise et on le garde en Europe.

  • Hébergement UE (Hetzner, Allemagne), données UE (Supabase), conformité RGPD par défaut.
  • Votre code reste dans VOTRE GitHub : Agentation orchestre, ne stocke jamais vos sources.
  • Souveraineté sur l'outil d'orchestration — la couche qui décide ce qui part au modèle et ce qui revient.
FAQ
Le code généré par IA est-il vraiment dangereux ?

Le code lui-même n'est ni bon ni mauvais — c'est l'absence de vérification qui l'est. Les études montrent qu'environ 45 % des tâches de dev assistées par IA introduisent une faille, et que 81 % des organisations livrent sciemment du code vulnérable. Le risque n'est donc pas d'utiliser l'IA, mais de la laisser pousser en prod sans gate. Avec des contrôles déterministes (lint, types, tests, scan de sécurité) avant chaque merge, le code IA devient au moins aussi sûr que du code humain relu — et plus régulièrement contrôlé.

Comment sécuriser concrètement du code écrit par une IA ?

Trois leviers. Un : encoder vos règles de sécurité une seule fois (le Tech Lead), pour qu'aucun agent ne puisse livrer en dehors. Deux : faire passer chaque changement par des gates déterministes — détection de secrets, scan de dépendances, tests, types — avant la prod. Trois : tout faire transiter par votre GitHub pour garder l'audit trail et le contrôle. C'est exactement ce que la Méthode Digital Native automatise, et ce qu'Agentation rend obligatoire au lieu de simplement recommandé.

Utiliser une IA pour coder est-il compatible avec le RGPD ?

Oui, à condition de maîtriser où vont les données. Le RGPD s'applique pleinement : tout appel à une API hors UE constitue un transfert au sens du chapitre V, avec des sanctions pouvant atteindre 20 M€ ou 4 % du CA mondial. La conformité passe par une finalité claire, la minimisation des données envoyées au modèle, et un hébergement maîtrisé. Agentation héberge en UE (Hetzner, Supabase), garde votre code dans votre GitHub, et n'expose au modèle que le strict nécessaire.

Peut-on être souverain si les modèles d'IA sont américains ?

On distingue le modèle de l'outil. On n'est pas souverain sur Claude ou GPT — ce sont des modèles étrangers. Mais l'outil qui les orchestre, qui décide ce qui leur est envoyé, qui vérifie ce qui revient et qui stocke l'état, peut être 100 % européen et maîtrisé. Et c'est la plus grosse partie de la valeur : avec juste un modèle, on ne fait pas grand-chose. Agentation est une équipe française qui revendique exactement cette souveraineté-là — celle de la couche d'orchestration.

En quoi est-ce différent que de demander à ChatGPT ou Copilot d'écrire du code sûr ?

Prompter un assistant vous rend le code, et c'est à vous de le relire, de le corriger et de lui faire confiance — vous restez le goulot d'étranglement et le filet de sécurité. Agentation place un Tech Lead et des gates automatiques entre vous et le modèle : vous recevez des résultats vérifiés, pas du brut à surveiller. La sécurité devient une propriété de la chaîne, pas une relecture que vous espérez avoir le temps de faire.

Gardez la vitesse de l'IA. Supprimez le risque.

Get in line for first access