🧭 Cursor – Guide complet IDEO-Lab

Angle du guide : Cursor n’est pas seulement un VS Code avec chat intégré. C’est un environnement de développement agentique : il faut apprendre à le cadrer, lui fournir du contexte, contrôler ses actions, revoir les diffs, brancher les tests et industrialiser les règles projet.

Positionnement de Cursor

Comprendre Cursor : éditeur IA, agent de code, assistant de refactoring, outil d’équipe.

IDE IAAgentic DevVS Code

Installation & configuration

Premiers réglages, projet existant, indexation, modèles, confidentialité, raccourcis.

SetupIndexModels

Tab, Chat & Inline Edit

Les trois gestes quotidiens : compléter, discuter avec le repo, modifier localement.

TabChatEdit

Agent Mode

Comment faire travailler l’agent sans perdre le contrôle : fichiers, terminal, patchs, validation.

AgentToolsDiffs

Plan Mode

Transformer une demande vague en plan auditable avant toute écriture de code.

PlanReviewArchitecture

Rules & AGENTS.md

Règles persistantes : conventions, interdits, doctrine projet, sécurité, Django style.

RulesAGENTS.mdDoctrine

Context Engineering

Le vrai nerf de la guerre : choisir le bon contexte, éviter la noyade, piloter les références.

ContextRepoFocus

MCP, Skills, Hooks

Étendre Cursor avec outils externes, compétences packagées, hooks et automatisations contrôlées.

MCPSkillsHooks

CLI & Cloud Agents

Faire agir Cursor hors de l’éditeur : terminal, agents cloud, tâches longues, branches isolées.

CLICloudAgents

Bugbot & Code Review

Revue automatique de PR, règles de bug, commentaires, correctifs et boucle qualité.

BugbotPRReview

Cursor pour Django/Python

Workflow sérieux pour models, migrations, management commands, tests, admin, templates.

DjangoPythonMigrations

Prompts opérationnels

Bibliothèque de prompts : diagnostic, patch ciblé, review, rollback, tests, refactor.

PromptsPatchRunbook

Sécurité & gouvernance

Secrets, données privées, auto-run, tool approvals, équipes, coûts, modèles, audit.

SecurityTeamsAudit

Industrialisation

Déployer Cursor dans une équipe sans chaos : standards, métriques, formation, CI, PR.

EnterpriseCIMetrics

Playbook quotidien

Une méthode concrète pour travailler tous les jours avec Cursor, sans “accept all”.

DailySeniorQuality

Sources & veille

Documentation officielle, changelog, fonctionnalités récentes, points à vérifier avant déploiement.

DocsChangelog2026

Positionnement de Cursor

Cursor en une phrase

Cursor est un éditeur de code orienté IA qui transforme l’IDE en atelier de développement agentique : il peut comprendre un dépôt, répondre sur le code, proposer des modifications multi-fichiers, utiliser un terminal, préparer des plans, appliquer des patchs et aider à revoir des PR.

La rupture n’est pas seulement la complétion. La rupture est la combinaison entre contexte du dépôt, actions dans l’éditeur, règles persistantes, outils externes et boucle de validation.

Message central : Cursor accélère énormément un développeur expérimenté, mais il ne remplace pas l’architecture, la lecture de diff, les tests, la sécurité et le jugement.

Modèle mental

Developer intent
    |
    v
Cursor context layer
    |- indexed repository
    |- opened files
    |- selected code
    |- rules and AGENTS.md
    |- docs and MCP tools
    v
Agent reasoning and planning
    |
    v
Controlled actions
    |- edit files
    |- run commands
    |- inspect errors
    |- produce diffs
    v
Developer review
    |- tests
    |- code review
    |- commit
    |- PR

IDE

Point d’entrée

Cursor reste un éditeur de code : navigation, fichiers, terminal, git, extensions.

Agent

Moteur d’action

L’agent peut lire, planifier, modifier et tester, mais doit être cadré.

Rules

Mémoire projet

Les règles évitent de répéter les conventions et les interdits à chaque prompt.

Review

Contrôle humain

Le développeur reste propriétaire de la qualité et du code livré.

Avant Cursor / avec Cursor

Activité	Avant	Avec Cursor bien utilisé	Risque si mal utilisé
Comprendre un module	Lire fichiers, grep, debugger.	Demander une carte du module puis vérifier dans le code.	Croire une synthèse non vérifiée.
Corriger un bug	Reproduire, inspecter, patcher.	Demander diagnostic, hypothèses, patch minimal, tests.	Accepter une correction opportuniste.
Refactorer	Long travail manuel.	Découper en micro-patchs avec tests à chaque étape.	Gros rewrite incontrôlable.
Écrire tests	Souvent repoussé.	Générer cas nominaux, limites, régression.	Tests artificiels qui confirment le bug.
Review	Diff lu par humains.	Pré-review IA + review humaine finale.	Externaliser la responsabilité à l’IA.

Good Cursor workflow: 1. Ask for analysis only 2. Validate the diagnosis 3. Ask for a narrow plan 4. Approve one patch 5. Run tests 6. Review the diff 7. Commit with a precise message

Cursor vs autres approches

Approche	Ce que ça fait	Quand l’utiliser	Limite
Autocomplete classique	Complète quelques lignes.	Code répétitif, syntaxe, boilerplate.	Ne comprend pas l’architecture globale.
Chat externe	Explique, génère, propose.	Conception, comparaison, réflexion.	Pas directement branché au repo.
Cursor Tab	Complétion sensible au contexte.	Flux rapide dans un fichier.	Peut encourager le pilotage automatique.
Cursor Agent	Modifie plusieurs fichiers et lance des commandes.	Bugfix, refactor, feature cadrée.	Nécessite règles et revue stricte.
Cloud Agent	Travaille hors session locale.	Tâches isolées, PR, exploration.	Encore plus besoin de sandbox et review.

Cas d’usage très rentables

Bug reproduisible

Demander à Cursor d’identifier le flux, proposer 2 ou 3 hypothèses, écrire un test de régression, puis patcher.

Refactor contrôlé

Extraire une fonction, renommer une API, déplacer un service, mais uniquement par petits diffs.

Documentation vivante

Faire produire un README, un diagramme de flux, un runbook, une checklist d’exploitation.

Tests manquants

Générer des tests unitaires, tests d’intégration, fixtures, tests de non-régression.

Analyse de dette

Repérer duplication, fonctions trop longues, responsabilités mélangées, exceptions silencieuses.

Pré-review

Demander une critique du diff avant commit : sécurité, performance, compatibilité, migration.

Ce que Cursor ne doit pas décider seul

Domaine	Pourquoi	Règle de conduite
Architecture	Un mauvais découpage coûte cher pendant des années.	Cursor propose, le senior décide.
Migrations DB	Risque de perte de données, locks, indexes dangereux.	Plan SQL, backup, rollback, environnement de test.
Sécurité	Secrets, permissions, auth, injections.	Review manuelle obligatoire.
Production	Déploiement, migrations, jobs, cache, workers.	Runbook et commandes contrôlées.
Licensing/IP	Code tiers, snippets, dépendances.	Vérifier provenance et licences.

Anti-pattern : demander “refais-moi ce module” puis accepter tout. Cursor doit être utilisé comme un accélérateur de patchs contrôlés, pas comme une machine à produire de la dette technique.

Installation & configuration initiale

Checklist d’installation

Étape	Objectif	Contrôle
Installer Cursor	Disposer de l’éditeur local.	Ouvrir un projet simple et vérifier terminal intégré.
Connexion compte	Activer modèles, quotas, synchronisation éventuelle.	Vérifier plan, limites et paramètres d’équipe.
Importer extensions	Retrouver l’environnement VS Code.	Python, Django, GitLens, Docker, YAML, SQL.
Configurer shell	Terminal cohérent avec le projet.	PowerShell, Bash, WSL ou terminal système.
Ouvrir repo	Donner le contexte au moteur.	Pas ouvrir un dossier parent contenant trop de projets.

Principe : Cursor doit voir le bon périmètre. Ouvrir un dossier trop large augmente le bruit ; ouvrir un sous-dossier trop étroit prive l’agent de contexte.

Préparer un projet existant

Nettoyer les fichiers temporaires, caches, dumps, gros logs.
Vérifier que le repo possède un README ou une note d’architecture.
Identifier les commandes de test, lint, migration, démarrage local.
Ajouter un fichier de règles projet avant de laisser l’agent agir.
Créer une branche dédiée avant tout travail agentique.

Repository preparation:
- README.md
- AGENTS.md
- .cursor/rules/
- scripts/check.sh
- scripts/test.sh
- docs/architecture.md
- docs/runbook.md
- .env.example
- tests/

Structure minimale recommandée

project-root/
  app/
  config/
  tests/
  docs/
    architecture.md
    runbook.md
  scripts/
    test.sh
    lint.sh
    check_migrations.sh
  .cursor/
    rules/
      project.mdc
      django.mdc
      security.mdc
  AGENTS.md

Indexation et contexte

Cursor fonctionne mieux quand le codebase est indexé proprement. L’indexation permet au chat et à l’agent de retrouver des symboles, chemins, usages et fichiers pertinents.

Bon réflexe	Pourquoi	Exemple
Exclure le bruit	Limiter les faux contextes.	node_modules, venv, dist, build, media, logs.
Documenter les commandes	L’agent peut lancer les bons tests.	scripts/test.sh, Makefile, README.
Nommer clairement	La recherche sémantique est meilleure.	services/translation_engine.py plutôt que misc.py.
Segmenter le repo	Éviter les tâches trop vastes.	Demander un patch dans une app Django précise.

Contexte utile

README, règles, tests, fichiers ciblés, erreurs exactes.

Bruit dangereux

Logs massifs, dumps SQL, vieux fichiers, branches mortes.

Choix des modèles

Cursor permet de choisir des modèles différents selon les tâches. La logique saine n’est pas “toujours le plus puissant”, mais “le modèle adapté au risque”.

Tâche	Modèle conseillé	Pourquoi	Contrôle
Complétion rapide	Modèle rapide	Latence basse, fluidité.	Relire le bloc généré.
Bug complexe	Modèle raisonneur fort	Analyse multi-fichiers.	Exiger hypothèses et test.
Refactor	Agent + modèle fiable	Modifications coordonnées.	Patchs courts, diff review.
Documentation	Modèle rédactionnel	Synthèse et clarté.	Vérifier exactitude technique.
Sécurité	Modèle fort + outils	Risque élevé.	Review humaine obligatoire.

Confidentialité et politiques d’équipe

Avant un usage professionnel, il faut clarifier : code privé, secrets, données clients, logs, prompts, modèles autorisés, stockage de contexte, outils externes et accès MCP.

Solo / prototype

Règles simples, pas de secrets, branches locales, validation manuelle.

Startup

Rules partagées, modèles autorisés, budget, PR review, CI obligatoire.

Entreprise

SSO, allow/blocklist modèles, audit, politique données, Security Review, contrôle MCP.

Security baseline:
- never paste secrets
- never expose customer data in prompts
- use .env.example instead of .env
- mask tokens in logs
- require review for auth and permissions
- require tests for data migrations
- require explicit approval for destructive commands

Cursor Tab, Chat & Inline Edit

Cursor Tab : accélérateur de frappe

Tab est le geste le plus fréquent. Il anticipe la suite du code, propose des modifications proches et peut aider à compléter des patterns répétitifs.

Bon usage	Exemple	Contrôle
Boilerplate contrôlé	Serializer, form, mapping simple.	Relire noms, types, imports.
Continuation de pattern	Ajouter 5 champs similaires.	Vérifier exceptions et cas limite.
Tests répétitifs	Cas paramétrés.	Éviter tests tautologiques.
Templates HTML	Cards, badges, colonnes.	Tester rendu et événements JS.

Attention : Tab est très confortable, donc dangereux. Plus il est fluide, plus il faut garder le réflexe de lecture.

Chat : questionner le dépôt

Le Chat sert à comprendre, diagnostiquer, comparer, demander une stratégie. Il est idéal avant l’Agent, car il permet d’éviter de modifier trop vite.

Good chat prompts:
1. Explain how this module works. Do not edit files.
2. Find the likely source of this error. Give hypotheses only.
3. Map all files involved in this workflow.
4. Propose a minimal patch plan. No code yet.
5. Review this diff for bugs, security risks, and migration risks.

Quand utiliser Chat

Comprendre un flux.
Demander une explication d’erreur.
Comparer deux architectures.
Préparer un plan.

Quand éviter Chat seul

Modification multi-fichiers.
Refactor avec imports.
Écriture de tests à appliquer.
Correction nécessitant terminal.

Inline Edit : chirurgie locale

Inline Edit est utile pour transformer une sélection précise : simplifier, renommer, sécuriser, ajouter logs, rendre une fonction plus robuste.

Sélection	Instruction	Résultat attendu
Fonction	Make this function easier to test without changing behavior.	Refactor local.
Bloc try/except	Improve error handling and keep the same public API.	Exceptions plus propres.
Requête ORM	Optimize this query and avoid N+1 access.	select_related/prefetch_related ciblé.
Template	Improve accessibility and keep the current CSS classes.	Labels, aria, structure.

Choisir le bon geste

Besoin	Outil Cursor	Pourquoi
Compléter une ligne	Tab	Rapide, faible risque.
Comprendre avant d’agir	Chat	Analyse sans modification.
Modifier une petite zone	Inline Edit	Précis, diff limité.
Modifier plusieurs fichiers	Agent	Coordination et terminal.
Demande ambiguë	Plan Mode	Clarification avant code.

Agent Mode : le cœur de Cursor

Ce que fait l’agent

L’agent est conçu pour les tâches autonomes de codage : inspecter le dépôt, choisir les fichiers, modifier du code, lancer des commandes, lire les erreurs et itérer. C’est puissant, mais cela impose un pilotage strict.

Lire et rechercher dans le codebase.
Éditer plusieurs fichiers.
Proposer ou appliquer des diffs.
Utiliser le terminal selon permissions.
Analyser les résultats de tests.

Contrat avec l’agent

Agent contract:
- no broad rewrites
- no hidden behavior changes
- no dependency changes without approval
- no migrations without plan
- no destructive command
- one patch at a time
- tests after each patch
- explain every file changed

Workflow agentique sérieux

Étape	Prompt	Sortie attendue
Diagnostic	Analyze only. Do not edit.	Hypothèses, fichiers impliqués.
Plan	Propose a minimal patch plan.	Liste de fichiers, risques, tests.
Patch	Implement step 1 only.	Diff limité.
Test	Run the smallest relevant tests.	Résultat, erreurs, correction.
Review	Review your own diff critically.	Risques restants.

Contrôler les outils

Le vrai danger n’est pas que l’agent écrive du code ; le vrai danger est qu’il lance des commandes ou modifie des fichiers au mauvais périmètre.

Autoriser

Tests ciblés, lint, grep, lecture fichiers, commandes non destructives.

Demander validation

Install dépendance, migration, formatage massif, modification settings.

Interdire

Suppression données, reset DB, push direct, rotation secrets, commandes production.

Safe commands:
python manage.py test app.tests.test_feature
python manage.py check
python manage.py makemigrations --check --dry-run
python -m pytest tests/test_feature.py
ruff check app/

Commands requiring approval:
pip install package
python manage.py migrate
python manage.py flush
git push

Gestion des erreurs

Symptôme	Cause probable	Réponse
Patch trop large	Prompt vague.	Stopper, demander split en étapes.
Imports cassés	Agent n’a pas lancé tests.	Exiger test ciblé + check.
Changement d’API	Agent a simplifié trop fort.	Rappeler compatibilité publique.
Migration risquée	Modèle modifié sans plan DB.	Rollback, demander plan migration.
Faux diagnostic	Contexte insuffisant.	Ajouter trace, stack, fichiers précis.

Checklist avant d’accepter un diff agentique

Le diff est-il limité à la demande ?
Chaque fichier changé est-il justifié ?
Les tests pertinents ont-ils été lancés ?
Les erreurs existantes sont-elles distinguées des nouvelles ?
Pas de changement de dépendance non demandé ?
Pas de secret, token, chemin local, donnée client ?
Pas de migration dangereuse ou index long ?
Le rollback est-il simple ?

Règle senior : aucun diff Cursor ne part en production sans lecture humaine. Cursor accélère la production du diff, pas la responsabilité.

Plan Mode : réfléchir avant de coder

Pourquoi Plan Mode est essentiel

Plan Mode sert à transformer une demande large en plan d’implémentation avant modification du code. Il est particulièrement utile pour les tâches multi-fichiers, les migrations, les refactors, la sécurité et les tickets ambigus.

Bonne pratique : exiger que Cursor pose ses questions avant de coder, puis qu’il propose un plan reviewable avec fichiers, étapes, tests et risques.

Plan first prompt:
Use Plan Mode. Do not edit files yet.
Analyze the codebase and produce:
1. affected files
2. current behavior
3. proposed behavior
4. implementation steps
5. tests to run
6. risks and rollback plan
Ask questions if something is ambiguous.

Plan d’implémentation idéal

Section	Contenu attendu	Critère de qualité
Contexte	Résumé de l’existant.	Basé sur fichiers réels.
Portée	Ce qui sera changé / non changé.	Limites explicites.
Étapes	Patch 1, Patch 2, Patch 3.	Chaque patch testable.
Tests	Commandes exactes.	Tests ciblés et globaux.
Risques	DB, perf, auth, compatibilité.	Pas de généralités.
Rollback	Retour arrière.	Simple et vérifiable.

Questions que Cursor doit poser

Quelle version de compatibilité doit être conservée ?
Peut-on modifier le schéma de base de données ?
Quels tests sont fiables dans ce projet ?
La fonctionnalité doit-elle rester compatible avec une API existante ?
Faut-il préserver une convention interne non documentée ?
Y a-t-il des contraintes de performance ou de sécurité ?

Signal d’alerte : une tâche complexe où Cursor ne pose aucune question peut indiquer qu’il invente des hypothèses.

Valider ou refuser un plan

Plan acceptable

Fichiers réels identifiés.
Étapes courtes.
Tests précis.
Risques concrets.
Rollback clair.

Plan à refuser

“Refactor global” vague.
Ajout de dépendance inutile.
Suppression de compatibilité.
Pas de tests.
Pas d’analyse migration.

Approval prompt:
The plan is mostly correct.
Implement only step 1.
Do not modify public APIs.
Do not add dependencies.
After editing, show the diff summary and run the targeted test command.

Rules, AGENTS.md et doctrine projet

À quoi servent les Rules ?

Les Rules sont des instructions persistantes. Elles permettent d’encoder les conventions projet, les interdits, le style d’architecture, les commandes, les règles de sécurité et les attentes de qualité.

Niveau	Usage	Exemple
User Rules	Préférences personnelles.	Always produce small patches.
Project Rules	Doctrine du dépôt.	Use service layer for business logic.
Team Rules	Standards partagés.	All auth changes require tests.
AGENTS.md	Instructions lisibles par agents.	Commands, architecture, forbidden actions.

Exemple de règles projet

Project rules:
- Produce small, reviewable patches.
- Never rewrite a full file unless explicitly requested.
- Before editing, identify the files you need to change.
- Do not add dependencies without approval.
- Do not run destructive commands.
- Prefer explicit error handling over silent failures.
- Keep public APIs backward compatible unless approved.
- Add or update tests for behavior changes.
- Explain database migration risks before creating migrations.

AGENTS.md minimal

# Agent instructions

## Commands
- Run tests: python manage.py test
- Check project: python manage.py check
- Check migrations: python manage.py makemigrations --check --dry-run

## Architecture
- Business logic belongs in services.
- Views should stay thin.
- Management commands must support --verbosity.

## Safety
- Never modify .env files.
- Never run production commands.
- Ask before adding dependencies.
- Ask before creating migrations.

Rules spécialisées Django/Python

Django rules:
- Do not create indexes on very long text-like fields.
- Use application-level deduplication when requested.
- Avoid large model rewrites.
- For migrations, explain database impact first.
- Management commands must be observable and testable.
- Prefer select_related and prefetch_related for ORM performance.
- Never hide exceptions with a broad except block.
- Keep template JavaScript isolated and deterministic.
- Do not put secrets in settings or templates.
- Use English identifiers and comments in code.

Important : ces règles sont exactement le genre d’éléments qui empêchent Cursor de produire des patches “propres en apparence” mais incompatibles avec tes contraintes réelles.

Anti-règles : trop vague, trop long, contradictoire

Mauvaise règle	Problème	Meilleure règle
Write good code.	Impossible à vérifier.	Keep functions under 80 lines unless justified.
Always refactor.	Encourage les changements inutiles.	Refactor only code touched by the task.
Make it modern.	Subjectif.	Use existing project patterns unless approved.
Never use SQL.	Trop absolu.	Prefer ORM; raw SQL requires explanation and tests.

Context Engineering avec Cursor

Le contexte vaut plus que le prompt

Dans Cursor, la qualité dépend autant du contexte fourni que du modèle. Un prompt moyen avec les bons fichiers, logs et règles peut battre un excellent prompt sans contexte.

Useful context = exact error + affected files + reproduction steps + expected behavior + existing conventions + tests to run + constraints and forbidden changes

Donner le bon contexte

Contexte	Pourquoi	Exemple
Stack trace complète	Évite les hypothèses.	Erreur Django, ligne, exception.
Fichiers ouverts	Guide le modèle.	models.py, services.py, tests.py.
Commande échouée	Permet reproduction.	python manage.py test app.tests.X.
Contraintes	Empêche patch hors cadre.	No DB index on long fields.
Exemple attendu	Clarifie le résultat.	Format JSON, sortie console, UI.

Éviter la noyade contextuelle

Plus de contexte n’est pas toujours mieux. Trop de fichiers, de logs ou d’anciennes versions peut polluer la réponse.

Logs massifs

Donner 30 lignes autour de l’erreur, pas 50 000 lignes.

Fichiers obsolètes

Supprimer ou nommer clairement les anciennes versions.

Demande multiple

Séparer diagnostic, patch, tests, documentation.

Bad prompt:
Fix everything in this app.

Good prompt:
Analyze this failing test only.
Do not edit files.
Explain why it fails and propose one minimal patch.

Méthode MCE appliquée à Cursor

Phase	Action	Livrable
Mission	Définir l’objectif exact.	Ticket court.
Context	Fichiers, erreur, règles, contraintes.	Prompt riche.
Execution	Patch court par l’agent.	Diff limité.
Evidence	Tests, logs, checks.	Preuve objective.
Review	Lecture humaine et correction.	Commit propre.

MCP, Skills, Subagents & Hooks

MCP : connecter Cursor à des outils externes

Le Model Context Protocol permet de connecter l’agent à des outils et sources de données : documentation interne, systèmes de tickets, GitHub, bases de connaissances, scanners, environnements métier.

Serveur MCP	Usage possible	Risque
GitHub	Lire issues, PR, branches.	Permissions trop larges.
Docs internes	Récupérer architecture et runbooks.	Doc obsolète prise comme vérité.
SAST/SCA	Ajouter résultats sécurité.	Bruit et faux positifs.
Jira/Linear	Lire ticket et critères.	Données sensibles.

Skills : packager une compétence

Les Skills servent à donner à l’agent des capacités réutilisables : scripts, connaissances, conventions, procédures. C’est utile pour industrialiser les tâches fréquentes.

Skill examples:
- Django migration risk reviewer
- SQL performance checklist
- Release notes generator
- Security review checklist
- Legacy module mapper
- Test scaffold generator
- Incident runbook writer

Subagents : spécialiser les rôles

Un subagent peut être spécialisé pour une tâche : reviewer sécurité, expert tests, cartographe de code, spécialiste migrations, analyste performance.

Security reviewer

Analyse auth, permissions, secrets, injections, data handling.

Migration reviewer

Analyse schéma, indexes, locks, données, rollback.

Test engineer

Propose tests ciblés et cas limites.

Hooks : automatiser autour de l’agent

Les hooks permettent de déclencher des contrôles ou comportements autour des actions agentiques. Ils doivent rester simples, observables et non destructifs.

Hook	But	Exemple
Before command	Bloquer commandes dangereuses.	Refuser rm -rf, flush, production migrate.
After edit	Déclencher lint ciblé.	ruff check modified files.
Before commit	Exiger tests.	Check migrations, lint, tests.

Risques MCP / Skills / Hooks

Plus l’agent a d’outils, plus il peut faire de dégâts. Les intégrations doivent être permissionnées, documentées, auditées et testées.

Permissions trop larges.
Données sensibles exposées.
Outils non déterministes.
Commandes destructives.
Prompt injection via documentation ou tickets.
Coûts imprévus si agents répètent des scans.

Cursor CLI & Cloud Agents

Cursor dans le terminal

Le CLI permet d’utiliser l’agent depuis le terminal, utile pour les environnements serveur, les workflows de scripts, les tâches de diagnostic et les développeurs qui vivent dans la ligne de commande.

Terminal workflow:
1. create a clean branch
2. start agent with a narrow prompt
3. review proposed changes
4. run tests manually if needed
5. inspect git diff
6. commit only reviewed changes

Cloud Agents

Les agents cloud permettent de lancer des tâches dans un environnement distant. C’est intéressant pour du travail parallèle, mais cela exige une isolation stricte et une revue de branche.

Bon cas	Mauvais cas	Règle
Écrire tests pour un module isolé.	Modifier un schéma critique sans supervision.	Branche dédiée obligatoire.
Préparer documentation.	Changer auth ou permissions en autonomie.	Review sécurité obligatoire.
Proposer refactor non urgent.	Agir sur production.	Aucun secret prod.

Branches et worktrees

La bonne pratique est de faire travailler les agents dans des branches isolées. Un agent = une tâche = une branche = une PR reviewable.

Branch discipline:
feature/cursor-fix-user-export
feature/cursor-tests-billing-service
refactor/cursor-split-search-parser
docs/cursor-runbook-srdf-daemon

Never mix:
- unrelated refactor
- dependency upgrade
- bug fix
- formatting sweep
in the same agent branch.

Cursor SDK

Cursor a introduit un SDK pour construire des agents programmatiques avec le même runtime que les agents de l’app, du CLI et du web. C’est une piste intéressante pour automatiser des tâches internes.

SDK use cases:
- repository summarizer
- migration risk bot
- release note generator
- stale code detector
- runbook assistant
- PR preparation helper
- internal quality agent

Prudence : un SDK agentique doit être traité comme un système d’automatisation critique : logs, quotas, permissions, dry-run, audit.

Cursor pour Django/Python senior

Cursor sur un gros projet Django

Sur Django, Cursor est très puissant parce que l’architecture est conventionnelle : apps, models, views, urls, templates, management commands, migrations, tests. Mais cette puissance peut générer de gros dégâts si les migrations et les couches métier ne sont pas contrôlées.

Zone	Bon usage Cursor	Danger
Models	Analyse d’impact, validation champs.	Migration non maîtrisée.
Views	Réduire logique, améliorer erreurs.	Casser permissions.
Services	Extraire logique métier.	Changer comportement invisible.
Admin	Ajouter filtres, list_display.	Requêtes N+1.
Templates	Corriger structure et modals.	Casser JS existant.

Migrations : zone rouge

Règle : Cursor ne doit jamais créer ou modifier une migration critique sans plan explicite, explication SQL, rollback, test sur base de dev et validation humaine.

Migration prompt:
Analyze the model change only.
Do not create a migration yet.
Explain:
1. database operations needed
2. lock risk
3. data migration risk
4. index risk
5. rollback strategy
6. tests and checks to run

Risque	Contrôle
Index sur champ long	Vérifier longueur, type, DB backend.
Champ non nullable	Default, backfill, migration en deux temps.
Rename détecté comme drop/add	Vérifier opération générée.
Data migration lente	Batch, transaction, reprise, logs.

Management commands : ton terrain naturel

Cursor peut aider à produire des crons sérieux, mais il faut imposer observabilité, options, dry-run, counters, exports et logs.

Management command requirements:
- --dry-run
- --limit
- --verbosity
- --debug
- --export-json
- --export-excel if needed
- progress counters
- final summary
- explicit error report
- idempotent behavior when possible

Prompt utile : “Create a Django management command. It must be production-grade, observable, idempotent when possible, with counters and a final summary.”

Templates IDEO-Lab

Cursor peut manipuler tes guides HTML, mais il faut lui interdire de casser l’architecture modals/cartes/tabs.

Template rules:
- Keep the existing kgrid/kcard/ig-modal architecture.
- Do not change global base template blocks.
- Keep modal ids unique.
- Keep data-open and data-close attributes consistent.
- Keep JavaScript generic.
- Do not duplicate modal handlers.
- Keep CSS scoped with the page prefix.

Tests Django à demander à Cursor

Type	Demande	Contrôle
Model tests	Validation champs, méthodes.	Cas limites.
Service tests	Entrées/sorties métier.	Mocks raisonnables.
View tests	Status codes, permissions.	Auth obligatoire.
Command tests	Dry-run, limit, counters.	Sortie vérifiable.
Migration tests	État avant/après.	Coût et backend.

Sécurité, privacy & gouvernance

Secrets et données sensibles

Ne jamais coller de secret dans un prompt.
Ne jamais laisser Cursor modifier .env.
Utiliser .env.example pour documenter les variables.
Masquer tokens dans logs et tickets.
Éviter les dumps clients dans le contexte.

Forbidden in prompts:
- API keys
- database passwords
- private keys
- customer personal data
- production logs with tokens
- proprietary contracts
- full database dumps

Auto-run et commandes

L’auto-run peut accélérer, mais il doit être limité. Les commandes de lecture et de test sont acceptables ; les commandes destructives doivent être bloquées.

Commande	Statut	Commentaire
python manage.py check	OK	Non destructif.
pytest tests/x.py	OK	Test ciblé.
makemigrations --check	OK	Contrôle sans écriture.
pip install	Approval	Change dépendances.
migrate	Approval	Impact DB.
flush / reset / drop	Forbidden	Destructif.

Security Review

Cursor propose des agents de revue sécurité pour les plans Teams et Enterprise : revue de PR et scan de vulnérabilités. C’est une couche utile, mais elle doit compléter les outils existants.

Security Reviewer

Analyse PR : vulnérabilités, auth, privacy, prompt injection.

Vulnerability Scanner

Scans planifiés : dépendances, config, vulnérabilités connues.

MCP sécurité

Brancher SAST/SCA/secrets scanner existants.

Contrôle des coûts

Les équipes doivent suivre la consommation par surface : clients, agents cloud, automatisations, Bugbot, Security Review. Les modèles puissants et les agents longs coûtent plus cher.

Levier	Effet
Modèles autorisés	Évite usage incontrôlé.
Soft limits	Alerte sans bloquer trop tôt.
Analytics par utilisateur	Repère abus ou formation nécessaire.
Agents cloud limités	Contrôle tâches longues.
Rules efficaces	Réduit itérations inutiles.

Politique d’entreprise

Enterprise Cursor policy:
1. Define allowed repositories
2. Define allowed models and providers
3. Define data handling rules
4. Define MCP allowlist
5. Require PR review for agent changes
6. Require CI before merge
7. Monitor usage by surface
8. Train developers on prompt and diff review
9. Keep security rules updated
10. Audit incidents and improve rules

Industrialiser Cursor dans une équipe

Déploiement progressif

Phase	Objectif	Livrable
Pilote solo	Identifier usages rentables.	Prompts et rules initiales.
Petit groupe	Tester conventions partagées.	AGENTS.md, règles, runbook.
Équipe complète	Standardiser PR et CI.	Politique d’usage.
Entreprise	Gouverner sécurité et coûts.	Dashboard, audit, formation.

Standards obligatoires

Une tâche agentique = une branche.
Un patch agentique = un diff reviewable.
Tout changement métier = test.
Tout changement DB = plan migration.
Tout changement auth = review sécurité.
Tout agent cloud = PR et CI.
Tout faux positif Bugbot utile = règle améliorée.

Métriques utiles

Métrique	Pourquoi	Piège
Temps cycle ticket	Mesure productivité.	Ne pas sacrifier qualité.
Taux de tests ajoutés	Mesure discipline.	Tests faibles ou tautologiques.
Commentaires review	Qualité diff.	Volume ≠ pertinence.
Bugs après merge	Vraie qualité.	Nécessite tracking incident.
Usage modèles	Coûts et formation.	Surveiller sans fliquer.

Former les développeurs

La formation Cursor ne doit pas être une démo magique. Elle doit apprendre les réflexes : contexte, plan, patch, test, review, rollback.

Training path:
Day 1: Tab, Chat, Inline Edit
Day 2: Agent with small bug fixes
Day 3: Rules and context engineering
Day 4: Tests and review workflow
Day 5: Security, MCP, Cloud Agents
Day 6: Team standards and CI integration

Playbook quotidien Cursor

Routine quotidienne

Daily Cursor routine:
1. Pull latest code
2. Create a task branch
3. Read ticket and constraints
4. Ask Chat for analysis only
5. Use Plan Mode for non-trivial work
6. Approve one small patch
7. Run tests
8. Review diff
9. Commit
10. Open PR with clear summary

Bugfix

Bug report -> reproduce -> paste exact error -> analysis only -> minimal test -> minimal fix -> run test -> diff review -> commit

Feature

Étape	Cursor	Humain
Spécification	Clarifie critères.	Décide scope.
Plan	Propose fichiers et étapes.	Valide architecture.
Implémentation	Patchs successifs.	Review chaque diff.
Tests	Génère et lance.	Évalue pertinence.
PR	Résumé, risques.	Responsable merge.

Refactor

Refactor agentique : toujours commencer par caractériser le comportement actuel. Sans tests ou baseline, Cursor peut produire un code plus beau mais différent.

Refactor protocol:
1. map current behavior
2. add characterization tests if missing
3. refactor one unit
4. run tests
5. compare diff
6. repeat

Sources, documentation et veille Cursor

Pages officielles à suivre

Cursor Docs : https://cursor.com/docs
Agent overview : https://cursor.com/docs/agent/overview
Plan Mode : https://cursor.com/docs/agent/plan-mode
Rules : https://cursor.com/docs/rules
MCP : https://cursor.com/docs/mcp
CLI : https://cursor.com/docs/cli/overview
Cloud Agents : https://cursor.com/docs/cloud-agent
Skills : https://cursor.com/docs/skills
Subagents : https://cursor.com/docs/subagents
Hooks : https://cursor.com/docs/hooks
Changelog : https://cursor.com/changelog
Bugbot : https://cursor.com/bugbot

Fonctionnalités 2026 à surveiller

Fonction	Pourquoi c’est important
Team Marketplace	Distribution contrôlée de plugins, MCP, skills, subagents, rules, hooks.
Security Review	Agents de revue sécurité et scanner vulnérabilités.
Cursor SDK	Construire ses propres agents programmatiques.
Bugbot learned rules	Amélioration des règles à partir du feedback review.
Usage analytics	Suivre coûts et surfaces d’usage : clients, Cloud Agents, automations, Bugbot.

Checklist de veille mensuelle

Monthly Cursor watch:
- read latest changelog
- check model policy changes
- review team usage analytics
- update project rules
- update security rules
- verify MCP permissions
- review agent failures and false positives
- improve prompts and runbooks
- train team on new features

🧭 Cursor – Guide complet pour le développement agentique

Positionnement de Cursor

Installation & configuration

Tab, Chat & Inline Edit

Agent Mode

Plan Mode

Rules & AGENTS.md

Context Engineering

MCP, Skills, Hooks

CLI & Cloud Agents

Bugbot & Code Review

Cursor pour Django/Python

Prompts opérationnels

Sécurité & gouvernance

Industrialisation

Playbook quotidien

Sources & veille

Cursor en une phrase

Modèle mental

Avant Cursor / avec Cursor

Cursor vs autres approches

Cas d’usage très rentables

Bug reproduisible

Refactor contrôlé

Documentation vivante

Tests manquants

Analyse de dette

Pré-review

Ce que Cursor ne doit pas décider seul

Checklist d’installation

Préparer un projet existant

Structure minimale recommandée

Indexation et contexte

Choix des modèles

Confidentialité et politiques d’équipe

Solo / prototype

Startup

Entreprise

Cursor Tab : accélérateur de frappe

Chat : questionner le dépôt

Quand utiliser Chat

Quand éviter Chat seul

Inline Edit : chirurgie locale

Choisir le bon geste

Ce que fait l’agent

Contrat avec l’agent

Workflow agentique sérieux

Contrôler les outils

Autoriser

Demander validation

Interdire

Gestion des erreurs

Checklist avant d’accepter un diff agentique

Pourquoi Plan Mode est essentiel

Plan d’implémentation idéal

Questions que Cursor doit poser

Valider ou refuser un plan

Plan acceptable

Plan à refuser

À quoi servent les Rules ?

Exemple de règles projet

AGENTS.md minimal

Rules spécialisées Django/Python

Anti-règles : trop vague, trop long, contradictoire

Le contexte vaut plus que le prompt

Donner le bon contexte

Éviter la noyade contextuelle

Logs massifs

Fichiers obsolètes

Demande multiple

Méthode MCE appliquée à Cursor

MCP : connecter Cursor à des outils externes

Skills : packager une compétence

Subagents : spécialiser les rôles

Security reviewer

Migration reviewer

Test engineer

Hooks : automatiser autour de l’agent

Risques MCP / Skills / Hooks

Cursor dans le terminal