IA & développement logiciel — cap 2026 : qualité continue, agents, gouvernance

Problèmes (downstream)

• Bugs : plus de code généré, plus de défauts à corriger.
• Sécurité : surface d’attaque, dépendances vulnérables, “shadow AI”.
• Supply chain : provenance, licences, composants compromis.
• Capacité humaine : review impossible à l’échelle.

Réponses (agents + gouvernance)

• Pipelines multi-agents (QA, sécu, compliance, SRE).
• Gates qualité automatiques (pré-merge, pré-deploy).
• Traçabilité : modèle/prompt/sources/artefacts.
• Assurance : scans dépendances, SBOM, policies, preuves.

Symptômes

• PR plus gros, plus fréquents
• Flaky tests / régressions
• Cycle review ↗ (ou review “bâclée”)

Antidotes “agent-friendly”

• Agent “test generator” + agent “mutation testing”
• Agent “review style & correctness” + lint & type gates
• Petits PR : découpage automatique + suggestions de refactor

Risques évoqués

• Libs vulnérables suggérées (CVE non prises en compte)
• Origine/licence du code difficile à tracer
• Supply chain : un composant compromis → effet domino

Contrôles “non négociables”

• Scan deps + policy (allow/deny) + PR auto de correction
• SBOM + signatures + attestations build
• Traçabilité du modèle/prompt + logs d’agent

Quality Engineering

• Agent tests (unit/int/e2e)
• Agent mutation testing
• Agent perf / benchmark
• Agent regression detector

Security & Compliance

• Agent dependency & SBOM
• Agent secrets scanner
• Agent license policy
• Agent “provenance recorder”

Delivery

• Agent release notes / semantic version
• Agent deployment planner (blue/green, canary)
• Agent rollback assistant

SRE / Ops

• Agent incident triage
• Agent anomaly detection
• Agent auto-remediation (safe-mode)

Traceabilité (minimum viable)

• Quel modèle ? quelle version ? quels paramètres ?
• Quel prompt / contexte ?
• Quelles sources / dépendances ?
• Quels checks passés (tests, sécu, licences) ?

Assurance automatisée

• Policies (allow/deny)
• Gates CI/CD
• SBOM + attestations build
• Audit trail agent

Ce que ça signifie

• Coder “par intention” (IA exécute), humain pilote.
• Accélération sur la production de code + refactor.
• Nécessite des garde-fous (tests/sécu) pour être durable.

À faire

• Templates & golden paths
• Évaluations automatiques (quality gates)
• Traçabilité des suggestions

Plus important

• Architecture & design
• Tests & QA (systémique)
• Sécurité & supply chain
• Observabilité & incident response

Moins central

• Boilerplate / CRUD répétitif
• Refactor “cosmétique”
• Docs de base (générées)

Le risque

• Suggestions issues de dépôts “anciens”
• Absence de contexte vulnérabilités
• Propagation via copy/paste / scaffolding

La parade

• Agent “dependency guardian” branché sur bases CVE
• Allowlist de libs “approved”
• Bloquage CI si vulnérabilité critique

Qualité

• Tests auto (unit/int/e2e) + seuils
• Type/lint/format gates
• Non-régression & perf checks
• PR sizing + review assistée
• Eval sets / “golden tests” pour features IA

Sécurité & gouvernance

• Secrets scan + policies
• Deps scan + CVE gates
• SBOM & licences
• Provenance modèle/prompt + audit log
• Approvals actions sensibles + rollback plan

J+30 : pilote contrôlé

• 1 repo / 1 équipe / 1 type de feature
• Gates basiques : tests + deps scan
• Traçabilité minimale (modèle/prompt)

J+60 : industrialisation

• Agents QA & review
• SBOM + licences
• Workflows de rollback / approvals

J+90 : scaling

• Agents SRE (triage incident) + observabilité
• Eval sets + “quality budget”
• Reporting KPIs & guardrails orga

Règle d’or

Vitesse (DORA-like)

• Lead time
• Deployment frequency
• Change failure rate
• MTTR

Qualité / Sécu

• Defect escape rate (bugs en prod)
• Vuln rate / critical CVE count
• SBOM coverage
• Rollback rate & canary abort rate