Les entreprises génèrent du code avec l’IA plus vite qu’elles n’apprennent à le maîtriser. Une étude GitLab montre une adoption massive des outils, mais des angles morts sur la traçabilité, la sécurité et la responsabilité. Résultat, la vitesse devient un risque opérationnel quand les contrôles ne suivent pas.
GitLab mesure un boom d’outils IA, et un pilotage en retard
Le rapport AI Accountability publié par GitLab, basé sur une enquête menée par The Harris Poll auprès de 1 528 développeurs et acheteurs IT dans six pays, décrit une réalité devenue banale dans les équipes produit. Les outils d’assistance au code se sont installés en quelques mois, souvent via des essais locaux, puis une généralisation rapide.
Les chiffres résument ce basculement. 91 % des organisations déclarent avoir au moins deux outils de code IA en usage actif. Et 78 % affirment que les développeurs écrivent et committent plus vite depuis l’adoption. Le gain de débit est visible sur les tickets fermés, les pull requests, les prototypes livrés.
Le décalage apparaît quand on parle de règles. 80 % des répondants disent que leur organisation a adopté l’IA plus vite qu’elle n’a construit des politiques pour la gouverner. Et 92 % rapportent des difficultés de gouvernance liées au code généré, depuis les revues jusqu’aux validations internes.
Dans beaucoup d’entreprises, l’IA est entrée par la porte de la productivité, sans passer par celle du contrôle. Dans un environnement DevSecOps, ce déséquilibre se paie rarement le jour 1, mais plutôt quand le code doit être maintenu, audité, ou expliqué après un incident.
43% des équipes ne savent pas repérer le code IA dans leur dépôt
Le point le plus sensible du rapport tient en une statistique. 43 % des répondants indiquent qu’ils ne peuvent pas distinguer de manière fiable le code IA du code humain dans leur propre base. Ce n’est pas un détail de style, c’est un problème de traçabilité et de responsabilité.
GitLab définit l’accountability IA comme la capacité à répondre à trois questions pour n’importe quelle ligne générée, d’où vient-elle, à quoi sert-elle, et qui en est responsable une fois en production. Sans ces réponses, les audits deviennent plus lents, les revues plus fragiles, et les post-mortems plus confus.
Dans la pratique, le manque d’empreinte se traduit par des discussions stériles lors des code reviews. Un morceau de logique paraît propre, passe les tests, mais personne ne sait si l’implémentation suit une décision d’architecture, une contrainte réglementaire, ou un simple choix opportuniste proposé par un assistant.
Le risque monte encore d’un cran quand une équipe doit prouver la conformité d’un composant, ou expliquer une régression. Sans provenance claire, les entreprises se retrouvent à traiter du code comme une boîte noire, alors que le logiciel, lui, reste un actif critique et durable.
Maintenabilité, dette technique: l’addition différée inquiète déjà
Le rapport insiste sur une inquiétude qui dépasse le débat “l’IA remplace-t-elle les développeurs”. Ici, la question est plus terre à terre, qui va maintenir ce qui a été généré à grande vitesse. 73 % des répondants se disent préoccupés par la maintenabilité du code IA dans la durée.
Le deuxième chiffre frappe encore plus fort. 82 % estiment que le code généré risque de créer une nouvelle forme de dette technique que leur organisation n’est pas prête à gérer. Le problème n’est pas que le code “ne marche pas”, mais qu’il peut être difficile à faire évoluer, à refactorer, ou à aligner sur des standards internes.
Un exemple classique, un assistant propose une solution fonctionnelle mais trop générique, avec des abstractions inutiles, une gestion d’erreurs incohérente, ou une dépendance ajoutée pour gagner du temps. À court terme, le ticket est clos. À moyen terme, chaque modification coûte plus cher, car le code a été optimisé pour être produit vite, pas pour être compris vite.
Dans les grandes bases, ce phénomène peut se multiplier. La dette ne vient plus seulement de “mauvaises pratiques”, mais d’un flux continu de fragments acceptables isolément, mais hétérogènes collectivement, ce qui complique la lisibilité et la cohérence de l’ensemble.
Pourquoi la sécurité et la conformité progressent moins vite que la génération
GitLab observe un paradoxe opérationnel, l’IA a surtout boosté la génération de code, mais beaucoup moins les étapes de conformité, de scans de sécurité et de déploiement. Autrement dit, on accélère la chaîne au début, mais les goulots se déplacent vers les contrôles en aval.
Ce décalage s’explique simplement. Un assistant peut produire une fonction en quelques secondes, mais il ne garantit pas que la logique respecte une politique interne, une contrainte de chiffrement, ou une règle de séparation des rôles. Les équipes sécurité demandent des preuves, des logs, des justifications, et l’IA ne remplit pas toujours ces exigences sans instrumentation dédiée.
Autre point, la multiplication des outils. Quand une organisation utilise plusieurs assistants, chacun avec ses réglages, ses modèles, ses connecteurs, la gouvernance devient un puzzle. Qui a accès à quelles données, quel contexte est envoyé, quel historique est conservé, quelles sorties sont journalisées, la réponse varie selon l’équipe et le produit.
Dans ce contexte, la promesse d’une IA “agentique”, capable d’agir avec des garde-fous, devient un objectif. Mais tant que les contrôles restent manuels ou dispersés, la productivité se heurte à une réalité, la sécurité et la conformité ne se rattrapent pas avec une simple hausse de vitesse.
De l’outil au process: ce que les équipes doivent tracer, dès maintenant
Le rapport met en avant une priorité, construire des mécanismes de traçabilité et de responsabilité adaptés au code IA. Concrètement, cela passe par l’identification des contributions, la conservation du contexte de génération, et la capacité à relier une décision à un humain, même si l’écriture a été assistée.
Dans les équipes matures, la réponse ressemble à un mix de technique et d’organisation. Technique, avec des métadonnées dans les commits, des politiques de merge, des scans SAST et des contrôles de dépendances renforcés. Organisation, avec des standards de revue, des règles sur les cas d’usage autorisés, et des formations ciblées sur les limites des assistants.
GitLab insiste sur le fait que la question n’est pas “IA ou pas IA”, mais “peut-on répondre aux trois questions”. Sans cette capacité, la vitesse devient une variable trompeuse, car elle masque un coût futur en corrections, en audits, et en remédiation.
Pour visualiser le décalage décrit par l’étude, voici les principaux signaux, côté adoption et côté contrôle, tels qu’ils ressortent des chiffres publiés.
| Indicateur (rapport GitLab) | Ce que cela décrit | Chiffre |
|---|---|---|
| Outils IA en usage actif | Adoption multi-outils dans les organisations | 91 % (2 outils ou plus) |
| Vitesse d’écriture et de commit | Perception d’un gain de productivité développeur | 78 % plus rapides |
| Adoption plus rapide que les politiques | Décalage entre usage et gouvernance formelle | 80 % |
| Distinction code IA vs humain | Capacité à identifier la provenance dans le codebase | 43 % n’y arrivent pas |
| Inquiétude sur la maintenabilité | Risque perçu sur l’entretien à long terme | 73 % |
| Risque de nouvelle dette technique | Crainte d’un passif difficile à absorber | 82 % |
Sources
- Rapport Gitlab 2026: l'IA dans le développement logiciel | Alexandre …
- Plébiscité, le code généré par IA manque encore de traçabilité et de gouvernance
- GitLab Research Reveals Organizations Are Generating AI Code …
- L’IA pourrait aggraver la dette technique des entreprises | ICTjournal
- Code généré par IA : les développeurs face au paradoxe de … – BDM
