Agents IA

Vibe coding en entreprise : le piège du citizen dev IA

Le vibe coding semble démocratiser le dev en entreprise. En réalité, c'est un piège — voici les 4 risques critiques et la méthode pour les éviter.

Quentin Bragard

Quentin Bragard

·9 min
Vibe coding en entreprise — le piège du citizen developer IA

"Avec ChatGPT et Claude Design, n'importe qui peut coder une app en entreprise."

Ce discours est partout. Il est séduisant. Il est aussi en train de fabriquer une dette technique, sécuritaire et opérationnelle qui va coûter cher à beaucoup d'entreprises — et pas seulement aux grandes.

Le vibe coding en entreprise, c'est l'idée qu'on peut confier à n'importe quel collaborateur la création d'une app ou d'un agent IA, simplement parce que les outils sont devenus accessibles. Claude Design, Mistral Forge, OpenClaw, Copilot Studio, Base44 : tous portent le même narratif — prompt-to-app, build-your-own-AI, citizen dev. Tout a l'air de marcher.

C'est précisément ce qui est piégeant.

Dans cet article, je partage ce qu'on voit sur le terrain chez nos clients, les 4 risques majeurs que personne n'ose encore nommer, et la méthode que nous poussons chez Jaydai pour faire cohabiter la créativité du vibe coding et la rigueur d'une app qui scale vraiment.

Le vibe coding a démocratisé le code. Il a aussi démocratisé les failles.

Commençons par un chiffre qui donne le ton. D'après Gartner, d'ici 2028, les approches prompt-to-app utilisées par les citizen developers vont augmenter les défauts logiciels de 2 500 %. Pas 25. Pas 250. Deux mille cinq cents pour cent.

À ça s'ajoute le rapport State of AI Agent Security 2026 de Gravitee : plus de 3 millions d'agents IA tournent aujourd'hui dans les grandes entreprises. Seulement 47 % sont monitorés. Les 1,5 million d'autres accèdent à des données sensibles, prennent des décisions, se connectent à des systèmes critiques — sans trace, sans audit, sans garde-fou.

Le plus parlant dans ce rapport : 82 % des exécutifs se disent confiants dans leurs politiques de sécurité… alors que 88 % des organisations ont déjà subi un incident lié à un agent IA dans les 12 derniers mois. L'écart entre la perception et la réalité est vertigineux.

Ce n'est pas un problème théorique. C'est le plafond de verre qui arrive, pour celles et ceux qui ont cru que donner Copilot Studio à 100 collaborateurs suffisait à faire une stratégie IA.

Anecdote terrain : quand une agence growth se tire une balle dans le pied

Un cas récent. Un client, une agence spécialisée dans la croissance des entreprises. Ils avaient codé eux-mêmes un outil maison pour générer des visuels publicitaires Facebook en bulk, couplé à l'API Marketing de Meta pour créer et lancer des campagnes automatiquement. Sur le papier, l'idée était bonne. Dans la pratique, voici ce qu'on a trouvé en auditant le code :

  • Clés API Anthropic et Gemini en clair dans le dépôt GitHub. N'importe qui ayant accès au repo — un freelance, un ancien salarié, un bot qui scanne les commits — pouvait utiliser le compte Anthropic de l'agence.
  • Permissions Marketing API de Meta beaucoup trop larges. Une compromission du token donnait accès à l'intégralité des comptes publicitaires gérés par l'agence — pas seulement à celui prévu par la feature.
  • 5 à 10 % des visuels générés inexploitables. Mauvais logo, fautes de frappe dans les textes, cadrage cassé. Aucun mécanisme pour rejeter ou corriger à la volée — l'équipe acceptait la perte comme un coût de fonctionnement.
  • Zéro explicabilité sur les performances des campagnes. L'app lançait, mais ne remontait rien de structuré sur ce qui convertissait. Or la valeur d'une agence de croissance, c'est précisément d'extraire ces insights pour nourrir la suivante.

Le résultat net : ils avaient automatisé un process en dégradant la qualité finale, en créant une faille de sécurité majeure, et en perdant la partie insight qui faisait tout l'intérêt du métier. C'est ça, le piège du citizen dev IA en entreprise. Pas toujours aussi visible, mais toujours présent dès qu'on essaie de généraliser.

Les 4 pièges du citizen dev IA (que personne ne voit venir)

1. Les failles de sécurité invisibles

Clés API en dur, permissions OAuth trop larges, endpoints mal protégés, données clients qui partent dans des prompts envoyés à des modèles tiers sans aucun filtrage. 98 % des organisations admettent avoir des usages IA non autorisés aujourd'hui, et 49 % s'attendent à un incident de shadow AI dans les 12 prochains mois.

Le jour où ça casse, la DSI est rappelée pour éponger. Sauf qu'elle n'a ni la cartographie ni les droits pour intervenir proprement — parce que personne ne l'avait prévenue.

2. Le plafond de verre de la scalabilité

Le vibe coding produit des châteaux de cartes. Une app qui marche pour 5 utilisateurs s'effondre à 50. Une base SQLite qui tient 100 lignes est inutilisable à 100 000. Les POCs créés en 2 heures ne passent pas en production — et quand on essaie, on refait l'app trois fois, en perdant plus de temps qu'on n'en a gagné.

Pour un outil personnel jetable, tout va bien. Pour un processus métier partagé, c'est un piège qui se referme lentement. C'est exactement le genre d'écueil qu'on adresse dans notre guide d'adoption IA en entreprise : passer du POC à la production demande une vraie stratégie, pas juste un bon prompt. À l'inverse, beaucoup d'équipes sur-investissent dans des agents quand un simple prompt outillé suffirait — la grille Prompt / Mini-app / Agent permet de calibrer le bon niveau avant de coder.

3. La qualité finale qui baisse (alors qu'on croit l'augmenter)

C'est le biais le plus pervers. Parce que l'outil tourne, on pense que le résultat est bon. Mais les petites dégradations de qualité passent sous le radar : des emails de relance générés qui sonnent faux, des classifications clients approximatives, des documents internes truffés d'hallucinations citées comme sources fiables.

Pire : quand le process est automatisé sans garde-fou, personne ne relit. L'erreur se normalise. Au bout de six mois, la production "augmentée par l'IA" est plus volumineuse qu'avant — mais moins bonne.

4. La perte d'explicabilité

Un script vibe-codé ne laisse quasiment aucune trace. Pas de logs structurés. Pas de monitoring. Pas de versionnage des prompts utilisés. Le jour où un commercial vous demande "pourquoi cet email a été envoyé comme ça à ce client ?", vous n'avez pas la réponse.

La promesse de l'IA en entreprise, c'était d'augmenter les humains. Si on perd la chaîne de décision, on recule. Et pour des secteurs régulés, c'est tout simplement disqualifiant — voir l'AI Act européen qui entre pleinement en application le 2 août 2026.

📋 Auditez vos agents IA en 15 points

Téléchargez notre checklist sécurité IA — clés API, permissions, observabilité, gouvernance. Exploitable par votre DSI dès demain.

Télécharger la checklist (gratuit)

Le "Dunning-Kruger puissance 1000"

Je le dis sans détour : le vibe coding trompe la plupart des gens qui l'utilisent en entreprise.

Parce que l'outil donne un résultat visuellement bluffant, on croit avoir fait le gros du travail. On sous-estime de plusieurs ordres de grandeur ce qu'il faut pour qu'une app devienne robuste, sécurisée, maintenable. Les compétences d'un vrai développeur senior — architecture logicielle, gestion des états, sécurité, observabilité, tests automatisés, CI/CD — restent des frontières solides.

L'IA code de mieux en mieux. C'est vrai. Mais l'absence de compétences techniques pures restera une vraie limite. Penser qu'on peut faire tourner une boîte uniquement avec des vibe coders, c'est à peu près aussi utopique qu'il y a dix ans de penser qu'on pouvait externaliser complètement son CTO. La responsabilité technique ne se délègue pas à un prompt.

C'est d'ailleurs vrai de manière plus large avec l'IA : tout le monde se croit sachant. Le vibe coding n'est qu'une version amplifiée d'un phénomène qu'on voit partout.

Ce que les déploiements IA qui marchent ont en commun

À l'inverse, les déploiements d'agents IA qui passent le cap en entreprise partagent 4 caractéristiques :

  1. Isolation claire. L'agent a un périmètre défini. On sait où il tourne, à quoi il a accès, et on peut l'éteindre en un clic si un problème apparaît.
  2. L'humain garde la main. L'IA propose, l'humain valide ou corrige. Pas d'exécution autonome sur les décisions à fort enjeu.
  3. Sécurité by design. Gestion propre des secrets, permissions minimales, logs d'audit. Ce n'est pas un nice-to-have, c'est le prix d'entrée.
  4. Une vraie gouvernance — mais pas celle des années 2010. Pas une DSI qui dit non à tout. Un cadre fédéré, où les métiers créent et où une équipe centrale valide, monitor et industrialise.

La méthode Jaydai : le pont entre le vibe coder et l'app qui scale

Chez Jaydai, on a choisi un positionnement précis : faire le pont entre ces deux mondes.

D'un côté, on encourage les collaborateurs métier à vibe-coder des idées. Ce sont eux qui connaissent les process, qui voient où l'IA peut créer de la valeur. Leur créativité est une mine d'or — il faut la capter, pas la brider.

De l'autre, on industrialise. Concrètement :

  • Des templates de vibe coding sous contrainte. Les collaborateurs utilisent l'IA pour assembler des briques — des "components" que nous avons préalablement conçues, auditées et sécurisées. L'IA n'a pas les mains libres sur le code ; elle compose à partir d'un vocabulaire défini. On garde la flexibilité créative, on ferme la porte aux pires failles.
  • Une plateforme d'exécution isolée. Les agents créés tournent dans l'écosystème Jaydai. Donc : pas de clés API en dur, pas de permissions folles, un bouton off par agent, des logs structurés, un audit trail complet.
  • La formation derrière. Un outil sans appropriation par les équipes ne sert à rien. On forme les métiers à formuler leurs besoins, à repérer les garde-fous, à lire un résultat généré par IA avec un œil critique. C'est tout l'objet de notre formation IA entreprise et de notre formation Copilot Microsoft 365.

Exemple concret : notre app Sales Ops

Pour illustrer ce qu'un agent IA "bien fait" peut faire, voici ce qu'on met en prod dans les prochains jours chez nous — une app qui rejoindra la plateforme Jaydai bientôt.

Le cas d'usage. Un lead arrive sur notre landing page. Sans tooling, ces leads finissent dans une inbox partagée où ils attendent qu'un commercial ait le temps de les qualifier. Délai de réponse long, leads qui refroidissent, conversions perdues.

Notre app. Dès qu'un lead arrive, nos commerciaux reçoivent une notification qui les redirige vers une application connectée à HubSpot.

Dans l'app :

  • L'IA classifie la probabilité de signature (Tier 1, 2 ou 3) en combinant les infos du formulaire, l'enrichissement sur le prospect, et les patterns de leads historiques.
  • Elle prépare les emails de follow-up adaptés au tier, avec un enrichissement custom sur le contexte du prospect.
  • Elle propose des rappels et des prochaines actions. Le commercial garde le dernier mot à chaque étape.

Pourquoi c'est l'inverse d'un agent vibe-codé :

  • 100 % isolé dans l'écosystème Jaydai. On peut l'éteindre en un clic si un bug survient.
  • Secrets gérés proprement côté serveur. Aucune clé dans le front, aucun token dans un repo.
  • Audit trail complet. On sait exactement quelle recommandation a été donnée par l'IA et ce que le commercial en a fait.
  • Le commercial reste responsable. L'IA est un copilote, pas un pilote automatique.

Nous cherchons quelques beta testeurs pour cette app. Si vous êtes une équipe commerciale avec une landing qui convertit et un CRM HubSpot, écrivez-nous — on vous intègre.

Que répondre à un DG qui veut "donner Claude COde à tout le monde" ?

C'est la question qu'on me pose le plus souvent. Voici la réponse courte :

"90 % de tes collaborateurs ne l'utiliseront pas. Sur les 10 % restants, la moitié trouvera l'outil nul — souvent parce qu'ils l'utilisent mal. L'autre moitié sera enthousiaste. C'est sur cette moitié enthousiaste qu'il faut s'appuyer pour embarquer les autres. Mais il ne faut pas s'attendre à ce qu'ils remplacent ta DSI ni tes développeurs quand il faudra généraliser ce qui marche."

Autrement dit : le vibe coding est un excellent moyen de détecter où l'IA crée de la valeur dans votre entreprise. Ce n'est pas une stratégie de déploiement. Confondre les deux, c'est la voie royale vers la dette technique et le premier incident sécu.

Diagnostic gratuit

Évaluez votre potentiel IA en 5 minutes

Identifiez les cas d'usage IA prioritaires pour votre entreprise — sans tomber dans le piège du citizen dev.

Lancer le diagnostic Voir nos solutions

Conclusion : les vibe coders ne remplacent pas les devs — ils les aident à mieux prioriser

Le vibe coding en entreprise n'est pas à jeter. Pour un outil personnel, un POC de deux jours, une automatisation jetable, c'est génial — et moi le premier, je m'en sers au quotidien.

Mais en entreprise, la question n'est plus "est-ce que ça marche sur mon laptop ?". La question devient : est-ce que ça scale ? Est-ce que c'est sécurisé ? Est-ce qu'on peut en mesurer l'impact ? Est-ce qu'on peut l'éteindre proprement si besoin ?

Répondre oui à ces quatre questions, c'est le travail d'une plateforme qui fait le pont entre les idées des métiers et la rigueur du software engineering. C'est exactement ce qu'on construit chez Jaydai.

Si vous voulez évaluer les cas d'usage IA prioritaires pour votre entreprise sans tomber dans le piège du citizen dev, commencez par le diagnostic IA gratuit — 5 minutes, et vous en ressortez avec une cartographie claire de ce qui peut être industrialisé, et de ce qui doit rester au stade du prototype.

vibe codingcitizen developeragents IAsécurité IAadoption IA

Articles similaires

Agent IA sur mesure en entreprise — framework Prompt, Mini-app, Agent
Agents IA

Agent IA sur mesure : créer (et quand s'abstenir)

Le guide terrain pour créer un agent IA sur mesure en entreprise. Méthode Jaydai, cas concrets et le piège que 80% des dirigeants ne voient pas.

Illustration de l'approche IA par métier en entreprise — personnalisation par département
IA par métier

IA par métier : pourquoi le one-size-fits-all ne marche jamais en entreprise

Découvrez pourquoi l'approche IA par métier est la seule qui génère un ROI réel. Cas concret, méthode et erreurs à éviter pour déployer l'IA par département.

Agents IA en entreprise — créer, déployer et mesurer des agents intelligents autonomes
Automatisation

Agent IA entreprise : créer, déployer et mesurer vos agents intelligents

Comment créer et déployer des agents IA dans votre entreprise ? Cas d'usage concrets, étapes de création et métriques pour mesurer l'impact de vos agents.

Guide adoption IA en entreprise — méthodologie en 3 phases pour déployer l'intelligence artificielle
Transformation Digitale

Guide complet : adoption IA en entreprise en 2026

Méthodologie en 3 phases pour adopter l'IA dans votre entreprise : audit des cas d'usage, construction d'outils sur mesure et déploiement avec suivi. Guide actionnable.

Intelligence artificielle et productivité en entreprise
IA & Business

Comment l'IA transforme la productivité en entreprise en 2026

Découvrez comment l'intelligence artificielle révolutionne la productivité des entreprises en 2026. Guide complet avec cas concrets et méthodes éprouvées.