7 min read News

Du vibe coding à l'ingénierie agentique : ce que les décideurs doivent comprendre en 2026

Du vibe coding à l'ingénierie agentique : ce que les décideurs doivent comprendre en 2026
Photo by Van Tay Media / Unsplash
Le vibe coding est passé en un an d'un tweet viral à un marché structurant. Derrière l'engouement, une réalité plus nuancée — où la vitesse de génération ne garantit ni la qualité ni la sécurité.

I-

Genèse : de l'intuition au paradigme

En février 2025, Andrej Karpathy — cofondateur d'OpenAI et ancien responsable IA chez Tesla — publie un tweet vu plus de 4,5 millions de fois. Son message est simple : il code désormais par la conversation, sans toucher au clavier, en laissant l'IA générer le code fonctionnel. Le terme qu'il invente, « vibe coding », entre dans le dictionnaire Merriam-Webster en mars 2025, puis est élu mot de l'année par le Collins Dictionary.

Ce qui frappe dans la genèse du vibe coding, c'est la vitesse de bascule culturelle. En mars 2025, Y Combinator signale que 25 % des startups de sa cohorte d'hiver ont des bases de code générées à 95 % par l'IA. En novembre 2025, 84 % des développeurs utilisent ou prévoient d'utiliser des outils de codage IA (Stack Overflow Developer Survey 2025). La courbe de recherche Google pour « vibe coding » bondit de 6 700 % au printemps 2025.

Mais au-delà du buzzword, le vibe coding s'inscrit dans une évolution technologique en trois phases distinctes que tout décideur doit comprendre.

PHASE 1 — L'AUTOCOMPLÉTION (2021-2023) GitHub Copilot, lancé en 2022, propose de la complétion de code ligne par ligne. L'IA est un assistant de frappe. Le développeur reste maître de chaque décision architecturale.
PHASE 2 — L'ASSISTANT CONVERSATIONNEL (2023-2024). ChatGPT, puis Claude, permettent de générer des blocs de code entiers par le langage naturel. L'IA devient interlocutrice, mais fonctionne en mode « question-réponse » sans mémoire de projet.
PHASE 3 — L'AGENT AUTONOME (2025-2026) Les outils actuels — Cursor, Claude Code, Codex — ne se contentent plus de répondre : ils planifient, naviguent dans le code source, exécutent des commandes, et itèrent de manière autonome. C'est un changement de nature, pas de degré.

II-

L'écosystème 2026 : une grille de lecture pour décideurs

Le marché des outils de codage assisté par IA a explosé en 18 mois. Plutôt qu'un inventaire — d'innombrables articles le font déjà — proposons une grille de lecture en trois catégories, chacune répondant à un besoin organisationnel différent.

LES PLATEFORMES DE CRÉATION RAPIDE

Lovable, Bolt.new, v0 ciblent le prototypage et le MVP. Lovable, startup suédoise fondée en 2023, illustre la dynamique : 100 M$ d'ARR en huit mois, 200 M$ en novembre 2025, valorisation à 6,6 Mds$ en décembre 2025 lors d'une Series B de 330 M$ menée par CapitalG et Menlo Ventures (TechCrunch, Bloomberg). Plus de 100 000 projets y sont créés chaque jour. Ces plateformes sont adaptées aux équipes produit non techniques qui veulent valider une idée rapidement. Elles ne sont pas conçues pour du code de production en environnement réglementé.

LES IDE AUGMENTÉS

Cursor, Windsurf/Cognition, GitHub Copilot s'adressent aux développeurs professionnels. Cursor a levé 900 M$ à une valorisation de 9 Mds$ en mai 2025. L'affaire Windsurf illustre la violence concurrentielle du secteur : après une tentative d'acquisition par OpenAI à 3 Mds$ avortée en juillet 2025 — bloquée par le conflit d'intérêts avec Microsoft — Google DeepMind a récupéré le CEO et le co-fondateur pour 2,4 Mds$, tandis que Cognition AI a acquis les actifs restants (Fortune, Bloomberg, TechCrunch).

LES AGENTS DE CODAGE

Claude Code, Codex, Devin représentent la frontière la plus récente. Ces systèmes opèrent de manière autonome : ils reçoivent une tâche, planifient leur approche, écrivent le code, exécutent les tests, et itèrent. OpenAI a lancé GPT-5.3-Codex-Spark le 12 février 2026, un modèle optimisé pour le temps réel sur hardware Cerebras, délivrant plus de 1 000 tokens par seconde (OpenAI, Cerebras).

III-

La gueule de bois : quand la vélocité crée de la dette

L'euphorie initiale a laissé place à ce que la communauté appelle le « vibe coding hangover ». Les signaux d'alerte se multiplient et sont désormais documentés par des études rigoureuses.

LE PARADOXE DE LA PRODUCTIVITÉ

L'étude la plus marquante de 2025 provient de METR, un organisme de recherche à but non lucratif. Leur essai contrôlé randomisé — 16 développeurs expérimentés, 246 tâches réelles dans des projets open source matures — a produit un résultat contre-intuitif : les développeurs utilisant des outils IA (principalement Cursor Pro avec Claude 3.5/3.7 Sonnet) ont mis 19 % plus de temps à compléter leurs tâches que ceux travaillant sans IA (METR, arXiv:2507.09089, juillet 2025).

Plus troublant encore : les développeurs pensaient avoir été 20 % plus rapides. Ce résultat ne signifie pas que l'IA est inutile. Il signifie que sur des bases de code matures où le développeur possède une expertise profonde, le surcoût cognitif lié à la vérification peut dépasser le gain de vitesse. L'IA accélère l'écriture, mais c'est la livraison qui compte — et le goulot d'étranglement s'est déplacé vers la revue.

LA DETTE SÉCURITAIRE À GRANDE ÉCHELLE

En mai 2025, le chercheur en sécurité Matt Palmer publie CVE-2025-48757, documentant une vulnérabilité systémique dans les applications construites avec Lovable. Sur 1 645 projets analysés, 303 endpoints vulnérables ont été identifiés sur 170 applications (~10,3 %), exposant noms, emails, données financières et clés API en accès libre — sans aucune authentification (Matt Palmer, mai 2025 ; CyberSecurity News).

La cause racine : les tables Supabase générées par l'IA étaient déployées sans Row Level Security (RLS). L'IA avait produit du code fonctionnel mais fondamentalement non sécurisé. Lovable a publié un scanner de sécurité, mais celui-ci vérifiait uniquement la présence d'une politique RLS, pas sa pertinence — créant un faux sentiment de sécurité.

LE « SLOPSQUATTING » : UNE NOUVELLE SURFACE D'ATTAQUE

Phénomène plus récent : les modèles d'IA hallucinent régulièrement des noms de packages qui n'existent pas. Des attaquants enregistrent ces noms fantômes sur NPM et PyPI avec du code malveillant. Un développeur qui accepte les suggestions IA sans vérifier les imports peut intégrer directement des malwares dans sa base de code. C'est le typosquatting de l'ère agentique.

IV-

La réponse : l'ingénierie agentique structurée

Face à ces défis, 2025-2026 voit émerger un nouveau paradigme que l'industrie commence à appeler Structured Development with AI (SDD). L'idée centrale : l'IA n'est pas le problème, l'absence de cadre l'est.

LE FICHIER DE CONSTITUTION : AGENTS.MD

Plusieurs frameworks convergent vers un même principe : un fichier racine qui définit les contraintes auxquelles l'agent IA doit se conformer avant de générer quoi que ce soit. Chez Cursor, c'est .cursorrules. Chez Claude Code, c'est CLAUDE.md. Le concept générique AGENTS.md définit la stack technologique autorisée, les règles de sécurité non négociables, les conventions de code et les patterns architecturaux.

C'est un changement de paradigme : au lieu de corriger le code après sa génération, on contraint l'agent avant qu'il ne commence. L'analogie : ne pas demander à un architecte de corriger un bâtiment déjà construit, mais lui donner le cahier des charges en amont.

LES FRAMEWORKS DE STRUCTURATION

Plusieurs approches formalisent le développement agentique structuré. BMAD (Breakthrough Method of Agile AI-Driven Development), créé par Greg Reeves, propose un système multi-agents avec des personas spécialisées. GSD (Getting Stuff Done), développé par John Googler, privilégie une spécification fonctionnelle exhaustive qui sert de « constitution » au projet. AWS a lancé Kiro, un IDE intégrant nativement des « specs » structurées pour l'IA.

Le point commun : séparer explicitement la phase de spécification de la phase de génération. Le développeur humain investit davantage en amont — exigences, architecture, contraintes de sécurité — pour que l'IA produise du code conforme en aval.

LE PROTOCOLE PACT

Ce protocole transforme le « prompt → code → espérer que ça marche » en un processus ingénieur.

V-

Ce qui vient après : projection pour décideurs

Trois tendances vont structurer les 12 à 18 prochains mois.

TENDANCE 1 — ORCHESTRATION MULTI-AGENTS Gartner rapporte une hausse de 1 445 % des demandes sur les systèmes multi-agents entre 2024 et 2025. Le développement logiciel évolue vers des « équipes virtuelles » d'agents spécialisés — un agent architecte, un agent sécurité, un agent test — orchestrés par un agent chef de projet. Les frameworks AutoGen, CrewAI et LangChain se positionnent sur ce créneau.
TENDANCE 2 — LA BIFURCATION VITESSE/PROFONDEUR Le lancement de GPT-5.3-Codex-Spark illustre une tendance structurante : deux modes complémentaires coexistent. Un mode « temps réel » ultra-rapide pour l'itération interactive (>1 000 tokens/s), et un mode « deep work » pour les tâches de raisonnement complexes sur des heures ou des jours. Les décideurs devront structurer les workflows autour de cette dualité.
TENDANCE 3 — SÉCURITÉ « BY DESIGN » VIA MCP Plutôt que scanner le code après sa génération, les approches émergentes intègrent des vérifications de sécurité en temps réel pendant la génération, via des serveurs MCP (Model Context Protocol) qui interceptent et valident les actions de l'agent. C'est la « sécurité à la conception » appliquée au codage agentique.

Conclusion : de la Black Box à la Glass Box

Le vibe coding, dans sa forme originelle — « oublier que le code existe » selon les termes de Karpathy — est une phase révolue. Ce qui le remplace est plus intéressant et plus exigeant : une ingénierie logicielle où l'IA fait le gros œuvre, mais où l'humain maîtrise la spécification, la supervision et la validation.

La métaphore qui s'impose est celle de la « Glass Box » : le code IA n'est plus une boîte noire qu'on accepte aveuglément, mais une boîte transparente dont on spécifie les contraintes en entrée et qu'on vérifie en sortie.

Pour les décideurs technologiques, l'enjeu n'est pas d'adopter ou de rejeter le vibe coding. Il est de structurer sa pratique : constitutions d'agents, spécifications formelles, protocoles de validation, revue de sécurité systématique. Les organisations qui investissent dans ces cadres aujourd'hui seront celles qui captureront réellement les gains de productivité promis — sans en payer le prix en dette technique et en vulnérabilités.

La vitesse sans structure est une dette déguisée.
La structure sans vitesse est une opportunité manquée.
L'ingénierie agentique, c'est les deux à la fois.

Godwin AVODAGBE