Logo Suricats Consulting

Quand les métiers se mettent à coder, que reste-t-il à la DSI ?

Pourquoi le futur de la DSI se joue dans sa capacité à cadrer sans confisquer ?

Lu en

11 minutes

Quand une équipe finance met en production, en deux après-midis de vibe coding, un robot qui orchestre la clôture comptable sur plusieurs ERP, une question remonte très vite au comité de direction : à quoi sert encore la DSI si les métiers savent coder eux-mêmes ?

La réponse n’est ni défensive ni nostalgique. Le futur de la DSI ne se joue plus dans la possession exclusive des compétences techniques, mais dans sa capacité à cadrer sans confisquer : sécuriser, gouverner et amplifier un Shadow IA métier qui, de toute façon, s’étend déjà dans l’organisation.

Ce déplacement du pouvoir technique est brutal. Il est rendu possible par la généralisation du vibe coding – ces interfaces où l’on conçoit des applications complètes en langage naturel – et par l’essor des agents IA autonomes. Le sujet n’est plus seulement l’outillage : c’est la redéfinition du périmètre même de la DSI, de ses rôles et de ses compétences.

Du Shadow IT au Shadow AI : un changement d’échelle silencieux

Pendant des années, le Shadow IT désignait un phénomène finalement assez contenu : quelques solutions SaaS choisies en direct par les métiers, parfois sans validation de la DSI. C’était déjà irritant, mais gérable : on pouvait recenser, standardiser, renégocier les contrats.

Du Shadow IT au Shadow AI : le nouveau périmètre de la DSI
Du Shadow IT au Shadow AI : quand les usages métiers changent d’échelle

Avec le Shadow AI, on change de dimension. Désormais, les utilisateurs ne se contentent plus d’installer un outil, ils peuvent déployer des backends complets, intégrer des API sensibles, orchestrer des flux métiers structurants, le tout sans écrire une ligne de code « classique ».

Une étude RedAccess (2026) illustre à quel point la situation a basculé : sur 380 000 applications créées en vibe coding et exposées publiquement, environ 5 000 contenaient des secrets d’entreprise critiques en clair (clés API, identifiants de bases de données internes, tokens d’accès privilégiés). Derrière ces chiffres, on retrouve des cas très concrets : un groupe industriel européen a ainsi découvert, lors d’un audit externe, que des identifiants d’accès à son environnement de pré-production SAP étaient exposés dans une application « maison » créée par une équipe d’acheteurs pour automatiser la gestion des contrats fournisseurs.

Dans ces situations, la DSI arrive souvent après coup, quand un audit externe ou un incident réveille tout le monde. Or le Shadow AI n’est plus un épiphénomène. Il se diffuse au cœur des processus de vente, de supply chain, de RH, avec une vitesse que les dispositifs de contrôle hérités ne peuvent pas suivre.

Vibe coding : quand les métiers codent… sans s’en rendre compte

L’adoption du vibe coding n’est plus un sujet de prospective. Elle fait déjà partie du paysage des grandes entreprises. Selon Dataiku (2026), 87 % des entreprises du Fortune 500 exploitent au moins un outil de ce type. Dans les faits, ce sont des centaines de « mini-applications » conversationnelles, de tableaux de bord enrichis ou d’agents internes qui émergent chaque trimestre.

Dans une grande banque de détail nord-américaine, un centre de relation client a construit, en quelques semaines, un assistant IA qui pré-remplit les réponses aux réclamations et propose des gestes commerciaux adaptés. Résultat : un gain de 12 % sur le temps de traitement moyen et une hausse de 7 points de satisfaction client, selon un rapport interne présenté au conseil d’administration. La DSI n’avait été informée qu’une fois le pilote déjà étendu à plusieurs centaines de conseillers.

Ces initiatives fonctionnent, créent de la valeur, répondent à une impatience métier légitime. Elles posent pourtant une question structurante : que devient la dette cognitive associée à ce code généré en langage naturel, souvent sans documentation ni revue structurée ?

La dette cognitive, angle mort de l’IA générative

Le vibe coding produit une illusion très puissante : celle d’un produit fini parce que l’interface est fluide et que la première démonstration est convaincante. Le problème ne se voit pas le jour du POC, mais six mois plus tard, quand les usages se sont installés.

Les études commencent à chiffrer la face cachée de ce mouvement. Dataiku (2026) et Appian (2026) estiment que 25 % à 45 % du code produit de manière autonome par l’IA contient des failles de sécurité exploitables.

Derrière ces pourcentages, on retrouve la réalité du quotidien : des agents IA qui dupliquent des données sensibles dans des logs non sécurisés, des scripts qui orchestrent des accès multiples avec des droits surdimensionnés, des workflows métiers qui s’appuient sans le savoir sur des composants non maintenus.

Infographie illustrant la dette cognitive créée par les agents IA et le vibe coding.
La face cachée du vibe coding : une dette cognitive qui dépasse la seule technique.

On pourrait se dire que les outils d’analyse de code et les scanners de vulnérabilité compenseront ce risque. Le problème est ailleurs : les métiers ne se représentent pas la complexité réelle de ce qu’ils ont « créé ». La dette n’est plus seulement technique, elle devient cognitive : qui, dans l’entreprise, comprend encore le comportement global de ces agents et de leurs interactions ?

Dans un grand distributeur européen, une équipe marketing a assemblé, en s’appuyant sur un générateur d’agents, un système qui pilote automatiquement les campagnes promotionnelles en intégrant des données CRM, des stocks et des flux logistiques. Les performances commerciales ont progressé, mais il a fallu geler le système pendant plusieurs semaines lorsqu’une anomalie a été détectée sur l’attribution des remises. Personne ne savait vraiment où se situait la logique de calcul finale : dans l’agent, dans un script généré, dans un connecteur créé à la volée. C’est typiquement ce genre de situation qui illustre la dette cognitive.

La fin du périmètre de sécurité traditionnel

Face à ce paysage, les réflexes historiques de la cybersécurité – pare-feux, segmentation réseau, systèmes d’identité classiques – ne suffisent plus. On ne parle plus d’empêcher l’installation d’un logiciel non validé sur un poste de travail, mais de gérer des écosystèmes d’agents qui dialoguent en API, consomment des données sensibles et déclenchent des actions dans plusieurs systèmes cœur.

Gartner (2026) projette que d’ici 2030, plus de 40 % des entreprises subiront au moins un incident de sécurité ou de conformité directement lié au Shadow AI. Les premiers cas publics émergent : aux États-Unis, un acteur de la santé a été sanctionné par le régulateur après qu’un agent conversationnel interne a accidentellement exposé des données médicales dans des logs de débogage hébergés sur un cloud externe, utilisé dans un contexte de vibe coding sans validation de la DSI.

Ce mouvement rend obsolète l’idée d’un périmètre de sécurité fixe autour du système d’information. Le nouveau périmètre, ce sont les comportements des agents, les flux de données qu’ils orchestrent, et les droits qu’ils exercent de façon autonome.

Le bac à sable comme nouveau périmètre de confiance

Plutôt que de tenter d’éradiquer le Shadow AI, les DSI qui avancent prennent une autre voie : elles construisent des bacs à sable – des environnements isolés, sécurisés, observables – où les métiers peuvent expérimenter librement avec l’IA générative et le vibe coding.

Le rôle du DSI pivote alors nettement. Il ne s’agit plus de réviser chaque ligne de code, mais de définir et maintenir l’espace sécurisé où cette créativité peut s’exprimer sans mettre en danger l’organisation.

  • Les données disponibles dans le bac à sable sont filtrées, pseudonymisées ou synthétiques.
  • Les accès sortants sont contrôlés et journalisés.
  • Les modèles et outils autorisés sont labellisés et mis à jour centralement.

Un grand assureur français a, par exemple, déployé une « zone d’innovation IA » accessible à toutes les directions métiers, avec une politique simple : toute expérimentation doit démarrer là, jamais en direct sur les systèmes de production. En 18 mois, plus de 150 cas d’usage ont été testés, dont une vingtaine industrialisés. Aucune fuite de données majeures n’a été constatée, et la DSI est passée, aux yeux des métiers, de « bloqueur » à partenaire de jeu.

Infographie expliquant le bac à sable IA comme périmètre de confiance piloté par la DSI.
Le bac à sable IA, terrain de jeu sécurisé où la DSI devient partenaire d’innovation.

Une gouvernance en trois couches : visibilité, limites, audit

Pour que cette autonomie reste maîtrisée, la technologie ne suffit pas. Il faut une gouvernance structurée, lisible pour les équipes métiers comme pour la DSI. Un modèle à trois couches se généralise progressivement dans les organisations les plus avancées :

  • Visibilité : savoir ce qui tourne, où et pour qui. Cela passe par un inventaire continu des agents et des applications générées, des cartographies de flux, et des tableaux de bord partagés. L’objectif n’est pas le contrôle systématique, mais l’absence d’angle mort.
  • Limites : définir ce à quoi chaque agent peut accéder. On parle ici de compartimenter les droits, d’isoler les accès aux données sensibles, de fixer des garde-fous explicites sur les actions possibles (lecture seule, pas de suppression automatique, plafonds financiers, etc.).
  • Audit : tracer les changements, les décisions clés et les escalades. Qui a modifié le comportement de l’agent ? Quelle version était active lors d’un incident ? Quels jeux de données ont été utilisés pour l’entraîner ?

Deloitte (2026) estime que seuls 20 % des grands groupes disposent aujourd’hui d’un modèle de gouvernance mature pour les agents IA autonomes. Le chemin à parcourir est donc important.

Ce type de gouvernance ne doit pas être vécu comme un frein, mais comme une manière de rendre scalable ce qui, sinon, resterait un empilement de POC brillants et fragiles.

De bloqueur à accélérateur d’innovation

Dans beaucoup d’organisations, la DSI porte encore l’image du « non » et du délai. Pourtant, la pression métier sur les usages d’IA ne faiblit pas. McKinsey (2025) indique que 88 % des organisations utilisent déjà l’IA régulièrement. Mais seulement 18 % ont mis en place un conseil de gouvernance IA à l’échelle de l’entreprise.

La conséquence est assez prévisible : les initiatives prolifèrent, mais peu dépassent le stade du pilote. La DSI peut inverser cette logique en devenant le chef d’orchestre d’infrastructures supervisées : bacs à sable, plateformes partagées de données, frameworks de gouvernance, outillage de monitoring des agents.

Infographie représentant le modèle de gouvernance en trois couches pour les agents IA.
Un modèle de gouvernance en trois couches pour rendre l’autonomie IA vraiment scalable.

Un industriel de la chimie a fait ce pari en créant un « studio IA métier » co-piloté par la DSI et les opérations. Résultat en deux ans : réduction de 30 % des délais de mise en production des cas d’usage IA, homogénéisation des pratiques de sécurité, et surtout un changement de récit interne : la DSI est désormais sollicitée en amont, non plus contournée.

De nouveaux métiers hybrides au cœur de la DSI

Pour accompagner ce mouvement, la DSI doit intégrer des profils qui n’existaient pas il y a encore cinq ans. Des rôles comme le consultant d’alignement IA-métier ou le responsable d’éthique et de conformité IA deviennent structurants.

Le premier travaille à la frontière entre les équipes métiers et les équipes techniques. Il traduit les objectifs business en comportements d’agents, challenge les jeux de données utilisés, arbitre les compromis entre performance, explicabilité et risques opérationnels.

Le second s’assure que les décisions prises par les modèles restent conformes aux exigences réglementaires, aux politiques internes et aux attentes sociétales. Il intervient en amont des projets, participe aux comités de validation, et pilote des revues périodiques des comportements d’IA en production.

Des groupes comme Microsoft, BMW ou AXA ont déjà constitué des équipes dédiées à ces enjeux, avec des profils mêlant droit, data science, design de services et conduite du changement. Dans ces organisations, la DSI n’est plus seulement un fournisseur de services, mais un partenaire actif de la transformation de l’entreprise.

Un nouveau mandat à assumer pour la DSI

Quand les métiers se mettent à coder, le rôle de la DSI ne disparaît pas. Il se renforce, mais sur un autre terrain :

  • Définir le cadre où le Shadow IA métier devient un levier d’innovation plutôt qu’une zone grise.
  • Construire les bacs à sable et les plateformes partagées qui permettent d’expérimenter en sécurité.
  • Mettre en place une gouvernance en trois couches : visibilité, limites, audit.
  • Accompagner l’émergence de nouveaux métiers hybrides et développer les compétences internes de supervision, de formation et d’accompagnement.

En d’autres termes, il ne reste pas « moins » de choses à la DSI : il lui reste ce qui est le plus stratégique : organiser, sécuriser et amplifier un écosystème applicatif de plus en plus distribué.

La vraie question, pour chaque DSI, devient alors très opérationnelle : par où commencer ce repositionnement ? Cartographie du Shadow AI existant ? Création d’un premier bac à sable métier ? Mise en place d’un premier conseil de gouvernance IA ?

Chez Suricats Consulting, nous observons ces transformations à l’œuvre dans des secteurs très variés – industrie, services financiers, santé, énergie – et nous aidons les DSI à passer du constat à l’action : cadrer sans confisquer, sécuriser sans étouffer, partager le pouvoir technique sans perdre la maîtrise.

Si vous sentez que le Shadow IA métier progresse plus vite que votre cadre de confiance, la prochaine étape se joue peut-être dans une simple conversation : par quel chantier concret votre DSI pourrait-elle, dès cette année, se repositionner comme l’accélérateur central de l’IA dans votre organisation ?



Des contenus pour prolonger l’exploration


Et pour passer à l’action ?

Nos offres de services dans le prolongement des réflexions de cette publication.