Au-delà du « shift left » : associer « shift everywhere » et agents IA pour améliorer les processus DevOps

Supposons que vous commandiez des plats pour un dîner, et que le robot de livraison se retrouve bloqué parce qu’il ne peut pas circuler sur les trottoirs accidentés de votre quartier. Ou parce que son système GPS n’est pas équipé pour contourner une rue fermée à proximité.   

Ou pire encore, le robot arrive mais sans votre repas : un cybercriminel a piraté les protocoles d’authentification du service de livraison et a pris votre repas (et vos données personnelles).

En l’absence de pratiques de test et de sécurité avancées, adaptées aux environnements logiciels et aux cybermenaces d’aujourd’hui, les équipes DevOps et les utilisateurs finaux peuvent rencontrer ces problèmes plus fréquemment. Mécontents, de nombreux clients se tourneraient vers un autre service de livraison (personne n’aime être privé de son repas), et l’entreprise verrait son chiffre d’affaires baisser.

Les outils d’IA agentique aideront l’équipe de développement du service de livraison à éviter de tels problèmes. Par exemple, l’équipe pourra utiliser des agents pour créer une suite de tests complète afin d’identifier les failles et les vulnérabilités pendant la phase de codage, bien avant que les robots de livraison ne se chargent de leur première commande.

En fait, les outils d’IA agentique peuvent employer des « équipes » multi-agents pour créer des jumeaux numériques haute fidélité, qui simulent les défis que les robots sont susceptibles de rencontrer. Cela permettra aux développeurs de tester le comportement du code et les interactions des dépendance avant de procéder au codage. Il s’agit d’un « shift left », qui consiste à intégrer les pratiques de test et d’assurance qualité plus tôt dans le cycle de développement logiciel.

Compte tenu de la complexité des systèmes logiciels modernes et de la demande d’agilité et de collaboration accrues, le principe de détection précoce a évolué vers une pratique DevSecOps plus complète, le « shift everywhere ». Cette approche vise à « automatiser l’intégration de la sécurité et des pratiques de sécurité à chaque phase du cycle de développement logiciel ».

Cette tâche complexe d’un point de vue pratique et culturel pousse de nombreuses entreprises à explorer davantage le potentiel de l’IA en matière de DevOps. Parmi les technologies les plus récentes, citons l’IA agentique, dotée des capacités suivantes :

• Exécuter des tâches multi-étapes. Les agents IA décomposent les objectifs de haut niveau en sous-tâches qu’ils accomplissent en plusieurs étapes.

• S’adapter en temps réel. Les agents IA adaptent leur comportement et leurs plans en fonction des informations qu’ils reçoivent ou de l’évolution des conditions.

• Collaborer sur l’orchestration des tâches et des workflows. Les systèmes d’IA agentique peuvent se coordonner et communiquer avec d’autres agents IA pour atteindre les objectifs communs.

• S’améliorer au fil du temps. Grâce à des fonctionnalités telles que l’apprentissage par renforcement, les agents d’IA apprennent de leurs expériences, améliorent leur prise de décision et ajustent leur stratégie au fil du temps.

Les outils d’IA agentique proposent également des capacités de prise de décision autonome, et les entreprises sont enthousiasmées par ces possibilités.

Selon l’IBM Institute for Business Value (IBM IBV), « 86 % des dirigeants estiment que d’ici 2027, les agents IA amélioreront l’automatisation des processus et de la refonte des workflows ». Près de 80 % des cadres supérieurs ont déjà adopté une forme d’IA agentique, et 19 % des entreprises la déploient à grande échelle.

Les agents IA intelligents peuvent désormais orchestrer le développement, le déploiement, la surveillance et la mise à niveau des logiciels. Ils facilitent les pratiques « shift left » et « shift everywhere » pour les développeurs qui, surchargés, ne sont pas toujours en mesure de tester ni de sécuriser minutieusement les logiciels avant de les déployer.

Le « shift left » est une pratique stratégique qui consiste à intégrer des tâches telles que les tests, l’identification et la résolution des problèmes, ainsi que la sécurité, plus tôt dans le cycle de développement logiciel. Il permet aux équipes de découvrir les problèmes (idéalement) lors du codage, et non du déploiement. Le terme vient de la visualisation du processus de développement de gauche (codage) à droite (déploiement). Intégrer les activités critiques dans la phase de codage correspond donc à un déplacement vers la gauche dans le cycle de vie.

Cependant, les approches « shift left » peuvent être difficiles à mettre en œuvre et à gérer, car elles confèrent aux développeurs des responsabilités supplémentaires, qui incombent normalement aux spécialistes et experts en la matière.

Dans ce contexte, les développeurs et autres membres de l’équipe doivent intégrer dans leur workload les tâches de test, de sécurité, de gestion des problèmes et de collaboration entre équipes. Ajouter de telles responsabilités sans réduire la workload laisse moins de temps pour écrire un code de qualité et résoudre les problèmes de programmation.

Bien qu’il s’agisse d’une technologie nouvelle (qui présente ses propres défis d’adoption), l’IA agentique aide les équipes à résoudre les difficultés liées aux implémentations de type shift-left, en particulier celles qui affectent la productivité des développeurs.

De plus, les agents peuvent être particulièrement utiles aux entreprises qui se tournent vers une approche « shift everywhere ». Alors que le shift left consiste à intégrer la sécurité et les tests plus tôt dans le cycle de développement, le shift everywhere vise à intégrer la sécurité, la surveillance et les tests à chaque phase, dont le codage, la construction, le déploiement et l’exécution. L’objectif est de sécuriser chaque application, chaque technologie et chaque déploiement tout au long de son cycle de vie.

« Le shift everywhere répond mieux à la complexité des systèmes logiciels modernes, ainsi qu’à la nécessité d’une responsabilité partagée à travers les différentes équipes et étapes », déclare Billy O’Connell, développeur logiciel et DevOps chez IBM. « Mais nous assistons, en réalité, à l’émergence d’un modèle hybride, qui emprunte les meilleurs éléments de chaque approche. Il s’agit d’utiliser les outils et l’approche les plus adaptés à chaque contexte. »

L’IA agentique est un système d’intelligence artificielle capable d’atteindre un objectif précis avec une supervision limitée. Les agents d’IA font appel aux (LLM), au traitement automatique du langage naturel (TAL) et au machine learning (ML) pour concevoir de manière autonome leurs workflows, réaliser des tâches et exécuter des processus au nom des utilisateurs et d’autres systèmes.

Au sein d’un système d’IA agentique, les agents IA coordonnent leurs efforts pour orchestrer ou exécuter des tâches complexes et se fixer des objectifs plus importants, qu’un agent à lui seul ne pourrait gérer.

Les agents IA étendent l’automatisation bien au-delà des scripts prédéfinis. Contrairement aux chatbots et autres modèles d’IA, qui fonctionnent selon des contraintes prédéfinies et nécessitent une intervention humaine, les agents IA et l’IA agentique sont autonomes, axés sur le contexte et les objectifs, et adaptables aux circonstances changeantes. En plus d’accomplir des tâches, ils apprennent du passé, s’adaptent au présent et prédisent l’avenir.

Les chefs d’entreprise, les équipes produit et les ingénieurs doivent collaborer pour fixer des objectifs de haut niveau et définir les paramètres. Les agents IA ne peuvent (et ne doivent pas pouvoir) fonctionner sans intervention humaine. En effet, les agents IA permettent des pratiques de développement de type « l’humain dans la boucle », selon lesquelles les agents travaillent aux côtés des ingénieurs et des équipes DevOps pour atteindre plus rapidement les objectifs fixés.

En gros, les humains définissent le quoi, et les agents déterminent le comment en planifiant et en exécutant les actions nécessaires pour atteindre ces objectifs selon les paramètres fournis.  

Les entreprises se tournent de plus en plus vers les systèmes d’IA agentique pour gérer, rationaliser et accélérer les processus DevOps et améliorer les pipelines d’intégration et de livraison continues (CI/CD).

Les agents peuvent, par exemple, passer en revue les modifications apportées au code pour détecter les erreurs de syntaxe, faire des suggestions de refactoring et vérifier les corrections avant que les modifications ne soient intégrées au code base. Ils peuvent également accélérer l’innovation. « [Les agents] permettent un prototypage rapide des idées que je souhaite mettre en œuvre depuis longtemps. Que ce soit pour améliorer la productivité individuelle ou l’efficacité de l’équipe, l’IA agentique transforme les concepts en outils utilisables et réduit la charge des tâches banales », explique M. O’Connell.

L’IA agentique est utile pour toute une série de cas d’utilisation, mais nous allons nous pencher ici sur quatre processus majeurs.

Les outils d’IA agentique analysent en permanence les données d’observabilité (telles que les indicateurs, les journaux et les traces) et d’autres flux de données (comme les signaux de feedback utilisateur) provenant de diverses sources en temps réel.

Ce processus comprend l’interrogation des bases de données, des journaux de processus, des données historiques et des dépendances open source, ainsi que la connexion aux interfaces de programmation d’application pour identifier et combler les lacunes en matière de données. Si les données externes rentrent dans leurs paramètres, les agents intègrent également les données du marché et du secteur pour améliorer leur compréhension du contexte avant de formuler des hypothèses ou d’envoyer des notifications aux équipes informatiques.

Grâce aux capacités ML, les agents identifient les schémas de données et les structures de liens, apprennent le comportement normal du système, s’adaptent dynamiquement au fil du temps et suivent les écarts par rapport aux bases de référence établies.

Les outils d’IA agentique sont bien équipés pour détecter plusieurs types d’anomalies, qu’il s’agisse de points de données irréguliers, de clusters de données anormales ou d’anomalies contextuelles (baisse soudaine du trafic des sites e-commerce le jour du Black Friday, par exemple). Ils peuvent également ajuster de manière autonome les bases de référence en fonction de l’évolution des conditions et identifier les relations multidimensionnelles cachées qui demandent une investigation plus poussée.

Pour réaliser le même processus avec un modèle d’IA statique traditionnel, les développeurs devraient entraîner à nouveau manuellement l’outil d’IA à mesure que les références changent, ce qui augmenterait la probabilité que des faux positifs ou des négatifs surviennent.

En fait, les modèles statiques demandent généralement plus d’intervention humaine et de réglage des fonctions.

Ils s’appuient sur des règles prédéterminées et des contrôles statistiques plus simples, qui peuvent masquer les relations complexes entre les variables. Cette ambiguïté oblige les développeurs à corréler manuellement les données et à définir les relations. Et comme les modèles d’IA statiques n’ont souvent pas la sensibilité contextuelle des modèles d’IA agentique, ils ont tendance à traiter toutes les anomalies de la même manière, ce qui permet aux développeurs de trier les problèmes.

Les outils de test conçus pour l’IA agentique génèrent des cas de test plus intelligents et plus personnalisés, afin d’étendre la couverture des tests à l’ensemble de l’environnement.

L’IA agentique analyse le code source de l’application, la structure de l’interface utilisateur, les exigences logicielles, les flux d’utilisateurs, les réponses de l’API, l’historique des défauts et les artefacts de test existants afin de décider des tests à effectuer. Les développeurs peuvent également créer des scénarios (par exemple, « le client ajoute des plats dans son panier et paie ») et demander aux agents IA de les convertir en scripts de test exploitables pour identifier les problèmes susceptibles de survenir lors de l’exécution d’un ensemble d’actions donné.

Les outils d’IA agentique adaptent continuellement les tests logiciels en temps réel, en apprenant des tests précédents et en mettant en œuvre des protocoles de test en fonction des résultats antérieurs et de la criticité de la mission. Ces fonctionnalités permettent de garantir que les tests sont effectués en temps opportun et que la couverture est ciblée (mais non moins complète).

Par exemple, lorsque les développeurs modifient la logique du code ou mettent à jour l’interface utilisateur, les agents détectent les changements pendant l’exécution des tests et mettent automatiquement à jour les tests concernés. Si un morceau de code présente une faille de sécurité ou suit un schéma de code ou une construction linguistique inhabituels, les outils d’IA agentique recommandent des tests locaux ou unitaires, en isolant le code et en le testant de manière plus approfondie pour identifier le problème. 

En fait, une fois que les agents IA ont compris ce que l’application est censée faire, ils génèrent des scripts et des cas de test avant que le code ne soit écrit, afin que les équipes de développement puissent se concentrer sur la qualité de ce dernier.

Les fonctionnalités de corrélation assistées par l’IA agentique relient les alertes connexes à travers les utilisateurs, environnements et points de terminaison API. Elles séparent les alertes pertinentes des signaux superflus, afin de réduire le volume d’alertes et d’éviter une baisse du niveau de vigilance chez les équipes de développement et d’exploitation informatique.

Un élément clé de l’adoption d’une approche shift-left dans la corrélation des alertes consiste à intégrer l’intelligence à la source, c’est-à-dire à utiliser des agents pour analyser les flux de données brutes au moment où les données arrivent. Cette approche permet une corrélation en temps réel et aide les équipes à passer d’une posture réactive à une stratégie proactive de corrélation et de résolution.

Les systèmes d’IA agentique utilisent des algorithmes ML avancés pour analyser les données d’alerte historiques et en temps réel, en corrélant les points de données en fonction de la chronologie, de la source, du type d’événement, des systèmes affectés et des schémas de comportement, entre autres attributs.

Les agents recueillent dynamiquement le contexte de chaque alerte, notamment les adresses IP, les identifiants utilisateur et l’état des appareils. Grâce aux données enrichies, les agents peuvent cartographier les incidents et identifier les points communs. Par exemple, si l’agent détecte une tentative de connexion échouée à une heure inhabituelle et un accès irrégulier aux fichiers à partir du même compte, il peut corréler les points de données et signaler une tentative de violation potentielle.

Une fois les alertes regroupées, l’agent les présente comme une seule unité. Un événement qui a pu générer deux alertes distinctes, une pour la tentative de connexion et une pour l’accès au fichier, ne générera et n’enverra qu’une seule alerte (pour violation) au développeur. Au lieu de recevoir et de trier les notifications exhaustives liées à chaque événement, les équipes informatiques sont en mesure de déclencher des actions et des workflows de résolution pour l’ensemble du groupe de signaux.

De plus, les agents IA peuvent générer des récits d’incident complets. En cas de défaillance, les agents retracent les causes racines et la performance de la fonctionnalité concernée au fil du temps pour fournir un rapport complet permettant au personnel informatique de résoudre le problème. Les agents peuvent également « se souvenir » des détails de la panne, ce qui permet aux développeurs de simuler les conditions lors des cycles de tests ultérieurs et de trouver toute faille présente dans le code des nouvelles itérations ou applications.

Les systèmes d’IA agentique automatisent la détection des vulnérabilités, les tests d’exploitabilité, l’analyse des causes racines et la neutralisation des menaces pendant le processus de codage, afin que les développeurs puissent moins se soucier des révisions manuelles.

Les agents IA n’attendent pas les alertes de sécurité. Au contraire, ils recherchent en permanence les comportements suspects en analysant les journaux de sécurité, le trafic réseau, le code source et les flux de renseignement sur les menaces en temps réel. Ils peuvent ensuite générer des hypothèses sur les menaces potentielles, tester les hypothèses par rapport aux journaux et faire remonter uniquement les menaces réelles, affinant ainsi leur compréhension au fil du temps.

Contrairement aux modèles d’IA statiques, qui signalent les problèmes uniquement selon des règles prédéfinies, les agents d’IA évaluent la gravité et l’exploitabilité des vulnérabilités de sécurité en tenant compte du contexte (valeur de l’actif, exposition du réseau, modèles d’attaque connus, vecteurs potentiels, et autres indicateurs).

Lorsqu’une vulnérabilité est trouvée, les agents la hiérarchisent automatiquement en fonction de l’environnement d’exécution, de l’impact sur l’activité et du contexte de conformité, et lancent des protocoles pour corriger le problème.

Grâce à l’analyse prédictive et à l’apprentissage supervisé, les outils d’IA agentique peuvent également simuler des attaques dans un environnement de type bac à sable pour vérifier si les vulnérabilités sont exploitables.

Les systèmes multi-agents analysent la description des vulnérabilités et le code source correspondant pour générer des attaques de type preuve de concept qui illustrent le risque d’exploitation. Lorsqu’ils repèrent un fragment de code problématique, les agents génèrent une attaque qui déclenche la vulnérabilité pour permettre aux développeurs de savoir exactement où et pourquoi le problème est survenu, et en quoi il affecte la performance logicielle.

Reprenons l’exemple du robot de livraison de repas. Une approche agentique alimentée par l’IA permettrait aux développeurs de simuler une cyberattaque pendant ou même avant le codage, de découvrir qu’un fragment de code particulier est vulnérable aux attaques sur les dispositifs d’authentification de type homme du milieu, et de corriger le code avant que le robot ne soit lancé dans un environnement réel. 

Si l’IA agentique est en train de simplifier la vie de nombreuses entreprises et équipes DevOps, il s’agit d’une technologie récente, qui pose des défis nouveaux et évolutifs. Si de nombreux chefs d’entreprise restent optimistes, Gartner prévoit que l’augmentation des coûts, une gestion insuffisante des risques et un retour sur investissement incertain (ROI) pousseront les entreprises à annuler plus de 40 % de leurs projets d’IA agentique d’ici 2027.

Les préoccupations concernent en grande partie les problèmes de sécurité et la confiance dans les agents. S’il est vrai que l’IA agentique peut rationaliser et renforcer la sécurité des logiciels et des réseaux, elle fait également peser des risques importants sur la sécurité.

L’IA agentique permet aux développeurs de créer et de déployer des agents personnalisés autonomes, qui fonctionnent indépendamment des systèmes et des processus. Beaucoup de ces agents sont créés et exécutés sans visibilité formelle sur l’informatique, la sécurité ni sur la gouvernance. Incontrôlée et décentralisée, cette prolifération d’agents peut engendrer une « IA fantôme » au sein des entreprises et des pipelines DevSecOps.

Avec des agents opérant de manière autonome, les entreprises peuvent également avoir du mal à maintenir un contrôle humain dans la boucle. Si les agents IA sont autorisés à opérer sans clairement définir les responsabilités, il peut devenir extrêmement difficile d’évaluer leur intention, de vérifier leurs actions et d’appliquer efficacement les politiques de sécurité, surtout au fur et à mesure que les environnements se développent. Après tout, qui est responsable lorsqu’un outil autonome fait une erreur ou enfreint ses paramètres ?

Certains estiment que ce sont les créateurs, ainsi que les entreprises qui font appel à eux, qui sont responsables de la mauvaise qualité des données d’entraînement, de l’insuffisance des tests ou encore du manque de garanties. Mais en réalité, le tableau peut être beaucoup plus complexe.

Sachant que les outils d’IA agentique s’appuient fortement sur les API pour accéder aux données, déployer les workflows et se connecter aux services externes, chaque intégration d’API est potentiellement un point d’entrée pour les attaquants. Comme les agents ne suivent pas toujours des schémas d’utilisation d’API prévisibles (ils sont autonomes, après tout), ils peuvent involontairement divulguer des données sensibles ou propriétaires lors d’opérations légitimes (les informations personnelles contenues dans les fichiers journaux, par exemple) et étendre considérablement la surface d’attaque.

Un seul point de terminaison d’API compromis ou mal configuré peut accorder l’accès à plusieurs systèmes back-end et jeux de données sensibles, permettant aux cybercriminels de se déplacer latéralement au sein de l’architecture et d’accroître leurs privilèges. 

En outre, la plupart des agents IA s’exécutent sur des LLM, ce qui leur permet d’hériter des vulnérabilités du modèle sous-jacent. Si un attaquant intègre des instructions malveillantes dans les prompts ou dans les sources de données fiables (telles que les fichiers de configuration, la documentation ou les tickets d’assistance), l’agent peut exécuter à son insu des actions préjudiciables lorsqu’il traite le prompt.

Il est conseillé aux entreprises de prendre également en compte les défis de l’IA agentique non liés à la sécurité. Par exemple, les agents autonomes peuvent parfois avoir des hallucinations concernant les étapes de construction ou les détails de configuration, et inventer des paramètres qui déclenchent des actions involontaires, voire malveillantes.

On parle d’hallucinations lorsqu’un modèle de langage (souvent un chatbot d’IA générative ou un outil de vision par ordinateur) génère des informations incorrectes, ou fabriquées de toutes pièces, qui semblent plausibles. Lors de sa présentation par Google, le chatbot Bard affirmait que le télescope spatial James Webb avait pris les toutes premières images d’une exoplanète. Ces informations sont inexactes : la toute première photo d’une exoplanète avait été prise des années auparavant par un autre télescope. Il s’agit d’un exemple relativement bénin.

Si les hallucinations des agents sont utilisées dans les workflows DevOps, les erreurs peuvent se propager discrètement à travers le code base et les pipelines d’automatisation, s’y accumuler et provoquer des défaillances en cascade.

Les outils d’IA agentique sont également peu performants en matière de programmation. Selon une étude, les développeurs mettent quasiment 20 % plus de temps à résoudre les problèmes de code lorsqu’ils utilisent l’IA. Et le rapport State of Software Delivery 2025 révèle que les développeurs passent 67 % de temps en plus à déboguer le code généré par les outils d’IA. De nombreuses équipes de développement sont dépassées par l’ampleur des failles de code générées par l’IA, ce qui signifie que les agents IA créent parfois plus de dette technique qu’ils n’en résorbent.

Si les défis associés à l’utilisation d’outils d’IA agentiques sont importants, les passerelles d’IA peuvent contribuer à atténuer certains risques.

Les passerelles d’IA constituent une couche unifiée et légère entre les applications d’IA agentique et les modèles, les API et les outils qu’elles utilisent. Les passerelles appliquent avec cohérence les politiques de gouvernance et de conformité à tous les agents IA et outils DevOps de l’écosystème. Elles permettent donc d’éviter une application fragmentée et incohérente des paramètres.

La centralisation permet de rationaliser la mise en œuvre des protocoles de sécurité, des restrictions visant à protéger les données et de la conformité réglementaire dans les déploiements complexes et distribués. Elle aide également les agents à mieux contrôler l’accès aux API, les processus d’authentification et d’autorisation.

En outre, les passerelles aident les agents à détecter les menaces et les problèmes de code plus tôt, afin d’offrir une meilleure visibilité sur l’activité des agents. Ils fournissent un dispositif cohérent de surveillance, d’audit, de détection des anomalies et de traçabilité, afin que le comportement des agents puisse être suivi tout au long de leur cycle de vie. Parce que les passerelles d’IA rendent l’IA agentique plus observable, elles aident également les entreprises à maîtriser les problèmes liés à l’IA fantôme, ainsi que les coûts exorbitants que peut entraîner le déploiement.

Lorsqu’on lui demande si les avantages de l’IA agentique l’emportent sur les risques, M. O’Connell répond : « À 100 %. À mesure que les entreprises intégreront l’IA agentique, les garde-fous, tant techniques que culturels et éthiques, seront essentiels. Mais nous ne sommes qu’à l’aube de ce qui est possible. »

Si des défis subsistent en matière de gouvernance, de fiabilisation et d’intégration, la trajectoire est claire : les agents IA ne sont pas qu’un simple complément des pipelines DevOps et CI/CD ; ils en façonnent l’avenir. Bien plus qu’une prise de décision plus intelligente, c’est un changement culturel vers une livraison logicielle plus efficace et plus adaptative.