La prochaine ère du DevSecOps

Sébastien Zins
GitLab

L'IA démultiplie l'impact des ingénieurs, mais ceux capables de mener seuls de grands projets seront surtout des profils expérimentés, formés en équipe.

Aujourd'hui, 86 % des dirigeants français affirment que l'innovation logicielle est devenue une priorité stratégique majeure. L'IA crée un effet de levier sans précédent pour les ingénieurs, puisqu'une personne peut désormais accomplir des projets qui nécessitaient autrefois des équipes entières.

Pourtant, un paradoxe subsiste : les ingénieurs qui bâtiront ces empires seuls ne sont pas seulement des experts en code. Ils ont passé des années au sein d'équipes collaboratives et ont intégré des connaissances en matière de sécurité, d'infrastructure, de logique métier et d'assurance qualité.

Le secteur du logiciel se dirige vers un avenir où les compétences individuelles seront renforcées par l'IA. Pourtant, le fondement de cet avenir est précisément ce que de nombreuses entreprises françaises abandonnent : la collaboration approfondie et transversale. Comprendre cette contradiction révèle le véritable rôle de l'IA dans la livraison de logiciels.

La collaboration comme socle

L'objectif fondamental du DevSecOps est d'établir une culture d'ingénierie collaborative qui s'étend sur l'ensemble du cycle de développement logiciel, de la stratégie commerciale à la mise en œuvre technique. Cette culture se concentre sur le caractère réutilisable et les bonnes pratiques qui améliorent directement la productivité des équipes de développement ainsi que l'efficacité de la livraison. 

Les organisations y parviennent grâce à un système à double contrôle :

  • Les revues de code basées sur le consensus humain assurent le transfert de connaissances et maintiennent les normes de qualité entre les disciplines.
  • Les contrôles automatisés de qualité et de sécurité détectent les problèmes avant qu'ils n'atteignent la production.

Cette approche combine vitesse et contrôle. Elle réduit les risques liés à la gestion des changements logiciels et garantit que l'accélération ne se fait pas au détriment de la stabilité ou de la sécurité.

La plupart des organisations s'arrêtent là. Elles mettent en œuvre les processus, installent les outils et mesurent la vélocité des améliorations. Mais elles passent à côté d'une transformation plus profonde en arrière-plan.

Le transfert de connaissances

Le modèle collaboratif concerne fondamentalement l'apprentissage et la maîtrise des connaissances à grande échelle. Les recherches en psychologie de l'éducation, notamment la taxonomie de Bloom, suggèrent que la forme de maîtrise la plus élevée s'obtient en enseignant des concepts. C'est là que le système à double contrôle révèle sa véritable valeur. Les revues de code deviennent des sessions structurées de transfert de connaissances. 

Chaque personne opère comme un expert dans son domaine et apprend des domaines connexes :

  • L'ingénieur sécurité qui révise le code enseigne les pratiques de développement sécurisées et découvre en même temps les exigences métiers.
  • L'architecte comprend les priorités produit et partage ses connaissances sur les contraintes techniques.
  • Le développeur junior apprend les modèles auprès de ses collègues seniors et livre de nouvelles perspectives sur les outils.

Grâce à cet effet de réseau, les connaissances de chacun améliorent les compétences de tous les collaborateurs. Cette culture collaborative favorise une organisation de l'apprentissage dans laquelle chaque interaction crée des opportunités d'enseignement et de croissance accélérée.

Un exemple concret de cette culture est la société de conseil Sopra Steria. En modernisant ses pratiques de développement sur une plateforme partagée, le groupe a consolidé ses projets et diffusé les bonnes pratiques à grande échelle afin de bâtir un socle commun de savoir-faire technique pour l'ensemble du département informatique.

Lorsque vous envisagez le DevSecOps sous cet angle, la revue de code devient un moment propice à l'enseignement. Les scans de sécurité se révèlent une opportunité d'apprentissage. Chaque interaction favorise le transfert de connaissances et le développement d'une expertise. C'est ce qui distingue certains ingénieurs : ils ont intégré les connaissances des domaines connexes grâce à des années de collaboration.

Le partenariat entre humains et IA

L'évolution naturelle de ce modèle collaboratif est une « équipe d'une personne », soit un employé qualifié assisté par l'IA qui lui confère une autonomie et une efficacité sans précédent. La promesse est convaincante : chaque ingénieur utilise des agents d'IA qui gèrent des tâches subalternes, telles que mémoriser, comprendre et appliquer des concepts de base. Enseigner à un agent à effectuer ces tâches redondantes réduit considérablement la charge cognitive et libère la capacité mentale pour des réflexions plus avancées, notamment l'analyse, l'évaluation et la résolution créative de problèmes.

C'est de cette manière que l'IA peut amplifier les compétences humaines plutôt que de les remplacer. Un récent rapport a révélé que bien que 61 % des dirigeants français aient constaté une croissance commerciale directement liée à l'innovation logicielle au cours de l'année écoulée, 92 % estiment que les entreprises devraient privilégier la formation des collaborateurs afin que ceux-ci puissent travailler aux côtés de l'IA plutôt que de les remplacer.

Cependant, un contre-discours dangereux émerge dans les cercles de dirigeants. Certains sont d'avis que des agents d’IA hautement performants peuvent remplacer entièrement les collaborateurs qualifiés. Ce point de vue représente une incompréhension fondamentale de la manière dont les personnes développent leur expertise. 

Même avec une IA hautement performante, des experts humains sont toujours nécessaires pour :

  • Évaluer les résultats dans plusieurs disciplines
  • Établir la confiance dans les recommandations de l'IA
  • Fournir un jugement spécifique au domaine
  • Assumer la responsabilité des systèmes de production

En France, 75 % des dirigeants estiment que les humains devraient continuer à contribuer au moins à la moitié du travail dans le cadre d'un partenariat entre humains et IA. Cette perspective renforce d'autant plus la nécessité d'un développement continu des compétences.

L'argument selon lequel nous n'avons plus besoin de développeurs juniors ignore le fait qu'un humain doit toujours réviser, valider et assumer la responsabilité de ce que l'IA produit. Les équipes de développement junior ne se contentent pas d'écrire du code. Elles apprennent à l'évaluer dans plusieurs domaines et développent ainsi l'expertise nécessaire pour vérifier les résultats fournis par l'IA.

L'argument opposé selon lequel l'IA pourrait remplacer les architectes expérimentés et les développeurs seniors est tout aussi problématique. Cette logique suggère que nous pourrions éliminer entièrement l'apprentissage fondamental et restructurer l'enseignement de l'informatique pour se concentrer uniquement sur les interactions avec des agents d'IA. Mais sans comprendre à quoi ressemble un bon code en matière de sécurité, d'infrastructure et de domaines métiers, comment ces jeunes diplômés pourront-ils savoir si les résultats de l'IA sont corrects ? Ces deux arguments extrêmes passent à côté de l'essentiel.

Le véritable défi : capitaliser sur le savoir collectif

La véritable contrainte n'est pas la capacité de l'IA, mais bien le manque de personnes qui peuvent réellement opérer comme une « équipe d'une personne ». Vous avez besoin d'ingénieurs avec des compétences suffisantes dans plusieurs domaines pour évaluer efficacement les résultats de l'IA en matière de sécurité, d'infrastructure, de qualité et de logique métier. Et vous avez besoin de formateurs qui comprennent comment développer ces talents polyvalents.

Le modèle collaboratif de l'objectif initial du DevSecOps reste essentiel, car il s'agit d'un mécanisme qui favorise le développement des connaissances. L'équipe composée d'une seule personne ne travaille pas de manière isolée : elle a intégré le savoir collectif de l'équipe interfonctionnelle et peut désormais opérer avec l'IA tout en maintenant le jugement et la responsabilité que seule l'expertise humaine peut fournir.

La voie à suivre

Les organisations font face à un choix critique. La voie tentante consiste à considérer l'IA comme une stratégie de réduction des coûts en remplaçant les talents seniors coûteux par des outils moins onéreux et des personnes capables de les utiliser. Cette approche entraîne des systèmes fragiles, une dette technique et, au final, est vouée à l’échec.

La voie durable reconnaît que l'IA est un outil qui amplifie les compétences existantes mais ne peut pas remplacer la capacité d’analyse qui découle d'une maîtrise approfondie et interfonctionnelle. 

Pour obtenir des résultats, les entreprises doivent redoubler d'efforts dans l'apprentissage collaboratif et investir simultanément dans l'IA. Elles savent que créer une « équipe d'une personne » nécessite d'abord une équipe qui forme chaque individu dans plusieurs domaines. Elles reconnaissent que le processus de revue de code contribue à transférer les connaissances nécessaires pour utiliser efficacement les outils d'IA. Elles investissent dans des systèmes de transfert de connaissances avec des ingénieurs capables de travailler de manière autonome, étant donné qu'ils ont appris de leurs collaborations.

C'est le paradoxe de l'ère de l'IA dans la livraison de logiciels. À mesure que nos outils d'IA gagnent en performances, la valeur de l'apprentissage collaboratif se renforce également. Une utilisation efficace de ces outils requiert un transfert de connaissances transversal rendu uniquement possible par le DevSecOps.

L'objectif n'a pas changé. Nous devons toujours améliorer la productivité, accroître l'efficacité et réduire les risques. Notre compréhension a en revanche changé : atteindre ces objectifs à grande échelle nécessite à la fois un apprentissage collaboratif et une utilisation de l'IA, et ne demande pas de choisir entre les deux.

L'avenir appartient aux organisations qui créent des cultures où chacun enseigne, apprend et devient capable de fonctionner comme une « équipe d'une personne » lorsqu'il collabore avec l'IA. En fin de compte, le véritable avantage concurrentiel n'est pas l'IA ; ce sont les personnes qui savent comment l'utiliser efficacement.