Repenser l'avenir de la collaboration entre l'humain et l'IA dans le DevSecOps

Bryan Ross
GitLab

L'IA ne remplace pas les ingénieurs mais renforce la nécessité de collaboration et de partage de connaissances pour former des profils.

Chaque débat sur l'IA dans le domaine du développement logiciel revient toujours à la même hypothèse : doter les ingénieurs d'outils d'IA plus intelligents signifierait qu'un seul ingénieur pourrait accomplir le travail de toute une équipe. C'est une idée séduisante, mais erronée.

L'IA a élargi le champ des possibilités d'un développeur individuel, mais elle a également élargi l'étendue des connaissances attendues de ce développeur. Un ingénieur qui s'appuie sur l'IA pour produire du code d'infrastructure doit tout de même évaluer ses implications en matière de sécurité. Même avec un scan de sécurité assisté par l'IA, il faut toujours comprendre la logique métier sous-jacente. Plus l'IA prend en charge de tâches, plus le jugement requis pour valider ce qu'elle produit doit être large.

Les organisations qui tireront le meilleur parti de leur investissement dans l'IA seront celles qui investiront délibérément dans des pratiques collaboratives, des revues transverses, un partage structuré des connaissances et un mentorat ciblé, afin que chaque ingénieur acquière la maîtrise multidomaine dont l'IA a besoin mais qu'elle ne peut fournir. Citons l'exemple de Radio France, qui a adopté GitLab pour unifier les workflows de développement et de déploiement entre les équipes. En passant à une plateforme unique, les équipes ont réduit les changements de contexte et ont acquis une responsabilité partagée sur la livraison. Les déploiements sont devenus 5 fois plus rapides, le temps de cycle a baissé de 82 % et les équipes ont réalisé des économies substantielles.

Un excellent logiciel ne résulte pas uniquement de meilleurs outils. Il résulte de meilleures équipes.

Des fondements collaboratifs comme base solide

L’objectif central du DevSecOps est d’instaurer une culture d’ingénierie collaborative couvrant l’ensemble du cycle de vie logiciel, de la stratégie métier à l’implémentation technique. Cette culture met l’accent sur la réutilisation et les bonnes pratiques, qui améliorent directement la productivité des développeurs et l’efficacité des livraisons.

Les organisations y parviennent grâce à un système à double contrôle :

  • Les revues de code basées sur le consensus humain garantissent le transfert de connaissances et maintiennent les normes de qualité entre les disciplines.
  • Les contrôles automatisés de qualité et de sécurité détectent les problèmes avant qu'ils n'atteignent la production.

Cette approche concilie vitesse et contrôle. Elle minimise les risques liés à la gestion des changements logiciels tout en garantissant que l'accélération ne se fasse pas au détriment de la stabilité ou de la sécurité.

La plupart des organisations mettent en œuvre les processus, installent les outils et mesurent les gains de vélocité. Pourtant, elles passent à côté de la transformation plus profonde qui s’opère en coulisses.

Mécanismes de transfert de connaissances

Le modèle collaboratif fonctionne fondamentalement comme un système d’apprentissage et d’acquisition de connaissances à grande échelle. Les recherches en psychologie de l’éducation, en particulier la taxonomie de Bloom, suggèrent que la forme la plus élevée de compréhension s’obtient en enseignant des concepts à autrui.

C'est là que le système à double porte révèle sa valeur profonde. Les revues de code deviennent des sessions structurées de transfert de connaissances. Chaque personne agit en tant qu'expert dans son domaine tout en apprenant des domaines adjacents :

  • L'ingénieur en sécurité qui révise le code enseigne les pratiques de développement sécurisé tout en se familiarisant avec les exigences métier,
  • L'architecte comprend les priorités du produit tout en partageant ses connaissances sur les contraintes techniques,
  •  Le développeur junior apprend les modèles auprès des seniors tout en apportant un regard neuf sur les outils.

Cela crée un effet réseau où les connaissances de chacun élèvent les capacités de tous. L’expertise circule dans toutes les directions. Cette culture collaborative transforme l’organisation en une organisation apprenante, où chaque interaction devient une opportunité d’enseignement et de progression accélérée.

Dans cette perspective, chaque revue de code devient un moment pédagogique, chaque scan de sécurité une occasion d’apprentissage. C’est ce qui distingue certains ingénieurs : ils ont internalisé des connaissances issues de domaines adjacents grâce à des années d’interactions collaboratives.

L'ingénieur autonome : l'IA comme partenaire, pas comme substitut

L'évolution naturelle de ce modèle collaboratif est l'« ingénieur autonome », un travailleur du savoir augmenté par l'IA qui permet une indépendance et une efficacité sans précédent. La promesse reste séduisante. Chaque ingénieur se dote de partenaires IA qui gèrent les tâches de bas niveau, telles que la mémorisation, la compréhension et l'application basique des concepts. Confier ces tâches redondantes à un agent réduit considérablement la charge cognitive, libérant ainsi des capacités mentales pour la réflexion de haut niveau, notamment l’analyse, l’évaluation et la résolution créative de problèmes.

C’est ainsi que l’IA peut amplifier les capacités humaines plutôt que de les remplacer. Une récente étude de GitLab a révélé que, bien que 83 % des professionnels du DevSecOps estiment que l’IA va considérablement modifier leur rôle au cours des cinq prochaines années, 76 % s’accordent à dire que l’IA va en réalité créer un besoin accru d’ingénieurs, et non l’inverse.

Cependant, un discours contraire dangereux émerge dans les cercles dirigeants. Certains dirigeants pensent que des agents IA hautement performants peuvent remplacer entièrement les travailleurs du savoir. Cela représente une incompréhension fondamentale de la manière dont les personnes développent leur expertise.

Même avec une IA hautement performante, vous avez toujours besoin d’experts humains capables de :

  • Évaluer les résultats dans plusieurs disciplines,
  •  Établir la confiance dans les recommandations de l’IA,
  •  Fournir un jugement spécifique au domaine,
  • Assumer la responsabilité des systèmes de production.

En réalité, une étude de GitLab a révélé que 40 % des professionnels DevSecOps s’accordent à dire que les outils d’IA vont en réalité accélérer l’évolution de carrière des développeurs juniors.

L’argument selon lequel « nous n’avons plus besoin de développeurs juniors » ignore le fait que quelqu’un doit toujours examiner, valider et assumer la responsabilité de ce que produit l’IA. Les développeurs juniors ne se contentent pas d’écrire du code ; ils apprennent à l’évaluer dans de multiples domaines, acquérant ainsi le jugement nécessaire pour vérifier les résultats de l’IA.

L'argument inverse, selon lequel l'IA pourrait remplacer les architectes expérimentés et les développeurs seniors, reste tout aussi problématique. Cette logique suggère que nous pourrions ignorer complètement l'apprentissage fondamental et restructurer l'enseignement de l'informatique pour nous concentrer uniquement sur la programmation d'agents IA. Mais sans comprendre à quoi ressemble un bon code dans les domaines de la sécurité, de l'infrastructure et des affaires, comment ces diplômés sauraient-ils si les résultats de l'IA sont corrects ? Ces deux extrêmes passent à côté de l'essentiel.

Le véritable goulot d'étranglement : une sagesse collective limitée

La véritable contrainte n'est pas la capacité de l'IA. C'est la rareté des personnes capables d'agir en tant qu'« ingénieur autonome ». Il faut des ingénieurs possédant des compétences suffisantes dans plusieurs domaines pour évaluer efficacement les résultats de l'IA en matière de sécurité, d'infrastructure, de qualité et de logique métier. Et il faut des formateurs qui comprennent comment former ces professionnels polyvalents.

Le modèle collaboratif issu de l'objectif initial du DevSecOps reste essentiel, car c'est le mécanisme par lequel les individus développent l'étendue de leurs connaissances. L'ingénieur autonome n'est pas quelqu'un qui travaille en isolation. Cette personne a intériorisé la sagesse collective de l'équipe interfonctionnelle et peut désormais travailler avec l'aide de l'IA tout en conservant le jugement et la responsabilité que seule l'expertise humaine peut apporter.

La voie à suivre

Les organisations sont confrontées à un choix crucial. La voie tentante consiste à considérer l'IA comme une stratégie de réduction des coûts en remplaçant des talents seniors coûteux par des outils moins chers et par quiconque sait les utiliser. Cette voie mène à des systèmes fragiles, à une dette technique et, en fin de compte, à l'échec.

La voie durable reconnaît que l'IA sert d'outil qui amplifie les capacités existantes, mais ne peut remplacer le jugement qui découle d'une connaissance approfondie et interfonctionnelle.

Les entreprises qui s'imposeront sont celles qui miseront davantage sur l'apprentissage collaboratif tout en investissant simultanément dans l'augmentation par l'IA. Elles comprennent que pour créer un ingénieur autonome, il faut d'abord constituer une équipe qui forme chaque individu dans de multiples domaines. Elles reconnaissent que le processus de révision du code permet de transférer les connaissances nécessaires pour utiliser efficacement les outils d'IA. Elles investissent dans la mise en place de systèmes de transfert de connaissances qui forment des ingénieurs capables de travailler de manière autonome, après avoir appris du collectif.

Cela illustre le paradoxe de l'ère de l'IA dans la livraison de logiciels. À mesure que nos outils d'IA deviennent de plus en plus performants, la valeur de l’apprentissage collaboratif devient essentiel. La seule façon de former des individus capables d’exploiter ces outils est de passer par le transfert de connaissances interdisciplinaire permis par le DevSecOps.

Nous devons toujours augmenter la productivité, maximiser l'efficacité et réduire les risques. Ce qui a changé, c'est notre compréhension du fait que la réalisation de ces objectifs à grande échelle nécessite à la fois l'apprentissage collaboratif et l'augmentation par l'IA, et non un choix entre les deux.

L'avenir appartient aux organisations qui développent des cultures où chacun enseigne, chacun apprend et chacun devient capable de fonctionner comme un ingénieur autonome lorsqu'il est augmenté par l'IA. En fin de compte, le véritable avantage concurrentiel n'est pas l'IA ; ce sont les personnes qui savent comment l'appliquer efficacement.