{"id":54,"date":"2026-02-17T13:30:16","date_gmt":"2026-02-17T12:30:16","guid":{"rendered":"https:\/\/frenchsimmer.com\/?p=54"},"modified":"2026-02-21T13:31:42","modified_gmt":"2026-02-21T12:31:42","slug":"no-code-low-code-et-ia-des-accelerateurs-pas-un-nouveau-paradigme-et-pourquoi-devsecops-restera-la-colonne-vertebrale","status":"publish","type":"post","link":"https:\/\/frenchsimmer.com\/index.php\/2026\/02\/17\/no-code-low-code-et-ia-des-accelerateurs-pas-un-nouveau-paradigme-et-pourquoi-devsecops-restera-la-colonne-vertebrale\/","title":{"rendered":"No-code \/ low-code et IA : des acc\u00e9l\u00e9rateurs, pas un nouveau paradigme (et pourquoi DevSecOps restera la colonne vert\u00e9brale)"},"content":{"rendered":"\n
\"\"<\/figure>\n\n\n\n

On entend parfois, avec l\u2019aplomb tranquille de ceux qui n\u2019ont jamais eu un incident en production : \u00ab Plus besoin de d\u00e9veloppeurs. \u00bb<\/strong> C\u2019est une phrase simple, donc dangereuse. Parce qu\u2019elle confond outil<\/strong> et paradigme<\/strong>.<\/p>\n\n\n\n

Ma th\u00e8se (et je vais la marteler, gentiment) : le no-code\/low-code n\u2019est pas un nouveau paradigme du d\u00e9veloppement logiciel<\/strong>. C\u2019est un outillage suppl\u00e9mentaire qui peut cr\u00e9er beaucoup de valeur sur certains segments, mais qui n\u2019ob\u00e8re pas<\/strong> les m\u00e9thodes d\u2019ing\u00e9nierie et d\u2019industrialisation existantes \u2014 notamment DevSecOps<\/strong>. Et l\u2019IA suit la m\u00eame logique : gain \u00e9vident, mais utile seulement si l\u2019on poss\u00e8de le socle de compr\u00e9hension et le cadre d\u2019industrialisation.<\/p>\n\n\n\n

\n\n\n\n

1\ufe0f\u20e3Outil vs paradigme : doctrine d\u2019emploi, pas r\u00e9v\u00e9lation mystique<\/h3>\n\n\n\n

Un paradigme, c\u2019est une mani\u00e8re stable d\u2019organiser la production et la responsabilit\u00e9 : architecture, qualit\u00e9, s\u00e9curit\u00e9, exploitation, gouvernance, comp\u00e9tences, et gestion du cycle de vie. Un outil, lui, change surtout le co\u00fbt d\u2019acc\u00e8s<\/strong> \u00e0 certaines t\u00e2ches.<\/p>\n\n\n\n

Sur ce point, Gartner est \u00e9tonnamment clair (et presque po\u00e9tique pour un communiqu\u00e9 de presse) : le low-code est pr\u00e9sent\u00e9 comme l\u2019\u00e9volution des outils de RAD<\/strong> vers le cloud\/SaaS, pas une rupture ontologique. Et Gartner pr\u00e9cise aussi que \u201cno-code\u201d n\u2019est pas un crit\u00e8re suffisant : beaucoup de configurations \u201csans code\u201d restent complexes et exigent des comp\u00e9tences sp\u00e9cialis\u00e9es.<\/p>\n\n\n\n

Donc, oui : on peut construire plus vite. Non : on ne supprime pas la gravit\u00e9 (ni la prod).<\/p>\n\n\n\n

\n\n\n\n

2\ufe0f\u20e3 Ce que le no-code\/low-code change r\u00e9ellement : l\u2019acc\u00e8s et la vitesse<\/h3>\n\n\n\n

Le vrai b\u00e9n\u00e9fice est l\u00e0 : r\u00e9duire le d\u00e9lai<\/strong> entre une intention m\u00e9tier et une solution utilisable, surtout pour des apps internes simples (workflows, formulaires, automatisations, reporting). L\u2019industrialisation ne dispara\u00eet pas, mais le prototypage et la r\u00e9alisation \u201cproche du m\u00e9tier\u201d deviennent beaucoup plus accessibles.<\/p>\n\n\n\n

Cette dynamique est massive : Gartner projette un march\u00e9 mondial des technologies low-code \u00e0 26,9 Md$ en 2023<\/strong> (+19,6% vs 2022) et souligne le r\u00f4le des \u201cbusiness technologists\u201d.<\/p>\n\n\n\n

Mais attention au pi\u00e8ge strat\u00e9gique : augmenter la vitesse de production augmente m\u00e9caniquement<\/strong> le nombre d\u2019actifs logiciels \u00e0 gouverner. Et l\u00e0, les illusions commencent.<\/p>\n\n\n\n

\n\n\n\n

3\ufe0f\u20e3 Ce que le no-code\/low-code ne change pas (jamais) : les invariants du logiciel<\/h3>\n\n\n\n

M\u00eame sans \u00e9crire de code, d\u00e8s que vous mettez en service une application, vous h\u00e9ritez des invariants :<\/p>\n\n\n\n

Identit\u00e9 et habilitations, donn\u00e9es (qualit\u00e9, conformit\u00e9, tra\u00e7abilit\u00e9), int\u00e9grations, tests (r\u00e9gression\/s\u00e9curit\u00e9), observabilit\u00e9, gestion d\u2019incidents, continuit\u00e9, mises \u00e0 jour, fin de support.<\/p>\n\n\n\n

C\u2019est pr\u00e9cis\u00e9ment ce que structure le NIST SSDF (Secure Software Development Framework)<\/strong> : un socle de pratiques pour r\u00e9duire les vuln\u00e9rabilit\u00e9s \u00e0 l\u2019\u00e9chelle du cycle de vie logiciel. Ce cadre s\u2019applique ind\u00e9pendamment du langage\u2026 et donc ind\u00e9pendamment du \u201cglisser-d\u00e9poser\u201d.<\/p>\n\n\n\n

Traduction leadership : on peut simplifier l\u2019assemblage<\/strong>, pas abolir la responsabilit\u00e9.<\/p>\n\n\n\n

\n\n\n\n

4\ufe0f\u20e3 Citizen developers : la productivit\u00e9\u2026 ou le shadow IT industrialis\u00e9 (selon votre gouvernance)<\/h3>\n\n\n\n

Gartner estime que d\u2019ici 2026, les d\u00e9veloppeurs hors DSI repr\u00e9senteront au moins 80% de la base d\u2019utilisateurs<\/strong> des outils low-code, contre 60% en 2021. C\u2019est une excellente nouvelle\u2026 si vous avez un cadre. Sinon, c\u2019est un multiplicateur de risques.<\/p>\n\n\n\n

OWASP a consacr\u00e9 un Top 10 entier aux risques du citizen development<\/strong> (low-code\/no-code, IA assist\u00e9e, agents), avec un message simple : innovation distribu\u00e9e = surface de risque distribu\u00e9e si l\u2019on ne gouverne pas (droits, donn\u00e9es, configurations, inventaire, composants, etc.).<\/p>\n\n\n\n

Ici, votre philosophie \u201cpragmatisme\u201d devient une r\u00e8gle de commandement : autonomie oui, anarchie non<\/strong>.<\/p>\n\n\n\n

\n\n\n\n

5\ufe0f\u20e3 DevSecOps n\u2019est pas \u201cl\u2019\u00e9quipe qui code\u201d : c\u2019est la capacit\u00e9 d\u2019industrialisation<\/h3>\n\n\n\n

Le contresens classique est de croire que DevSecOps est une \u201cm\u00e9thode de d\u00e9veloppeurs\u201d. En r\u00e9alit\u00e9, DevSecOps est une capacit\u00e9 organisationnelle<\/strong> : livrer vite, de mani\u00e8re reproductible, tra\u00e7able, observable, et s\u00e9curis\u00e9e.<\/p>\n\n\n\n

Le NIST (SP 800-204D) traite explicitement de l\u2019int\u00e9gration de la s\u00e9curit\u00e9 de la cha\u00eene d\u2019approvisionnement logicielle dans les pipelines CI\/CD DevSecOps \u2014 autrement dit : la discipline de pipeline, de contr\u00f4les et de tra\u00e7abilit\u00e9 devient structurante, pas optionnelle.<\/p>\n\n\n\n

Et les organisations convergent vers la m\u00eame logique avec la platform engineering<\/strong> : Gartner projette qu\u2019en 2026, 80% des grandes organisations d\u2019ing\u00e9nierie logicielle<\/strong> auront des \u00e9quipes d\u00e9di\u00e9es, fournissant une \u201cpaved road\u201d (voie balis\u00e9e) via des plateformes et portails internes pour r\u00e9duire la charge cognitive et standardiser l\u2019ex\u00e9cution. DORA insiste sur la m\u00eame id\u00e9e : la plateforme abstrait la complexit\u00e9, rend l\u2019exp\u00e9rimentation plus s\u00fbre, et r\u00e9duit le risque en rendant l\u2019\u00e9chec \u201cmoins cher\u201d et la r\u00e9cup\u00e9ration plus rapide.<\/p>\n\n\n\n

Donc non : le low-code ne remplace pas DevSecOps. Il renforce<\/strong> le besoin d\u2019une ossature DevSecOps\/plateforme, parce que vous allez produire plus, avec plus de producteurs.<\/p>\n\n\n\n

\n\n\n\n

6\ufe0f\u20e3 IA et d\u00e9veloppement : gain \u00e9vident, mais seulement si le socle existe<\/h3>\n\n\n\n

Le d\u00e9veloppement assist\u00e9 par IA suit exactement la m\u00eame logique que le low-code : acc\u00e9l\u00e9rateur<\/strong>, pas paradigme. On obtient de la vitesse (boilerplate, tests, refactoring, documentation), mais la comp\u00e9tence de fond reste indispensable : cadrage, architecture, v\u00e9rification, s\u00e9curit\u00e9, exploitation.<\/p>\n\n\n\n

Le NIST a m\u00eame publi\u00e9 SP 800-218A<\/strong>, un profil SSDF pour les pratiques de d\u00e9veloppement s\u00e9curis\u00e9 appliqu\u00e9es \u00e0 la GenAI et aux mod\u00e8les foundation \u201cdual-use\u201d. Message implicite : l\u2019IA change la forme des risques, donc la discipline doit \u00e9voluer, pas dispara\u00eetre. Et c\u00f4t\u00e9 s\u00e9curit\u00e9, le NCSC britannique rappelle que le prompt injection<\/strong> n\u2019est pas une simple \u201cSQL injection bis\u201d : les diff\u00e9rences sont cruciales et peuvent ruiner des mitigations na\u00efves.<\/p>\n\n\n\n

Pragmatisme, encore : l\u2019IA est une puissance de feu. Sans doctrine d\u2019emploi, c\u2019est juste\u2026 un gros calibre point\u00e9 vers vos propres pieds.<\/p>\n\n\n\n

\n\n\n\n

7\ufe0f\u20e3 Le pragmatisme comme boussole : \u201cbon outil, bon p\u00e9rim\u00e8tre, bon cadre\u201d<\/h3>\n\n\n\n

Votre philosophie se r\u00e9sume en une r\u00e8gle op\u00e9rationnelle : chaque solution a une zone de pertinence<\/strong>, et c\u2019est le r\u00f4le du leadership de la d\u00e9finir.<\/p>\n\n\n\n