← AI War Room
Intelligence artificielle

Le vibe coding entre en salle des marchés. Personne n'a écrit les règles.

Tech4B2B · · 4 min (mis à jour le )
Illustration : Le vibe coding entre en salle des marchés. Personne n'a écrit les règles.
  • Sujet: Le vibe coding entre en salle des marchés. Personne n'a écrit les règles.
  • Date:
ING utilise désormais quotidiennement le vibe coding sur son desk quant pour fabriquer des outils de trading FX et crédit, en s'appuyant sur un modèle Anthropic interne. Ce qui prenait des semaines à des développeurs senior se compile en heures. Au même moment, George Hotz publie un réquisitoire de six mois de tests pratiques contre les agents de codage, des scans indépendants trouvent 2 000 vulnérabilités critiques dans 5 600 applications vibe-codées en production, et Gartner anticipe une hausse de 2 500 % des défauts logiciels d'ici 2028. Le sujet n'est plus de savoir si le vibe coding entre en entreprise — c'est déjà fait, souvent sans que la DSI le sache. Le sujet est de savoir qui répond quand le code généré tombe.

ING a commencé en février. En mai, le desk quant de la banque néerlandaise utilisait le vibe coding tous les jours pour produire du code côté trading et des visualisations — tableaux de bord de pricing temps réel, flux de trades entrants, métriques de performance. Simon Bevan, responsable mondial du trading électronique, décrit une compression du temps : ce qu'une équipe de développeurs aurait sorti en semaines arrive en heures. Le modèle utilisé est un modèle Anthropic déployé en interne.

Bevan a une formule qu'il répète. Le FX exige les meilleurs développeurs parce que leur capacité à produire du code à très basse latence, fiable, capable d'absorber des volumes massifs de données, peut faire ou défaire une banque. Ce sont ces développeurs-là, senior et coûteux, que le vibe coding cesse de mobiliser sur les tâches de prototypage.

Le déploiement chez ING se fait sous supervision stricte. Des développeurs expérimentés relisent et valident la sortie de l'agent. La technologie fonctionne comme un multiplicateur de force, pas comme un remplaçant.

C'est la version que la banque communique. Elle est cohérente. Elle laisse une question de côté : ING reconnaît elle-même que les règles internes encadrant l'usage de l'IA dans les opérations de trading sont en retard sur les cadres déjà en place pour les applications IA orientées client. La couche de supervision senior est la réponse d'ING à ce vide. Ce n'est pas un cadre. C'est une pratique d'équipe, qui tient tant que les développeurs senior ont le temps de relire.

Sloptember

Cinq jours après qu'Andrej Karpathy — qui a forgé le terme « vibe coding » en 2025 — a rejoint l'équipe pre-training d'Anthropic en décrivant les agents comme ayant déjà transformé le développement logiciel, George Hotz a publié l'inverse. Hotz a craqué le premier iPhone à 17 ans, reverse-engineeré la PlayStation 3, fondé comma.ai. Son billet, « The Eternal Sloptember », s'appuie sur six mois de tests sur des projets réels : des parties de tinygrad, son framework de deep learning, et le reverse-engineering complet du firmware d'une puce USB-PCIe.

Sa conclusion : « L'adoption des agents IA dans le développement logiciel sera l'une des erreurs les plus coûteuses de l'histoire du domaine. » Les agents, écrit-il, ne sont pas des programmeurs — ce sont des modèles statistiques sophistiqués conçus pour imiter la distribution du code. La sortie est cassée, mais d'une manière de plus en plus difficile à détecter, ce qui est exactement le comportement attendu d'un modèle statistique de plus en plus précis.

L'argument de Hotz qui concerne directement un DSI n'est pas technique, il est organisationnel. Un ingénieur senior lit le code généré, repère le défaut, calibre sa confiance dans l'outil. Le développeur faible n'a pas ce réflexe — et c'est lui qui produit aujourd'hui dix fois son volume habituel. Dans une grande organisation, ce mélange de profils conduit à une dégradation accélérée de la qualité moyenne du code, masquée par une vélocité accrue. Hotz pose la question pour macOS. Elle vaut pour n'importe quelle base de code d'entreprise.

ING dit relire chaque sortie. Hotz dit que le problème commence quand la relecture ne suit plus le volume.

45 %

Les chiffres existent. Veracode a testé plus de cent modèles de langage sur des tâches de codage sensibles à la sécurité : 45 % des échantillons générés introduisent une vulnérabilité du Top 10 OWASP. Le taux de réussite est resté plat de 2025 à début 2026, pendant que les benchmarks de performance pure comme HumanEval continuaient de progresser. Les modèles plus gros ne font pas mieux sur la sécurité. Le cross-site scripting échoue dans 86 % des cas testés, le log injection dans 88 %. Java est le pire élève à 72 % d'échec.

Le projet Vibe Security Radar de Georgia Tech a tracé six CVE attribuables à du code généré par IA en janvier 2026, quinze en février, trente-cinq en mars. Les chercheurs estiment le compte réel cinq à dix fois supérieur.

Escape.tech a scanné 5 600 applications vibe-codées publiquement déployées — Lovable, Bolt.new, Base44. Résultat : plus de 2 000 vulnérabilités hautement critiques, plus de 400 secrets exposés dont des clés API et des tokens d'accès, 175 cas de données personnelles dont des dossiers médicaux et des données de paiement. Toutes en production. Toutes découvrables en quelques heures. Les commits assistés par IA exposent des secrets à un taux double de celui du code écrit par un humain : 3,2 % contre 1,5 %. Les données d'Apiiro relèvent 322 % de chemins d'escalade de privilèges en plus dans le code généré.

Le SAST traditionnel, l'outillage d'analyse statique sur lequel reposent la plupart des équipes AppSec, manque cinq catégories de risque propres au code IA : les défauts sémantiques, les dépendances hallucinées, les trous d'autorisation, la manipulation de pipeline, les attaques sur la couche de prompt. L'outillage n'a pas été conçu pour ce que produit un agent.

Le S3 bucket de 2026

Le vibe coding en entreprise n'est pas un projet pilote. C'est un fait établi, et il se déploie largement hors du périmètre de la DSI.

Le rapport Build vs. Buy 2026 de Retool, fondé sur 817 répondants, indique que 35 % des entreprises ont déjà remplacé un outil SaaS par du logiciel développé en interne, et que 78 % comptent en construire davantage cette année. Une partie de ces développements se fait, selon le même rapport, hors des garde-fous IT — parce que la vitesse de développement dépasse les processus d'achat et de gouvernance. Factory, éditeur d'agents de codage, a reconstruit en interne son workflow de support client et son outillage juridique, et remplacé une application d'analytics tierce ; plusieurs de ses clients font de même.

Gartner range ce phénomène dans une catégorie de défaut nouvelle : du code syntaxiquement correct, mais sans conscience de l'architecture système plus large ni des règles métier fines. La prévision — hausse de 2 500 % des défauts logiciels d'ici 2028 sous l'effet des approches prompt-to-app adoptées par les citizen developers — porte sur cette catégorie précise.

73,8 % des comptes ChatGPT utilisés en environnement professionnel sont non autorisés. 34 % seulement des organisations dotées d'une politique de gouvernance IA auditent réellement leurs outils non sanctionnés.

Une application vibe-codée pose la même question qu'un bucket de stockage mal configuré il y a dix ans : du frontend traité comme privé alors qu'il ne l'est pas, des secrets collés dans un prompt, du travail effectué directement en production. La différence est qu'un bucket mal configuré ne se reproduit pas tout seul. Une application générée, si.

Reltio, le retour

Il y a une autre lecture du vibe coding, plus discrète. Si construire devient trivial, la question n'est plus la production de code — c'est ce que le code touche. Une application vibe-codée qui interroge des données fragmentées, dupliquées, mal typées produit des sorties inutilisables, peu importe la qualité du modèle. Le problème se déplace vers la donnée. Il ne disparaît pas.

Bevan, chez ING, anticipe une adoption rapide du vibe coding dans tout le secteur financier, possiblement en moins d'un an. Sur ce point, sa prévision et celle de Hotz convergent. Les deux décrivent une diffusion massive et proche. Ils ne décrivent pas le même résultat.

TL;DR

Le vibe coding est déjà en production dans des environnements critiques — la gouvernance, elle, n'y est pas encore.

  • ING utilise quotidiennement le vibe coding sur son desk de trading FX et crédit avec un modèle Anthropic interne, tout en reconnaissant que ses règles internes pour l'IA en salle des marchés sont en retard sur celles des applications client.
  • Les données indépendantes convergent : 45 % du code généré par IA contient une vulnérabilité OWASP, 5 600 apps vibe-codées scannées révèlent 2 000 failles critiques en production, et les CVE attribuées au code IA ont été multipliées par six entre janvier et mars 2026.
  • 35 % des entreprises ont déjà remplacé du SaaS par du logiciel interne, souvent hors du périmètre de la DSI — le vibe coding est la nouvelle forme du shadow IT, avec une capacité d'auto-reproduction que le shadow IT classique n'avait pas.

Questions fréquentes

Notre SAST actuel couvre-t-il le code généré par les agents ?

Non, pas entièrement. L'analyse statique traditionnelle manque les défauts sémantiques, les dépendances hallucinées et les trous d'autorisation propres au code IA. Il faut compléter le pipeline, pas s'y fier tel quel.

Combien d'applications vibe-codées tournent déjà chez nous sans qu'on le sache ?

La question est l'audit, pas la supposition. Un tiers seulement des organisations avec une politique IA auditent leurs outils non sanctionnés — commencez par établir la liste réelle avant d'écrire la moindre règle.

Qui maintient l'application quand son créateur quitte l'entreprise ?

Si la propriété du code n'est pas définie dès la création, le départ d'un collaborateur transforme son application en zombie applicatif non maintenu. C'est un problème de churn RH avant d'être un problème technique.

Article rédigé par Hamadi Lanouar
Le brief tech qui compte
Chaque matin à 7h, les 5 signaux tech B2B à ne pas manquer.