Près de 380 000 applications générées par IA sont actuellement recensées sur le Web ouvert. Parmi elles, plus de 2 000 laissent filtrer des données d’entreprise ou personnelles, sans aucun contrôle d’accès, parfois accessibles à quiconque trouve l’URL. Le phénomène, appelé « vibe coding », suscite désormais des alertes généralisées, y compris chez les éditeurs historiques comme SAP.
Le marché commence à prendre la mesure du problème. Avec la banalisation d’outils comme Lovable, Replit ou Bolt, des employés non techniciens construisent et déploient des applications directement en production. Ils court-circuitent alors toute gouvernance. Pour les entreprises, l’enjeu n’est plus théorique.
Le shadow IT version 2026 : des applications en ligne sans authentification
Le vibe coding désigne la pratique consistant à décrire en langage naturel une application, que l’IA génère et déploie automatiquement. Popularisé par Andrej Karpathy, ancien d’OpenAI et de Tesla, le terme a fait florès en 2025 et 2026. Mais la réalité sur le terrain est plus brutale que la promesse marketing.
Une enquête menée par la société de cybersécurité RedAccess, relayée par Axios et WIRED en mai 2026, a cartographié ces applications accessibles publiquement. Les résultats montrent que plus de 2 000 d’entre elles étaient intégralement exposées. Certaines accordaient même des privilèges administrateur par défaut à n’importe quel visiteur tombant sur l’URL. Dans d’autres cas, les barrières se limitaient à une simple connexion par adresse email. Un filtre bien trop léger pour un environnement professionnel.
D’ailleurs, les types de données découvertes en ligne sont préoccupants :
- plannings hospitaliers contenant des informations personnelles sur des médecins ;
- historiques de conversations clients non anonymisés ;
- registres de cargaisons d’entreprises de transport ;
- résultats d’essais cliniques et données financières d’une banque.
L’ensemble de ces pages était indexé par les moteurs de recherche, ce qui rendait ces fuites accessibles sans aucune compétence technique particulière.
Le vrai mécanisme du vibe coding: l’écart décisionnel entre construction et compréhension
Le problème ne se limite pas à une négligence individuelle. Selon une analyse publiée dans le Journal du Net, ce phénomène constitue “le nouvel angle mort de la gouvernance”. Contrairement au shadow IT classique, où un service ouvre un compte SaaS sans prévenir la DSI, le vibe coding introduit une rupture. L’application est faite sur mesure, la donnée est chargée manuellement, et le produit fini atterrit sur le Web public sans qu’aucun éditeur intermédiaire ne puisse être audité.
L’alerte est d’autant plus forte que les plateformes elles-mêmes comportent des vulnérabilités. Une faille documentée (CVE-2025-48757) a notamment révélé des politiques d’accès défaillantes dans des projets générés par Lovable. Elle a exposé des données sensibles sur plus de 170 applications en production. C’est le cas typique où l’outil fonctionne visuellement, mais échoue sur la sécurité en arrière-plan.
Sur le plan juridique, l’entreprise reste responsable. Une application construite par un collaborateur qui collecte des données rattachées à la marque expose l’organisation au RGPD, au même titre qu’un outil développé officiellement par la DSI.
Les analyses techniques de Moov AI distinguent trois niveaux de risque selon l’usage :
- L’usage privé : globalement maîtrisable tant que les données restent locales.
- L’usage en équipe : on note une hausse de 50 % du risque de vulnérabilité dès que plusieurs personnes modifient le projet.
- L’usage externe : le cas le plus dangereux. Ouvrir une application vibe-codée à des clients revient généralement à créer un accès direct à des bases de données non sécurisées.

SAP contre le narratif : coder n’est pas faire un ERP
Les acteurs historiques du logiciel ne restent pas silencieux. SAP a vu sa capitalisation fondre de 40 % en douze mois sous l’effet d’un discours financier persuadé que l’IA allait remplacer les structures logicielles traditionnelles. Pourtant, son CEO Christian Klein relativise la portée de ces outils. Selon lui, l’IA générative se montre performante pour des tâches basées sur des contenus publics sur Internet. Cependant, la gestion fine des processus d’entreprise répond à d’autres contraintes juridiques et techniques.
Le CTO de SAP, Philip Herzig, appuie son argument sur une étude conjointe de Stanford et de Harvard publiée début mai 2026. Les chercheurs ont mis en place un benchmark nommé ProgramBench. Des IA devaient reconstruire des logiciels compilés (fichiers binaires) par rétro-ingénierie (reverse engineering), sans accès à Internet. Les résultats indiquent que 0 % des programmes ont été entièrement reconstitués. Aucun modèle n’est parvenu à recréer la logique interne de bout en bout.
En fait, l’ingénierie logicielle implique des contraintes d’architecture et de sécurité que le simple assemblage de lignes de code ne résout pas automatiquement. C’est le point qui différencie un prototype fonctionnel d’un outil de production sécurisé. Philip Herzig anticipe un nouveau retournement du narratif dans les prochains mois.
Ce que les dirigeants doivent faire maintenant face au vibe coding
L’interdiction pure et simple du vibe coding s’avère généralement inefficace sur le terrain, car elle pousse les pratiques vers plus de clandestinité. Pour les entreprises, la priorité est de structurer l’usage. Le Journal du Net propose une approche en quatre étapes, basée sur l’adaptation des processus internes plutôt que sur l’achat de nouveaux outils de contrôle pour limiter les risques :
- Découvrir : Recenser les outils créés par les équipes via un inventaire transparent et non punitif.
- Cartographier : Identifier à quels systèmes chaque application est connectée et vérifier systématiquement si son URL est accessible sans authentification.
- Tracer des routes balisées : Valider une liste de plateformes autorisées, définir les catégories de données autorisées (exclure les données d’identité ou financières) et imposer un standard minimal d’accès.
- Élever la compétence : Former les collaborateurs aux notions de base des contrôles d’accès et de la protection des données.
La réponse au vibe coding dépend moins d’un verrouillage technique que d’une mise à jour de la gouvernance. L’objectif est d’accompagner la création d’applications légères tout en installant les barrières de sécurité indispensables avant la mise en ligne.

