L’IA allait tout sécuriser, automatiser et coder (ou pas) : pourquoi on réembauche des cybersoc, ops et devs en 2026

J'observe le monde de l'IT depuis plusieurs années, et dernièrement la mode est de balancer des PowerPoint remplis de « AI-first » : agents autonomes qui scalent l’infra, corrigent les vulnérabilités seuls, génèrent du code sécurisé en 30 secondes… et la promesse que dans six mois on n’aurait plus besoin ni d’ops juniors, ni d'équipe sécurité, ni même de devs « classiques ».

J’ai souri en voyant ces takes. Parce que j’ai déjà vécu ça. Je suis dans le monde de l'IT, et plus précisément de l'infra/secu, depuis presque 20 ans et je code encore pour mes équipes ou mes propres outils, je sais exactement comment ça finit.

Back to the future

Remontons un peu le temps.

Ça va vous parler.

• Il y a 5 ans (2021) : on embauchait des « prompt experts ». Des gens payés très cher pour écrire les cinq lignes magiques qui faisaient marcher les premiers modèles avec des besoin complexes. J’ai vu des équipes entières passer des journées à tweaker des prompts pour que le LLM sorte un aws_iam_role ou un rule de WAF sans tout casser.
• Il y a 3 ans (2023) : place aux LLM experts. Fine-tuning sur des runbooks, réécriture des docs internes, eval loops sur des pipelines CI/CD. On passait du sorcier du prompt au data scientist qui savait vraiment ce qu’il faisait.
• Il y a 2 ans (2024-2025) : le vibe coding a tout emporté (le terme lancé par Andrej Karpathy en février 2025 : « fully give in to the vibes, embrace exponentials, and forget that the code even exists »). N’importe qui (même moi un dimanche soir) sortait du Terraform, du code applicatif ou des règles de détection qui « avaient l’air propres ». Impressionnant sur le moment. Jusqu’au jour où ça partait en prod avec des secrets hardcodés, des endpoints ouverts ou des permissions IAM hallucinées.
• L’année dernière (2025) : l’automatisation globale. Des agents partout. Des « AI cybersoc employees » et « AI devs » censés remplacer des équipes entières. Des millions claqués dans des outils qui promettaient de monitorer, scaler, patcher et sécuriser tout seuls. On y était presque, franchement.
• Et puis… ces derniers mois (début 2026).On commence à voir le retour de bâton, et il est violent (surtout quand on porte la casquette cybersoc). Les boîtes qui ont poussé l’IA « de force » se retrouvent avec du technical debt monstrueux : des agents qui hallucinent sur des permissions IAM (et donnent des droits admin à tout le monde, créant du « identity dark matter »), des pipelines qui marchent en démo mais cassent à 3h du mat avec des coûts cloud qui explosent, des agents vulnérables à la prompt injection via des données malveillantes, et des outils misuse qui escaladent les privilèges sans que personne ne le voie.

Retour à la réalité

Résultat ? On réembauche des experts. Des vrais cybersoc, ops et devs. Pour corriger, superviser, « parenter » l’IA comme un ado surdoué mais complètement irresponsable.

J’ai lu récemment deux articles qui résument parfaitement ce moment.

Le premier, sur Gravitee (janvier 2026) : « Lessons Learned From Exposing Real APIs Through MCP ». Ils ont vraiment exposé des APIs d’entreprise (pas des mocks) via un serveur MCP et l’ont mis entre les mains d’agents autonomes. Leur conclusion ? Le MCP ne remplace rien. Il révèle juste toutes les faiblesses qu’on avait cachées : schémas ambigus, gestion d’erreurs fragile, contrôle d’accès trop permissif, latence qui tue les workflows agents.

Certaines citations m’ont fait sourire :

If you’re building for agents, your APIs need to grow up a little.

Treat MCP not as a shortcut, but as an interface that deserves the same care as any public API.

Exactement : une API solide (et sécurisée) reste largement meilleure.

Le MCP est cool, mais si ton backend a des scopes trop larges ou des erreurs mal gérées, les agents vont juste créer des brèches sans le vouloir.

Le second sujet qui tourne partout : le cycle complet de la hype. Gartner est très clair : l’IA générative est en plein Trough of Disillusionment. Malgré un spending mondial énorme, les entreprises peinent à montrer du ROI (Retour sur investissement) concret.

Et là, on touche le point qui fait mal : le rapport MIT Media Lab/Project NANDA (2025) qui dit que 95 % des pilotes GenAI n’ont généré aucun retour mesurable. Des milliards investis et… rien (ou presque rien). Comme on le dit souvent : "Pendant la ruée vers l'or, ce ne sont pas les chercheurs d'or qui se sont le plus enrichis, mais les vendeurs de pelles et de pioches"

Les CFO commencent à tuer les projets un par un. On est passé de « l’IA va tout sécuriser et scaler » à « ok, on va peut-être d’abord faire des APIs, une infra et des guards qui ne cassent pas ».

J’ai vu des équipes qui ont laissé des agents générer 80 % de leur Terraform ou de leur code applicatif : beau sur le papier, illisible en prod, impossible à debug et plein de vulnérabilités (secrets dans le code, endpoints publics, règles de détection qui laissent passer l’essentiel).

Des coûts inference qui dépassent la facture infra classique parce que l’agent retry 47 fois sur un endpoint lent (et qui exposent des données sensibles au passage).

Et on n’est plus dans la théorie : depuis fin 2025, on a déjà vu ça en vrai.

• Décembre 2025 : l’agent Kiro d’Amazon décide tout seul de supprimer et recréer une partie de l’environnement de prod → 13 heures d’outage sur AWS Cost Explorer.
• Un deuxième incident similaire avec Kiro/Amazon Q : ingénieurs laissent l’IA faire des modifs autonomes → outage à cause de rôles IAM mal configurés.
• Et côté attaque : un environnement AWS compromis en 8 minutes seulement, grâce à un attacker qui utilise des LLM pour escalader via des creds trouvées dans un S3 public (rapport Sysdig, février 2026).
  Preuves d’IA partout : hallucinations, code qui escalade sans que personne ne voie.

Bref, le vibe coding + agents a créé exactement le même chaos que quand tout le monde a migré vers le cloud en 2010 sans gouvernance : on a tout cassé (et ouvert des portes), puis on a réembauché des gens qui savaient vraiment.

Alors oui, on avait déjà des incidents et gens qui commitait n'importe quoi sur Github bien avant l'avénement des IA, mais ce problème s'est largement intensifié ces dernières années.

L'âge de la maturité

C’est juste la maturation normale. Comme le cloud, comme les containers, comme Kubernetes. On a eu la hype, la dette technique, et maintenant la phase « on reprend les bases mais en mieux » avec une vraie couche de sécurité.

Aujourd’hui on entre dans la phase « parenting AI ». On va avoir besoin de profils hybrides qui savent :

• Découper les tâches en petits morceaux clairs (pas de prompts vagues)
• Exiger que l’IA montre son travail (logs, raisonnement, schéma explicite)
• Mettre des guards solides avant tout (policy as code, IaC linting renforcé, MCP avec rate limiting, observability et least-privilege strict)

Et surtout : comprendre le métier (cybersoc, infra, dev) avant de tout automatiser.

Ma conclusion

Moi je continue à jouer avec tout ça au quotidien. Mais je garde mon œil de vieux briscard : une bonne vieille API bien typée, documentée, avec des erreurs structurées, des scopes serrés et une vraie gouvernance IAM reste mon meilleur ami. L'IA est composé d'outils incroyables qui changent notre manière de travailler et nous assite au quotidien.

Le reste, c’est du bonus.

Et maintenant ? Mes 3 conseils concrets:

• Arrête les pilotes « fun ». Exige du ROI mesurable sur un process précis (ex : réduction de 30 % du temps de remédiation sans ouvrir de nouvelles brèches).
• Renforce tes APIs avant de les exposer via MCP ou agents. Lis l’article Gravitee, applique les règles : schémas explicites, erreurs avec retry guidance, scopes minimaux + security reviews.
• Réembauche ou forme des « AI validators » dans ton équipe. Pas pour coder tout seuls, mais pour reviewer ce que l’IA sort, surtout sur les aspects sécurité et permissions.

Et vous ? Vous en êtes où dans le cycle ? Toujours en mode full agents pour votre cybersoc, infra ou dev ? Déjà en train de tuer des projets et de réembaucher des humains ? Ou vous avez trouvé le sweet spot entre vibe et rigueur (avec de la vraie sécu) ?