Marcus Chen, YuSMP Group
Marcus Chen Staff Engineer (Backend & Cloud), YuSMP Group · SaaS multitenant, AWS/GCP, plateformes web en production

La réponse en 60 secondes

Le vibe coding — décrire ce que l'on veut à une IA et accepter l'essentiel du code — est le plus grand bouleversement dans la façon de construire des applis web depuis la guerre des frameworks. En 2026, il est réellement transformateur pour les premiers 70 % d'un produit. C'est aussi de là que vient une vague de lancements bloqués, d'incidents de sécurité et de réécritures coûteuses. La version courte :

  • Il gagne pour : les prototypes, les MVP de validation, les outils internes, le scaffolding d'UI, les scripts ponctuels et le code répétitif et fastidieux de n'importe quel projet.
  • Il casse pour : l'autorisation, l'isolation des données multitenant, la concurrence, les états d'erreur, l'accessibilité, la performance sous charge, la sécurité et la conformité réglementaire (RGPD, CCPA, HIPAA, PCI DSS).
  • Le coût réel : la démo représente 10 à 20 % du travail. Une v1 prête pour la production sur une base en vibe coding se situe quand même à 60 000–180 000 EUR en termes US/UE — l'IA fait gagner du temps de discovery, pas du temps d'ingénierie.
  • Le pattern gagnant : l'IA écrit le premier jet et le code répétitif ; les ingénieurs seniors maîtrisent l'architecture, la sécurité, les données et les arbitrages. Les équipes qui procèdent ainsi livrent 20 à 40 % plus vite. Celles qui livrent la sortie de l'IA sans relecture accumulent des défauts qui effacent le gain en un trimestre.

Ce que « vibe coding » veut vraiment dire en 2026

Le terme a été popularisé par Andrej Karpathy début 2025 : construire un logiciel en disant à une IA ce que l'on veut en langage clair et en pilotant par le résultat plutôt qu'en écrivant chaque fonction à la main. Mi-2026, c'est devenu une façon courante de démarrer un projet. Les outils ont mûri rapidement :

  • Agents dans le dépôt — Cursor et Claude Code travaillent directement dans un vrai codebase, lisant et éditant de nombreux fichiers, exécutant les tests et itérant face aux erreurs.
  • Prompt-vers-UI — v0 (Vercel), Lovable et Bolt transforment une phrase en un front-end Next.js/React fonctionnel avec composants et routage.
  • Scaffolders full-stack — ces mêmes agents câblent une base de données, une API et l'authentification à partir d'une description en quelques minutes.

La capacité est réelle et ce n'est pas du battage. Un ingénieur senior équipé de ces outils est nettement plus rapide. Le piège consiste à traiter « ça tourne et ça a l'air correct » comme « c'est prêt pour les clients ». Ce sont deux affirmations très différentes, et c'est dans l'écart entre les deux que vit cet article.

Là où le vibe coding gagne vraiment

Soyons justes avec la technique. Il existe des catégories où le vibe coding n'est pas seulement acceptable mais le choix par défaut correct en 2026 :

  1. Prototypes et MVP de validation. Quand l'objectif est de savoir si quelqu'un veut la chose, un prototype jetable construit par IA répond à la question en jours, pas en semaines. Du code jetable pour une hypothèse jetable, c'est de la bonne économie.
  2. Outils internes. Un tableau de bord d'administration utilisé par dix employés derrière votre VPN a un rayon d'impact réduit. Livrez-le, itérez, passez à la suite.
  3. Scaffolding d'UI. Générer la première version d'une bibliothèque de composants, d'une mise en page ou d'un formulaire — puis l'affiner à la main — est plus rapide que de partir d'un fichier vierge.
  4. Code répétitif et glue. Endpoints CRUD, définitions de types, fixtures de test, fichiers de migration, configuration — les 60 % répétitifs de n'importe quel codebase que l'IA écrit correctement et inlassablement.
  5. Exploration. Essayer trois approches architecturales en un après-midi pour voir laquelle semble la bonne, avant d'engager une équipe sur l'une d'elles.

Si votre projet correspond à l'un de ces cas, une grande partie de la prudence de cet article ne s'applique pas. Le risque commence dès l'instant où un artefact en vibe coding cesse d'être jetable et se met à héberger de vraies données clients.

Deux ingénieurs relisant ensemble du code d'application web généré par IA
Le pattern qui fonctionne en 2026 : l'IA rédige, un ingénieur senior relit chaque ligne qui touche à l'authentification, aux données et à l'argent.

Sept endroits où les applis web générées par IA cassent en production

Voici les modes de défaillance que nous rencontrons le plus souvent quand une appli en vibe coding affronte du vrai trafic, de vraies données et de vrais régulateurs. Aucun n'apparaît dans une démo. Tous apparaissent en troisième semaine.

  1. L'autorisation, pas l'authentification. L'IA ajoute de façon fiable un écran de connexion. Elle oublie régulièrement que l'utilisateur A ne doit pas pouvoir lire les enregistrements de l'utilisateur B en changeant un identifiant dans l'URL. L'autorisation cassée au niveau objet (IDOR) est le défaut le plus courant que nous trouvons dans les applis générées par IA.
  2. Isolation des données multitenant. « Ajoute des organisations à mon SaaS » produit une colonne tenant et des requêtes qui oublient de filtrer dessus quelque part. Un seul WHERE tenant_id = ? manquant est une fuite de données entre tenants et, dans l'UE, une violation RGPD à notifier.
  3. Concurrence et conditions de course. L'IA écrit du code lire-modifier-écrire qui fonctionne pour un utilisateur et corrompt les données à deux. Doubles dépenses, mises à jour perdues, débits dupliqués — les bugs qui n'apparaissent que sous charge.
  4. États d'erreur et cas limites. Le chemin nominal est impeccable. Le délai réseau dépassé, la liste vide, le formulaire à moitié soumis, le jeton expiré — souvent non gérés, si bien que l'appli affiche un écran blanc ou une stack trace à un client payant.
  5. Performance sous charge. Requêtes N+1, index manquants, ensembles de résultats non bornés, aucun cache. Rapide avec dix lignes, inutilisable avec un million. L'IA optimise pour « ça marche », pas pour « ça marche à l'échelle ».
  6. Hygiène de sécurité. Secrets committés dans le dépôt, SQL construit par concaténation de chaînes, CSP et en-têtes de sécurité manquants, dépendances avec des CVE connues, CORS trop permissif. Chacun est un correctif d'une ligne qu'un ingénieur senior repère et que l'IA livre allègrement.
  7. Accessibilité et conformité. Les UI générées manquent les bases du WCAG 2.2 AA — pièges au clavier, libellés manquants, contraste insuffisant. Dans l'UE, l'Acte sur l'accessibilité (EAA) en a fait une exigence légale de base en 2025 ; aux États-Unis, c'est une exposition à l'ADA.

Le problème des 70 % — le dernier kilomètre qui n'en est pas un

Il existe un schéma si constant qu'il mérite un nom. L'IA vous amène à environ 70 % d'un produit fonctionnel à une vitesse stupéfiante. Le problème, c'est que les 30 % restants ne sont pas les derniers 30 % du travail — c'est l'essentiel du travail, et c'est la partie difficile.

Les premiers 70 %, ce sont les fonctionnalités qui se démontrent bien. Les 30 % finaux, c'est tout ce qui rend un logiciel digne de confiance : la matrice d'autorisation, le modèle de données qui survit au contact d'un usage réel, la suite de tests qui permet de modifier le code sans crainte, l'observabilité qui vous dit ce qui a cassé à 3 h du matin, le budget de performance, la posture de sécurité, l'accessibilité, la paperasse de conformité. C'est précisément le travail qui exige du jugement, une réflexion au niveau système et de l'expérience — et précisément là où l'IA d'aujourd'hui est la plus faible sans un ingénieur senior pour piloter chaque étape.

Pire, les 70 % reposent souvent sur des hypothèses que les 30 % invalident. Un modèle de données qui a ignoré la multitenancy, une approche d'authentification qui ne passe pas à l'échelle des rôles et permissions, un front-end sans error boundaries — corriger cela tardivement signifie réécrire en partie les 70 % confortables que vous croyiez terminés. C'est pourquoi le « on y est presque » peut durer des mois.

Le coût réel de la mise en production d'une appli en vibe coding

Le modèle mental dangereux, c'est « l'IA l'a construit en un week-end, donc le finir est un petit boulot ». La comptabilité honnête est l'inverse. Traitez le prototype comme 10 à 20 % de l'effort total.

Une démo réalisée en un week-end nécessite généralement 8 à 16 semaines d'ingénierie senior pour devenir un produit lançable : un vrai modèle de données, une matrice d'autorisation, une suite de tests, l'observabilité, le durcissement de la sécurité, l'accessibilité, la CI/CD et les tests de charge. En termes de budget US et UE, une v1 prête pour la production construite sur une base en vibe coding se situe généralement entre 60 000 et 180 000 EUR selon le périmètre — soit la même fourchette qu'un MVP développé à la main. Voir notre décomposition dans combien coûte un MVP en 2026.

Ce que l'IA fait réellement gagner, c'est du temps de discovery — les semaines passées à décider quoi construire et à le valider auprès des utilisateurs. C'est une vraie valeur. Cela ne fait pas gagner l'ingénierie nécessaire pour rendre la chose sûre, rapide et maintenable. Les fondateurs qui budgètent comme si c'était le cas sont ceux qui se retrouvent à court de trésorerie à 80 % « terminé ».

PhaseVibe codingIngénierie senior
Démo / prototype fonctionnelHeures–joursCadre le périmètre, conserve les décisions produit
Modèle de données & multitenancySouvent fauxConçu pour l'isolation et l'échelle
Authentification & autorisationConnexion seulementRôles, permissions, contrôles au niveau objet
Tests & CIRares ou absentsCouverture des chemins critiques, CI bloquante
Sécurité & conformitéAu cas par casOWASP, en-têtes, RGPD/CCPA dès la conception
Performance & observabilitéNon testée sous chargeBudgets, index, RUM, alerting

Checklist de mise en production pour les applis web générées par IA

Avant de mettre une appli en vibe coding devant de vrais utilisateurs, parcourez cette liste. Si vous ne pouvez pas cocher chaque case, vous avez un prototype, pas un produit.

  • Matrice d'autorisation — chaque endpoint et chaque accès à un enregistrement vérifie qui est autorisé. Testez explicitement l'attaque « changer l'identifiant dans l'URL ».
  • Isolation des tenants — si c'est multitenant, prouvez qu'aucune requête ne peut renvoyer les données d'un autre tenant. Row-level security Postgres ou une couche de scoping imposée, pas la seule discipline.
  • Secrets — rien de sensible dans le dépôt ou le bundle client ; secrets dans un gestionnaire ; historique nettoyé si quoi que ce soit a fuité.
  • Traitement des entrées — requêtes paramétrées partout, validation sur chaque entrée, encodage des sorties pour stopper le XSS.
  • États d'erreur — délais dépassés, états vides, défaillances partielles et sessions expirées tous gérés avec une UI sensée.
  • Tests sur les chemins critiques — authentification, paiements, écritures de données couverts, exécutés en CI, bloquant les merges en cas d'échec.
  • Budget de performance — Core Web Vitals (LCP < 2,5 s, INP < 200 ms, CLS < 0,1), pas de requêtes N+1, index en place, testé sous charge.
  • Accessibilité — WCAG 2.2 AA : clavier, lecteur d'écran, contraste, libellés. Base EAA (UE) et ADA (US).
  • Observabilité — logs structurés, suivi des erreurs (Sentry), monitoring utilisateur réel, alertes sur les chemins qui comptent.
  • Conformité — traitement des données RGPD/CCPA, consentement là où il est requis, DPA avec les prestataires, un chemin de suppression de données défendable.

Comment les équipes seniors utilisent vraiment l'IA en 2026

La conclusion n'est pas « n'utilisez pas l'IA ». Au contraire — les équipes qui gagnent en 2026 l'utilisent agressivement, avec de la discipline autour. Le workflow qui fonctionne :

  1. L'IA écrit le premier jet. Code répétitif, composants, CRUD, tests, refactos — laissez l'agent faire la frappe.
  2. Un ingénieur senior maîtrise l'architecture. Modèle de données, conception de l'authentification, frontières de services, stratégie de tenancy — décidés par un humain avant que l'IA n'en remplisse le corps.
  3. Chaque ligne qui touche à l'authentification, aux données ou à l'argent est relue. Le niveau d'exigence en revue ne baisse pas parce qu'une machine l'a écrit. Au contraire, il monte — l'IA écrit du code plausible, assuré et faux.
  4. Tout est typé. TypeScript de bout en bout, frontières validées par schéma. Les types attrapent gratuitement une large part des erreurs de l'IA.
  5. Tests et CI comme filet de sécurité. Évaluations pour les changements assistés par IA, CI bloquante, pas de merge au rouge. Les tests sont la façon dont vous faites confiance à du code que vous n'avez pas écrit à la main.
  6. Sécurité et accessibilité dans la définition de « terminé » — pas un ticket pour plus tard.

Réalisée ainsi, l'IA est un véritable accélérateur de 20 à 40 % sur de vrais codebases. L'accélération vient de la suppression de la frappe et du code répétitif, pas de la suppression du jugement d'ingénierie. C'est la partie pour laquelle vous payez une équipe senior — et celle qui empêche votre lancement de devenir une notification de violation. C'est exactement ainsi que nous construisons dans nos missions de développement d'applications web.

Développeur relisant du code sur un ordinateur portable avant la mise en production
La passe de relecture est l'endroit où la vitesse du vibe coding devient sûre pour la production. Elle n'est pas optionnelle, et elle n'accélère pas parce que l'IA a écrit le brouillon.

Quand garder le prototype et quand le réécrire

Un prototype en vibe coding n'est pas du gaspillage — même si vous réécrivez le code. Les deux choses qui valent la peine d'être conservées sont presque toujours les décisions produit (quels écrans existent, quels sont les flux, ce à quoi les utilisateurs ont réagi) et la preuve que l'idée fonctionne. Traitez le prototype comme une spécification exécutable.

Gardez et durcissez le code quand : l'architecture est saine, le modèle de données résiste à l'examen et les manques sont additifs (tests, gestion des erreurs, observabilité). Réécrivez les fondations quand : la tenancy ou l'authentification n'ont jamais été conçues, le modèle de données combat le produit, ou la revue de sécurité révèle des problèmes systémiques. En pratique, la plupart des missions de production sont hybrides — garder la couche produit front-end, ré-ingénierer le cœur données et authentification. La décision doit être prise délibérément par quelqu'un qui a livré des systèmes en production, pas par inertie.

FAQ

Qu'est-ce que le vibe coding ?

Construire un logiciel en décrivant ce que l'on veut à un outil d'IA (Cursor, Claude Code, v0, Lovable, Bolt) et en acceptant l'essentiel du code généré sans en lire chaque ligne. Inventé par Andrej Karpathy début 2025. Excellent pour les prototypes ; risqué comme seule discipline derrière un système en production.

Peut-on mettre en production une appli créée en vibe coding ?

Oui, mais rarement telle quelle. L'IA vous amène vite à ~70 % du chemin ; les 30 % restants — autorisation, multitenancy, concurrence, erreurs, accessibilité, performance, sécurité, RGPD/CCPA — c'est là que vit la production et où l'IA est la plus faible sans un ingénieur senior. Gardez les décisions produit, ré-ingénierez les fondations.

Le vibe coding est-il sûr pour une vraie entreprise ?

Pour les outils internes et les MVP de validation, oui. Pour tout ce qui stocke des données clients, encaisse des paiements ou comporte une exposition réglementaire, du code IA non relu est un passif — contrôles d'autorisation manquants, secrets fuités, SQL non paramétré et fuites entre tenants sont les incidents courants. Une relecture senior et de vrais tests sont non négociables.

Combien coûte le passage d'un prototype en vibe coding à la production ?

Prévoyez que le prototype représente 10 à 20 % du total. Une démo de week-end nécessite généralement 8 à 16 semaines d'ingénierie senior — 60 000–180 000 EUR en termes US/UE, la même fourchette qu'un MVP développé à la main. L'IA fait gagner du temps de discovery, pas du temps d'ingénierie.

Quels outils de codage IA sont les meilleurs pour le développement web en 2026 ?

Cursor et Claude Code pour le travail agentique dans le dépôt ; v0, Lovable et Bolt pour le prompt-vers-UI. L'outil compte moins que la discipline : code typé, tests, revue de code et évaluations.

L'IA va-t-elle remplacer les développeurs web en 2026 ?

Non — elle change ce qu'ils font. L'IA gère le premier jet et le code répétitif ; les seniors maîtrisent l'architecture, la sécurité, les données et le jugement. Les équipes qui l'adoptent bien livrent 20 à 40 % plus vite ; celles qui la livrent sans relecture accumulent une dette qui efface le gain en un trimestre.

Mettez le prototype en production pour de vrai

Nous amenons les applis web générées par IA de la démo impressionnante au produit de niveau production — authentification, multitenancy, performance, sécurité et RGPD/CCPA — pour les équipes en France, en Belgique et au Luxembourg. Uniquement des ingénieurs seniors, un cadrage honnête, aucun junior caché derrière les factures.

Dernière mise à jour le 7 juin 2026.