IA agentique : comment guider l'avénement des citizen developers

L’essor du « citizen developer » augmenté à l’IA

Historiquement, les citizen developers étaient des métiers formés à travailler dans des environnements low-code/no-code. Ils créaient des applications relativement simples. Ces outils se limitaient généralement à des plateformes structurées et à des modèles prédéfinis. Ils prenaient souvent en charge des fonctions dans les domaines des ressources humaines, des finances ou des opérations. Bien qu’ils aient accéléré la mise en œuvre pour les cas d’usage courants, les utilisateurs dépendaient encore fortement de la DSI pour les intégrations complexes, l’architecture et la gouvernance.

Aujourd’hui, l’IA générative élargit rapidement l’éventail des possibilités de ces utilisateurs. Les employés peuvent désormais décrire les résultats souhaités en langage naturel. Ils génèrent ainsi des applications fonctionnelles avec un minimum de connaissances techniques.

Aleks Bass, directrice des produits et des technologies chez Typeform, une plateforme interactive de création de formulaires et d’automatisation, décrit cette évolution comme un changement de niveau d’exigence. « L’IA générative a abaissé la barrière à l’entrée. La question n’est plus “savez-vous coder ?”, mais “savez-vous raisonner sur un problème métier ?” », affirme-t-elle.

Matt Kunkel, PDG et cofondateur de LogicGate, une entreprise spécialisée dans la gouvernance, les risques et la conformité dans les écosystèmes SaaS, souligne également l’ampleur de cette évolution. « L’omniprésence de l’IA signifie que n’importe quel employé peut être un citizen developer », souligne-t-il.

D’autant que les plateformes low-code/no-code destiné aux entreprises, telles que Microsoft Power Platform, ServiceNow et Salesforce Flow, intègrent désormais des fonctionnalités de développement assistées par l’IA. Elles doivent rendre la création d’applications plus accessibles que jamais.

Un contexte favorable

Au-delà des avancées technologiques, les inefficacités de longue date des modèles de développement traditionnels sont également à l’origine de cette évolution.

« Le processus de développement traditionnel est très long […] », explique Hugo Huang, directeur produit chez Canonical. « Au moment où une application est livrée, les exigences ont peut-être déjà changé », ajoute-t-il.

Les pressions organisationnelles jouent un rôle tout aussi important. Les entreprises ont été confrontées à des retards persistants et à une pénurie de développeurs. Dans un rapport sur l’emploi publié en août 2025, le Bureau of Labor Statistics des États-Unis prévoyait que la demande continue de développeurs de logiciels augmenterait plus rapidement que l’offre de talents qualifiés. En 2026, du fait de l’adoption de la GenAI et des crises successives, le marché de l’emploi IT se tend. Néanmoins, les équipes informatiques en place peinent encore à suivre les demandes des BU. En conséquence, les métiers développent de plus en plus leurs propres outils.

« Le principal moteur n’est pas seulement l’IA générative. C’est la combinaison de l’IA, qui réduit les barrières à l’entrée, et des retards informatiques persistants », estime Sonu Kapoor, consultant senior Angular chez Solid Software Solutions, une agence de développement mobile et Web. « Les équipes opérationnelles ont toujours eu des idées qui ne pouvaient pas être priorisées. Désormais, elles peuvent leur donner vie », ajoute-t-il.

Il s’agit là d’accélérer l’innovation et de répondre plus rapidement à l’évolution des besoins métier sans avoir à agrandir de manière significative la taille des équipes IT centralisées.

Des projets dans tous les départements

Les développeurs citoyens peuvent créer une vaste gamme d’outils qui nécessitaient auparavant des mois de travail d’ingénierie. Parmi les exemples courants, l’on peut citer les tableaux de bord internes, les outils d’automatisation des flux de travail (processus de validation, saisie de données). Il faut ajouter à cela la configuration des chatbots. Ceux-là doivent faciliter le service client, l’accès aux connaissances et la prise de décision courante. Ces cas d’usage couvrent diverses fonctions telles que les ventes, les opérations, les ressources humaines, le service juridique et les finances. Tous les départements d’une société peuvent être concernés.

Selon Matt Kunkel de LogicGate, ce choix est en fin de compte motivé par des gains de productivité à la périphérie de l’entreprise. Au sein des équipes financières, par exemple, les outils basés sur l’IA contribuent à accélérer des processus tels que la clôture financière.

Les risques croissants liés au développement décentralisé

De fait, si le développement décentralisé présente des avantages évidents, il ajoute également de nouveaux niveaux de complexité. Ceux-là rendent les systèmes plus difficiles à suivre, à gérer et à faire évoluer de manière cohérente. En conséquence, des risques apparaissent parallèlement aux gains de rapidité et de flexibilité.

Manque de visibilité

Du fait de la prolifération des projets sur plusieurs plateformes, les équipes informatiques peuvent perdre la visibilité sur l’ensemble du paysage applicatif. Un phénomène dit de Shadow AI s’impose. Cette expression réfère aussi aux outils et automatisations créés en dehors des structures de gouvernance formelles.

Ce manque de visibilité est encore aggravé par la rapidité de l’innovation en matière d’IA. « Le rythme de développement de l’IA est si rapide que l’application de règles ne suffit plus », note Hugo Huang de Canonical.

Il évoque également un changement plus profond dans le fonctionnement des systèmes modernes. Dans les environnements pilotés par une IA agentique, les logiciels se comportent de plus en plus comme un flux continu de données. Cela compliquerait leur observation, leur gouvernance et leur contrôle de manière structurée.

Problèmes liés à la sécurité des données

Ce manque de visibilité est également un cyber-risque. Les employés connectent souvent des applications directement aux SI sans avoir pleinement conscience des règles de classification des données ou des restrictions d’accès. Cela peut entraîner des droits d’accès trop permissifs, des contrôles insuffisants ou la divulgation involontaire d’informations sensibles.

Aux responsables de la gouvernance de définir clairement la manière dont l’IA interagit avec les systèmes d’entreprise. « C’est une chose d’autoriser l’accès aux données, mais connecter l’IA à des systèmes critiques pour l’entreprise pourrait dépasser le seuil de tolérance au risque validé par le Data Protection Officer et le RSSI », affirme Matt Kunkel.

Par exemple, des applications mal gérées pourraient exposer par inadvertance des données sensibles (données personnelles, propriété intellectuelle, etc.). Les employés ne comprennent pas pleinement où ces données vont, comment elles sont stockées ou si elles sont réutilisées.

De même, des données sensibles peuvent apparaître dans les logs système ou les résultats générés par l’IA. Dans les secteurs réglementés, cela soulève des préoccupations en matière de conformité, de résidence des données et d’auditabilité. Les outils sur étagère tentent dès à présent de combler ces écarts.

Les risques liés au « vibe coding »

Or, derrière le Shadow AI, l’on trouve souvent des approches informelles de vibe coding. Les métiers développent et déploient des applications à partir de code généré par l’IA sans en comprendre pleinement la logique sous-jacente.

Si cela accélère l’expérimentation, cela contourne souvent des pratiques d’ingénierie essentielles telles que la révision par les pairs, les tests structurés et la validation de la sécurité.

« De nombreux employés non-techniciens développent aujourd’hui des applications à l’aide d’outils d’IA sans avoir suivi de formation officielle en matière de traitement des données ou de pratiques d’ingénierie logicielle » constate Hugo Huang. « cela accroît les risques de pertes de contrôle ». Sans une compréhension claire de la manière dont ces systèmes gèrent les données, l’authentification ou les intégrations, même des applications simples peuvent créer des failles de sécurité.

Cela ouvre la porte à des vulnérabilités cachées, des dépendances fragiles et des applications difficiles à maintenir, à auditer ou à faire évoluer. C’est particulièrement vrai lorsque le code généré par l’IA est déployé sans visibilité ni supervision.

Manque d’uniformité des standards

Avec la généralisation du citizen development, la multiplication des outils, des modèles et des méthodes peut devenir un enjeu de taille. Les équipes peuvent, sans le savoir, dupliquer le travail ou développer des outils similaires pour résoudre les mêmes problèmes.

Cela complexifie les intégrations et contribue à une dette technique croissante. Les entreprises peuvent se retrouver à gérer un écosystème d’applications fragmentées qu’aucune équipe ne comprend pleinement.

Sonu Kapoor, de Solid Software Solutions, insiste sur l’émergence de défis non seulement en matière de contrôle, mais aussi de coordination, d’autant plus que le volume d’applications dépasse les capacités de révision traditionnelles.

Reprendre le contrôle : gouvernance d’entreprise et mise en condition

Non seulement, le rythme de développement s’accroît, mais l’adoption également. Elle dépasse souvent les cadres de gouvernance mis en place par les entreprises pour la gérer.

Certaines entreprises commencent à y répondre de manière plus réfléchie. Plutôt que de laisser les expérimentations informelles se poursuivre sans contrôle, certaines considèrent le « citizen development » comme une capacité structurée. Chez Typeform, par exemple, cette évolution est mise en œuvre avec des garde-fous et une supervision claire.

« Nous définissons le développement citoyen comme le fait pour des non-ingénieurs de déployer en toute sécurité de réelles modifications en production à l’aide d’outils de codage basés sur l’IA. Ils œuvrent dans des domaines clairement délimités et avec une revue technique intégrée au processus », déclare Aleks Bass de Typeform.

Il s’agit de poser délibérément des limites afin de trouver un équilibre entre rapidité et sécurité. Plutôt que de laisser le développement totalement ouvert, TypeForm encourage les équipes à commencer modestement.

« Nous commençons délibérément par des tâches à fort impact et à faible risque, telles que la mise à jour de contenus, des ajustements de l’interface utilisateur et de petites modifications de configuration dans des domaines ayant fait leurs preuves », explique Aleks Bass.

Les équipes s’attaquent progressivement à des tâches plus complexes (UX, intégrations, fonctionnalités en flux), mais toujours dans le respect de limites et des processus de révision. Ces changements, d’après elle, sont mis en œuvre dans des environnements contrôlés, tels que des features flags et des sandbox, afin de garantir qu’ils restent sûrs, observables et faciles à annuler si nécessaire.

Cette progression contrôlée est essentielle pour développer le « citizen development » en toute sécurité. Elle aide les organisations à agir rapidement sans sacrifier la supervision, tout en rapprochant la résolution des problèmes du lieu où ils se posent.

D’après Matt Kunkel, les organisations qui réussissent commencent par mettre en place des cadres de gouvernance de l’IA clairement définis. Ils doivent préciser quels outils sont autorisés, à quelles données ils peuvent accéder et pourquoi ces limites existent. « Une adoption sûre et réussie de l’IA nécessite une approche holistique et proactive en matière de risques et de gouvernance », insiste-t-il. « D’autant plus que les entreprises manquent souvent de visibilité complète sur les domaines dans lesquels l’IA est utilisée ».

Pour reprendre le contrôle, un nombre croissant d’entreprises adoptent des modèles de plateformes approuvées. Elles limitent le développement citoyen à des environnements « low-code » et basés sur l’IA qui ont été préalablement validés. Cela garantit une surveillance renforcée tout en continuant à favoriser l’innovation.

Au-delà des outils, un principe clé s’impose. La gouvernance doit être fondée sur les risques, et non sur les rôles.

« La ligne de démarcation ne doit pas être tracée autour des outils, mais autour des risques », confirme Sonu Kapoor. « Les utilisateurs métier peuvent développer en toute sécurité des applications à faible risque, mais tout ce qui touche à des données sensibles ou aux systèmes centraux doit rester sous la supervision des ingénieurs ».

Aleks Bass décrit une approche similaire. Son entreprise utilise des catégories structurées pour déterminer le niveau de supervision requis pour différents types de travaux de développement. « Nous avons formalisé cela en catégories vert, orange et rouge », relate-t-elle.

Par ailleurs, si davantage de collaborateurs peuvent contribuer à la conception de logiciels, les ingénieurs demeurent les seuls à pouvoir pousser les applications en production.

Typeform a également mis en place des programmes formels qui associent des employés non techniques à des ingénieurs, tout en limitant les systèmes auxquels ils peuvent accéder et en établissant des garde-fous clairs concernant ce qu’ils peuvent développer.

De nombreuses entreprises avaient déjà mis en place des centres d’excellence pour accompagner l’adoption des plateformes low-code/no-code. Ces entités qui rassemblent des professionnels de l’IT, de la sécurité et des processus métier peuvent continuer à orchestrer le développement logiciel.

Plus généralement, la DSI doit se poser en facilitateur tout en conservant le rôle de gardien des clés. Elle établit des fondations sécurisées, applique des garde-fous et maintient la visibilité dans les environnements de développement distribués.

L’évolution vers des modèles de développement distribués

Le « citizen development » remet également en question les idées reçues de longue date concernant le « make or buy ». Dans certains cas, les outils développés en interne commencent à surpasser les offres SaaS.

Ce n’est pas nécessairement parce que les outils développés en interne sont plus avancés. En revanche, ils sont conçus avec une compréhension plus approfondie des flux de travail précis et peuvent être améliorés directement par les équipes qui les utilisent.

Selon Aleks Bass, ce changement de paradigme affecte la manière dont les entreprises innovent dans la pratique. « Lorsque des non-ingénieurs peuvent ajuster directement les flux et les expériences, l’on peut éviter d’acheter des solutions d’appoint et mener davantage d’expériences au sein même du produit », avance-t-elle.

Là aussi, la DSI doit changer de perspective. Plutôt que de posséder et de développer toutes les applications, les équipes IT se concentrent de plus en plus sur l’infrastructure, la sécurité, l’architecture, l’ingénierie des plateformes et la gouvernance. Le développement au quotidien se rapproche davantage des métiers.

Dans le même temps, Matt Kunkel remarque que cette tendance pourrait affecter les services SaaS. Certaines catégories de logiciels standardisés pourraient être partiellement remplacées par des outils internes basés sur l’IA. En particulier pour des cas d’usage spécifiques. D’après lui, les éditeurs SaaS qui s’imposeront seront probablement ceux qui intégreront profondément l’IA dans leurs produits et proposeront des plateformes plus flexibles.

Concilier rapidité, autonomie et contrôle

Pour accompagner ce mouvement, la DSI doit gérer l’équilibre entre innovation, sécurité et gouvernance, insiste Matt Kunkel. Dès lors, une communication claire, simple, mais pas simpliste est cruciale, juge Hugo Huang de Canonical. « Un aspect essentiel de ce rôle consiste à traduire des risques techniques complexes en un langage simple et compréhensible pour les dirigeants ».

Les entreprises qui réussiront dans le domaine du développement citoyen concevront délibérément leurs structures pour atteindre cet équilibre plutôt que de simplement y réagir. Concrètement, cela signifie mettre en place des modèles opérationnels où la rapidité et le contrôle ne sont pas des priorités concurrentes, mais des résultats façonnés dès le départ par la gouvernance, les outils et des garde-fous clairs.

Cet article a été initialement publié sur SearchAIEnterprise.