Ton assistant IA de code vient d'écrire un module Terraform. Pas un composant React — un fichier qui décide combien de serveurs tu paies, qui peut lire ta base de données de production, et si ton pipeline de déploiement laisse fuiter des secrets dans un build log public. Tu l'as validé avec le même regard distrait que tu réserves à une fonction utilitaire. Et c'est là que l'histoire devient coûteuse.
Il y a un mois, ces outils restaient globalement dans leur couloir : fonctions, composants, handlers d'API. Un bug là-dedans, c'est un utilisateur qui voit une erreur 500 pendant trois secondes. Agaçant, survivable, oubliable. Mais en avril 2026, tous les outils majeurs de code assisté par IA ont franchi le même seuil en silence — l'infrastructure — et personne n'a mis à jour le processus de review. Pourquoi l'auraient-ils fait ? C'est juste du code, non ?
Exactement. Et un feu de camp et un feu de forêt, c'est juste de la combustion.
Tous les outils ont sorti des agents infra en avril
Trois lancements majeurs en deux semaines d'avril. Le 14, Anthropic a lancé Claude Code Routines — des tâches planifiées dans le cloud qui tournent pendant que ton laptop dort, ciblant explicitement la vérification CI/CD en scannant les sorties de déploiement à la recherche d'erreurs. Le 16, OpenAI a mis à jour son Agents SDK avec de l'exécution sandbox native sur sept fournisseurs cloud et des connexions SSH distantes pour Codex. Le 6, Cursor 3 ("Glass") a sorti une fenêtre Agents dédiée aux agents IA parallèles — les propres ingénieurs de Cursor admettent que plus d'un tiers de leurs PR proviennent désormais d'agents cloud. Microsoft, de son côté, pousse dans la même direction depuis fin mars avec son framework "Agentic Platform Engineering" pour les agents Copilot ciblant Terraform, Kubernetes et GitHub Actions — équipé d'un agent "Cluster Doctor" qui diagnostique tes problèmes Kubernetes. Charmant.
Aucun de ces outils ne fait la distinction entre utils.ts et main.tf. Pas de signal de confiance séparé. Pas de "hé, ce fichier contrôle ta facture cloud et ta posture de sécurité, peut-être que tu devrais y regarder à deux fois." Juste du code.
L'arithmétique du rayon d'impact
Une fonction buguée renvoie une mauvaise réponse API. Quelqu'un ouvre un ticket Jira. Une mauvaise ressource Terraform — une seule ligne qui dit instance_type = "x1e.32xlarge" au lieu de t3.micro — crâme 50 000 $ en une nuit. La faute de frappe la plus chère de ta carrière, générée en 200 millisecondes et approuvée en moins. Une politique IAM mal configurée fait fuiter ta base de production. Une GitHub Action cassée publie tes secrets dans un build log public. Le code d'infrastructure ne tourne pas dans ton appli. Il fait tourner ton appli tout entière.
Comme CloudMagazin l'a noté le 2 avril : "Le code Terraform généré par IA est plus rapide à écrire qu'à lire — exactement ce qui le rend dangereux." Leur règle d'or : si tu ne peux pas expliquer plus de 20 % d'une configuration générée ligne par ligne, le déficit de compréhension constitue en soi une vulnérabilité de sécurité.
Les chiffres dont personne ne parle
C'est là que ça devient franchement gênant pour l'industrie. Sur les benchmarks de code comme HumanEval — des défis de fonctions isolées, le genre de truc qu'un étudiant de deuxième année résoudrait avec assez de café — les meilleurs modèles atteignent désormais 99 % (selon le tracker de Morphllm, avril 2026). Impressionnant. Et complètement hors sujet.
DPIaC-Eval, un papier de juin 2025 qui a construit le premier benchmark testant spécifiquement la génération d'infrastructure-as-code sur 153 templates AWS CloudFormation réels, a trouvé un taux de réussite moyen au premier déploiement de 24,7 %. Conformité sécurité sur des templates complets : 8,4 %. Le mode d'échec principal : les propriétés hallucinées — le modèle invente en toute confiance des champs de configuration qui n'existent pas. Il ne se trompe pas avec humilité. Il se trompe avec l'assurance d'un ingénieur senior qui improvise absolument tout.
Donc : 99 % sur des fonctions jouets. 24,7 % sur le code qui fait réellement tourner ton infrastructure. Personne ne parle de cet écart parce que ni SWE-bench, ni HumanEval, ni aucun benchmark mainstream ne couvre Terraform, Docker ou les fichiers CI/CD. Le gouffre reste invisible parce que l'industrie a choisi de ne pas le mesurer.
Pendant ce temps, une enquête ControlMonkey (janvier 2026) révèle que 58 % des équipes cloud ont déjà rencontré des erreurs de configuration introduites par l'IA, et 81 % des équipes de gouvernance estiment que la review manuelle ne peut pas suivre le rythme de génération de l'IA. Les données Q1 2026 de Veracode montrent que 41 % du code backend généré par IA est livré avec des permissions trop larges — l'équivalent numérique de filer le passe-partout à tout le bureau parce que c'est plus rapide que de déterminer qui a besoin de quoi.
Ce que ça signifie pour toi
Les outils de Policy-as-Code existent — OPA, Checkov, tfsec — des scanners automatisés qui détectent les configurations d'infrastructure non sécurisées ou non conformes avant le déploiement. Aucun outil de code IA ne les intègre dans son pipeline d'agent par défaut. Tu dois les brancher toi-même. Et tu ne le feras pas, parce que tout l'argument de vente de ces agents, c'est justement que tu n'as pas à brancher les choses toi-même. Joli petit paradoxe.
Chaque fichier d'infrastructure généré par IA nécessite une review séparée, plus stricte : validation dry-run, estimation des coûts, audit du moindre privilège. Ton outil ne tracera pas cette ligne pour toi. Soit tu la traces, soit c'est ta facture AWS qui s'en charge.
Le mur invisible
L'histoire de la productivité du code par IA vient de heurter une frontière qu'elle n'a pas annoncée : la ligne entre le code qui tourne dans ton appli et le code qui fait tourner ton appli. D'un côté, des scores de benchmark à 99 % et de vrais gains de temps. De l'autre, des taux de réussite à 24,7 %, une conformité sécurité à 8,4 %, et exactement zéro garde-fous.
Tu continues d'approuver du Terraform avec le même regard que tu donnes à une fonction utilitaire. Personne n'a fourni d'étiquette d'avertissement. Considère celle-ci comme la tienne.
