Episode 54 : Avec le Vibe Coding (#IA) - tu codes plus vite… mais tu comprends moins | Compliance Without coma

Description

Êtes-vous prêt à plonger dans l'avenir du développement logiciel avec une approche qui pourrait transformer notre manière de coder ? Dans cet épisode de Compliance Without Coma, Fabrice De Paepe nous introduit au concept de vibe coding, une méthode révolutionnaire pilotée par l'intelligence artificielle (IA). Imaginez pouvoir générer du code simplement en utilisant des instructions en langage naturel ! Cela semble séduisant, n'est-ce pas ? Toutefois, derrière cette innovation se cachent des enjeux éthiques et sécuritaires cruciaux que nous devons explorer ensemble.

Fabrice met en lumière les risques potentiels d'une dépendance excessive à l'IA dans le développement logiciel. Comment pouvons-nous garantir que nos développeurs restent compétents et comprennent réellement le code généré par ces outils d'IA ? Dans ce contexte, il est essentiel de se poser les bonnes questions sur la qualité du code et la responsabilité de ceux qui l'écrivent. Le vibe coding pourrait faciliter le développement, mais il soulève également des préoccupations sur la gouvernance, la sécurité et la conformité dans le processus de création logicielle.

Au fil de cet épisode, nous abordons des normes essentielles telles que l'ISO 27001 et l'ISO 42001, qui doivent encadrer l'utilisation de l'IA dans le cycle de vie du développement logiciel. Comment ces standards peuvent-ils nous aider à naviguer dans ce nouvel environnement technologique ? Fabrice invite les auditeurs à réfléchir sur leur propre approche du développement logiciel face à ces défis contemporains. La nécessité d'intégrer des pratiques de gouvernance et de sécurité devient plus pressante que jamais.

Rejoignez-nous pour une discussion qui vous incitera à repenser votre relation avec l'IA et le développement logiciel. Comment pouvez-vous vous assurer que l'utilisation de l'IA, notamment à travers le vibe coding, reste éthique et sécurisée ? Cet épisode promet de vous offrir des perspectives nouvelles et des conseils pratiques pour naviguer dans cette ère numérique en constante évolution. Ne manquez pas cette occasion de vous informer et de vous engager dans un dialogue critique sur l'avenir du développement logiciel !

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Le vibe coding, tu en as déjà probablement entendu parler, mais c'est tout ce qui se cache vraiment derrière. Outre le chant enivrant des sirènes qui t'encouragent à l'utiliser pour seulement 17 euros par mois, et ce à coup de pixels et de campagnes marketing en tout genre sur tous tes réseaux sociaux préférés, et aussi de te donner la vague idée de créer ton fer de lance avec ta nouvelle boîte, autour de ta nouvelle expérience de vibe coder, et devenir ainsi millionnaire, ben en fait y'a qu'un pas. D'ailleurs, si t'es étudiant, tu peux aussi arrêter tes études de programmeur parce que le vibe coding va te remplacer. Mais si t'es curieux, un brin concerné par l'éthique, la sécu, ta vie privée, la GRC et surtout la compréhension de tout cela, viens écouter cet épisode parce que tu vas voir qu'on est peut-être au bord du précipice. Mais surtout, je vais te parler de tous les angles morts du vibe coding et promis sans coma. Bonjour à toi, et bienvenue dans Compliance Without Coma, le podcast qui parle de gouvernance, de cyber et d'ISO 27001, mais sans t'endormir. Enfin, j'essaye maintenant depuis un an. Je suis Fabrice De Paepe, et aujourd'hui je t'explique mon vécu, mon ressenti, et l'avenir que je vois pour la partie GRC du vibe coding. Et puis en seconde partie, comment faire avec ? Parce qu'on ne peut pas non plus refuser le progrès. Donc, on va un peu parler de l'IA Act, des AI POLICY d'ISO 42001, du coup, Ausha. N'oublie pas de liker, partager, commenter, et si tu me découvres, n'hésite pas, parce que cela m'aide vraiment, et ça aide le podcast, à poursuivre son chemin dans les charts. Mais d'abord, avant de rentrer dans le dur, c'est quoi le vibe coding ? C'est le codage d'ambiance. Littéralement, hein. Ils se sont pas foulés, là. Ou le codage par intuition. Mais quelle intuition ? Puisque c'est l'IA qui fait à ta place. Ça y est, je sens un nouveau mot marketing arriver dans les futures questions du CISSP, « vibe coding » . D'ailleurs, à mes amis canadiens qui m'écoutent, j'aimerais savoir comment vous, vous avez choisi de l'appeler « au Québec, votre vibe coding » . Partagez avec moi, on va bien rigoler. Donc, le codage par l'intuition, c'est une approche de développement pilotée par l'IA où les programmeurs utilisent des instructions en langage naturel pour générer, affiner et déployer des applications. Tout ça en se concentrant sur l'intuition ou le résultat souhaité plutôt que sur la syntaxe. Ouais, tu promptes quoi. C'est génial ! Tu n'as plus besoin de connaître l'architecture, la sécu, la différence entre Node.js, Python, Javascript et Java pour ne citer qu'eux. Tu te libères de l'environnement, que dis-je, des chaînes de Kafka au sens propre. Et au sens figuré pour le coup, parce que non, Kafka et son environnement n'est pas qu'une plateforme de streaming d'événements distribués. Tu ne dois plus comprendre c'est quoi la troisième forme normale dans la base de données, ni comprendre la complexité des algorithmes en O2N². Oublie les arbres AVL, la théorie des graphes. Plus besoin. Ni besoin de dessiner un modèle entité-relation, et encore moins de l'UML. Plus besoin d'analyse ou de parler d'agilité avec tes stories. Laisse tonmber, ton prompt, va te sauver. Oui, je sais, je suis caustique. En fait... Cette méthode permet à l'IA de gérer le code, tandis que les humains guident, testent et itèrent, accélérant considérablement le développement pour les utilisateurs techniques et non techniques. Alors, ça m'est arrivé d'utiliser du no-code sur des outils comme Zapier, avant la révolution de l'IA, et son vibe-coding, que je revois comme finalement la next-gen du no-code. Et c'est terrible pour un développeur comme moi à la base, parce que là où je suis né juste après les cartes perforées, J'ai programmé en assembleur, en C principalement, et on devait faire en sorte que ce qu'on programmait, on allait chercher directement les interruptions dans le CPU. En passant par l'orienté objet qui ajoute une couche d'abstraction, genre tu ne sais pas ce que tu fais, et ça t'ouvre plein d'objets, tu crées des méthodes accessors et mutators, et si tu découvres, c'est pas des monstres. Et l'ordinateur gère même la mémoire pour toi, en passant par le no-code et maintenant le vibe-coding. Qu'est-ce qu'un programmeur va encore comprendre à ce qu'il fait ? Tout va de plus en plus vite, mais tu ne vois pas un risque. Tu ne vois pas le risque sur l'évolution de la compétence du développeur ? Alors à en croire le patron de Nvidia, on pourrait arrêter les études IT, car demain, on y est déjà en fait, demain, plus besoin d'études IT. Tous sur le vibe code. 1984, cette date me revient. Ils savaient qu'ils manipulaient la vérité. Dans le vibe coding, on ne sait même plus ce qu'on déploie. Et ce qui me revient aussi, c'est que, alors que je sors de la lecture du livre Cyberpunk d'Asma Mhala... Est-ce que c'est cela, l'avenir qu'on nous promet ? Des algos qu'on ne maîtrise plus nous-mêmes ? Je ne te parle pas de ceux des réseaux sociaux ici, mais de ceux de ton vibe-coder préféré. À quoi bon ? Du vibe-coding qui va gérer tout à notre place. Ça faisait un peu science-fiction dans Terminator avec Skynet. Mais là, on y est, je crois. Bon, ça, c'était pour la partie réflexion, crainte et science-fiction. Ou pas. Mais je vais poser le vibe coding maintenant sous un autre angle. Celui de l'ISO 27001, la GRC, AI Act, AI Register, AI Policy, et un ZESTE d'ISO 42001 pour gérer l'IA. Et j'amorce une petite transition dans cet épisode. Note que tu as le choix finalement entre deux pilules. Tu peux t'arrêter d'écouter là, et tu prends la pilule bleue. Et tu continues dans l'illusion confortable de la matrice. Arrête-toi là. Je sais, il y a plein de références dans cet épisode, mais si tu veux poursuivre, alors tu as choisi la pilule rouge. Et tu me suis. Et cela ne sera pas forcément beau à voir. Mais je vais t'expliquer en gros... À quoi tu dois faire attention si tu fais du vibe-code ? Et comment t'accompagner pour gérer les risques ? Donc c'est vrai, c'est vrai que le vibe-coding est séduisant, comme les sirènes dans la mythologie grecque. Oui, si tu me découvres aussi par cet épisode, tu verras qu'il y a quelques épisodes sur la mythologie et la philo également. Mais bon, surtout dans cette partie, je vais te décrire le vibe-coding vu au travers du prisme de la gouvernance, car il ouvre plusieurs angles morts. Première question. Est-ce que tu autorises l'usage de l'IA dans le développement ? Par qui ? Quels utilisateurs ? A quel stade de ton SDLC ? Tu sais, le System Development Lifecycle, voire le Security Development Lifecycle. Alors, malaise ou Shadow AI déjà sur cette question ? Et si tu dois l'intégrer dans le SDLC ? Que dit ta politique AI ? Est-ce que tu autorises un dev à générer une architecture complète from scratch, sans validation humaine ? Non, hein ? Donc forcément, validation humaine et documentation. Ensuite, tu génères du code avec de l'IA dans la phase de dev.. Ah non, pardon, excuse-moi. Tu promptes. Est-ce que tu comprends déjà ton code généré avant l'intégration ? Comment fais-tu du clean code et l'adaptes-tu à ton contexte interne ? Tu fais des blind copy-paste ? Note que parfois, je l'ai vu tourner pour du debug et ça peut aider. Ensuite, tu as la phase review. Le code review obligatoire, avec des PR, les fameux push review, tu sais. C'est un humain qui le fait, j'espère. Mais comme tu es plus compétent, puisque tu ne fais plus fonctionner ton cerveau, tu vas valider en cliquant OK. Et ainsi c'est conforme. Un humain a validé. Compris, non. Validé, oui. Mais comment intègres-tu la sécurité, les inputs, les credentials, les secrets, les authentications, les dépendances ? La logique métier ? Et là, je te fais juste une petite checklist minimale, on est d'accord ? Ah, on arrive au bout du tunnel. Je vois de la lumière. On va pouvoir pousser en déploiement dans nos pipelines CI/CD, Continuous Integration, Continuous Development, ou DevOps quand tu nous tiens, avec plein de tests automatisés, c'est génial. Mais interdit de faire la plupart du temps un push direct en prod depuis du code généré, j'espère. Déjà ainsi, sans cela, les mises en prod ne sont pas toujours ce qu'elles devraient être. Alors avec du vibe coding, je suis certain que ça va marcher du premier coup, même si l'IA est forte. Et puis dis-moi, comment vas-tu valider tes templates de code, tes conventions strictes, tes librairies ? Et aussi en théorie, qui est l'owner de ton code ? Qui est responsable ? Qui comprend le code ? Va falloir le maintenir, non ? Ah ben non, tu feras un deuxième prompt, c'est vrai. Et puis tout sera documenté. Déjà, ainsi, sans vibe coding, c'est compliqué. Quand on fait de la magie au quotidien, que nos druides la documentent. Mais alors, avec du vibe coding, ça sera tout de suite plus clair. Donc, que fait ton code ? Comment il marche ? Quelles sont les dépendances clés ? Et puis, l'IA génère souvent du code fonctionnel, mais sale. Donc tu vas devoir faire du refactoring régulièrement. Tu sais, le refactoring, ce fameux processus systématique d'amélioration du code, sans création de nouvelles fonctionnalités. Il transforme un code désordonné en un code propre et en une conception simple. Et puis, comment vas-tu gérer les bugs et leur logique implicite et obscure ? Déjà ainsi, ça tombe parfois en feature, c'est-à-dire quelque chose de technique plutôt qu'un bug. Dois-je comprendre que ta plateforme devient une feature à part entière ? Et je te rappelle que tu dois aussi gérer les vulnérabilités d'un point de vue ISO 27001. Je ne vais pas te faire les 93 contrôles, je te rassure. Je vais prendre un biais. Ah zut, je me vibe code tout seul pour le coup, je fais des biais. Mais aussi tu as une surface d'attaque inconnue à présent. Ton code IA ? A quel niveau mets-tu le risque ? Genre méthode offensive comme Couscous dans Podium avec Benoît Poelvoorde ? Ou très secure, très défensif ? Tu vas scanner ton code, l'intégrer au pipeline ? Ou bien le faire en cachette en 15 minutes et facturer 8 heures à ton client ou ton employeur ? Et les clés, elles sont où ? Et les tokens ? Comment j'y retue les API et les différents appels, les accès aux données, la crypto, l'authentification, et j'en passe. Bon, on reste dans le rouge, point de vue pilule, mais on descend dans le rouge foncé, dis-moi. Tu savais qu'il y avait aussi l'ISO 42001 maintenant ? Alors 42 ? C'est la réponse universelle à l'univers dans le film The Hitchhiker's Guide to the Galaxy, où un super ordinateur, "pensée profonde", Calcule pendant des millions d'années pour répondre à la grande question sur la vie, l'univers et le reste. Et il te sort 42. Dis-moi, ça ne te rappelle pas quelque chose ? Maintenant, si. Tu retiendras que l'ISO 42001 parle de AIMS, AI Management System. Et on peut se faire certifier dessus, à la fois en tant que personne et pour des entreprises en système de management. Donc l'ISO 42001... tu vas devoir pouvoir démontrer un usage contrôlé de l'IA, une supervision humaine, une gestion des risques, avoir un registre des outils IA utilisés, des règles d'usage par type de code, des périmètres interdits ou sensibles, et puis nous en Europe on a aussi quelque chose qui s'appelle l' AI ACT. Il te faut donc une méthode renforcée, une doc renforcée, une traçabilité du développement, des tests de robustesse, si ton système est critique, donc pas de vibe coding pur. Mais encadré. Donc, je ne veux pas bloquer le vibe coding, qu'on soit clair. C'est trop tard de toute façon. Tu peux aller vite. Mais, ce n'est pas sans risque. Donc, je vais te mettre des contrôles. Il te faut du review, de la compréhension, de la sécu et de la traçabilité. Le problème, ce n'est pas que l'IA code vite. C'est que toi, tu comprends moins vite que ce qu'elle va te produire. Et je ne t'ai même pas parlé de NIS2 et de DORA. Mais quand tes gros clients, qui eux, sont déjà dans la sauce, vont te demander des preuves que tu développes en pleine conscience, avec ou sans vibe coding. D'ailleurs, maintenant, je dirais même vibe coding en pleine conscience. Peut-être qu'à ce moment-là, tu auras un sérieux travail à faire pour de la mise en conformité de ton SDLC. Et là, il y a ISO 27001. Et quand ça ne suffira plus, peut-être que la 42001 te sera utile à cadrer ton vibe coding. En guise de conclusion, c'est vrai qu'il est long cet épisode. Peut-être que j'aurais dû le découper en deux. Un par pilule. Mais bon, tant pis, j'assume. Alors dis-moi, tu as toujours envie de te lancer sur cette application géniale pour 17 euros par mois qui va tout coder à ta place ? Bravo ! Prends la pilule bleue et laisse-toi t'endormir par la matrice. Mais si tu prends l'autre, la rouge, voire la rouge foncée, Tu te rends compte qu'il y a du SDLC, il y a de l'authentification, de la gestion des versions, des bugs, gestion des actifs, il y a de l'architecture, des web-services, des micro-services, de la logique, de la scalabilité et de la souveraineté. Et j'en passe. Alors prends la rouge, le chemin est plus long, mais c'est celui de la vérité. Donc prends ton mal en patience et prends l'escalier. Voilà, c'était un épisode un peu différent, liant à la fois science-fiction, brouillard, faciliter la frontière entre la fiction et la réalité, et surtout, un retour sur Terre avec la réalité. Ah oui, et j'oubliais, on a pensé à une bonne blague aussi avec mon équipe, semaine du 1er avril oblige, et tu sais, il y a un célèbre hashtag sur les réseaux sociaux qui court avec « FrenchPodcast » en un mot, partout. TikTok, Instagram, etc. Tu savais que l'URL était libre ? Moi-même, je n'y ai pas cru. Bon, maintenant, elle ne l'est plus. Tu me vois venir ? Alors si t'es curieux, va un peu taper frenchpodcast.fr et dis-moi ce que t'en penses. Sinon, je te dis déjà la semaine prochaine pour un nouvel épisode de Compliance Without Coma.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

Je m’appelle Fabrice De Paepe et je te partage des insights concrets, des conseils d’expert, des retours terrain (et quelques piques bien placées), pour mieux comprendre ce que cache l’ISO 27001, DORA, NIS2, ou encore le RGPD ainsi que tout ce qui a trait à la sensibilisation, sécurité de l'information, actualité cyber.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Le vibe coding, tu en as déjà probablement entendu parler, mais c'est tout ce qui se cache vraiment derrière. Outre le chant enivrant des sirènes qui t'encouragent à l'utiliser pour seulement 17 euros par mois, et ce à coup de pixels et de campagnes marketing en tout genre sur tous tes réseaux sociaux préférés, et aussi de te donner la vague idée de créer ton fer de lance avec ta nouvelle boîte, autour de ta nouvelle expérience de vibe coder, et devenir ainsi millionnaire, ben en fait y'a qu'un pas. D'ailleurs, si t'es étudiant, tu peux aussi arrêter tes études de programmeur parce que le vibe coding va te remplacer. Mais si t'es curieux, un brin concerné par l'éthique, la sécu, ta vie privée, la GRC et surtout la compréhension de tout cela, viens écouter cet épisode parce que tu vas voir qu'on est peut-être au bord du précipice. Mais surtout, je vais te parler de tous les angles morts du vibe coding et promis sans coma. Bonjour à toi, et bienvenue dans Compliance Without Coma, le podcast qui parle de gouvernance, de cyber et d'ISO 27001, mais sans t'endormir. Enfin, j'essaye maintenant depuis un an. Je suis Fabrice De Paepe, et aujourd'hui je t'explique mon vécu, mon ressenti, et l'avenir que je vois pour la partie GRC du vibe coding. Et puis en seconde partie, comment faire avec ? Parce qu'on ne peut pas non plus refuser le progrès. Donc, on va un peu parler de l'IA Act, des AI POLICY d'ISO 42001, du coup, Ausha. N'oublie pas de liker, partager, commenter, et si tu me découvres, n'hésite pas, parce que cela m'aide vraiment, et ça aide le podcast, à poursuivre son chemin dans les charts. Mais d'abord, avant de rentrer dans le dur, c'est quoi le vibe coding ? C'est le codage d'ambiance. Littéralement, hein. Ils se sont pas foulés, là. Ou le codage par intuition. Mais quelle intuition ? Puisque c'est l'IA qui fait à ta place. Ça y est, je sens un nouveau mot marketing arriver dans les futures questions du CISSP, « vibe coding » . D'ailleurs, à mes amis canadiens qui m'écoutent, j'aimerais savoir comment vous, vous avez choisi de l'appeler « au Québec, votre vibe coding » . Partagez avec moi, on va bien rigoler. Donc, le codage par l'intuition, c'est une approche de développement pilotée par l'IA où les programmeurs utilisent des instructions en langage naturel pour générer, affiner et déployer des applications. Tout ça en se concentrant sur l'intuition ou le résultat souhaité plutôt que sur la syntaxe. Ouais, tu promptes quoi. C'est génial ! Tu n'as plus besoin de connaître l'architecture, la sécu, la différence entre Node.js, Python, Javascript et Java pour ne citer qu'eux. Tu te libères de l'environnement, que dis-je, des chaînes de Kafka au sens propre. Et au sens figuré pour le coup, parce que non, Kafka et son environnement n'est pas qu'une plateforme de streaming d'événements distribués. Tu ne dois plus comprendre c'est quoi la troisième forme normale dans la base de données, ni comprendre la complexité des algorithmes en O2N². Oublie les arbres AVL, la théorie des graphes. Plus besoin. Ni besoin de dessiner un modèle entité-relation, et encore moins de l'UML. Plus besoin d'analyse ou de parler d'agilité avec tes stories. Laisse tonmber, ton prompt, va te sauver. Oui, je sais, je suis caustique. En fait... Cette méthode permet à l'IA de gérer le code, tandis que les humains guident, testent et itèrent, accélérant considérablement le développement pour les utilisateurs techniques et non techniques. Alors, ça m'est arrivé d'utiliser du no-code sur des outils comme Zapier, avant la révolution de l'IA, et son vibe-coding, que je revois comme finalement la next-gen du no-code. Et c'est terrible pour un développeur comme moi à la base, parce que là où je suis né juste après les cartes perforées, J'ai programmé en assembleur, en C principalement, et on devait faire en sorte que ce qu'on programmait, on allait chercher directement les interruptions dans le CPU. En passant par l'orienté objet qui ajoute une couche d'abstraction, genre tu ne sais pas ce que tu fais, et ça t'ouvre plein d'objets, tu crées des méthodes accessors et mutators, et si tu découvres, c'est pas des monstres. Et l'ordinateur gère même la mémoire pour toi, en passant par le no-code et maintenant le vibe-coding. Qu'est-ce qu'un programmeur va encore comprendre à ce qu'il fait ? Tout va de plus en plus vite, mais tu ne vois pas un risque. Tu ne vois pas le risque sur l'évolution de la compétence du développeur ? Alors à en croire le patron de Nvidia, on pourrait arrêter les études IT, car demain, on y est déjà en fait, demain, plus besoin d'études IT. Tous sur le vibe code. 1984, cette date me revient. Ils savaient qu'ils manipulaient la vérité. Dans le vibe coding, on ne sait même plus ce qu'on déploie. Et ce qui me revient aussi, c'est que, alors que je sors de la lecture du livre Cyberpunk d'Asma Mhala... Est-ce que c'est cela, l'avenir qu'on nous promet ? Des algos qu'on ne maîtrise plus nous-mêmes ? Je ne te parle pas de ceux des réseaux sociaux ici, mais de ceux de ton vibe-coder préféré. À quoi bon ? Du vibe-coding qui va gérer tout à notre place. Ça faisait un peu science-fiction dans Terminator avec Skynet. Mais là, on y est, je crois. Bon, ça, c'était pour la partie réflexion, crainte et science-fiction. Ou pas. Mais je vais poser le vibe coding maintenant sous un autre angle. Celui de l'ISO 27001, la GRC, AI Act, AI Register, AI Policy, et un ZESTE d'ISO 42001 pour gérer l'IA. Et j'amorce une petite transition dans cet épisode. Note que tu as le choix finalement entre deux pilules. Tu peux t'arrêter d'écouter là, et tu prends la pilule bleue. Et tu continues dans l'illusion confortable de la matrice. Arrête-toi là. Je sais, il y a plein de références dans cet épisode, mais si tu veux poursuivre, alors tu as choisi la pilule rouge. Et tu me suis. Et cela ne sera pas forcément beau à voir. Mais je vais t'expliquer en gros... À quoi tu dois faire attention si tu fais du vibe-code ? Et comment t'accompagner pour gérer les risques ? Donc c'est vrai, c'est vrai que le vibe-coding est séduisant, comme les sirènes dans la mythologie grecque. Oui, si tu me découvres aussi par cet épisode, tu verras qu'il y a quelques épisodes sur la mythologie et la philo également. Mais bon, surtout dans cette partie, je vais te décrire le vibe-coding vu au travers du prisme de la gouvernance, car il ouvre plusieurs angles morts. Première question. Est-ce que tu autorises l'usage de l'IA dans le développement ? Par qui ? Quels utilisateurs ? A quel stade de ton SDLC ? Tu sais, le System Development Lifecycle, voire le Security Development Lifecycle. Alors, malaise ou Shadow AI déjà sur cette question ? Et si tu dois l'intégrer dans le SDLC ? Que dit ta politique AI ? Est-ce que tu autorises un dev à générer une architecture complète from scratch, sans validation humaine ? Non, hein ? Donc forcément, validation humaine et documentation. Ensuite, tu génères du code avec de l'IA dans la phase de dev.. Ah non, pardon, excuse-moi. Tu promptes. Est-ce que tu comprends déjà ton code généré avant l'intégration ? Comment fais-tu du clean code et l'adaptes-tu à ton contexte interne ? Tu fais des blind copy-paste ? Note que parfois, je l'ai vu tourner pour du debug et ça peut aider. Ensuite, tu as la phase review. Le code review obligatoire, avec des PR, les fameux push review, tu sais. C'est un humain qui le fait, j'espère. Mais comme tu es plus compétent, puisque tu ne fais plus fonctionner ton cerveau, tu vas valider en cliquant OK. Et ainsi c'est conforme. Un humain a validé. Compris, non. Validé, oui. Mais comment intègres-tu la sécurité, les inputs, les credentials, les secrets, les authentications, les dépendances ? La logique métier ? Et là, je te fais juste une petite checklist minimale, on est d'accord ? Ah, on arrive au bout du tunnel. Je vois de la lumière. On va pouvoir pousser en déploiement dans nos pipelines CI/CD, Continuous Integration, Continuous Development, ou DevOps quand tu nous tiens, avec plein de tests automatisés, c'est génial. Mais interdit de faire la plupart du temps un push direct en prod depuis du code généré, j'espère. Déjà ainsi, sans cela, les mises en prod ne sont pas toujours ce qu'elles devraient être. Alors avec du vibe coding, je suis certain que ça va marcher du premier coup, même si l'IA est forte. Et puis dis-moi, comment vas-tu valider tes templates de code, tes conventions strictes, tes librairies ? Et aussi en théorie, qui est l'owner de ton code ? Qui est responsable ? Qui comprend le code ? Va falloir le maintenir, non ? Ah ben non, tu feras un deuxième prompt, c'est vrai. Et puis tout sera documenté. Déjà, ainsi, sans vibe coding, c'est compliqué. Quand on fait de la magie au quotidien, que nos druides la documentent. Mais alors, avec du vibe coding, ça sera tout de suite plus clair. Donc, que fait ton code ? Comment il marche ? Quelles sont les dépendances clés ? Et puis, l'IA génère souvent du code fonctionnel, mais sale. Donc tu vas devoir faire du refactoring régulièrement. Tu sais, le refactoring, ce fameux processus systématique d'amélioration du code, sans création de nouvelles fonctionnalités. Il transforme un code désordonné en un code propre et en une conception simple. Et puis, comment vas-tu gérer les bugs et leur logique implicite et obscure ? Déjà ainsi, ça tombe parfois en feature, c'est-à-dire quelque chose de technique plutôt qu'un bug. Dois-je comprendre que ta plateforme devient une feature à part entière ? Et je te rappelle que tu dois aussi gérer les vulnérabilités d'un point de vue ISO 27001. Je ne vais pas te faire les 93 contrôles, je te rassure. Je vais prendre un biais. Ah zut, je me vibe code tout seul pour le coup, je fais des biais. Mais aussi tu as une surface d'attaque inconnue à présent. Ton code IA ? A quel niveau mets-tu le risque ? Genre méthode offensive comme Couscous dans Podium avec Benoît Poelvoorde ? Ou très secure, très défensif ? Tu vas scanner ton code, l'intégrer au pipeline ? Ou bien le faire en cachette en 15 minutes et facturer 8 heures à ton client ou ton employeur ? Et les clés, elles sont où ? Et les tokens ? Comment j'y retue les API et les différents appels, les accès aux données, la crypto, l'authentification, et j'en passe. Bon, on reste dans le rouge, point de vue pilule, mais on descend dans le rouge foncé, dis-moi. Tu savais qu'il y avait aussi l'ISO 42001 maintenant ? Alors 42 ? C'est la réponse universelle à l'univers dans le film The Hitchhiker's Guide to the Galaxy, où un super ordinateur, "pensée profonde", Calcule pendant des millions d'années pour répondre à la grande question sur la vie, l'univers et le reste. Et il te sort 42. Dis-moi, ça ne te rappelle pas quelque chose ? Maintenant, si. Tu retiendras que l'ISO 42001 parle de AIMS, AI Management System. Et on peut se faire certifier dessus, à la fois en tant que personne et pour des entreprises en système de management. Donc l'ISO 42001... tu vas devoir pouvoir démontrer un usage contrôlé de l'IA, une supervision humaine, une gestion des risques, avoir un registre des outils IA utilisés, des règles d'usage par type de code, des périmètres interdits ou sensibles, et puis nous en Europe on a aussi quelque chose qui s'appelle l' AI ACT. Il te faut donc une méthode renforcée, une doc renforcée, une traçabilité du développement, des tests de robustesse, si ton système est critique, donc pas de vibe coding pur. Mais encadré. Donc, je ne veux pas bloquer le vibe coding, qu'on soit clair. C'est trop tard de toute façon. Tu peux aller vite. Mais, ce n'est pas sans risque. Donc, je vais te mettre des contrôles. Il te faut du review, de la compréhension, de la sécu et de la traçabilité. Le problème, ce n'est pas que l'IA code vite. C'est que toi, tu comprends moins vite que ce qu'elle va te produire. Et je ne t'ai même pas parlé de NIS2 et de DORA. Mais quand tes gros clients, qui eux, sont déjà dans la sauce, vont te demander des preuves que tu développes en pleine conscience, avec ou sans vibe coding. D'ailleurs, maintenant, je dirais même vibe coding en pleine conscience. Peut-être qu'à ce moment-là, tu auras un sérieux travail à faire pour de la mise en conformité de ton SDLC. Et là, il y a ISO 27001. Et quand ça ne suffira plus, peut-être que la 42001 te sera utile à cadrer ton vibe coding. En guise de conclusion, c'est vrai qu'il est long cet épisode. Peut-être que j'aurais dû le découper en deux. Un par pilule. Mais bon, tant pis, j'assume. Alors dis-moi, tu as toujours envie de te lancer sur cette application géniale pour 17 euros par mois qui va tout coder à ta place ? Bravo ! Prends la pilule bleue et laisse-toi t'endormir par la matrice. Mais si tu prends l'autre, la rouge, voire la rouge foncée, Tu te rends compte qu'il y a du SDLC, il y a de l'authentification, de la gestion des versions, des bugs, gestion des actifs, il y a de l'architecture, des web-services, des micro-services, de la logique, de la scalabilité et de la souveraineté. Et j'en passe. Alors prends la rouge, le chemin est plus long, mais c'est celui de la vérité. Donc prends ton mal en patience et prends l'escalier. Voilà, c'était un épisode un peu différent, liant à la fois science-fiction, brouillard, faciliter la frontière entre la fiction et la réalité, et surtout, un retour sur Terre avec la réalité. Ah oui, et j'oubliais, on a pensé à une bonne blague aussi avec mon équipe, semaine du 1er avril oblige, et tu sais, il y a un célèbre hashtag sur les réseaux sociaux qui court avec « FrenchPodcast » en un mot, partout. TikTok, Instagram, etc. Tu savais que l'URL était libre ? Moi-même, je n'y ai pas cru. Bon, maintenant, elle ne l'est plus. Tu me vois venir ? Alors si t'es curieux, va un peu taper frenchpodcast.fr et dis-moi ce que t'en penses. Sinon, je te dis déjà la semaine prochaine pour un nouvel épisode de Compliance Without Coma.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

You may also like

Description

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Le vibe coding, tu en as déjà probablement entendu parler, mais c'est tout ce qui se cache vraiment derrière. Outre le chant enivrant des sirènes qui t'encouragent à l'utiliser pour seulement 17 euros par mois, et ce à coup de pixels et de campagnes marketing en tout genre sur tous tes réseaux sociaux préférés, et aussi de te donner la vague idée de créer ton fer de lance avec ta nouvelle boîte, autour de ta nouvelle expérience de vibe coder, et devenir ainsi millionnaire, ben en fait y'a qu'un pas. D'ailleurs, si t'es étudiant, tu peux aussi arrêter tes études de programmeur parce que le vibe coding va te remplacer. Mais si t'es curieux, un brin concerné par l'éthique, la sécu, ta vie privée, la GRC et surtout la compréhension de tout cela, viens écouter cet épisode parce que tu vas voir qu'on est peut-être au bord du précipice. Mais surtout, je vais te parler de tous les angles morts du vibe coding et promis sans coma. Bonjour à toi, et bienvenue dans Compliance Without Coma, le podcast qui parle de gouvernance, de cyber et d'ISO 27001, mais sans t'endormir. Enfin, j'essaye maintenant depuis un an. Je suis Fabrice De Paepe, et aujourd'hui je t'explique mon vécu, mon ressenti, et l'avenir que je vois pour la partie GRC du vibe coding. Et puis en seconde partie, comment faire avec ? Parce qu'on ne peut pas non plus refuser le progrès. Donc, on va un peu parler de l'IA Act, des AI POLICY d'ISO 42001, du coup, Ausha. N'oublie pas de liker, partager, commenter, et si tu me découvres, n'hésite pas, parce que cela m'aide vraiment, et ça aide le podcast, à poursuivre son chemin dans les charts. Mais d'abord, avant de rentrer dans le dur, c'est quoi le vibe coding ? C'est le codage d'ambiance. Littéralement, hein. Ils se sont pas foulés, là. Ou le codage par intuition. Mais quelle intuition ? Puisque c'est l'IA qui fait à ta place. Ça y est, je sens un nouveau mot marketing arriver dans les futures questions du CISSP, « vibe coding » . D'ailleurs, à mes amis canadiens qui m'écoutent, j'aimerais savoir comment vous, vous avez choisi de l'appeler « au Québec, votre vibe coding » . Partagez avec moi, on va bien rigoler. Donc, le codage par l'intuition, c'est une approche de développement pilotée par l'IA où les programmeurs utilisent des instructions en langage naturel pour générer, affiner et déployer des applications. Tout ça en se concentrant sur l'intuition ou le résultat souhaité plutôt que sur la syntaxe. Ouais, tu promptes quoi. C'est génial ! Tu n'as plus besoin de connaître l'architecture, la sécu, la différence entre Node.js, Python, Javascript et Java pour ne citer qu'eux. Tu te libères de l'environnement, que dis-je, des chaînes de Kafka au sens propre. Et au sens figuré pour le coup, parce que non, Kafka et son environnement n'est pas qu'une plateforme de streaming d'événements distribués. Tu ne dois plus comprendre c'est quoi la troisième forme normale dans la base de données, ni comprendre la complexité des algorithmes en O2N². Oublie les arbres AVL, la théorie des graphes. Plus besoin. Ni besoin de dessiner un modèle entité-relation, et encore moins de l'UML. Plus besoin d'analyse ou de parler d'agilité avec tes stories. Laisse tonmber, ton prompt, va te sauver. Oui, je sais, je suis caustique. En fait... Cette méthode permet à l'IA de gérer le code, tandis que les humains guident, testent et itèrent, accélérant considérablement le développement pour les utilisateurs techniques et non techniques. Alors, ça m'est arrivé d'utiliser du no-code sur des outils comme Zapier, avant la révolution de l'IA, et son vibe-coding, que je revois comme finalement la next-gen du no-code. Et c'est terrible pour un développeur comme moi à la base, parce que là où je suis né juste après les cartes perforées, J'ai programmé en assembleur, en C principalement, et on devait faire en sorte que ce qu'on programmait, on allait chercher directement les interruptions dans le CPU. En passant par l'orienté objet qui ajoute une couche d'abstraction, genre tu ne sais pas ce que tu fais, et ça t'ouvre plein d'objets, tu crées des méthodes accessors et mutators, et si tu découvres, c'est pas des monstres. Et l'ordinateur gère même la mémoire pour toi, en passant par le no-code et maintenant le vibe-coding. Qu'est-ce qu'un programmeur va encore comprendre à ce qu'il fait ? Tout va de plus en plus vite, mais tu ne vois pas un risque. Tu ne vois pas le risque sur l'évolution de la compétence du développeur ? Alors à en croire le patron de Nvidia, on pourrait arrêter les études IT, car demain, on y est déjà en fait, demain, plus besoin d'études IT. Tous sur le vibe code. 1984, cette date me revient. Ils savaient qu'ils manipulaient la vérité. Dans le vibe coding, on ne sait même plus ce qu'on déploie. Et ce qui me revient aussi, c'est que, alors que je sors de la lecture du livre Cyberpunk d'Asma Mhala... Est-ce que c'est cela, l'avenir qu'on nous promet ? Des algos qu'on ne maîtrise plus nous-mêmes ? Je ne te parle pas de ceux des réseaux sociaux ici, mais de ceux de ton vibe-coder préféré. À quoi bon ? Du vibe-coding qui va gérer tout à notre place. Ça faisait un peu science-fiction dans Terminator avec Skynet. Mais là, on y est, je crois. Bon, ça, c'était pour la partie réflexion, crainte et science-fiction. Ou pas. Mais je vais poser le vibe coding maintenant sous un autre angle. Celui de l'ISO 27001, la GRC, AI Act, AI Register, AI Policy, et un ZESTE d'ISO 42001 pour gérer l'IA. Et j'amorce une petite transition dans cet épisode. Note que tu as le choix finalement entre deux pilules. Tu peux t'arrêter d'écouter là, et tu prends la pilule bleue. Et tu continues dans l'illusion confortable de la matrice. Arrête-toi là. Je sais, il y a plein de références dans cet épisode, mais si tu veux poursuivre, alors tu as choisi la pilule rouge. Et tu me suis. Et cela ne sera pas forcément beau à voir. Mais je vais t'expliquer en gros... À quoi tu dois faire attention si tu fais du vibe-code ? Et comment t'accompagner pour gérer les risques ? Donc c'est vrai, c'est vrai que le vibe-coding est séduisant, comme les sirènes dans la mythologie grecque. Oui, si tu me découvres aussi par cet épisode, tu verras qu'il y a quelques épisodes sur la mythologie et la philo également. Mais bon, surtout dans cette partie, je vais te décrire le vibe-coding vu au travers du prisme de la gouvernance, car il ouvre plusieurs angles morts. Première question. Est-ce que tu autorises l'usage de l'IA dans le développement ? Par qui ? Quels utilisateurs ? A quel stade de ton SDLC ? Tu sais, le System Development Lifecycle, voire le Security Development Lifecycle. Alors, malaise ou Shadow AI déjà sur cette question ? Et si tu dois l'intégrer dans le SDLC ? Que dit ta politique AI ? Est-ce que tu autorises un dev à générer une architecture complète from scratch, sans validation humaine ? Non, hein ? Donc forcément, validation humaine et documentation. Ensuite, tu génères du code avec de l'IA dans la phase de dev.. Ah non, pardon, excuse-moi. Tu promptes. Est-ce que tu comprends déjà ton code généré avant l'intégration ? Comment fais-tu du clean code et l'adaptes-tu à ton contexte interne ? Tu fais des blind copy-paste ? Note que parfois, je l'ai vu tourner pour du debug et ça peut aider. Ensuite, tu as la phase review. Le code review obligatoire, avec des PR, les fameux push review, tu sais. C'est un humain qui le fait, j'espère. Mais comme tu es plus compétent, puisque tu ne fais plus fonctionner ton cerveau, tu vas valider en cliquant OK. Et ainsi c'est conforme. Un humain a validé. Compris, non. Validé, oui. Mais comment intègres-tu la sécurité, les inputs, les credentials, les secrets, les authentications, les dépendances ? La logique métier ? Et là, je te fais juste une petite checklist minimale, on est d'accord ? Ah, on arrive au bout du tunnel. Je vois de la lumière. On va pouvoir pousser en déploiement dans nos pipelines CI/CD, Continuous Integration, Continuous Development, ou DevOps quand tu nous tiens, avec plein de tests automatisés, c'est génial. Mais interdit de faire la plupart du temps un push direct en prod depuis du code généré, j'espère. Déjà ainsi, sans cela, les mises en prod ne sont pas toujours ce qu'elles devraient être. Alors avec du vibe coding, je suis certain que ça va marcher du premier coup, même si l'IA est forte. Et puis dis-moi, comment vas-tu valider tes templates de code, tes conventions strictes, tes librairies ? Et aussi en théorie, qui est l'owner de ton code ? Qui est responsable ? Qui comprend le code ? Va falloir le maintenir, non ? Ah ben non, tu feras un deuxième prompt, c'est vrai. Et puis tout sera documenté. Déjà, ainsi, sans vibe coding, c'est compliqué. Quand on fait de la magie au quotidien, que nos druides la documentent. Mais alors, avec du vibe coding, ça sera tout de suite plus clair. Donc, que fait ton code ? Comment il marche ? Quelles sont les dépendances clés ? Et puis, l'IA génère souvent du code fonctionnel, mais sale. Donc tu vas devoir faire du refactoring régulièrement. Tu sais, le refactoring, ce fameux processus systématique d'amélioration du code, sans création de nouvelles fonctionnalités. Il transforme un code désordonné en un code propre et en une conception simple. Et puis, comment vas-tu gérer les bugs et leur logique implicite et obscure ? Déjà ainsi, ça tombe parfois en feature, c'est-à-dire quelque chose de technique plutôt qu'un bug. Dois-je comprendre que ta plateforme devient une feature à part entière ? Et je te rappelle que tu dois aussi gérer les vulnérabilités d'un point de vue ISO 27001. Je ne vais pas te faire les 93 contrôles, je te rassure. Je vais prendre un biais. Ah zut, je me vibe code tout seul pour le coup, je fais des biais. Mais aussi tu as une surface d'attaque inconnue à présent. Ton code IA ? A quel niveau mets-tu le risque ? Genre méthode offensive comme Couscous dans Podium avec Benoît Poelvoorde ? Ou très secure, très défensif ? Tu vas scanner ton code, l'intégrer au pipeline ? Ou bien le faire en cachette en 15 minutes et facturer 8 heures à ton client ou ton employeur ? Et les clés, elles sont où ? Et les tokens ? Comment j'y retue les API et les différents appels, les accès aux données, la crypto, l'authentification, et j'en passe. Bon, on reste dans le rouge, point de vue pilule, mais on descend dans le rouge foncé, dis-moi. Tu savais qu'il y avait aussi l'ISO 42001 maintenant ? Alors 42 ? C'est la réponse universelle à l'univers dans le film The Hitchhiker's Guide to the Galaxy, où un super ordinateur, "pensée profonde", Calcule pendant des millions d'années pour répondre à la grande question sur la vie, l'univers et le reste. Et il te sort 42. Dis-moi, ça ne te rappelle pas quelque chose ? Maintenant, si. Tu retiendras que l'ISO 42001 parle de AIMS, AI Management System. Et on peut se faire certifier dessus, à la fois en tant que personne et pour des entreprises en système de management. Donc l'ISO 42001... tu vas devoir pouvoir démontrer un usage contrôlé de l'IA, une supervision humaine, une gestion des risques, avoir un registre des outils IA utilisés, des règles d'usage par type de code, des périmètres interdits ou sensibles, et puis nous en Europe on a aussi quelque chose qui s'appelle l' AI ACT. Il te faut donc une méthode renforcée, une doc renforcée, une traçabilité du développement, des tests de robustesse, si ton système est critique, donc pas de vibe coding pur. Mais encadré. Donc, je ne veux pas bloquer le vibe coding, qu'on soit clair. C'est trop tard de toute façon. Tu peux aller vite. Mais, ce n'est pas sans risque. Donc, je vais te mettre des contrôles. Il te faut du review, de la compréhension, de la sécu et de la traçabilité. Le problème, ce n'est pas que l'IA code vite. C'est que toi, tu comprends moins vite que ce qu'elle va te produire. Et je ne t'ai même pas parlé de NIS2 et de DORA. Mais quand tes gros clients, qui eux, sont déjà dans la sauce, vont te demander des preuves que tu développes en pleine conscience, avec ou sans vibe coding. D'ailleurs, maintenant, je dirais même vibe coding en pleine conscience. Peut-être qu'à ce moment-là, tu auras un sérieux travail à faire pour de la mise en conformité de ton SDLC. Et là, il y a ISO 27001. Et quand ça ne suffira plus, peut-être que la 42001 te sera utile à cadrer ton vibe coding. En guise de conclusion, c'est vrai qu'il est long cet épisode. Peut-être que j'aurais dû le découper en deux. Un par pilule. Mais bon, tant pis, j'assume. Alors dis-moi, tu as toujours envie de te lancer sur cette application géniale pour 17 euros par mois qui va tout coder à ta place ? Bravo ! Prends la pilule bleue et laisse-toi t'endormir par la matrice. Mais si tu prends l'autre, la rouge, voire la rouge foncée, Tu te rends compte qu'il y a du SDLC, il y a de l'authentification, de la gestion des versions, des bugs, gestion des actifs, il y a de l'architecture, des web-services, des micro-services, de la logique, de la scalabilité et de la souveraineté. Et j'en passe. Alors prends la rouge, le chemin est plus long, mais c'est celui de la vérité. Donc prends ton mal en patience et prends l'escalier. Voilà, c'était un épisode un peu différent, liant à la fois science-fiction, brouillard, faciliter la frontière entre la fiction et la réalité, et surtout, un retour sur Terre avec la réalité. Ah oui, et j'oubliais, on a pensé à une bonne blague aussi avec mon équipe, semaine du 1er avril oblige, et tu sais, il y a un célèbre hashtag sur les réseaux sociaux qui court avec « FrenchPodcast » en un mot, partout. TikTok, Instagram, etc. Tu savais que l'URL était libre ? Moi-même, je n'y ai pas cru. Bon, maintenant, elle ne l'est plus. Tu me vois venir ? Alors si t'es curieux, va un peu taper frenchpodcast.fr et dis-moi ce que t'en penses. Sinon, je te dis déjà la semaine prochaine pour un nouvel épisode de Compliance Without Coma.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Le vibe coding, tu en as déjà probablement entendu parler, mais c'est tout ce qui se cache vraiment derrière. Outre le chant enivrant des sirènes qui t'encouragent à l'utiliser pour seulement 17 euros par mois, et ce à coup de pixels et de campagnes marketing en tout genre sur tous tes réseaux sociaux préférés, et aussi de te donner la vague idée de créer ton fer de lance avec ta nouvelle boîte, autour de ta nouvelle expérience de vibe coder, et devenir ainsi millionnaire, ben en fait y'a qu'un pas. D'ailleurs, si t'es étudiant, tu peux aussi arrêter tes études de programmeur parce que le vibe coding va te remplacer. Mais si t'es curieux, un brin concerné par l'éthique, la sécu, ta vie privée, la GRC et surtout la compréhension de tout cela, viens écouter cet épisode parce que tu vas voir qu'on est peut-être au bord du précipice. Mais surtout, je vais te parler de tous les angles morts du vibe coding et promis sans coma. Bonjour à toi, et bienvenue dans Compliance Without Coma, le podcast qui parle de gouvernance, de cyber et d'ISO 27001, mais sans t'endormir. Enfin, j'essaye maintenant depuis un an. Je suis Fabrice De Paepe, et aujourd'hui je t'explique mon vécu, mon ressenti, et l'avenir que je vois pour la partie GRC du vibe coding. Et puis en seconde partie, comment faire avec ? Parce qu'on ne peut pas non plus refuser le progrès. Donc, on va un peu parler de l'IA Act, des AI POLICY d'ISO 42001, du coup, Ausha. N'oublie pas de liker, partager, commenter, et si tu me découvres, n'hésite pas, parce que cela m'aide vraiment, et ça aide le podcast, à poursuivre son chemin dans les charts. Mais d'abord, avant de rentrer dans le dur, c'est quoi le vibe coding ? C'est le codage d'ambiance. Littéralement, hein. Ils se sont pas foulés, là. Ou le codage par intuition. Mais quelle intuition ? Puisque c'est l'IA qui fait à ta place. Ça y est, je sens un nouveau mot marketing arriver dans les futures questions du CISSP, « vibe coding » . D'ailleurs, à mes amis canadiens qui m'écoutent, j'aimerais savoir comment vous, vous avez choisi de l'appeler « au Québec, votre vibe coding » . Partagez avec moi, on va bien rigoler. Donc, le codage par l'intuition, c'est une approche de développement pilotée par l'IA où les programmeurs utilisent des instructions en langage naturel pour générer, affiner et déployer des applications. Tout ça en se concentrant sur l'intuition ou le résultat souhaité plutôt que sur la syntaxe. Ouais, tu promptes quoi. C'est génial ! Tu n'as plus besoin de connaître l'architecture, la sécu, la différence entre Node.js, Python, Javascript et Java pour ne citer qu'eux. Tu te libères de l'environnement, que dis-je, des chaînes de Kafka au sens propre. Et au sens figuré pour le coup, parce que non, Kafka et son environnement n'est pas qu'une plateforme de streaming d'événements distribués. Tu ne dois plus comprendre c'est quoi la troisième forme normale dans la base de données, ni comprendre la complexité des algorithmes en O2N². Oublie les arbres AVL, la théorie des graphes. Plus besoin. Ni besoin de dessiner un modèle entité-relation, et encore moins de l'UML. Plus besoin d'analyse ou de parler d'agilité avec tes stories. Laisse tonmber, ton prompt, va te sauver. Oui, je sais, je suis caustique. En fait... Cette méthode permet à l'IA de gérer le code, tandis que les humains guident, testent et itèrent, accélérant considérablement le développement pour les utilisateurs techniques et non techniques. Alors, ça m'est arrivé d'utiliser du no-code sur des outils comme Zapier, avant la révolution de l'IA, et son vibe-coding, que je revois comme finalement la next-gen du no-code. Et c'est terrible pour un développeur comme moi à la base, parce que là où je suis né juste après les cartes perforées, J'ai programmé en assembleur, en C principalement, et on devait faire en sorte que ce qu'on programmait, on allait chercher directement les interruptions dans le CPU. En passant par l'orienté objet qui ajoute une couche d'abstraction, genre tu ne sais pas ce que tu fais, et ça t'ouvre plein d'objets, tu crées des méthodes accessors et mutators, et si tu découvres, c'est pas des monstres. Et l'ordinateur gère même la mémoire pour toi, en passant par le no-code et maintenant le vibe-coding. Qu'est-ce qu'un programmeur va encore comprendre à ce qu'il fait ? Tout va de plus en plus vite, mais tu ne vois pas un risque. Tu ne vois pas le risque sur l'évolution de la compétence du développeur ? Alors à en croire le patron de Nvidia, on pourrait arrêter les études IT, car demain, on y est déjà en fait, demain, plus besoin d'études IT. Tous sur le vibe code. 1984, cette date me revient. Ils savaient qu'ils manipulaient la vérité. Dans le vibe coding, on ne sait même plus ce qu'on déploie. Et ce qui me revient aussi, c'est que, alors que je sors de la lecture du livre Cyberpunk d'Asma Mhala... Est-ce que c'est cela, l'avenir qu'on nous promet ? Des algos qu'on ne maîtrise plus nous-mêmes ? Je ne te parle pas de ceux des réseaux sociaux ici, mais de ceux de ton vibe-coder préféré. À quoi bon ? Du vibe-coding qui va gérer tout à notre place. Ça faisait un peu science-fiction dans Terminator avec Skynet. Mais là, on y est, je crois. Bon, ça, c'était pour la partie réflexion, crainte et science-fiction. Ou pas. Mais je vais poser le vibe coding maintenant sous un autre angle. Celui de l'ISO 27001, la GRC, AI Act, AI Register, AI Policy, et un ZESTE d'ISO 42001 pour gérer l'IA. Et j'amorce une petite transition dans cet épisode. Note que tu as le choix finalement entre deux pilules. Tu peux t'arrêter d'écouter là, et tu prends la pilule bleue. Et tu continues dans l'illusion confortable de la matrice. Arrête-toi là. Je sais, il y a plein de références dans cet épisode, mais si tu veux poursuivre, alors tu as choisi la pilule rouge. Et tu me suis. Et cela ne sera pas forcément beau à voir. Mais je vais t'expliquer en gros... À quoi tu dois faire attention si tu fais du vibe-code ? Et comment t'accompagner pour gérer les risques ? Donc c'est vrai, c'est vrai que le vibe-coding est séduisant, comme les sirènes dans la mythologie grecque. Oui, si tu me découvres aussi par cet épisode, tu verras qu'il y a quelques épisodes sur la mythologie et la philo également. Mais bon, surtout dans cette partie, je vais te décrire le vibe-coding vu au travers du prisme de la gouvernance, car il ouvre plusieurs angles morts. Première question. Est-ce que tu autorises l'usage de l'IA dans le développement ? Par qui ? Quels utilisateurs ? A quel stade de ton SDLC ? Tu sais, le System Development Lifecycle, voire le Security Development Lifecycle. Alors, malaise ou Shadow AI déjà sur cette question ? Et si tu dois l'intégrer dans le SDLC ? Que dit ta politique AI ? Est-ce que tu autorises un dev à générer une architecture complète from scratch, sans validation humaine ? Non, hein ? Donc forcément, validation humaine et documentation. Ensuite, tu génères du code avec de l'IA dans la phase de dev.. Ah non, pardon, excuse-moi. Tu promptes. Est-ce que tu comprends déjà ton code généré avant l'intégration ? Comment fais-tu du clean code et l'adaptes-tu à ton contexte interne ? Tu fais des blind copy-paste ? Note que parfois, je l'ai vu tourner pour du debug et ça peut aider. Ensuite, tu as la phase review. Le code review obligatoire, avec des PR, les fameux push review, tu sais. C'est un humain qui le fait, j'espère. Mais comme tu es plus compétent, puisque tu ne fais plus fonctionner ton cerveau, tu vas valider en cliquant OK. Et ainsi c'est conforme. Un humain a validé. Compris, non. Validé, oui. Mais comment intègres-tu la sécurité, les inputs, les credentials, les secrets, les authentications, les dépendances ? La logique métier ? Et là, je te fais juste une petite checklist minimale, on est d'accord ? Ah, on arrive au bout du tunnel. Je vois de la lumière. On va pouvoir pousser en déploiement dans nos pipelines CI/CD, Continuous Integration, Continuous Development, ou DevOps quand tu nous tiens, avec plein de tests automatisés, c'est génial. Mais interdit de faire la plupart du temps un push direct en prod depuis du code généré, j'espère. Déjà ainsi, sans cela, les mises en prod ne sont pas toujours ce qu'elles devraient être. Alors avec du vibe coding, je suis certain que ça va marcher du premier coup, même si l'IA est forte. Et puis dis-moi, comment vas-tu valider tes templates de code, tes conventions strictes, tes librairies ? Et aussi en théorie, qui est l'owner de ton code ? Qui est responsable ? Qui comprend le code ? Va falloir le maintenir, non ? Ah ben non, tu feras un deuxième prompt, c'est vrai. Et puis tout sera documenté. Déjà, ainsi, sans vibe coding, c'est compliqué. Quand on fait de la magie au quotidien, que nos druides la documentent. Mais alors, avec du vibe coding, ça sera tout de suite plus clair. Donc, que fait ton code ? Comment il marche ? Quelles sont les dépendances clés ? Et puis, l'IA génère souvent du code fonctionnel, mais sale. Donc tu vas devoir faire du refactoring régulièrement. Tu sais, le refactoring, ce fameux processus systématique d'amélioration du code, sans création de nouvelles fonctionnalités. Il transforme un code désordonné en un code propre et en une conception simple. Et puis, comment vas-tu gérer les bugs et leur logique implicite et obscure ? Déjà ainsi, ça tombe parfois en feature, c'est-à-dire quelque chose de technique plutôt qu'un bug. Dois-je comprendre que ta plateforme devient une feature à part entière ? Et je te rappelle que tu dois aussi gérer les vulnérabilités d'un point de vue ISO 27001. Je ne vais pas te faire les 93 contrôles, je te rassure. Je vais prendre un biais. Ah zut, je me vibe code tout seul pour le coup, je fais des biais. Mais aussi tu as une surface d'attaque inconnue à présent. Ton code IA ? A quel niveau mets-tu le risque ? Genre méthode offensive comme Couscous dans Podium avec Benoît Poelvoorde ? Ou très secure, très défensif ? Tu vas scanner ton code, l'intégrer au pipeline ? Ou bien le faire en cachette en 15 minutes et facturer 8 heures à ton client ou ton employeur ? Et les clés, elles sont où ? Et les tokens ? Comment j'y retue les API et les différents appels, les accès aux données, la crypto, l'authentification, et j'en passe. Bon, on reste dans le rouge, point de vue pilule, mais on descend dans le rouge foncé, dis-moi. Tu savais qu'il y avait aussi l'ISO 42001 maintenant ? Alors 42 ? C'est la réponse universelle à l'univers dans le film The Hitchhiker's Guide to the Galaxy, où un super ordinateur, "pensée profonde", Calcule pendant des millions d'années pour répondre à la grande question sur la vie, l'univers et le reste. Et il te sort 42. Dis-moi, ça ne te rappelle pas quelque chose ? Maintenant, si. Tu retiendras que l'ISO 42001 parle de AIMS, AI Management System. Et on peut se faire certifier dessus, à la fois en tant que personne et pour des entreprises en système de management. Donc l'ISO 42001... tu vas devoir pouvoir démontrer un usage contrôlé de l'IA, une supervision humaine, une gestion des risques, avoir un registre des outils IA utilisés, des règles d'usage par type de code, des périmètres interdits ou sensibles, et puis nous en Europe on a aussi quelque chose qui s'appelle l' AI ACT. Il te faut donc une méthode renforcée, une doc renforcée, une traçabilité du développement, des tests de robustesse, si ton système est critique, donc pas de vibe coding pur. Mais encadré. Donc, je ne veux pas bloquer le vibe coding, qu'on soit clair. C'est trop tard de toute façon. Tu peux aller vite. Mais, ce n'est pas sans risque. Donc, je vais te mettre des contrôles. Il te faut du review, de la compréhension, de la sécu et de la traçabilité. Le problème, ce n'est pas que l'IA code vite. C'est que toi, tu comprends moins vite que ce qu'elle va te produire. Et je ne t'ai même pas parlé de NIS2 et de DORA. Mais quand tes gros clients, qui eux, sont déjà dans la sauce, vont te demander des preuves que tu développes en pleine conscience, avec ou sans vibe coding. D'ailleurs, maintenant, je dirais même vibe coding en pleine conscience. Peut-être qu'à ce moment-là, tu auras un sérieux travail à faire pour de la mise en conformité de ton SDLC. Et là, il y a ISO 27001. Et quand ça ne suffira plus, peut-être que la 42001 te sera utile à cadrer ton vibe coding. En guise de conclusion, c'est vrai qu'il est long cet épisode. Peut-être que j'aurais dû le découper en deux. Un par pilule. Mais bon, tant pis, j'assume. Alors dis-moi, tu as toujours envie de te lancer sur cette application géniale pour 17 euros par mois qui va tout coder à ta place ? Bravo ! Prends la pilule bleue et laisse-toi t'endormir par la matrice. Mais si tu prends l'autre, la rouge, voire la rouge foncée, Tu te rends compte qu'il y a du SDLC, il y a de l'authentification, de la gestion des versions, des bugs, gestion des actifs, il y a de l'architecture, des web-services, des micro-services, de la logique, de la scalabilité et de la souveraineté. Et j'en passe. Alors prends la rouge, le chemin est plus long, mais c'est celui de la vérité. Donc prends ton mal en patience et prends l'escalier. Voilà, c'était un épisode un peu différent, liant à la fois science-fiction, brouillard, faciliter la frontière entre la fiction et la réalité, et surtout, un retour sur Terre avec la réalité. Ah oui, et j'oubliais, on a pensé à une bonne blague aussi avec mon équipe, semaine du 1er avril oblige, et tu sais, il y a un célèbre hashtag sur les réseaux sociaux qui court avec « FrenchPodcast » en un mot, partout. TikTok, Instagram, etc. Tu savais que l'URL était libre ? Moi-même, je n'y ai pas cru. Bon, maintenant, elle ne l'est plus. Tu me vois venir ? Alors si t'es curieux, va un peu taper frenchpodcast.fr et dis-moi ce que t'en penses. Sinon, je te dis déjà la semaine prochaine pour un nouvel épisode de Compliance Without Coma.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed