Quand l’intelligence artificielle renforce l’expertise humaine pour auditer la qualité de développements réalisés par de grands prestataires IT.
La qualité d’un logiciel ne se mesure pas uniquement à ce qu’il affiche à l’écran. Derrière chaque application métier, il y a un enjeu souvent invisible mais essentiel : la qualité du code, sa robustesse, sa maintenabilité et sa conformité aux standards définis.
C’est précisément le défi rencontré récemment lors d’une mission menée pour une grande fédération professionnelle, dans un contexte où plusieurs prestataires IT intervenaient sur des développements critiques.
L’objectif : évaluer la qualité des développements réalisés par des sociétés externes et s’assurer que les standards attendus étaient bien respectés.
Un audit de code dans un environnement complexe
Quand plusieurs sociétés de services interviennent sur un même écosystème applicatif, les risques sont connus : hétérogénéité des pratiques, écarts d’architecture, qualité variable du code, dette technique qui s’accumule…
Dans ce contexte, notre expert Adekia a intégré une équipe spécialisée d’experts en audit de code, mobilisée pour analyser les développements réalisés par différents grands prestataires IT.
Avec plus de 15 ans d’expérience en architecture et développement d’applications métiers, notre consultant est intervenu sur un enjeu clé : tester et challenger la qualité du code produit, au regard de critères définis en amont.
L’audit portait notamment sur :
- le respect des standards d’architecture,
- la qualité et la maintenabilité du code,
- les bonnes pratiques de développement,
- la robustesse et les risques techniques,
- la cohérence globale des implémentations.
Dans ce type de mission, l’enjeu est majeur : il ne s’agit pas seulement de vérifier qu’un développement fonctionne, mais de s’assurer qu’il est pérenne, fiable et conforme aux exigences de qualité attendues.
Un constat : l’audit manuel atteint vite ses limites
L’audit de code reste traditionnellement un exercice extrêmement chronophage.
Lecture du code, contrôle des règles de conformité, vérifications croisées, consolidation des observations, rédaction du rapport… Sur un périmètre conséquent, une seule analyse peut facilement représenter près d’une semaine de travail.
Et lorsqu’il faut analyser plusieurs lots de développements issus de prestataires différents, le besoin de standardiser les contrôles devient encore plus critique.
Une question s’est donc rapidement posée : comment renforcer la profondeur des audits sans exploser les délais ? Et si l’IA pouvait aider et comment ?
L’IA comme accélérateur d’audit
Pour répondre à ce besoin, notre expert a participé au développement d’un outil d’analyse basé sur l’IA.
L’objectif n’était pas de remplacer l’expertise humaine, mais de fiabiliser et accélérer les analyses, en automatisant les tâches les plus répétitives.
L’outil permet notamment de :
- analyser automatiquement les développements réalisés,
- comparer le code aux règles et standards définis en amont,
- identifier des écarts ou points d’attention,
- détecter des incohérences techniques ou de bonnes pratiques,
- générer un rapport structuré facilitant le travail des auditeurs.
L’élément essentiel reste toutefois le même : les règles de qualité sont définies par les experts.
L’IA agit ici comme un copilote d’analyse, capable de passer rapidement au crible un volume important de code, tandis que les consultants conservent le rôle clé : interprétation, validation, priorisation des constats et recommandations.
Lire aussi : IA et ERP : une alliance stratégique
Comment fonctionne concrètement l’outil ?
Une intelligence artificielle orchestrée, pas une IA « boîte noire »
L’outil s’appuie sur les moteurs d’IA générative les plus récents, mais le facteur différenciant n’est pas le modèle lui-même : c’est l’architecture qui l’entoure. Chaque point d’évaluation est confié à un agent dédié, isolé du reste de l’audit, qui ne reçoit que la règle qu’il doit appliquer et les éléments du projet qu’il doit examiner. Pas d’effet de contagion entre les évaluations, pas de raccourci, pas d’interprétation biaisée par ce qui a été vu ailleurs.
Des règles d’audit définies en amont, et opposables
Les critères sont rassemblés dans une grille de contrôle versionnée, structurée en domaines — architecture, sécurité, qualité du code, exploitation, conformité… — et décomposée en axes mesurables.
Chaque axe précise, noir sur blanc, ce qui qualifie une conformité totale, partielle ou un écart avéré. Cette grille s’appuie sur les référentiels reconnus de l’industrie (OWASP, principes 12-factor, DDD, architecture hexagonale, ISO/IEC 25010, etc.) et est adaptée au contexte du client : son secteur, ses contraintes réglementaires, sa cible architecturale. Rien d’implicite, rien d’invisible.
Ce qui est analysé : la réalité du projet, pas son storytelling
- L’outil examine ce qui existe vraiment :
- le code source dans ses langages multiples (Java, Python, TypeScript, etc.) ;
- l’historique du dépôt (rythme de contribution, branches, gestion des évolutions) ;
- la chaîne de build et de déploiement (Maven/Gradle/npm, conteneurs, pipelines CI/CD) ;
- la configuration (variables, secrets, profils par environnement) ;
- les dépendances tierces et leurs vulnérabilités connues ;
- la documentation contractuelle (README, ADR, contrats d’API, schémas).
À l’inverse, les rapports produits par les équipes auditées elles-mêmes ne sont pas retenus comme source de vérité. La mesure prime sur la déclaration.
Une paramétrisation co-construite
Avant l’audit, la grille est ajustée avec le client : axes activés ou désactivés selon la pertinence, seuils calibrés selon les exigences contractuelles, pondérations adaptées au contexte. Cette personnalisation est tracée, justifiée, conservée. L’audit n’est jamais une boîte noire que le prestataire appliquerait « à sa main ».
| Pris en charge par la machine | Pris en charge par l’expert |
| Couverture exhaustive — chaque axe, chaque projet, au même niveau d’exigence | Interprétation des résultats et mise en perspective |
| Mesure objective, preuves sourcées | Priorisation par impact réel et contexte client |
| Verdict reproductible, archivé, rejouable | Dialogue avec les équipes, pédagogie, arbitrages |
| Volume — des milliers de vérifications cohérentes | Restitution stratégique au comex et aux décideurs |
La machine garantit la rigueur et l’exhaustivité. L’expert garantit la pertinence et l’actionnabilité. Aucun des deux ne peut produire seul ce que les deux produisent ensemble.
Exemples concrets d’écarts détectés
Sans entrer dans les détails d’un projet particulier, voici le type d’écarts que l’outil identifie régulièrement :
- Couplage caché entre composants censés être indépendants — typiquement, des microservices qui se partagent du code source au lieu de consommer des contrats versionnés ;
- Configuration gravée dans le code alors qu’elle devrait être externalisée par environnement — un anti-pattern qui transforme chaque déploiement en archéologie ;
- Dépendances vulnérables non corrigées : des CVE connues présentes en production, parfois depuis plusieurs versions ;
- Fuite de technologies d’infrastructure dans le cœur métier — le code devient prisonnier d’un framework, toute migration future est bloquée ;
- Documentation contractuelle obsolète par rapport au code réellement déployé : le contrat d’API affiché ne correspond plus à ce que le service répond ;
- Tests qui passent sans rien tester d’utile — la couverture statistique masque l’absence d’assertion métier.
Pour chaque écart, l’outil livre la localisation précise (fichier, ligne, mesure), une explication accessible de l’enjeu, et une recommandation actionnable classée par impact.
Résultat concret : un audit jusqu’à 10 fois plus rapide
Là où un audit complet pouvait auparavant mobiliser jusqu’à une semaine de travail, une première version exploitable de l’analyse peut aujourd’hui être obtenue en quelques heures seulement.
Ce gain de temps permet surtout d’aller plus loin sur l’essentiel : la qualité. Les experts peuvent consacrer davantage de temps à l’analyse de fond, aux échanges avec les équipes projet et à la formulation de recommandations à forte valeur ajoutée.
Ce que cela change vraiment
Au-delà de la rapidité, plusieurs bénéfices :
- Une meilleure couverture qualité : davantage de règles peuvent être contrôlées de façon systématique
- Une homogénéisation des audits : même niveau d’exigence, quel que soit le prestataire analysé
- Moins de risques d’oublis ou d’erreurs humaines dans les contrôles répétitifs
- Une montée en valeur de l’expertise : les consultants se concentrent sur l’analyse et la recommandation plutôt que sur les tâches mécaniques
L’IA ne remplace pas l’expertise, elle l’amplifie
Ce projet illustre une conviction forte chez Adekia : l’intelligence artificielle crée de la valeur lorsqu’elle renforce les experts, pas lorsqu’elle cherche à les remplacer.
Dans ce cas précis, elle permet de transformer un processus long et très manuel en un audit plus rapide, plus homogène et plus robuste, sans compromis sur l’exigence qualité.
Et dans des environnements où plusieurs prestataires interviennent sur des développements critiques, cette capacité à objectiver et standardiser les contrôles devient un véritable levier de gouvernance IT.
Et après ?
Ce type d’approche ouvre déjà la voie à d’autres usages : revue d’architecture, audit de sécurité, contrôle de qualité logicielle ou encore analyse documentaire technique.
Chez Adekia, nous continuons à explorer ces nouveaux usages de l’IA avec une même ligne directrice : mettre la technologie au service de l’expertise et de la qualité des projets de nos clients.
À propos de Steven Renaud : Co-fondateur d’Adekia et expert en architecture IT, il accompagne les entreprises dans la conception et la mise en œuvre de systèmes robustes et adaptés à leurs enjeux métiers. Spécialisé en ERP et projets complexes, il partage régulièrement ses bonnes pratiques en architecture, développement et intégration de solutions IT.
Envie d’explorer les possibilités de l’IA pour l’audit de votre code ?
Nos experts vous accompagnent et mettent à votre disposition leur expertise et les technologies qu’ils ont développées. Nous nous adaptons à vos besoins.