Vibe Coding : vos apps IA exposent vos données en clair

Un de vos commerciaux a créé une petite appli avec ChatGPT pour gérer les relances clients. Votre assistante a généré un outil pour trier les devis. Votre responsable RH utilise un tableau de bord monté en une heure grâce à l'IA. Pratique, rapide, efficace… et potentiellement catastrophique. Des chercheurs en sécurité ont récemment découvert que des milliers d'applications créées de cette façon exposent publiquement sur Internet des données d'entreprises, sans mot de passe, sans protection, sans que personne ne s'en soit rendu compte. Votre PME est peut-être dans ce cas.

C'est quoi le « vibe coding » et pourquoi ça vous concerne

Le vibe coding, c'est le fait de créer une application informatique en décrivant ce qu'on veut à une IA, qui génère le code à votre place. Pas besoin d'être développeur. En quelques minutes, votre collaborateur peut construire un outil fonctionnel : un formulaire client, une base de données interne, un dashboard de suivi des ventes. C'est bluffant de simplicité. Le problème, c'est que l'IA génère du code qui fonctionne, mais elle ne configure pas automatiquement la sécurité. Elle ne protège pas l'accès aux données, ne chiffre pas les informations sensibles, ne vérifie pas qui peut consulter quoi. Ce n'est pas un défaut de l'IA : c'est simplement qu'elle fait ce qu'on lui demande, et personne ne lui demande de sécuriser. Résultat : des applications opérationnelles, mises en ligne en quelques clics, et grandes ouvertes à n'importe qui sur Internet.

Le shadow AI : quand vos équipes agissent dans votre dos, sans le vouloir

On parle de « shadow AI » — littéralement l'IA dans l'ombre — pour désigner tous ces outils d'intelligence artificielle utilisés par vos collaborateurs sans que la direction ou le service informatique ne soit au courant. Ce n'est pas de la mauvaise volonté. C'est même souvent l'inverse : ce sont vos employés les plus efficaces, ceux qui cherchent à gagner du temps, qui adoptent ces outils en premier. Mais le danger des shadow AI dans une PME est réel. Ces applications maison peuvent contenir vos fichiers clients avec noms, emails et numéros de téléphone, vos données RH et fiches de paie, vos contrats et tarifs confidentiels, vos identifiants de connexion à d'autres outils internes. Tout cela peut se retrouver stocké sur un serveur externe, accessible sans authentification, indexé par des moteurs de recherche spécialisés que les pirates utilisent quotidiennement. Et vous, vous n'en savez rien.

Pourquoi les PME sont les plus exposées

Les grandes entreprises ont des équipes informatiques dédiées, des procédures de validation avant toute mise en production, des audits réguliers. Dans une PME, c'est rarement le cas. Vos collaborateurs ont souvent les droits pour installer ce qu'ils veulent, créer un compte sur n'importe quelle plateforme, mettre en ligne un outil sans demander l'autorisation à personne. Ajoutez à cela des plateformes comme Replit, Glide, Bubble ou Streamlit, qui permettent de déployer une application en un clic sur Internet, et vous comprenez pourquoi le risque application IA en entreprise est particulièrement élevé pour les structures sans DSI. Une étude publiée en 2025 a révélé que sur des milliers d'applications vibe coding analysées, une grande partie exposait des clés d'API (des sortes de mots de passe pour accéder à d'autres services), des bases de données entières, ou des tokens d'accès à des services cloud — le tout en clair, sans aucune protection.

Ce que vous pouvez faire dès maintenant

1. Faites un tour de table rapide. Demandez à vos équipes, lors de votre prochain réunion, quels outils IA elles utilisent et si elles ont créé des applications ou des automatisations ces derniers mois. Pas pour sanctionner, mais pour savoir. Ce que vous ne connaissez pas, vous ne pouvez pas le protéger.

2. Posez une règle simple. Toute application qui traite des données clients ou internes doit être validée avant d'être mise en ligne. Une seule personne référente suffit : vous, votre responsable informatique, ou un prestataire de confiance.

3. Vérifiez ce qui est déjà en ligne. Si des outils ont déjà été déployés, demandez à votre prestataire IT ou à un consultant de vérifier qu'ils ne sont pas accessibles publiquement sans protection. Un audit rapide peut éviter une catastrophe.

4. Sensibilisez sans diaboliser. L'IA est un vrai gain de productivité. L'objectif n'est pas d'interdire, mais d'encadrer. Expliquez à vos équipes pourquoi la sécurité des données est aussi leur responsabilité, et donnez-leur un cadre clair pour continuer à innover sans mettre l'entreprise en danger.

5. Vérifiez votre couverture en cas d'incident. Certaines assurances cyber couvrent les fuites de données, y compris celles causées par des outils internes mal sécurisés. Renseignez-vous auprès de votre assureur pour savoir si vous êtes protégé.