Digitalisation · IA · Mai 2026 · Lecture ~18 min
En février 2025, Andrej Karpathy a popularisé sur X le terme vibe coding : laisser le modèle écrire le code et le guider par la conversation, l'intuition et des révisions rapides plutôt que de taper chaque ligne. Un an plus tard, le concept est passé du tweet provocateur à la catégorie professionnelle. Claude Code, Cursor, Windsurf, Codeium, Codex et les agents n8n permettent à une PME (petite et moyenne entreprise) de construire des outils internes, des automatisations et des prototypes en heures, pas en semaines. Ce guide explique ce qu'est le vibe coding, comment les agents IA s'intègrent dans le workflow quotidien, des cas réels dans des PME espagnoles, et où se trouvent les risques sérieux — dette technique, qualité, sécurité — qu'aucun vendeur ne vous dira.
Qu'est-ce que le vibe coding selon Karpathy
Le terme est né d'un tweet d'Andrej Karpathy daté du 2 février 2025 : « There's a new kind of coding I call 'vibe coding', where you fully give in to the vibes, embrace exponentials, and forget that the code even exists ». Karpathy décrit le schéma concret : parler au modèle en langage naturel, voir ce qu'il génère, l'exécuter, lui demander de corriger les erreurs sans nécessairement les lire soi-même, et construire de petits outils en quelques minutes.
La phrase a eu un écho parce qu'elle a nommé un changement déjà en cours. GitHub a publié dans son Octoverse 2024 que 92 % des développeurs professionnels utilisaient un type d'assistant IA dans leur workflow. Anthropic, OpenAI, Google et Cursor ont rapporté en 2025 que la majorité de leurs utilisateurs étaient des professionnels qui ne s'identifiaient pas comme ingénieurs logiciels mais écrivaient du code quotidiennement : analystes de données, marketeurs, avocats, consultants. Le vibe coding canalise ce phénomène.
Trois niveaux de vibe coding
Il convient de distinguer trois niveaux opérationnels pour éviter toute confusion dans la discussion :
| Niveau | Description | Qui | Risque |
|---|---|---|---|
| L1 · Assisté | Autocomplétion avancée type Copilot. L'humain écrit et le modèle suggère. | Tout développeur | Faible |
| L2 · Conversationnel | L'humain décrit ce qu'il veut et le modèle génère des blocs complets que l'humain révise. | Développeur et professionnel technique | Moyen |
| L3 · Vibe pur | L'humain décrit l'objectif, le modèle écrit, exécute, débogue et livre. L'humain évalue le résultat, pas le code. | Prototypes, scripts, outils internes | Élevé si en production |
Karpathy décrit le L3. C'est le plus excitant et le plus mal compris : il n'est sûr que lorsque le périmètre est petit, les données sont non sensibles, il y a des tests automatisés validant le comportement et il est possible de tout jeter et de réécrire si ça ne fonctionne pas. Pour la production critique d'une PME avec des données clients, le L3 sans supervision est dangereux.
Le stack 2026 : Claude Code, Cursor, Windsurf, Codeium
Quatre outils concentrent l'essentiel du marché professionnel en 2026. Chacun avec sa philosophie.
Claude Code (Anthropic)
CLI agentique publiée par Anthropic en mai 2025 et consolidée durant 2025-2026 comme référence pour le vibe coding en terminal. Philosophie : agent qui vit dans votre shell, lit les fichiers du projet, exécute des commandes, édite des fichiers avec des permissions explicites, intègre des MCPs (Model Context Protocol) pour connecter des sources externes (GitHub, Notion, bases de données, APIs internes). Avantages : contrôle fin, transparence (vous voyez chaque commande), persistance des instructions via CLAUDE.md dans le dépôt. Idéal pour les devs seniors qui veulent un copilote sérieux sur des projets longs.
Cursor
Éditeur basé sur VS Code avec IA intégrée. Lancé par Anysphere en 2023, il est devenu en 2024-2025 l'éditeur privilégié du segment startup-tech. Philosophie : éditeur familier avec un modèle (Claude, GPT, Gemini, modèles propriétaires) qui indexe votre codebase, répond aux questions, complète des blocs et exécute des actions agentiques avec le mode « Composer ». Avantages : UX soignée, raccourcis puissants, indexation sémantique du dépôt. L'option la plus facile pour quelqu'un qui vient de VS Code et veut monter d'un cran.
Windsurf (Codeium)
Fork de VS Code créé par Codeium, lancé en novembre 2024 et très populaire en 2025-2026 pour son agent « Cascade » qui combine l'édition de fichiers et l'exécution de commandes dans un même flux. Philosophie : éditeur + agent sans séparation. Avantages : prix agressif sur les plans pro, agent fluide pour les tâches de plusieurs heures, bonnes intégrations avec le stack web (Vercel, Next.js, Astro).
Codeium · plugin classique
Avant Windsurf, Codeium était l'autocomplétion gratuite multi-IDE. Il reste actif comme plugin pour JetBrains, Eclipse, Sublime, Vim, Emacs. Pour les profils qui ne souhaitent pas changer d'éditeur, c'est toujours l'option avec la meilleure couverture d'IDEs.
Autres acteurs clés
- GitHub Copilot avec son « agent mode » lancé en 2025. Bonne intégration avec le reste de l'écosystème GitHub.
- OpenAI Codex CLI, agent en terminal d'OpenAI lancé en 2025.
- Cline, agent open source pour VS Code permettant d'utiliser sa propre clé API.
- Aider, CLI open source axée sur git : chaque changement de l'agent est un commit. Excellent pour l'audit.
- Replit Agent, agent intégré dans Replit qui construit des apps full-stack à partir d'un prompt.
- Vercel v0 pour générer des composants React/Next.js à partir de prompts.
Lequel choisir selon le contexte
| Contexte | Recommandation 2026 |
|---|---|
| Marketing / consultant souhaitant automatiser des tâches | Claude Code avec MCPs (Notion, Google Workspace) ou Cursor |
| Équipe dev senior dans un SaaS | Cursor + Claude Code en parallèle, selon la tâche |
| Équipe nécessitant un audit granulaire | Aider (chaque changement est un commit signé) |
| Designer UX qui prototypage | Vercel v0 + Cursor |
| Entreprise avec stack JetBrains | Codeium classic ou JetBrains AI Assistant |
| No-code amélioré | Replit Agent ou Cursor en local sans codebase préexistant |
Agents n8n et orchestration visuelle
Tandis que Cursor et Claude Code occupent le côté dev du workflow, du côté opérations, l'acteur principal est n8n. La plateforme d'automatisation open source a publié ses nœuds « AI Agent » en 2024 et durant 2025-2026 en a fait le schéma standard pour composer des agents sans écrire de code :
- Nœud AI Agent supportant Anthropic, OpenAI, Google, Mistral, Groq, modèles locaux via Ollama.
- Outils que l'agent peut invoquer : exécution de code JavaScript/Python, appels HTTP, requêtes SQL, lecture/écriture dans Notion, Sheets, Airtable, Slack, Telegram.
- Mémoire persistante (Postgres, Redis, vector store).
- Workflow tools : un agent peut invoquer un autre workflow n8n comme outil, enchaînant des agents spécialisés.
Le schéma typique dans une PME : un workflow qui écoute un e-mail entrant, l'analyse avec un agent IA, décide s'il s'agit d'une facture, d'un lead, d'une réclamation ou d'un ticket de support, et route automatiquement — le tout sans qu'un développeur maintienne du code. La courbe d'apprentissage se compte en heures, pas en semaines.
Alternatives à n8n pour les PME
- Make (anciennement Integromat). Visuel, commercial, avec support IA. Courbe encore plus douce que n8n mais moins de contrôle.
- Zapier AI. Intègre des agents IA dans ses zaps. Bonne couverture SaaS, prix élevé à l'échelle.
- Pipedream. Code-first avec IA, pour les profils plus techniques.
- Vercel Workflow / Workflow DevKit. Si votre stack vit déjà dans Vercel, regardez l'option durable-execution avec TypeScript.
- LangFlow / LangGraph. Si vous avez besoin de graphes complexes avec des bifurcations et une révision humaine dans la boucle.
Cas réels de PME
Trois cas illustrant le ROI quand le vibe coding est bien appliqué — et deux où il valait mieux s'arrêter.
Cas 1 · Cabinet d'avocats (8 personnes)
Problème : 6 à 8 heures hebdomadaires pour la paralégale à réviser des contrats types et extraire des clauses pour un tableau de suivi. Solution vibe-codée dans Claude Code (2 sessions de 3 heures) : pipeline Python qui télécharge les PDFs depuis DocuSign, les passe à un agent Claude qui retourne un JSON avec les champs extraits, puis les verse dans Notion. Résultat : la paralégale a récupéré 5 heures par semaine, l'erreur de transcription est passée de ~3 % à ~0,4 % mesurée sur 200 contrats.
Cas 2 · E-commerce de niche (4 personnes)
Problème : descriptions de produits rédigées manuellement pour 600 SKUs, en retard sur le catalogue réel du fournisseur. Solution vibe-codée dans Cursor (1 journée) : script qui lit le feed CSV du fournisseur, utilise Claude pour générer une description selon le guide de style de marque, télécharge vers WooCommerce via API, marque pour révision humaine. Résultat : catalogue mis à jour en 48 heures, 580 fiches prêtes, 20 marquées pour révision manuelle.
Cas 3 · Agence de marketing (12 personnes)
Problème : génération mensuelle de 30 rapports clients avec données GA4, Search Console, SEMrush. Temps précédent : ~40 heures/mois entre deux analystes. Solution vibe-codée dans n8n (3 sessions) : workflow avec déclencheurs programmés, agent qui interroge des APIs, génère la narration au format client, télécharge le PDF dans le Drive client, notifie via Slack. Résultat : 40 heures → 4 heures/mois (révision et signature uniquement). ROI clair mais révision initiale intensive requise pour éviter les hallucinations sur les chiffres (validation croisée des données ajoutée).
Anti-cas 1 · Startup ayant tenté de vibe-coder son SaaS principal
Équipe de 3 fondateurs non techniques ayant voulu construire leur produit SaaS B2B de zéro avec Replit Agent et Cursor en 6 semaines. Ils ont atteint un MVP fonctionnel mais avec trois problèmes qui ont explosé lors de l'onboarding des 20 premiers clients : (1) injections SQL non détectées car les tests générés par le modèle ne les couvraient pas, (2) logique d'autorisation incohérente entre modules (l'agent n'a pas maintenu l'invariant de sécurité), (3) dette technique massive — 18 000 lignes qu'aucun membre de l'équipe n'avait jamais lues. Le refactoring a nécessité l'embauche d'un CTO senior pendant 3 mois. Leçon : le vibe pur fonctionne pour les outils internes autonomes, pas pour un SaaS multi-tenant avec des données clients en production.
Anti-cas 2 · Migration ERP par un consultant junior
Un consultant junior a accepté de migrer un ERP legacy à base de scripts générés par Claude Code pour un client B2B. Sans révisions, sans tests fonctionnels, avec de vraies données en pré-production. Après deux semaines, il a découvert qu'un champ « date de désactivation » avait été mal mappé et avait marqué des actifs comme inactifs pour 1 200 clients dans le nouvel ERP. Six jours de travail de rollback. Leçon : le vibe coding NE remplace PAS la conception de migrations par quelqu'un ayant de l'expérience dans le domaine métier.
Un workflow quotidien réaliste pour 2026
Pour une PME qui démarre avec le vibe coding, le workflow productif du premier trimestre a un schéma répétable. La session de développement typique du matin ressemble à ceci :
- Daily de 10 minutes où l'équipe décide quelles tâches sont adaptées au vibe coding (autonomes, sans toucher au paiement ou à l'authentification) et lesquelles nécessitent un codage manuel avec révision.
- Bloc de 90 minutes avec Cursor ou Claude Code pour un objectif précis : refactoriser un module, automatiser un rapport, monter un nouvel endpoint. L'agent travaille, l'humain évalue et guide.
- Passe de tests adversariaux : l'humain demande à l'agent d'écrire 8 à 10 tests qui tentent de casser le code généré. En cas d'échec, on ajuste avant de continuer.
- Revue de code à deux personnes : tout merge vers main passe par une révision humaine, même si le code est généré par l'agent. Si le relecteur ne comprend pas quelque chose, l'auteur doit être capable de l'expliquer (règle anti-vibe-pur).
- Merge + déploiement en preview avec vérification manuelle du comportement réel dans le navigateur.
- Clôture de journée : mettre à jour
CLAUDE.md/.cursorrulesavec toute convention apprise pendant la session, pour que la suivante démarre avec plus de contexte.
Ce schéma maintient la vitesse du vibe coding sans négliger la qualité. Les équipes qui sautent les étapes 3, 4 et 6 sont celles qui accumulent de la dette technique en quelques mois.
Risques : dette technique, qualité, sécurité
Les vendeurs ne vous parleront pas de ces risques. Il est utile de les énumérer pour prendre des décisions éclairées :
1. Dette technique invisible
Le code généré par un agent peut fonctionner au premier test et être difficile à maintenir. Variables mal nommées, structures qui ne suivent pas le style du dépôt, logique dupliquée, dépendances inutiles. Si personne ne révise, la dette croît. La bonne pratique : dans chaque session, après le prompt vibe initial, une passe de « nettoyage guidé » où l'agent refactorise selon un guide de style précis.
2. Qualité des tests trompeuse
Les agents tendent à générer des tests qui vérifient le chemin heureux et omettent les cas limites. Résultat : couverture apparente de 90 % mais bugs en production. La bonne pratique : réviser manuellement les tests critiques ou demander à l'agent d'écrire des tests adversariaux explicites (« écris 10 tests qui tentent de casser cette fonction »).
3. Sécurité faible par défaut
Les modèles tendent à générer du code fonctionnel mais pas sécurisé par défaut. Chaînes SQL concaténées, validation d'entrée laxiste, secrets dans le code ou les logs, CORS permissif. La bonne pratique : intégrer un linter de sécurité (Semgrep, CodeQL, Snyk) qui s'exécute sur chaque PR, et indiquer explicitement dans le prompt « ce code va en production multi-tenant, applique la défense en profondeur ».
4. Hallucinations dans le code
L'agent peut inventer des fonctions de bibliothèque qui n'existent pas, des paramètres incorrects, des versions inexistantes. Bien qu'en 2026 ce soit beaucoup moins fréquent qu'en 2023, cela arrive encore avec les bibliothèques de niche. La bonne pratique : toujours exécuter le code généré dans un environnement isolé avant de l'accepter et se méfier de toute dépendance peu connue.
5. Coût imprévisible
Une longue session Claude Code ou Cursor avec des tokens très généreux peut coûter 5 à 20 €. À l'échelle d'une équipe, cela s'accumule. La bonne pratique : budget mensuel par personne, surveillance des dépenses, modèles moins chers (Haiku, Mini) pour les tâches répétitives et modèles premium uniquement pour le raisonnement complexe.
6. Perte de la connaissance opérationnelle de l'équipe
Si les seniors délèguent aux agents et que les juniors ne voient jamais le code, l'équipe perd ses propres capacités. La bonne pratique : consacrer 1 à 2 heures hebdomadaires à la révision humaine du code généré, en format de mentorat inversé (les juniors expliquent aux seniors ce que l'agent a fait).
7. Conformité légale et propriété intellectuelle
Le code généré par un LLM entraîné sur des dépôts sous licence peut entraîner des restrictions de licence. Les principaux fournisseurs (Anthropic, OpenAI, GitHub Copilot Enterprise) offrent une indemnisation conditionnelle — lisez-la. Si votre produit est destiné à être vendu aux administrations publiques espagnoles, validez que les licences sont compatibles avec la clause de logiciel libre du schéma national lorsque applicable.
Le profil « vibe engineer » en 2026
Le marché des développeurs est en train de créer une nouvelle catégorie professionnelle : le vibe engineer. Ce n'est pas un junior qui utilise Cursor pour coder plus vite ; c'est un senior avec du discernement qui orchestre des agents et révise les outputs. Les compétences que le marché valorise :
- Conception de prompts complexes (system prompts, exemples few-shot, gestion du contexte, MCPs).
- Lecture critique du code généré dans n'importe quel langage (polyglotte par nécessité).
- Conception de tests adversariaux qui détectent ce que le modèle va omettre.
- Architecture logicielle traditionnelle : toujours décisive. L'agent programme des fonctions ; l'humain conçoit des systèmes.
- Conformité et sécurité by design : RGPD, AI Act, OWASP, gestion des secrets.
- Orchestration de pipelines d'agents dans n8n, LangGraph ou équivalents.
Pour une PME espagnole, l'implication est que le profil dev ne disparaît pas : il change. Une équipe de 4 peut ne plus avoir besoin de 8 (productivité multipliée par l'agent) mais les 4 qui restent doivent être seniors avec de l'expérience en architecture, sécurité et domaine métier. La PME qui parie sur le remplacement de seniors par des juniors avec le vibe paiera la facture en dette technique et incidents 12 à 18 mois plus tard.
Questions fréquentes sur le vibe coding
Quelle est la différence entre le vibe coding et la programmation avec Copilot ?
Copilot traditionnel assiste ligne par ligne : l'humain écrit et le modèle suggère la complétion. Le vibe coding va plus loin : l'humain décrit l'objectif en langage naturel et le modèle (Claude Code, Cursor Composer, Windsurf Cascade) écrit des blocs complets, exécute des commandes, édite plusieurs fichiers en parallèle et débogue. La différence clé est le niveau de délégation : avec Copilot l'humain pilote, avec le vibe coding l'humain dirige l'agent pilote. Pour les tâches petites et autonomes, le vibe coding est beaucoup plus rapide ; pour la production critique, la supervision doit être maintenue.
Puis-je construire un SaaS entier uniquement avec le vibe coding ?
Techniquement, vous pouvez atteindre un MVP fonctionnel en quelques semaines, comme l'ont démontré de nombreux fondateurs en 2024-2025 avec Replit Agent ou Cursor. En pratique, amener ce MVP en production multi-tenant avec de vrais clients nécessite presque toujours un refactoring par des développeurs seniors. Les problèmes typiques sont les incohérences d'autorisation entre modules, la logique métier dupliquée, l'absence de tests adversariaux, la mauvaise gestion des erreurs et les dépendances inutiles. Le vibe coding est excellent pour valider une idée et acquérir les premiers utilisateurs ; pour passer à l'échelle et vendre à des clients d'entreprise, il faut investir dans une architecture humaine.
Quel outil de vibe coding choisir en 2026 si je ne suis pas développeur professionnel ?
Pour un professionnel non-développeur (marketeur, avocat, analyste, consultant) souhaitant automatiser des tâches internes, la combinaison la plus productive en 2026 est Cursor (éditeur IA) pour créer des scripts et des outils locaux, plus Claude Code pour le terminal et les opérations système, complété par n8n pour les automatisations visuelles récurrentes. Si le cas d'usage est le web full-stack, Vercel v0 et Replit Agent permettent de partir de zéro avec des prompts. L'essentiel est de choisir un outil et de l'approfondir 4 à 6 semaines avant d'en changer : le coût de changement est la courbe des prompts et configurations.
Est-il sûr de passer des données clients à Claude Code ou Cursor ?
Cela dépend du plan souscrit. Les plans entreprise d'Anthropic (Claude for Work / Enterprise) et Cursor Business / Enterprise incluent des clauses qui empêchent l'utilisation de vos données pour l'entraînement de futurs modèles, la résidence des données dans des régions spécifiques (UE disponible en 2026) et des DPA alignés sur le RGPD. Les plans gratuits ou grand public n'offrent pas les mêmes garanties. Pour une PME espagnole gérant des données clients soumises au RGPD, la démarche prudente est de souscrire au plan entreprise et de maintenir une liste claire de ce que les agents peuvent et ne peuvent pas accéder.
Comment éviter la dette technique du code généré par les agents ?
Quatre pratiques concrètes : (1) définir le guide de style du dépôt (CLAUDE.md, .cursorrules) que l'agent respecte à chaque session ; (2) après chaque session productive, une passe de refactoring où l'agent nettoie selon le guide ; (3) des tests de régression qui s'exécutent dans la CI avant chaque merge ; (4) une revue humaine périodique du code généré, en format pair-review entre senior et junior ou entre deux seniors. Ces quatre pratiques réduisent la dette au niveau du code écrit par une équipe humaine expérimentée, sans perdre la vitesse du vibe coding.
Le vibe coding remplace-t-il les développeurs dans ma PME ?
Il ne remplace pas, il recompose. Une équipe de 4 développeurs seniors avec le vibe coding bien appliqué peut maintenir la production d'une équipe précédente de 7 à 8 sans vibe. Mais cette équipe de 4 doit être senior : avec de l'expérience en architecture, domaine métier, sécurité et revue critique. Remplacer des seniors par des juniors avec le vibe coding est une erreur qui se paie en dette technique et incidents 12 à 18 mois plus tard. Le marché paiera plus pour des seniors qui orchestrent des agents que pour des juniors qui ne font que prompter — et paiera encore plus pour des seniors expérimentés en RGPD et AI Act.
Le vibe coding et l'AI Act sont-ils compatibles ?
Oui, avec trois précautions. (1) Si votre PME développe un système d'IA de l'Annexe III (haut risque) et le construit avec l'aide d'agents, les obligations de gouvernance, de documentation technique et de supervision humaine de l'AI Act ne se relâchent pas : vous restez le responsable en tant que fournisseur. (2) Si les agents accèdent à des données personnelles, le RGPD s'applique pleinement (base légale, DPA avec le fournisseur de l'agent, droits des personnes concernées). (3) L'Art. 4 de l'AI Act exige une alphabétisation en IA du personnel : si votre équipe utilise Claude Code ou Cursor au quotidien, vous devez documenter la formation et la politique d'usage interne. Il est conseillé de créer cette documentation maintenant, avant août 2026.