LI Solutions

Ce que coûte le sauvetage d'une application vibe-coded en 2026

What it costs to rescue a vibe-coded app in 2026

Points clés à retenir

Le sauvetage a des paliers, pas un prix

Un audit va de 3 000 $ à 15 000 $, la stabilisation de 15 000 $ à 60 000 $, une reconstruction partielle de 60 000 $ à 150 000 $, et une reconstruction complète de 150 000 $ à 500 000 $. Votre palier dépend moins du code que du temps passé sans que personne ne le regarde.

Le code n'est pas le problème. Le changement, si.

Les données de GitClear sur 623 millions de lignes modifiées montrent une duplication en hausse de 81 % et un refactoring qui s'effondre. Les applications construites à l'IA tendent à fonctionner le jour du lancement et à résister à chaque changement ensuite.

La dette de sécurité est la plus chère

Veracode constate que 45 % du code généré par IA échoue aux contrôles de sécurité de base, un taux qui n'a pas bougé en deux ans. Des clés commitées dans un dépôt ou des paquets hallucinés peuvent transformer un nettoyage en réponse à incident.

Appelez tant que c'est encore un choix

Un audit à 3 000 $ pendant que tout est calme vous achète la liste des réparations et la maîtrise du calendrier. Après un incident ou une due diligence ratée, le palier est choisi pour vous, du côté cher.

L'appel commence presque toujours de la même façon. Quelqu'un a construit une application avec des outils IA l'an dernier, plus vite et pour moins cher qu'il ne le croyait possible. Elle a été lancée, elle a trouvé ses utilisateurs, et pendant des mois tout allait bien. Aujourd'hui, le prestataire de paiement signale des tentatives de paiement répétées que personne ne sait expliquer, ou le conseiller technique d'un investisseur demande qui a audité la base de code, ou les trois derniers déploiements ont chacun cassé quelque chose sans aucun rapport. La personne au téléphone ne veut pas d'un sermon sur l'IA. Elle veut savoir combien coûte la réparation.

Nous avons consacré un article l'hiver dernier au Problème du Mois 3 : les applications vibe-coded ont tendance à fonctionner jusqu'au moment précis où il faut les modifier. Assez d'entreprises ont percuté ce mur pour que la réparation des dégâts soit devenue une prestation à part entière, avec son propre nom (rescue engineering) et un marché croissant de cabinets spécialisés. Des publications sectorielles affirment que sur les quelque 10 000 startups qui avaient mis en production des applications construites à l'IA fin 2025, environ 8 000 ont eu besoin d'un sauvetage depuis, à raison de 50 000 $ à 500 000 $ la mission. Ces chiffres viennent de gens qui vendent des services de nettoyage, à prendre donc avec des pincettes. Mais la silhouette correspond à ce qui atterrit dans notre boîte mail.

La réponse honnête à la question du coût est une grille de paliers, pas un chiffre. Les voici, avec ce que vous obtenez à chaque niveau, et les cinq signaux qui disent dans lequel vous vous trouvez réellement.

Pourquoi le sauvetage est devenu une catégorie de services

Les données les plus claires sur ce que devient le code IA avec le temps viennent de GitClear, qui a analysé 623 millions de lignes de code modifiées de 2023 à 2026. Les blocs de code dupliqués ont augmenté de 81 % depuis 2023, le niveau le plus haut jamais enregistré. Le refactoring, ce travail ingrat de restructuration du code à mesure qu'un produit grandit, s'est effondré de 13 % des lignes modifiées à moins de 4 %. Les constructions qui masquent les erreurs au lieu de les traiter ont progressé de 47 %. Les développeurs équipés d'assistants IA collent désormais environ cinq fois plus souvent qu'ils ne restructurent.

Rien de tout cela n'empêche une application de fonctionner le jour du lancement. Cela décide de ce qui arrive quand vous essayez de la modifier. La logique dupliquée signifie qu'un bug corrigé à un endroit reste vivant à quatre autres. Le masquage d'erreurs signifie que l'application a l'air en bonne santé pendant qu'elle corrompt discrètement les données. C'est pourquoi les appels au secours arrivent des mois après le lancement, pas des semaines. Le code n'a pas pourri. Il a toujours été comme ça, et la croissance l'a mis à nu.

La sécurité est le versant le plus dur. Les tests menés par Veracode au printemps 2026 ont montré que 45 % du code généré par IA échoue aux contrôles de sécurité de base, un taux qui ne s'est pas amélioré en deux ans alors même que les modèles sont devenus spectaculairement meilleurs pour produire du code qui tourne. Des chercheurs de Georgia Tech ont recensé 35 CVE attribuées à des outils de codage IA rien qu'en mars 2026, contre six en janvier. Et environ un cinquième des échantillons générés référencent des paquets logiciels qui n'existent pas, ce que les attaquants exploitent en enregistrant les noms hallucinés pour les farcir de malware.

Les quatre paliers, chiffres à l'appui

Les devis de sauvetage varient comme varient les devis de construction. Mais au bout d'un certain nombre de ces projets, le travail se range de lui-même en quatre paliers.

Audit : de 3 000 $ à 15 000 $

Une à deux semaines, en lecture seule. Vous obtenez une carte : ce que fait réellement le code, où se trouvent les zones dangereuses, ce que coûterait leur réparation et, tout aussi utile, ce qui est très bien tel quel. Beaucoup d'applications vibe-coded s'en sortent avec une courte liste de réparations. Un audit est aussi ce que le conseiller technique d'un investisseur mènera de toute façon pendant la due diligence, donc en commander un avant la levée de fonds, c'est garder la main sur le calendrier et sur le récit. Les cabinets d'audit indépendants facturent les bases de code petites et moyennes à partir de quelques milliers de dollars ; les missions de due diligence pour grands comptes montent bien plus haut, mais c'est une autre histoire.

Stabilisation : de 15 000 $ à 60 000 $

Le palier le plus courant. Le code reste ; le risque s'en va. Des tests sont écrits d'abord autour des chemins qui touchent à l'argent et à la connexion, parce que ce sont eux qui finissent dans les rapports d'incident. Les clés API commitées dans le dépôt sont révoquées et remplacées. Les paquets hallucinés ou abandonnés cèdent la place à de vrais paquets. Les pannes autrefois silencieuses deviennent journalisées et surveillées. Quatre à huit semaines pour la plupart des petits produits, et à la fin, les déploiements cessent de faire peur. C'est ça, le vrai livrable.

Reconstruction partielle : de 60 000 $ à 150 000 $

Pour les cas où certains sous-systèmes ne sont plus récupérables. En général, c'est l'authentification, les paiements ou la couche de données : les parties qui peuvent vous faire mal. Elles sont reconstruites proprement puis substituées pendant que le reste de l'application continue de tourner, si bien que les utilisateurs ne s'aperçoivent de rien. C'est le palier des produits qui ont une vraie traction et des fondations qui n'avaient pas été prévues pour. Le produit est le bon. Des morceaux de son implémentation ne le sont pas.

Reconstruction complète : de 150 000 $ à 500 000 $

Le palier dont personne ne veut. Il survient quand le modèle de données lui-même est faux et que tout y est couplé, ou quand un problème de sécurité actif oblige la remédiation à faire aussi office de réponse à incident. Le profil type est une application qui a grandi pendant dix-huit mois sur sa fondation générée d'origine. À ce niveau, la réparation coûte plus cher que ne l'aurait coûté une construction correcte, ce qui résume le piège en une phrase : l'argent économisé au premier mois se rembourse en haut de fourchette au dix-huitième.

Cinq signaux qui disent dans quel palier vous êtes

Vous ne pouvez pas cadrer précisément votre propre sauvetage. Vous pouvez vous en approcher avec cinq questions.

  • Quelqu'un sait-il expliquer comment fonctionne la connexion ? Pas si elle fonctionne. Si quelqu'un sait l'expliquer. Un code d'authentification que personne ne comprend doit être présumé défectueux jusqu'à l'audit.
  • Où vivent les secrets ? Des clés API commitées dans le dépôt vous placent d'office en stabilisation, au minimum. Si ce dépôt a un jour été public, vous ne cadrez plus un projet. Vous répondez à un incident.
  • Le modèle de données mérite-t-il d'être sauvé ? Si les entités centrales sont à peu près justes, l'essentiel de l'application peut être sauvé autour d'elles. Si elles sont fausses, chaque fonctionnalité future est une petite reconstruction déguisée, et le geste honnête, c'est d'en faire une grande.
  • Y a-t-il des tests ? Zéro test, c'est la norme pour les applications vibe-coded, et ce n'est pas rédhibitoire. C'est juste, toujours, la première ligne de la facture.
  • De l'argent réel y circule-t-il ? Les utilisateurs et le chiffre d'affaires relèvent l'enjeu de chaque défaut. En règle générale, ils vous font monter d'un palier par rapport à celui où vous pensiez être.

Appelez tant que c'est encore un choix

Rien de tout cela n'est un argument contre les outils de codage IA. Nous les utilisons tous les jours. L'argument vise le code généré jamais relu qui s'accumule en production pendant un an, parce que c'est cette variable-là qui vous fait changer de palier. Pas le fait que l'IA ait écrit le code. Le temps pendant lequel personne ne l'a regardé.

Si votre application fonctionne et grandit, c'est précisément le moment où un audit ne coûte pas cher. Quelques milliers de dollars pendant que tout est calme vous achètent la liste des réparations et la maîtrise du calendrier. La version coûteuse de cette conversation commence après l'incident, et à ce stade le palier a déjà été choisi pour vous.

Questions fréquentes

Combien coûte la réparation d'une application vibe-coded en 2026 ?

Entre 3 000 $ et 500 000 $, et c'est pourquoi la réponse honnête est un palier, pas un chiffre. Un audit en lecture seule va de 3 000 $ à 15 000 $. Stabiliser une application qui fonctionne coûte de 15 000 $ à 60 000 $. Reconstruire des sous-systèmes cassés comme l'authentification ou les paiements va de 60 000 $ à 150 000 $, et la reconstruction complète d'une application qui a grandi un an sur une mauvaise fondation atterrit entre 150 000 $ et 500 000 $.

Ai-je besoin d'une reconstruction complète ?

Probablement pas. La plupart des sauvetages s'arrêtent à la stabilisation : des tests autour des chemins critiques, des secrets renouvelés, des paquets remplacés, une vraie gestion des erreurs. Une reconstruction complète n'a de sens que si le modèle de données central est faux et que tout y est couplé, ou si la remédiation doit faire aussi office de réponse à un incident de sécurité. Un audit vous dira dans quel cas vous êtes avant de vous engager dans l'un ou l'autre.

Combien de temps dure un sauvetage ?

Un audit prend une à deux semaines. La stabilisation dure en général quatre à huit semaines pour un petit produit. Les reconstructions partielles et complètes s'étalent sur trois à six mois, selon ce qui doit continuer de fonctionner pendant le remplacement. L'application reste généralement en ligne du début à la fin, sauf dans les pires cas.

Le code généré par IA est-il vraiment moins sûr ?

Les données de test disent oui. L'analyse 2026 de Veracode a montré que 45 % du code généré par IA échoue aux contrôles de sécurité de base, un taux resté stable pendant deux ans alors même que les modèles sont devenus bien meilleurs pour produire du code qui tourne. Des recherches distinctes ont attribué 35 CVE aux outils de codage IA rien qu'en mars 2026, et environ un cinquième des échantillons générés référencent des paquets logiciels qui n'existent pas.

Peut-on continuer à livrer des fonctionnalités pendant un sauvetage ?

Pendant la stabilisation et les reconstructions partielles, oui, c'est tout l'intérêt de procéder ainsi : les sous-systèmes à risque sont remplacés pendant que le produit continue de tourner et que les utilisateurs ne voient rien. Une reconstruction complète implique généralement un gel des fonctionnalités sur l'ancienne application, une raison de plus d'attraper le problème avant d'en arriver là.