Ce qu'il faut gouverner
Un agent IA peut lire du code, modifier des fichiers, appeler des outils, manipuler des données et influencer des décisions. La gouvernance doit donc couvrir le périmètre de travail, les permissions, les données accessibles, les validations attendues et les conditions d'arrêt.
L'article gouvernance, sécurité et économie du risque relie ces sujets au dossier économique des agents de codage IA.
Règles simples pour commencer
- définir un owner humain par workflow agentique ;
- séparer lecture, proposition, modification et automatisation ;
- limiter les accès outils au besoin réel ;
- exiger une trace des validations exécutées et non exécutées ;
- prévoir une revue humaine sur les zones sensibles.
La checklist de gouvernance orchestration Codex et la matrice de délégation agentique peuvent aider à transformer ces règles en décisions concrètes.
Permissions et blast radius
Le risque n'est pas seulement que l'agent se trompe. Le risque est qu'il puisse se tromper trop loin : mauvais dépôt, mauvais environnement, secret exposé, migration trop large, commande destructive ou patch non relu. Le blast radius doit être conçu avant l'automatisation.
Avant d'exposer un outil externe à un agent, utilisez la checklist MCP avant intégration pour vérifier le besoin, les permissions, les traces et les limites.
Orchestration d'équipe
Lorsque plusieurs agents, subagents ou automations interviennent, il faut gérer l'état, les responsabilités, les conflits de fichiers et l'observabilité. L'article orchestrer à l'échelle d'une équipe aborde cette gouvernance technique côté développement.