Pourquoi l'architecture est devenue le vrai plafond
Pendant la première vague IA générative — 2023 à 2025 — la maturité d'un projet se mesurait essentiellement à la qualité du modèle et au cas d'usage choisi. À partir de 2026, le centre de gravité s'est déplacé. Les modèles sont devenus largement substituables, les coûts d'inférence ont baissé, et les écarts de performance entre fournisseurs se sont resserrés. Ce qui distingue désormais les organisations qui tirent un véritable rendement de leur IA de celles qui restent au stade démonstration, ce sont les fondations techniques. Ces fondations comprennent quatre couches concrètes : la qualité et l'accessibilité de la donnée interne, l'identité et la gestion des accès, la capacité d'intégration entre systèmes existants, et la gouvernance des connecteurs externes. L'incident Vercel illustre la quatrième couche : un agent IA tiers a obtenu un accès massif faute de cadre formel sur les autorisations OAuth d'entreprise. Mais les trois autres couches concentrent la majorité des projets pilotes qui n'atteignent jamais la production.Les trois dettes architecturales qui bloquent les projets IA en France
Première dette : la fragmentation des données métier. Dans la plupart des ETI industrielles régionales, les informations critiques — dossiers clients, historiques de production, base fournisseurs, suivi qualité — sont éclatées entre un ERP de plus de dix ans, plusieurs outils SaaS verticaux, et des centaines de classeurs partagés sur des serveurs de fichiers. Aucun agent IA, aussi sophistiqué soit-il, ne peut produire un raisonnement utile sur des données qu'il ne peut pas atteindre dans un format propre et indexé. Deuxième dette : l'absence de couche d'identité unifiée. Beaucoup d'organisations laissent encore chaque collaborateur configurer ses propres connexions à des services tiers — extensions navigateur, outils SaaS spécialisés, copilotes de productivité. Sans Single Sign-On centralisé, sans inventaire des autorisations OAuth accordées, l'entreprise ne sait pas quels agents externes peuvent lire sa boîte mail, son agenda ou ses documents. C'est précisément le scénario du cas Vercel. Troisième dette : l'absence de capacité d'intégration documentée. Beaucoup d'éditeurs SaaS exposent des API, mais peu d'organisations disposent d'une cartographie des flux entrants et sortants, des contrats de service associés, des volumes échangés et des règles de transformation. Quand un projet IA cherche à orchestrer trois ou quatre systèmes pour automatiser une tâche métier, il bute sur cette opacité et finit en script artisanal, non maintenable.Le plan 90 jours pour relever le plafond
Relever ce plafond ne suppose pas une refonte big bang. Les directions techniques qui obtiennent les meilleurs résultats en 2026 procèdent par incréments mesurables sur 90 jours, avec un objectif simple : transformer un cas d'usage IA cible en projet productionnable, tout en consolidant les fondations qui serviront aux suivants. Premier mois : cartographie. L'équipe identifie un cas d'usage prioritaire — typiquement, un agent qui répond aux demandes commerciales entrantes ou un copilote qui rédige les comptes-rendus de production. Elle inventorie les sources de données nécessaires, les systèmes à interroger, les identités impliquées. Elle documente l'écart entre l'état actuel et l'état cible. Cette cartographie devient l'artefact de référence du projet et nourrira tous les chantiers suivants. Deuxième mois : assainissement de la donnée et du périmètre d'identité. Pour le cas d'usage choisi, l'équipe nettoie un sous-ensemble de données, met en place un connecteur API documenté, et déploie un cadre OAuth formalisé pour le service IA cible. La règle vaut d'or : aucun connecteur externe ne reçoit d'autorisation entreprise sans inventaire ni revue trimestrielle. Cyber.gouv.fr publie depuis fin 2025 un référentiel pratique sur la gestion des autorisations applicatives, qui constitue une base utile pour formaliser ce cadre. Troisième mois : industrialisation. Le cas d'usage est mis en production sur un périmètre limité, avec mesure systématique du temps économisé et des erreurs détectées. Surtout, l'équipe documente les briques réutilisables — schémas de données, connecteurs, politiques d'identité — qui serviront aux trois ou quatre cas d'usage suivants. C'est cette accumulation, plus que le succès d'un pilote isolé, qui permet de relever durablement le plafond.Ce que les ETI régionales peuvent apprendre du cas Vercel
Le réflexe le plus utile, après un incident comme celui d'avril 2026, n'est pas de bloquer tous les outils IA — ce qui pousse simplement leur usage dans l'ombre. C'est de poser un cadre clair : quels agents et copilotes sont validés à l'échelle entreprise, quelles autorisations leur sont accordées, et quels indicateurs sont remontés à la direction. Bpifrance accompagne en 2026 plusieurs cohortes d'ETI sur ce sujet précis dans le cadre des programmes Digital Pass et Diagnostic IA, avec un accent fort sur les fondations architecturales plutôt que sur les seuls cas d'usage. La conclusion opérationnelle est nette : pour les directions techniques régionales, l'agenda 2026 ne consiste pas à choisir un nouveau modèle ou un nouveau copilote. Il consiste à transformer la stack existante en une plateforme capable d'absorber les vagues IA successives sans recréer chaque fois le même goulot. C'est un travail moins visible que l'annonce d'un partenariat avec un éditeur d'agents, mais c'est lui qui détermine la trajectoire.Foire aux questions
Faut-il auditer son architecture avant de lancer un premier projet IA ?
Pas nécessairement avant le tout premier pilote, mais avant le passage à l'échelle, oui. La méthode la plus efficace consiste à coupler le pilote et l'audit sur un périmètre réduit : on choisit un cas d'usage à fort potentiel, on cartographie tout ce qu'il touche, et on formalise les briques réutilisables. Cet audit ciblé coûte beaucoup moins cher qu'un audit transversal et produit des résultats actionnables tout de suite.Quels sont les signaux qui indiquent qu'un projet IA va buter sur l'architecture ?
Trois signaux récurrents : les données nécessaires sont éparpillées dans plus de trois systèmes différents sans clé commune, les équipes techniques ne savent pas répondre en moins d'une semaine à la question « qui a accès à quoi », et les démos fonctionnent en environnement isolé mais ne s'intègrent jamais aux flux quotidiens. Ces trois symptômes expliquent à eux seuls la majorité des projets IA qui restent au stade prototype.Quel budget faut-il prévoir pour relever ce plafond architectural en ETI ?
Sur 90 jours et un cas d'usage unique, l'ordre de grandeur observé tourne autour de 30 à 80 000 euros pour une ETI de 200 à 800 salariés, intégrant la cartographie, le nettoyage de données ciblé, la mise en place d'un connecteur API documenté, et la formalisation OAuth pour les services IA validés. Une partie peut être co-financée par les dispositifs régionaux et nationaux, dont le Digital Pass de Bpifrance.L'incident Vercel concerne-t-il vraiment les PME françaises ?
Oui, parce que le mécanisme est le même : un collaborateur active un service tiers avec son compte professionnel et ouvre une porte qui n'avait pas été vue. Beaucoup de PME utilisent aujourd'hui des outils IA grand public connectés directement à des comptes Google Workspace ou Microsoft 365 sans gouvernance d'autorisations OAuth. Le risque n'est pas théorique : il faut une revue trimestrielle des connecteurs et un inventaire formel.Sources et ressources
- Cyber.gouv.fr — référentiel sur la gestion des autorisations applicatives : https://cyber.gouv.fr/
- CNIL — Intelligence artificielle, recommandations et guides : https://www.cnil.fr/fr/intelligence-artificielle
- Bpifrance — programmes Digital Pass et Diagnostic IA : https://www.bpifrance.fr/
- OCTO Technology — retours d'expérience sur la mise en production d'agents IA : https://octo.com/
- Commission européenne — Cadre réglementaire IA : https://digital-strategy.ec.europa.eu/fr/policies/regulatory-framework-ai
