Playbook Dev × IA
Sommaire
07Chapitre 7·45 min·Avancé

IA en équipe

ContextOps, governance et team augmentée

Versionner le contexte, gouverner les prompts, mesurer la maturité IA de l'équipe.

Ce que vous saurez faire
  • 01Versionner les fichiers de contexte comme du code
  • 02Définir une bibliothèque de prompts d'équipe
  • 03Auditer le contexte (cadence, ownership, 3 questions)
  • 04Situer son équipe sur la matrice de maturité IA

1. Le problème de l'IA non coordonnée

Quand chaque dev utilise l'IA sans coordination :

  • Dev A a ses prompts personnels → code dans son style
  • Dev B a ses propres règles → code dans un autre style
  • L'IA de Dev C génère du code avec des patterns dépréciés que personne n'a documenté
  • Les fichiers de contexte de chacun se contredisent
  • Les revues de code prennent plus de temps qu'avant l'IA

Résultat observé (GitClear, 2024) :

  • Duplication de code +4x depuis l'adoption généralisée de l'IA
  • Churn de code (code réécrit peu après création) en hausse significative
  • Complexité des codebases en augmentation

La solution : traiter le contexte IA comme une ressource d'équipe, pas individuelle.

2. Matrice de Maturité IA en Équipe

Niveau 1 — Individuel (Chaos Productif)

Caractéristiques :

  • Chaque dev utilise l'IA à sa façon
  • Pas de partage de prompts ou de contexte
  • Usage souvent limité au Niveau 1 (autocomplete)
  • Gains de productivité individuels, pas systémiques

Symptômes : "L'IA m'aide mais le code généré ne ressemble pas au reste du projet"

Actions pour progresser :

  • Organiser un atelier de partage de pratiques
  • Créer un premier fichier de contexte projet — CLAUDE.md, AGENTS.md ou GEMINI.md (Module 4)
  • Désigner un "AI Champion" dans l'équipe

Niveau 2 — Coordonné (Conventions Partagées)

Caractéristiques :

  • Un fichier de contexte partagé et versionné (CLAUDE.md / AGENTS.md / GEMINI.md)
  • Une bibliothèque de prompts d'équipe
  • Les conventions IA sont discutées en rétrospective
  • Usage régulier du Niveau 2 (chat/collaboration)

Symptômes : "L'IA génère du code qui ressemble au nôtre, mais les pratiques varient encore entre devs"

Actions pour progresser :

  • Formaliser le ContextOps (Module 4)
  • Intégrer la revue de code augmentée
  • Mettre en place les Skills partagés

Niveau 3 — Intégré (IA dans le Pipeline)

Caractéristiques :

  • Pipeline CI/CD avec étapes IA (revue sécurité, génération de tests)
  • Hooks automatisés (scan secrets, vérification conventions)
  • Usage du Niveau 3 (agents) par la majorité
  • Contexte reviewé et mis à jour à chaque sprint

Symptômes : "Notre pipeline détecte maintenant des problèmes qu'on ratait avant"

Actions pour progresser :

  • Introduire les agents multi-étapes
  • Construire des Skills spécialisés métier
  • Mesurer les métriques de qualité IA

Niveau 4 — Composé (Agents qui orchestrent des agents)

Caractéristiques :

  • Agents spécialisés qui travaillent en parallèle
  • Contexte organisationnel unifié multi-projets
  • IA intégrée dans la planification (spec generation)
  • Mesure continue de la qualité et du ROI IA

Symptômes : "On a des agents qui font les tâches répétitives automatiquement, les devs se concentrent sur la logique métier"

3. Bibliothèque de Prompts d'Équipe

Structure dans le repo

.ai/
  prompts/
    debug.md              → Prompts de débogage
    code-review.md        → Prompts de revue de code
    test-generation.md    → Prompts de génération de tests
    security-audit.md     → Prompts d'audit sécurité
    documentation.md      → Prompts de documentation
    refactoring.md        → Prompts de refactoring
  context/
    CLAUDE.md             → Lien ou copie du CLAUDE.md racine
    team-conventions.md   → Conventions équipe supplémentaires
  skills/                 → Skills Claude Code partagés
    security-audit/
    test-generator/
    api-designer/
README.md                 → Guide d'utilisation

Format d'un prompt partagé

# Prompt : Revue de Code Sécurité

**Usage** : revue d'un PR ou d'un module avant merge en production  
**Modèle recommandé** : Claude 3.7  
**Durée estimée** : 2-5 min

---

## Prompt

Agis en tant qu'expert sécurité applicative (OWASP Top 10).

Revois le code suivant pour notre projet [NOM_PROJET] :
- Stack : [STACK]
- Conventions : @CLAUDE.md

Cherche :
1. Injection (SQL, XSS, command)
2. Authentification / Autorisation manquante
3. Secrets ou données sensibles exposés
4. Mauvaise gestion des erreurs (stack traces, données internes)
5. Validation des entrées manquante

Format : tableau Markdown avec colonnes :
Fichier:Ligne | Problème | Sévérité (Critical/High/Medium/Low) | Fix recommandé

Termine par : Score global (Critical / High / Medium / Low) et 1 paragraphe de synthèse.

---

**Exemple d'utilisation** :
"Revois ce fichier @src/auth/auth.controller.ts avec le prompt sécurité"

**Maintenu par** : [nom du owner]  
**Dernière mise à jour** : [date]

Gestion de la bibliothèque

# Règles de contribution aux prompts partagés

1. **Tout prompt qui t'a sauvé du temps → contribue-le**
   Ouvre une PR dans `.ai/prompts/` avec le prompt + contexte d'utilisation

2. **Format obligatoire** : usage, modèle recommandé, prompt, exemple

3. **Review** : au moins 1 pair doit tester le prompt avant merge

4. **Maintenance** : si un prompt donne de mauvais résultats avec la
   nouvelle version de Claude → ouvrir une issue + mettre à jour

4. Revue de Code Augmentée

La revue de code avec l'IA n'est pas "l'IA remplace le reviewer humain". C'est une revue en 3 temps.

Temps 1 : Pré-soumission (par l'auteur)

Avant d'ouvrir la PR, l'auteur utilise l'IA pour s'auto-relire :

Prompt
Revois ce diff avant que je soumette ma PR. Joue le rôle d'un reviewer senior de notre équipe. Conventions : @CLAUDE.md Vérifie : - Respect des conventions du projet - Tests présents et pertinents - Commentaires sur les parties non évidentes - Edge cases manquants Sois direct. Pas de complaisance. Diff : [git diff --cached]

Objectif : arriver en PR avec un code déjà pré-validé, réduire les allers-retours.

Temps 2 : Revue Assistée (par le reviewer)

Le reviewer humain utilise l'IA pour approfondir les parties complexes :

Prompt
Je revois cette PR : [lien] Voici le diff de la méthode qui m'interroge : [code] Explique ce que fait ce code pas à pas. Identifie les risques que je n'aurais pas vus. Propose des questions pertinentes à poser à l'auteur.

Objectif : le reviewer comprend mieux et pose des questions de qualité.

Temps 3 : Agent Automatisé (dans le pipeline CI)

L'agent CI fait une passe automatique sur chaque PR (Module 6).

Objectif : les problèmes systématiques (sécurité, conventions) sont détectés avant la revue humaine.

Ce que la revue IA ne remplace PAS

  • La compréhension du contexte métier
  • La discussion sur les choix d'architecture
  • La validation que la feature répond au besoin utilisateur
  • Le mentorat (expliquer pourquoi, pas seulement quoi)
  • Le consensus d'équipe sur les décisions importantes

5. Rôles et Responsabilités

Le AI Champion (référent IA d'équipe)

Un rôle tournant (3-6 mois), pas un expert permanent. Le but n'est pas de créer un guru, c'est de faire monter toute l'équipe en compétence.

Profil idéal :

  • Senior ou confirmé, à l'aise avec les outils CLI
  • Pas forcément le plus à l'aise techniquement avec l'IA — un Champion qui apprend en même temps que l'équipe est plus efficace qu'un expert qui a déjà tranché
  • A du temps réellement disponible (10-15 % de sa capacité, pas en plus du reste)

Missions concrètes :

  • Maintient AGENTS.md / CLAUDE.md et la bibliothèque de prompts d'équipe
  • Anime la rétrospective IA bi-mensuelle (template ci-dessous)
  • Évalue les nouveaux outils et fait des recommandations factuelles (POC court, retour à l'équipe)
  • Mesure et communique les métriques IA (voir section 6)
  • Fait le pont avec la sécurité, la conformité, la finance (budget API)
  • Forme les nouveaux arrivants (voir section 7)

KPI du rôle :

  • 100 % des nouveaux arrivants productifs sur l'IA en J+5
  • Bibliothèque de prompts utilisée par toute l'équipe (mesurable via Git diff sur .ai/prompts/)
  • Aucun incident IA non documenté

Ce que ce n'est PAS :

  • Quelqu'un qui fait le travail IA à la place des autres
  • Un goulot d'étranglement pour toute question IA
  • Un rôle nécessitant une expertise IA préalable

Succession : à la fin du mandat, le Champion prépare la passation (1 semaine), forme son successeur, reste advisor le mois suivant.

Template de Rétrospective IA (30 min, bi-mensuel)

# Rétrospective IA — [Mois/Sprint]

## 1. Victoires (10 min)
- Quels prompts ou workflows ont bien marché ce mois ?
- Quelle tâche l'IA a-t-elle accéléré de façon notable ?

## 2. Blocages (10 min)
- Où l'IA a-t-elle produit du code problématique ?
- Quels prompts ne fonctionnent pas bien avec notre stack ?
- Y a-t-il des patterns dans les erreurs de l'IA ?

## 3. Actions (10 min)
- Fichiers de contexte à mettre à jour → qui, avant quand ?
- Nouveaux prompts à ajouter à la bibliothèque → qui ?
- Nouveaux outils à évaluer → qui ?

## Template de contribution
Après chaque rétrospective, mettre à jour :
- [ ] Fichier de contexte (CLAUDE.md / AGENTS.md / GEMINI.md) si des conventions ont changé
- [ ] .ai/prompts/ si de nouveaux prompts ont été validés
- [ ] Matrice de maturité : on est à quel niveau maintenant ?

6. Métriques de succès

Métriques à suivre (sans sur-investir dans le tracking) :

MétriqueAvant IAObjectifComment mesurer
Temps moyen de résolution de ticketBaseline sprint N-3-20%Jira/Linear
Commentaires de PR liés aux conventionsBaseline-30%Tag les commentaires
Coverage de testsBaseline+10%CI/CD report
Temps de revue de codeBaseline-15%PR opened → merged
Nouveaux bugs post-mergeBaselineStable ou moinsSentry

7. Onboarding IA-natif d'un nouvel arrivant

Une équipe mature sur l'IA accélère ses nouveaux arrivants — un junior productif en J+5, pas en J+30.

Jour 1

  • Accès aux outils : IDE assistant (Cursor/Copilot), Claude Code, comptes Anthropic / OpenAI / Gemini selon stack
  • Lecture du AGENTS.md racine + walkthrough du CLAUDE.md du sous-module sur lequel il travaillera
  • Lecture des Modules 0, 1, 4 du playbook (mindset, LLMs, context engineering)
  • Premier pair-programming IA-augmenté avec le AI Champion ou un senior

Jour 2-3

  • Première feature sous Spec-Driven Development guidée — un senior reviewe le plan avant le code
  • Lecture de la bibliothèque de prompts d'équipe, copie 2-3 prompts adaptés à sa stack dans son IDE
  • Présentation du protocole de revue de code en 3 temps (Module 7 §4)

Jour 4-5

  • Première PR en autonomie, avec revue par un pair + revue IA automatisée
  • Atelier "Anti-patterns à éviter" (1h) : démos des erreurs typiques et comment les rattraper
  • Rejoint la prochaine rétrospective IA (auditeur la première fois)

Checklist d'onboarding

[ ] Accès outils (IDE + CLI)
[ ] Lecture AGENTS.md + CLAUDE.md projet
[ ] Lecture Modules 0, 1, 4
[ ] Pair-programming initial (≥ 2h)
[ ] Première feature avec spec validée
[ ] Première PR mergée
[ ] Atelier anti-patterns
[ ] Présence à la rétrospective IA

8. Incident process IA — quand un bug IA-assisté part en prod

Tôt ou tard, un bug introduit dans une PR co-écrite avec l'IA partira en production. Cela ne doit pas être tabou — c'est inévitable et instructif.

Le post-mortem IA — 5 questions obligatoires

  1. Quel modèle, quelle session ? Référence à conserver (voir Module 8 sur l'audit trail).
  2. Quel prompt a produit le code ? Conservé via la session JSONL.
  3. Quelle étape de revue a manqué ? EPCV Verify ? Revue humaine sautée ? Tests insuffisants ?
  4. Cette erreur est-elle systémique ? Pattern récurrent qui mériterait une règle dans le fichier de contexte (CLAUDE.md / AGENTS.md / GEMINI.md) ou un hook ?
  5. Que met-on à jour ? AGENTS.md, prompts, skills, hooks, tests CI.

Template de post-mortem

# Post-mortem IA — INC-2026-042

**Bug** : null pointer sur /api/v2/users sous charge
**Détection** : 14:32 via Sentry
**Résolution** : 14:51 (revert + hotfix)
**Impact** : 5 min de 5xx, 2 % des requêtes

## Source IA
- Modèle : Claude Sonnet 4.6
- Session : 2026-05-12-b7d2 (transcript archivé)
- Prompt initial : « Ajoute la pagination cursor à GET /users »
- PR : #1843
- Reviewer humain : @alice

## Cause racine
Le code généré n'a pas géré le cas où `cursor` est null en première page. Les tests générés couvraient le happy path uniquement.

## Pourquoi ça est passé
- Tests IA : couverture happy path seulement, edge cases manqués
- Revue humaine : focalisée sur la logique de pagination, le null cursor a été perçu comme géré par TypeScript
- Aucune règle CLAUDE.md sur « toujours générer un test null/undefined/empty »

## Actions
- [ ] Ajouter règle CLAUDE.md : « Test generation must include null/undefined/empty cases »
- [ ] Mettre à jour le prompt `/test-gen` de la bibliothèque
- [ ] Hook CI : refus de merge si fonction publique sans test edge case

Règle culturelle

Le post-mortem IA ne désigne pas un coupable. Le code a été signé par l'humain — il est responsable, mais la cause est dans le système (contexte manquant, prompt insuffisant, revue ratée). On corrige le système.

9. Governance — qui peut utiliser quoi sur quoi

À l'échelle entreprise, ce n'est pas « est-ce qu'on utilise l'IA », c'est « quel modèle peut traiter quelle donnée pour quel usage ».

Matrice de classification

Sensibilité donnéesExemplesModèles autorisésConditions
PublicDocs open source, READMEN'importeAucune
InternalCode applicatif, conventions équipeCloud (Anthropic, OpenAI, Google) avec contrat enterpriseDPA signé
ConfidentialLogs avec PII, code touchant à l'authCloud enterprise avec zero-retentionAudit trail obligatoire
SecretClés, données médicales, formules propriétairesSelf-hosted uniquement (Ollama, vLLM)Pas d'envoi externe

Politique type

# Politique IA — version 1.0

## Modèles autorisés
- Claude Sonnet / Opus (Anthropic API enterprise) — Internal, Confidential
- GPT-4o (OpenAI API enterprise) — Internal
- Gemini Pro (Google Cloud Vertex AI) — Internal
- Llama 3.3 self-hosted — toutes catégories incluant Secret

## Modèles interdits
- Claude.ai grand public, ChatGPT grand public, Gemini grand public
  → utilisation possible UNIQUEMENT pour données publiques

## Audit
- Tout usage Confidential ou supérieur : logs conservés 12 mois
- Revue trimestrielle par le DPO

## Sanctions
- Envoi de données Secret vers un modèle non autorisé : process disciplinaire,
  retrait immédiat des accès IA, post-mortem.

Cost allocation

  • Par équipe : chaque équipe a son budget mensuel Anthropic / OpenAI / Google.
  • Par projet : pour les projets clients, refacturation directe avec markup éventuel.
  • Alertes : dépassement de 80 % → notification équipe + Champion. Dépassement de 100 % → coupure programmée des accès agent (le chat reste, l'agent autonome s'arrête).

10. Change management — convaincre les sceptiques

Toute équipe contient des sceptiques (parfois pour de bonnes raisons). Les ignorer rate l'adoption. Les écouter améliore le playbook.

Profils de sceptiques fréquents

ProfilCrainteRéponse
Le craftsman« L'IA va dégrader le métier »Lui montrer le Module 0 (le dev devient architecte, pas exécutant). Le mettre AI Champion.
Le sécurité« On va leaker du code propriétaire »Co-rédiger la politique de classification ci-dessus. Lui donner le rôle de gardien.
L'expert technique« Ça va halluciner sur ma stack obscure »Lui fournir Module 1 (causes des hallucinations), Module 4 (JIT context). Lui demander de tester sur 2 cas réels.
Le manager« On ne mesure pas l'impact »Module 7 §6 — métriques objectives, pas vanity metrics.

Plan de bascule sur 90 jours

  • Mois 1 : volontaires uniquement. Mesure baseline. Pas d'imposition.
  • Mois 2 : extension à tout sprint, avec opt-out documenté. Rétrospective IA mensuelle obligatoire.
  • Mois 3 : usage par défaut. Les opt-out restent possibles mais doivent être justifiés par cas d'usage (ex. : code crypto manuel).