Systèmes legacy, IA et sécurité : la nouvelle équation pour 2026

Pendant longtemps, les systèmes legacy ont été annoncés comme condamnés. Puis le cloud devait tout emporter. Aujourd’hui, c’est l’intelligence artificielle qui cristallise toutes les attentes, tous les fantasmes… et parfois toutes les peurs. La réalité du terrain est pourtant beaucoup plus nuancée.

En 2026, les DSI font face à une équation nouvelle, plus complexe, mais aussi plus riche : comment intégrer l’IA, renforcer la sécurité et moderniser des systèmes critiques sans casser l’existant ? La réponse ne tient pas dans un effet d’annonce. Elle repose sur une approche pragmatique, progressive et profondément hybride.

Contrairement à ce que certains prédisaient il y a encore quelques années, le legacy est bien vivant. Et il le restera. Ces applications portent le cœur de l’activité des entreprises : finance, logistique, production, facturation, conformité. Elles traitent des volumes de données considérables, avec des exigences de performance et de fiabilité rarement égalées.

Le legacy n’est pas un problème en soi. Le problème, c’est de ne pas savoir comment le faire évoluer intelligemment.

Le vrai talon d’Achille du legacy n’est pas technique, il est humain. Les règles métiers sont enfouies dans le code. La documentation est souvent absente, incomplète ou obsolète. Et surtout, les experts qui maîtrisent ces applications critiques partent progressivement à la retraite. Cette transition générationnelle, annoncée depuis plus de quinze ans, s’accélère brutalement. Certaines entreprises se retrouvent déjà dans des situations critiques, faute d’avoir anticipé la transmission de cette connaissance.

Pour y répondre, les organisations aimeraient centraliser et structurer la connaissance de leur patrimoine applicatif, afin de rendre le code compréhensible, partageable et exploitable par différents profils. C’est précisément l’objectif de plateformes d’Application Intelligence comme DISCOVER.

Oui, l’IA est une révolution. Et c’est précisément pour cela qu’il faut garder la tête froide. Toute révolution technologique s’accompagne d’effets secondaires : destructions d’emplois, consommation énergétique massive, empreinte carbone préoccupante. Il est temps d’arrêter d’utiliser un marteau-pilon pour écraser une mouche. L’IA est un outil puissant, mais elle doit être utilisée avec discernement, en fonction de cas d’usage réels et maîtrisés.

Historiquement, les systèmes critiques reposent sur des algorithmes déterministes : on part d’un point A, on arrive à un point B, avec un résultat garanti. L’IA, elle, est de nature probabiliste. Elle explore le champ des possibles, accélère, propose, mais ne garantit pas toujours le même résultat.

Opposer ces deux approches n’a aucun sens. Le déterminisme garantit, l’IA accélère et explore. C’est la combinaison des deux qui crée de la valeur.

L’un des apports majeurs de l’IA est sa capacité à ouvrir le développement à d’autres profils que les experts historiques. Jusqu’ici, l’expertise était souvent conservée comme un pouvoir. L’IA change la donne : elle permet aux métiers de se réapproprier une partie du SI, de gagner en autonomie, de créer plus rapidement de nouvelles applications. Le système d’information devient progressivement data-centrique, avec des plateformes de données sécurisées, consommées par des applications créées plus rapidement, parfois à la volée.

Mais l’IA n’est pertinente que si elle est bien nourrie. Sans connaissance du système existant, sans référentiel de métadonnées, elle reste aveugle. À l’inverse, enrichie par des décennies d’analyse applicative, elle devient réellement utile. L’enjeu n’est donc pas d’injecter de l’IA partout, mais de l’adosser à la connaissance existante pour la rendre pertinente, fiable et exploitable. C’est dans cette logique que certaines entreprises utilisent DISCOVER comme référentiel structurant, servant de base à des usages IA plus pertinents et plus fiables.

Les entreprises ont multiplié les chaînes CI/CD, souvent sans réelle cohérence globale. Résultat : une explosion des besoins en ressources, alors même que les compétences DevOps sont rares. Cette fragmentation montre ses limites, en particulier sur des environnements critiques où la stabilité et la conformité sont essentielles.

Le Platform Engineering s’impose comme une réponse pragmatique. Il s’agit d’industrialiser les environnements, de mutualiser les compétences, de standardiser les chaînes, tout en conservant un haut niveau de contrôle. C’est une évolution profonde du DevOps, parfaitement adaptée aux systèmes critiques et aux organisations complexes. Dans cette logique, certaines organisations s’appuient sur des plateformes centrales capables d’orchestrer les déploiements sur des environnements hétérogènes (legacy, cloud, mainframe) comme DROPS, utilisé comme point de convergence et de contrôle.

La sécurité ne peut plus être un sujet traité en bout de chaîne. L’analyse statique de sécurité devient un standard, en particulier sur les environnements legacy où les vulnérabilités sont plus difficiles à détecter. Dans ce contexte, des outils spécialisés comme ARCAD CodeChecker sont utilisés pour intégrer la cybersécurité directement dans les processus de développement.

Les fuites de données se multiplient, avec des conséquences très concrètes : phishing ciblé, usurpation d’identité, exposition directe des utilisateurs finaux. La responsabilité des DSI et des directions générales est engagée. Continuer à sous-estimer ce risque n’est plus acceptable.

L’IA consomme énormément de données. Or, une fois exposées, ces données peuvent circuler bien au-delà du périmètre initialement prévu. La question n’est plus seulement de stocker les données, mais de maîtriser leur usage.

Anonymiser les données permet de concilier innovation et conformité. C’est une condition essentielle pour exploiter des données dans des contextes IA ou Big Data sans exposer les informations sensibles. Dans ce cadre, des solutions comme DOT Anonymizer permettent de concilier innovation, conformité et sécurité.

Dans les systèmes critiques, la moindre erreur peut avoir des conséquences financières majeures. Les tests de non-régression jouent le rôle de véritable firewall applicatif, en sécurisant chaque évolution. Sans automatisation des tests, il est illusoire de prétendre moderniser rapidement et en toute sécurité. C’est dans cette optique que des outils comme ARCAD Verifier sont utilisés pour réduire drastiquement le risque opérationnel.

DevSecOps ne signifie pas l’abandon des bonnes pratiques historiques. La séparation des rôles (développement, test, mise en production) reste fondamentale. Les revues de code, les validations multiples et les processus de changement sont des garde-fous indispensables.

Le discours du “tout cloud” a montré ses limites. Les contraintes économiques, réglementaires et techniques rendent cette approche irréaliste pour de nombreux systèmes critiques. Le legacy, souvent on-premise, conserve toute sa pertinence.

L’avenir est hybride :

• back-end robustes et sécurisés,
• fronts digitaux plus agiles,
• coexistence maîtrisée du cloud et de l’on-premise.

Ce n’est pas un échec, c’est un choix rationnel.

En 2026, le véritable enjeu n’est pas d’innover plus vite, mais d’innover sans fragiliser l’existant. La modernisation ne peut pas être un big bang. Elle doit être progressive, maîtrisée et sécurisée. Il ne s’agit pas de tout remplacer, mais de faire évoluer intelligemment des systèmes qui, par définition, sont critiques.

L’intelligence artificielle a un rôle clé à jouer, à condition de sortir du fantasme. L’IA n’est pas une baguette magique. Intégrée sans cadre, elle devient un risque. Intégrée de manière contrôlée, elle devient un accélérateur. La même logique s’applique aux infrastructures : le “tout cloud” n’est pas une fin en soi. L’hybridation est désormais la norme.

Au final, la sécurité n’est pas un frein à l’innovation, le legacy n’est pas un problème à éliminer, mais une fondation sur laquelle s’appuyer. La réussite des DSI en 2026 reposera sur une approche pragmatique, hybride et responsable, où chaque évolution est pensée comme un pas de plus, et non comme une rupture.