Vibe Coding : le guide complet pour développer avec l’IA en langage naturel
Le vibe coding est une approche de développement logiciel où vous décrivez ce que vous voulez en langage naturel et laissez un LLM générer le code à votre place, sans nécessairement comprendre ni lire le code produit. Le terme a été inventé par Andrej Karpathy (cofondateur d’OpenAI) en février 2025. Un an plus tard, c’est devenu un workflow standard : 92 % des développeurs américains utilisent des outils de coding IA au quotidien, et 41 % du code écrit dans le monde est généré par IA. Ce guide vous explique comment en tirer le meilleur parti, sans tomber dans les pièges.
- Définition
- Coder en décrivant son intention en langage naturel, l’IA génère le code
- Inventeur
- Andrej Karpathy, février 2025 (post sur X, devenu viral)
- Mot de l’année
- Élu « Word of the Year 2025 » par le dictionnaire Collins, intégré au Merriam-Webster en mars 2025
- Outils phares
- Cursor, Claude Code, Lovable, Bolt.new, Replit, v0, Windsurf
- Pour qui
- Non-développeurs (MVP, prototypes) et développeurs (accélération 2-5x)
- Limite principale
- 45 % du code généré contient des vulnérabilités OWASP Top 10 (étude Veracode)
Qu’est-ce que le vibe coding ?
Le 2 février 2025, Andrej Karpathy publie un post sur X qui va devenir le point de départ d’un mouvement :
Il y a un nouveau type de programmation que j’appelle « vibe coding », où vous vous laissez porter par les vibes, embrassez les exponentielles et oubliez que le code existe.
Karpathy décrit comment il utilise Cursor Composer avec Claude Sonnet, dictant ses instructions par la voix via SuperWhisper. Il clique « Accept All » sans lire les diffs. Quand une erreur survient, il copie-colle le message d’erreur sans commentaire. Quand le LLM ne corrige pas un bug, il demande des changements aléatoires jusqu’à ce que le problème disparaisse.
Le concept a touché un nerf. En mars 2025, Y Combinator révélait que 25 % des startups de son lot d’hiver 2025 avaient des codebases générées à 95 % par IA. Le vibe coding est devenu « Word of the Year 2025 » chez Collins Dictionary.
Ce que c’est, et ce que ce n’est pas
Une distinction cruciale, formulée par Simon Willison (créateur de Django) : si un LLM a écrit chaque ligne de votre code, mais que vous l’avez examiné, testé et compris dans son intégralité, ce n’est pas du vibe coding. C’est utiliser un LLM comme assistant de frappe.
Le vibe coding implique une acceptation du code sans compréhension complète. C’est la notion clé. Et c’est précisément ce qui le rend à la fois puissant (vitesse) et risqué (sécurité, maintenabilité).
| Approche | Qui écrit le code ? | Qui comprend le code ? | Exemple |
|---|---|---|---|
| Développement classique | Le développeur | Le développeur | Écrire une API REST à la main en Python |
| Dev assisté par IA | L’IA + le développeur | Le développeur (il relit tout) | Utiliser Copilot pour l’autocomplétion, puis réviser chaque suggestion |
| Vibe coding | L’IA | Personne (ou partiellement) | Décrire une app dans Lovable, obtenir un prototype déployé en 10 min |
| Agentic engineering | L’IA (via agents) | Le développeur (supervision, review) | Donner un objectif à Claude Code, superviser l’exécution, valider le résultat |
L’évolution : du vibe coding à l’agentic engineering
Un an après son post initial, en février 2026, Karpathy est revenu sur le sujet. Sa nouvelle position : les LLM sont devenus suffisamment performants pour que le vibe coding soit dépassé. Le nouveau terme qu’il propose est « agentic engineering » : vous ne codez plus directement 99 % du temps, vous orchestrez des agents IA qui codent pour vous, tout en exerçant une supervision rigoureuse. La différence fondamentale : « engineering » implique un art, une science et une expertise. Le vibe coding était amusant ; l’agentic engineering est un métier.
Les outils de vibe coding en mars 2026
L’écosystème se divise en deux catégories qu’il ne faut pas confondre : les app builders (qui génèrent des applications complètes à partir de prompts, sans toucher au code) et les éditeurs de code IA (qui augmentent le workflow d’un développeur existant).
App builders : pour les non-développeurs
Ces outils permettent de passer d’une idée à une application déployée sans connaître un langage de programmation. Vous décrivez ce que vous voulez, l’IA construit tout.
| Outil | Point fort | Stack générée | Prix (mars 2026) | Limite principale |
|---|---|---|---|---|
| Lovable | Le plus soigné visuellement. Intégration Supabase (auth, BDD, stockage), sync GitHub bidirectionnelle. | React, Tailwind, shadcn/ui | Free / Pro ~25 $/mois / Business ~100 $/mois | Backend limité, dépendant de Supabase |
| Bolt.new | Le plus rapide : prompt → app déployée dans le navigateur, sans setup local. Code exportable. | React/Next.js (flexible) | Free / Pro ~20 $/mois | Consommation de tokens qui augmente avec la taille du projet |
| Replit | IDE complet dans le navigateur : code, BDD, hébergement et agent IA sous le même toit. | Multi-framework (React, Python, Node…) | Free / Pro ~25 $/mois | Lock-in : migrer hors de Replit demande de reconstruire l’infra |
| v0 (Vercel) | Le meilleur pour les composants UI individuels. Intégration profonde avec Vercel. | React, Tailwind, shadcn/ui | Free / Premium 20 $/mois | Très opinioné (React only), backend limité |
Éditeurs de code IA : pour les développeurs
Ces outils requièrent des connaissances en programmation. Ils augmentent votre productivité, ils ne la remplacent pas.
| Outil | Type | Point fort | Modèle IA | Prix (mars 2026) |
|---|---|---|---|---|
| Cursor | IDE (fork VS Code) | Compréhension du contexte codebase complet, Composer multi-fichiers, diffs visuels | Multi-modèle (Claude, GPT, etc.) | Free / Pro 20 $/mois / Ultra 200 $/mois |
| Claude Code | Terminal | Agent autonome : lit la codebase, code, teste, commit. Contexte 1M tokens. Agent Teams. | Claude Sonnet 4.6 / Opus 4.6 | Via abonnement Claude (Pro 20 $, Max 100-200 $) |
| Windsurf | IDE | Agent Cascade pour le coding agentique. Plus accessible que Cursor pour débuter. | Multi-modèle + modèles propres | Free / Pro ~15 $/mois |
| GitHub Copilot | Extension IDE | Le support IDE le plus large (VS Code, JetBrains, Neovim). Complétion inline + chat. | GPT-5.4 / Claude | Individual 10 $/mois / Business 19 $/mois |
| Codex (OpenAI) | Agent autonome | Mid-task steering, routines réutilisables, intégré à ChatGPT. | GPT-5.4 | Inclus dans ChatGPT Plus (20 $/mois) |
Comment choisir ?
Vous n’avez aucune expérience en code et voulez valider une idée : commencez par Lovable. C’est la barrière d’entrée la plus basse pour une app full-stack fonctionnelle.
Vous voulez un prototype rapide dans le navigateur : Bolt.new est le plus rapide du prompt à l’URL.
Vous êtes développeur et travaillez sur du code de production : Cursor si vous voulez tout dans une fenêtre avec des diffs visuels. Claude Code si vous préférez le terminal et travaillez sur de grosses codebases (contexte 1M tokens).
Vous voulez le budget le plus serré : GitHub Copilot à 10 $/mois offre des complétions illimitées. Windsurf a le free tier le plus généreux parmi les IDE IA.
Tutoriel : votre première app en vibe coding
Passons à la pratique. Voici comment créer une application fonctionnelle en moins de 30 minutes, avec et sans connaissances techniques.
Parcours no-code : une app de suivi d’habitudes avec Lovable
Étape 1 : Créez un compte. Rendez-vous sur lovable.dev et inscrivez-vous (le free tier suffit pour commencer).
Étape 2 : Rédigez un prompt détaillé. La qualité du résultat dépend directement de la qualité du prompt. Voici un bon exemple :
Crée une application web de suivi d'habitudes quotidiennes avec les fonctionnalités suivantes :
- Page d'accueil avec une liste d'habitudes sous forme de cartes
- Chaque habitude a un nom, une icône emoji, un objectif de fréquence (quotidien/hebdomadaire)
- Un bouton pour cocher une habitude comme "faite" aujourd'hui
- Un calendrier hebdomadaire qui montre les jours cochés (streak)
- Un formulaire pour ajouter une nouvelle habitude
- Design épuré, thème sombre, palette violet/bleu
- Utilise React, Tailwind CSS et localStorage pour la persistance
- L'interface doit être responsive (mobile-first)Étape 3 : Itérez. Lovable génère une première version en 30 à 60 secondes. Examinez le résultat visuellement. Si quelque chose ne convient pas, précisez : « Rends les cartes d’habitudes plus compactes, ajoute une animation quand je coche une habitude, et change la couleur du streak de bleu à vert. » Chaque itération prend quelques secondes.
Étape 4 : Connectez un backend (optionnel). Si vous voulez que les données persistent au-delà du navigateur, Lovable propose une intégration Supabase en un clic. Vous obtenez auth utilisateur + base de données sans toucher au code.
Étape 5 : Déployez. Cliquez sur « Publish ». Votre app est en ligne avec une URL partageable. Pour un domaine personnalisé, exportez le code vers GitHub et déployez sur Vercel ou Netlify.
Parcours développeur : un outil CLI avec Cursor
Étape 1 : Ouvrez un projet dans Cursor. Créez un dossier, ouvrez-le dans Cursor et initialisez un projet : npm init -y.
Étape 2 : Activez le mode Agent (Composer). Appuyez sur Cmd+I (Mac) ou Ctrl+I (Windows) pour ouvrir Composer. Sélectionnez le mode « Agent » plutôt que « Normal ».
Étape 3 : Décrivez votre outil.
Crée un outil CLI en TypeScript qui :
1. Prend en entrée un répertoire de fichiers Markdown
2. Extrait tous les liens HTTP de chaque fichier
3. Vérifie si chaque lien est encore valide (HTTP 200)
4. Génère un rapport Markdown avec : liens cassés, liens redirigés, liens valides
5. Utilise des couleurs dans le terminal (chalk)
6. Supporte un flag --verbose pour afficher les détails
Configure le tsconfig.json, le package.json avec les dépendances et un script npm "check".Étape 4 : Laissez Cursor travailler. L’agent crée les fichiers, installe les dépendances, structure le projet. Vous voyez les diffs en temps réel. Acceptez, testez (npm run check ./docs), puis itérez sur les problèmes.
Étape 5 : Ajoutez un fichier .cursorrules. C’est votre arme secrète pour améliorer la qualité du code généré. Placez-le à la racine du projet :
Conventions de ce projet :
- TypeScript strict, pas de "any"
- Gestion d'erreurs explicite (try/catch avec messages clairs)
- Nommage : camelCase pour les variables, PascalCase pour les types
- Chaque fonction de plus de 10 lignes doit avoir un commentaire JSDoc
- Toujours lancer les tests après une modification
- Suivre les bonnes pratiques OWASP pour tout code qui touche au réseauCe fichier guide le LLM à chaque génération de code, réduisant significativement la dette technique.
Bonnes pratiques pour un vibe coding efficace
Le vibe coding peut produire d’excellents résultats ou un désastre technique. La différence tient aux pratiques que vous mettez en place.
L’art du prompt
Un bon prompt est le facteur le plus déterminant. Un bon prompt dans un outil médiocre bat un mauvais prompt dans le meilleur outil.
Soyez spécifique. « Crée une page web » donnera un résultat générique. « Crée une landing page pour un SaaS de gestion de projet, avec un hero section contenant un titre, un sous-titre, un CTA violet et une illustration 3D, une section features avec 3 cartes et une section pricing avec 3 colonnes » donnera un résultat exploitable.
Précisez la stack. « Utilise React avec Tailwind CSS et TypeScript » évite que l’IA choisisse un framework que vous ne maîtrisez pas.
Incluez les contraintes de sécurité. Une étude a montré que simplement ajouter « assure-toi que le code respecte les bonnes pratiques de sécurité OWASP » dans le prompt réduit de moitié le taux de vulnérabilités du code généré. C’est un gain facile.
Décrivez le contexte. « Ce code sera utilisé dans une app React existante qui utilise Zustand pour le state management et React Query pour les appels API » aide l’IA à produire du code cohérent avec votre codebase.
Les fichiers de configuration IA
Chaque outil de vibe coding professionnel supporte un fichier de configuration qui guide le LLM :
| Outil | Fichier | Rôle |
|---|---|---|
| Cursor | .cursorrules |
Conventions de code, stack, style de nommage, interdictions |
| Claude Code | CLAUDE.md |
Instructions projet, architecture, commandes disponibles |
| Codex | AGENTS.md |
Instructions agent, adopté par 60 000+ projets open source |
| Windsurf | .windsurfrules |
Équivalent de .cursorrules pour Windsurf |
Ces fichiers sont votre levier le plus puissant pour transformer du vibe coding brut en code de qualité. Investissez du temps à les rédiger soigneusement.
Le workflow professionnel
Voici le workflow qui fonctionne pour les équipes qui utilisent le vibe coding en production :
1. Spécifiez avant de coder. L’approche « spec-driven development » gagne du terrain : au lieu de donner un prompt vague, rédigez d’abord une spécification fonctionnelle (même courte), puis demandez à l’IA de l’implémenter. AWS Kiro et le BMAD Method sont des outils qui formalisent cette approche.
2. Utilisez le version control. Git n’est pas optionnel. Chaque génération de code doit être commitée. Si l’IA casse quelque chose, vous pouvez revenir en arrière. C’est la base.
3. Relisez les diffs. Oui, même en vibe coding. Vous n’avez pas besoin de comprendre chaque ligne, mais un scan rapide des fichiers modifiés et des ajouts/suppressions vous prévient quand l’IA dérape. Selon les praticiens expérimentés, 30 secondes de review par diff suffisent à détecter 80 % des problèmes.
4. Testez systématiquement. Ajoutez dans votre prompt (ou votre fichier de config) : « Lance les tests, le linter et le type-check après chaque modification. » Les outils comme Claude Code et Cursor exécutent ces commandes automatiquement si vous le demandez.
5. Séparez prototypage et production. Le vibe coding est parfait pour le prototypage. Pour la production, passez en mode « agentic engineering » : supervision active, review de code, tests de sécurité.
Risques et limites : ce que vous devez savoir
Le vibe coding n’est pas sans danger. Ignorer ces risques, c’est s’exposer à des problèmes coûteux.
Sécurité : le point faible majeur
Les chiffres sont clairs. Selon Veracode, 45 % du code généré par les LLM contient des vulnérabilités du Top 10 OWASP, un taux stable depuis deux ans malgré l’amélioration des modèles. Le taux de compilation atteint 90 % (contre 20 % il y a deux ans), mais la sécurité n’a pas suivi.
Une étude Tenzai (décembre 2025) a comparé cinq plateformes (Claude Code, Codex, Cursor, Replit, Devin) : toutes génèrent du code non sécurisé sur des prompts courants, y compris des failles critiques. Le problème n’est pas les failles génériques (bien gérées) mais la sécurité contextuelle : l’IA ne comprend pas vos limites de confiance, votre logique métier ni votre architecture de sécurité.
Incidents réels documentés :
| Incident | Détail |
|---|---|
| SaaStr / Replit | L’agent IA de Replit a menti sur les tests unitaires, ignoré les gels de code et supprimé l’intégralité de la base de données de production. Des mois de données perdues. |
| Lovable / 10,3 % de fuites | Des chercheurs en sécurité ont découvert que 10,3 % des applications créées avec Lovable exposaient les données personnelles de leurs utilisateurs (mai 2025). |
| Base44 | Une vulnérabilité dans la plateforme a permis l’accès à n’importe quelle application privée hébergée sur le service (juillet 2025). |
| CurXecute (CVE-2025-54135) | Une faille dans Cursor permettait à du code malveillant d’exécuter des commandes arbitraires sur la machine du développeur. |
La dette technique invisible
Le code généré par IA « marche », mais il n’est pas maintenable. Sans conventions partagées, vous obtenez un patchwork incohérent : un module en camelCase, un autre en snake_case. Des patterns de gestion d’erreurs différents d’un fichier à l’autre. Comme le note une analyse de terrain : une équipe a fini par réécrire 70 % du code pour le mettre aux standards production. Le gain de temps initial a été annulé par le coût de remise à niveau.
La solution : le fichier de configuration IA (.cursorrules, CLAUDE.md) qui impose des conventions. C’est la barrière entre le vibe coding amateur et le vibe coding professionnel.
L’effet « Dory » : la perte de contexte
Les LLM ont une fenêtre de contexte limitée. Après plusieurs itérations, le modèle « oublie » l’objectif initial et se concentre uniquement sur le dernier prompt. Le code généré ne tient plus compte du contexte global du projet. Les solutions : réitérer régulièrement les objectifs du projet, utiliser des outils avec grande fenêtre de contexte (Claude Code avec 1M tokens), et découper les tâches en morceaux indépendants.
Le piège du faux sentiment de compétence
L’étude de Stanford est éloquente : les développeurs utilisant des assistants IA produisent davantage de vulnérabilités de sécurité que ceux qui n’en utilisent pas. Et paradoxalement, ils expriment une confiance plus élevée dans la qualité de leur code. Le vibe coding amplifie ce biais en encourageant une vérification superficielle au profit de la vitesse.
Pour quoi utiliser le vibe coding (et pour quoi l’éviter)
Cas d’usage parfaits
Prototypage et validation d’idées. C’est le sweet spot absolu du vibe coding. Transformer une idée en prototype fonctionnel en quelques heures au lieu de quelques semaines. Les fondateurs arrivent ensuite avec un prototype concret plutôt qu’une vague idée.
Outils internes et projets personnels. Des scripts de productivité, des dashboards internes, des outils de monitoring. Le risque est faible, le gain de temps est réel.
Exploration et apprentissage. Tester un framework inconnu, expérimenter une architecture, apprendre par l’exemple. Le vibe coding est un excellent professeur quand on prend le temps de lire le code généré.
Frontend et UI. Les LLM sont particulièrement performants pour générer des interfaces visuelles. Les résultats sont évaluables visuellement, ce qui rend la vérification immédiate.
Ce qu’il faut éviter
Tout ce qui touche à la sécurité : authentification, gestion de permissions, chiffrement, gestion de données sensibles. L’IA ne comprend pas votre modèle de menaces.
Les intégrations de paiement. Stripe, PayPal et consorts demandent une rigueur que le vibe coding ne garantit pas.
Les systèmes à haute disponibilité. Un code non compris est un code non debuggable. Si votre app tombe un vendredi soir, vous devez comprendre le code pour la réparer.
La conformité réglementaire. RGPD, HIPAA, SOC 2 : ces cadres exigent une traçabilité et une compréhension du code que le vibe coding pur ne fournit pas.
L’avenir du vibe coding
Le vibe coding ne va pas disparaître. Il va se transformer.
Convergence vers l’agentic engineering. Le terme « vibe coding » prend des connotations négatives en contexte professionnel (synonyme de code bâclé). L’avenir est à l’orchestration d’agents IA avec supervision humaine, ce que Karpathy appelle « agentic engineering ». Les outils comme Claude Code avec ses subagents et ses Agent Teams incarnent cette évolution.
Sécurité intégrée par design. La prochaine génération d’outils intégrera la sécurité directement dans le processus de génération, pas en aval. Des « agents de sécurité » vérifieront le code au moment même de sa création, comme les collections de prompts de sécurité publiées par Wiz Research sur GitHub.
Spec-driven development. L’approche spec-first (écrire une spécification, puis laisser l’IA implémenter) est référencée dans le Technology Radar de Thoughtworks (novembre 2025) et disposede déjà d’outils dédiés comme AWS Kiro. C’est la version structurée et professionnelle du vibe coding.
Démocratisation continue. Le nombre de personnes capables de créer des logiciels va continuer à croître. Les équipes produit, marketing et design pourront prototyper sans attendre les développeurs. Mais le rôle du développeur professionnel ne disparaît pas : il se transforme en orchestrateur, superviseur et architecte.
Questions fréquentes sur le vibe coding
Faut-il savoir coder pour faire du vibe coding ?
Non, pas pour le prototypage. Des outils comme Lovable, Bolt.new et Replit sont conçus pour fonctionner entièrement en langage naturel. Vous décrivez votre app, l’IA la construit. En revanche, pour aller en production, des connaissances techniques deviennent indispensables : comprendre les erreurs, évaluer la qualité du code, gérer la sécurité et le déploiement. Les outils comme Cursor et Claude Code donnent de bien meilleurs résultats quand vous comprenez la programmation.
Le vibe coding peut-il remplacer les développeurs ?
Non. Et c’est même l’inverse qui se produit : le vibe coding change la nature du travail des développeurs, pas leur nécessité. Comme le résume le fondateur Arvid Kahl : il est facile de vibe-coder un projet, mais incroyablement difficile de vibe-coder un business. Les fondateurs qui démarrent en vibe coding finissent systématiquement par avoir besoin de développeurs professionnels quand les demandes de support, les intégrations et les modifications de données arrivent. Le développeur de 2026 est un orchestrateur : il comprend le code généré, le challenge, l’améliore et le sécurise.
Quel est le meilleur outil de vibe coding ?
Cela dépend de votre profil. Pour un non-technique qui veut un MVP, Lovable offre la barrière d’entrée la plus basse pour une app full-stack. Pour un développeur travaillant sur du code de production, Cursor (pour les diffs visuels) ou Claude Code (pour les grosses codebases en terminal) sont les deux leaders. Pour le budget le plus serré, GitHub Copilot à 10 $/mois avec complétions illimitées reste imbattable. La plupart des équipes productives utilisent deux ou trois outils en combinaison.
Le code généré par vibe coding est-il sécurisé ?
Par défaut, non. Veracode rapporte que 45 % du code généré par LLM contient des vulnérabilités OWASP Top 10. Wiz Research indique que 20 % des apps créées en vibe coding présentent de graves vulnérabilités ou erreurs de configuration. La solution : ajoutez des contraintes de sécurité dans vos prompts (réduction de moitié des failles), utilisez des fichiers de configuration IA (.cursorrules, CLAUDE.md) référençant les bonnes pratiques OWASP, faites une analyse statique du code généré, et ne déployez jamais de code non reviewé sur un système touchant des données utilisateurs.
Quelle est la différence entre vibe coding et agentic engineering ?
Le vibe coding, tel que défini par Karpathy en 2025, implique d’accepter le code sans le comprendre, de « se laisser porter par les vibes ». L’agentic engineering, terme proposé par le même Karpathy un an plus tard, conserve le principe de laisser l’IA écrire le code, mais avec une supervision active et rigoureuse. L’agentic engineering est « engineering » : il y a un art, une science et une expertise. En pratique, le vibe coding est parfait pour le prototypage et les projets jetables. L’agentic engineering est ce que vous devez pratiquer dès que vous visez la production.