Projets, prototypes, automatisations
Développement accéléré par l’IA
Un espace pour coder, tester et discuter de l’IA appliquée au développement : projets Angular, automatisations, assistants métier, prototypes et retours d’expérience autour d’un développement plus rapide, plus clair et mieux outillé.
Les outils utilisés pour BodySyncBodySync a été réalisé avec Visual Studio Code sur Mac, ChatGPT/Codex, N8N, Le Chat de Mistral AI pour le coach et le programme sportif, puis ChatGPT, Gemini et Claude pour générer le logo, les contenus et les variantes créatives.Un temps record : 28h !Réalisation d’un projet de A à Z dans des technologies inconnues : premier projet Angular, découverte de N8N, configuration de Firestore/Firebase et authentification Google.
Avec des conseils pertinents, du brainstorming pour le nom du projet et la création du logo.Note : 28h + 8h pour ajouter la couche de sécuritéLes coûts liés à l’IAJ’ai limité les coûts au minimum pour BodySync avec le choix d’héberger N8N en local, avec pour conséquence l’inaccessibilité du coach et de la génération du programme sportif quand mon ordinateur est éteint.
Pour l’utilisation de ChatGPT/Codex, on peut compter un abonnement de 31 $ pour un mois, que j’estimerais à 4 $ si je devais le ramener au projet.Audit de sécurité personnalisé avec l’IA
L’un des usages les plus utiles de l’IA dans un projet web, c’est la relecture ciblée. Pas seulement demander une idée générale, mais faire analyser une application réelle, avec son code, ses dépendances, ses règles d’accès et ses choix d’architecture.
Sur BodySync, j’ai utilisé cette approche pour obtenir un audit de sécurité personnalisé. L’objectif n’était pas de remplacer un audit professionnel, mais d’obtenir rapidement une cartographie des risques visibles, des priorités et des optimisations à traiter.
La demande
Peux-tu me faire un audit de sécurité sur cette application et m’énumérer toutes les failles de sécurités et optimisations que tu observes ?
Cette formulation est volontairement directe. Elle demande à l’IA de regarder le projet dans son ensemble, puis de classer les problèmes au lieu de simplement donner une liste de conseils génériques.
Ce que l’IA a inspecté
L’audit obtenu s’est appuyé sur plusieurs éléments concrets du projet :
la structure Angular de l’application
les dépendances npm et le résultat de npm audit
les services Firebase et Firestore
les règles de sécurité Firestore
les appels n8n exposés côté client
les exports CSV
le rendu Markdown
la configuration Firebase Hosting
les flux de données envoyés aux services IA
Ce point est essentiel : plus l’IA voit le vrai contexte, plus son retour devient spécifique. Une demande posée sans code aurait probablement donné une réponse beaucoup plus générale.
Exemple de réponse obtenue
L’audit a d’abord fait ressortir les priorités critiques et hautes.
Des dépendances vulnérables remontées par npm audit, dont une vulnérabilité critique et plusieurs vulnérabilités hautes.
Des webhooks n8n publics embarqués côté client, avec un risque d’abus, de scraping du workflow et de fuite de données.
Des règles Firestore qui limitent l’accès par utilisateur, mais ne valident pas assez strictement les champs, les types, les tailles et les bornes métier.
L’absence visible de Firebase App Check, qui laisse la consommation des services Firebase plus exposée aux scripts externes.
L’audit a ensuite listé des risques moyens.
L’unicité des mesures par date n’est garantie que côté client, donc deux écritures concurrentes peuvent créer des doublons.
L’export CSV peut être exposé à l’injection de formules si une note commence par =, +, - ou @.
La configuration Firebase Hosting ne définit pas encore d’en-têtes de sécurité comme CSP, frame-ancestors ou X-Content-Type-Options.
Le rendu innerHTML reste à surveiller, même si le pipe Markdown échappe actuellement le HTML.
Les données santé envoyées à n8n sont trop larges : profil, mesures et notes.
La création de compte mérite des garde-fous anti-abus supplémentaires.
Enfin, l’IA a proposé des optimisations plus faibles, mais utiles.
corriger une configuration de développement suspecte
réduire les logs d’erreur côté client en production
paginer ou limiter la lecture de l’historique
factoriser les services IA qui répètent la même logique
ajouter une limite de taille avant de persister les réponses générées
Pourquoi ce retour est utile
La valeur de cet audit vient de sa hiérarchisation.
Au lieu de recevoir seulement “sécurise ton application”, on obtient une liste actionnable : mettre à jour les dépendances, déplacer les webhooks derrière une API backend authentifiée, durcir les règles Firestore, activer App Check, ajouter des headers de sécurité, puis améliorer les flux de données.
Pour un projet comme BodySync, qui manipule des données personnelles et des données de santé, cette priorisation change tout. Elle aide à distinguer ce qui doit être corrigé rapidement de ce qui peut entrer dans une feuille de route d’amélioration.
Les limites
Un audit IA reste une aide à la relecture.
L’outil peut manquer une faille, mal évaluer un risque ou proposer une correction incomplète. Il faut donc vérifier les recommandations, tester les changements et, pour une application sensible ou commerciale, prévoir une vraie revue sécurité.
Mais comme première passe, c’est extrêmement efficace. L’IA permet de transformer une inquiétude vague en plan de durcissement concret.
Bilan
Ce retour d’expérience montre un usage très pratique de l’IA côté développement : obtenir un audit adapté au projet, à ses fichiers et à ses choix techniques.
La bonne méthode consiste à donner accès au contexte réel, demander une classification par gravité, exiger des actions correctives et relire chaque point avant de l’appliquer.
Dans le cas de BodySync, l’audit a immédiatement fait ressortir les priorités : dépendances, webhooks publics, règles Firestore, App Check et headers de sécurité. C’est exactement le type de retour qui aide à passer d’un prototype fonctionnel à une application plus solide.