Si les agents IA s’imposent comme les nouveaux bras droits des développeurs, une question cruciale demeure : d’où vient réellement le code qu’ils génèrent ? FossID, la pépite suédoise basée à Stockholm, vient d’apporter une réponse concrète ce lundi 14 avril 2026 en dévoilant Agentic SCA. Ce nouvel outil d’analyse de composition logicielle ne se contente plus de vérifier les failles après coup, il s’intègre directement dans le flux de pensée de l’IA pour garantir une conformité immédiate.
L’enjeu est de taille : le code produit par l’IA est souvent un assemblage fragmenté de sources diverses dont la licence ou la vulnérabilité est difficile à tracer avec les outils traditionnels. Avec cette approche « agentique », FossID déplace la sécurité au moment précis où la ligne de code est rédigée. Focus sur la solution Agentic SCA.
Une base de connaissances de 200 millions de composants
Pour réussir ce tour de force, FossID, qui a annoncé sa nouvelle solution en début de semaine, s’appuie sur une architecture compatible avec les agents IA, articulée autour du Model Context Protocol (MCP). Le système expose une base de données colossale couvrant plus de 200 millions de composants open source. En pratique, lorsqu’un agent IA propose un bloc de code, le serveur de FossID effectue une recherche par signature et détecte instantanément s’il s’agit d’un fragment tiers, propriétaire ou sous licence restrictive.
Cette technologie permet d’identifier les obligations légales dans des scénarios complexes où plusieurs licences se mélangent. Comme l’explique Stuart Dross, PDG de FossID, dans ce monde piloté par l’IA, l’intégrité de la chaîne d’approvisionnement logicielle doit être continue et intégrée au processus de création lui-même, et non plus une étape de validation finale.
Des garde-fous pour les secteurs critiques
Le système ne se contente pas d’alerter ; il propose des recommandations de remédiation avant même que le code ne soit validé (commit). Ce mécanisme repose sur trois piliers techniques : le serveur MCP pour l’accès aux données, des « Skills » qui héritent de l’expertise des auditeurs humains, et des « Hooks » qui déclenchent des analyses automatiques selon les événements du workflow de développement.
Agentic SCA est déjà en phase pilote auprès de géants industriels dans les secteurs de l’automobile, des semi-conducteurs et des télécommunications. Ces domaines, où la moindre erreur de licence ou faille de sécurité peut avoir des conséquences industrielles lourdes, voient dans cette solution suédoise un moyen de libérer l’usage de l’IA générative sans prendre de risques juridiques. La disponibilité générale pour toutes les entreprises est prévue pour le second semestre 2026.
Question piège : l’intégration directe de la conformité dans les IDE (environnements de développement) via des agents IA finira-t-elle par rendre les audits de sécurité traditionnels totalement obsolètes ?
