Retour au blogIA

L'Alberta confie à Claude Code l'audit de 466 millions de lignes de code

CZSyn
6 juillet 2026
6 min

Depuis 2025, l'Alberta utilise Claude Code pour auditer son code : 466 millions de lignes scannées en 20 heures, failles corrigées, systèmes modernisés.

Salle d'opérations de cybersécurité gouvernementale avec écrans affichant du code source et des alertes de vulnérabilités
Ce qu'il faut retenir
  1. Depuis 2025, le ministère albertain de la Technologie et de l'Innovation utilise Claude Code (Opus et Sonnet) : environ 50 agents ont scanné 466 millions de lignes de code en 20 heures, contre une estimation de 6,5 ans avec une revue traditionnelle.
  2. Le gouvernement gère 27 ministères, environ 1 280 applications et 3 400 dépôts de code : un portail de subventions codé en Java il y a 25 ans, dont le développement initial avait pris cinq mois, a été reconstruit par Claude Code en quatre à cinq jours.
  3. Des agents Claude spécialisés en red team et blue team tournent en continu et vérifient chaque application contre environ 95 contrôles de sécurité, avec validation humaine systématique avant toute mise en production.

Résumé généré par IA

Le 6 juillet 2026, Anthropic a publié une étude de cas détaillant comment le gouvernement de l'Alberta, province canadienne, utilise Claude Code depuis 2025 pour auditer la sécurité de ses systèmes informatiques. Le chiffre qui retient l'attention : une équipe du ministère albertain de la Technologie et de l'Innovation a scanné 466 millions de lignes de code en 20 heures, avant de corriger les failles trouvées et de moderniser une partie des applications concernées.

Claude Code est l'agent de développement en ligne de commande d'Anthropic, capable de lire un dépôt de code, d'exécuter des commandes, d'écrire des correctifs et de les tester. En Alberta, ce n'est pas un simple assistant de complétion : c'est devenu l'outil central d'un chantier de cybersécurité et de modernisation à l'échelle de tout un gouvernement provincial. Voici ce que ce cas concret révèle, et ce qu'une entreprise ou une collectivité française peut en retenir.

Un parc informatique tentaculaire, jamais audité dans son ensemble

Le ministère de la Technologie et de l'Innovation maintient les systèmes des 27 ministères de la province, des services sociaux à la sécurité publique en passant par la gestion des feux de forêt. Cela représente environ 1 280 applications et 3 400 dépôts de code. Une bonne partie de ce parc n'avait jamais fait l'objet d'une revue de sécurité systématique, et la dette technique accumulée (code non sécurisé, bugs jamais traités, logiciels obsolètes) se chiffre en milliards de dollars selon Anthropic. Ces systèmes gèrent pourtant des données particulièrement sensibles : dossiers fiscaux, données de marchés publics, dossiers des services sociaux.

C'est dans ce contexte qu'une équipe interne a été créée en 2025, avec pour mandat de sécuriser ces systèmes et de les rendre plus faciles à maintenir, en s'appuyant sur Claude.

466 millions de lignes de code scannées en 20 heures

Concrètement, l'équipe a fait tourner Claude Code, avec les modèles Opus et Sonnet, sur l'ensemble des dépôts que possède l'Alberta. Environ 50 agents ont travaillé en autonomie et en parallèle pour repérer les vulnérabilités de sécurité, les faiblesses d'infrastructure et de déploiement, et les manques de documentation technique.

La méthode suit une routine en deux temps. Un premier passage s'appuie sur un moteur de règles pour repérer les schémas de code connus comme vulnérables. Un second passage fait relire ces alertes par Claude, qui cite le fichier et la ligne exacts de chaque problème, pour que les développeurs puissent vérifier chaque signalement. Résultat : l'ensemble du parc a été couvert en 20 heures, avec des failles que les outils de scan automatisés classiques n'avaient pas détectées. L'équipe estime qu'une revue équivalente, menée de façon traditionnelle, aurait pris environ 6,5 ans.

Corriger, tester, parfois tout reconstruire

Une fois une vulnérabilité identifiée, Claude Code pouvait souvent générer un correctif, le tester et le compiler. Quand un système ne disposait pas des tests automatisés nécessaires pour valider qu'un correctif était sûr, Claude a commencé par écrire ces tests. Quand le code était trop ancien ou trop complexe pour être corrigé efficacement en l'état, Claude l'a reconstruit dans un langage plus moderne et plus facile à maintenir.

L'exemple le plus parlant concerne un portail de subventions, codé à la main en Java il y a environ 25 ans, et dont le développement initial avait pris cinq mois. Sa reconstruction par Claude Code n'a pris que quatre à cinq jours. Point important : chaque correctif a été relu et validé par les ingénieurs du ministère avant d'être mis en production. L'automatisation ne remplace pas la revue humaine, elle la rend simplement praticable à cette échelle.

Des agents rouges et bleus qui surveillent en continu

Au-delà du scan initial, l'équipe cybersécurité de l'Alberta a construit des agents Claude spécialisés qui tournent tout au long du développement. Un agent red team sonde une application depuis l'extérieur, comme le ferait un attaquant, et cartographie la façon dont une faille pourrait être exploitée. Un agent blue team évalue ensuite les défenses de l'application par rapport à une norme de sécurité internationale, et rédige un plan de remédiation qui pointe les fichiers exacts à corriger. D'autres agents vérifient la qualité du code et la clarté des contenus visibles par le public.

Chaque application est ainsi vérifiée contre environ 95 contrôles de sécurité à chaque passage. Ces agents s'appuient sur le Claude Agent SDK, le kit de développement d'Anthropic pour construire des agents personnalisés.

Former les agents publics et consolider 185 applications en 16

En parallèle de ce travail technique, l'Alberta forme aussi ses agents publics à l'IA via l'Alberta AI Academy. Des milliers d'employés du gouvernement et plus de 10 000 membres du public ont utilisé cette plateforme pour apprendre les bases d'un usage efficace de l'IA, du prompt jusqu'au déploiement d'applications en entreprise.

La suite du chantier est déjà planifiée. Un ministère gère à lui seul 185 applications historiques en production, coûteuses à maintenir et difficiles à faire évoluer. Le gouvernement prévoit d'utiliser Claude Code pour analyser ces systèmes, comprendre ce qu'ils font, et les consolider en 16 applications réutilisables, construites avec des langages et des conventions modernes. L'Alberta a aussi publié une série de livres blancs techniques documentant sa méthode, et organise en juillet une journée professionnelle à Edmonton pour la partager avec d'autres gouvernements. Un programme de généralisation à l'ensemble du gouvernement provincial doit démarrer à l'automne.

Notre lecture chez CZSyn

Ce cas d'usage dépasse largement le cadre canadien. La dette technique que décrit l'Alberta (du code jamais audité, des dépendances jamais mises à jour, des applications critiques écrites il y a vingt ou trente ans) se retrouve à l'identique dans une grande partie des collectivités et des PME françaises que nous accompagnons. La différence, c'est rarement la volonté de sécuriser : c'est le temps et le budget disponibles pour le faire à la main, dépôt par dépôt.

Ce que montre ce cas, c'est qu'un audit de sécurité massif n'a plus besoin de prendre des années pour être crédible, à condition de garder l'humain dans la boucle à l'endroit qui compte : la validation avant mise en production. L'Alberta ne laisse pas Claude déployer seul : il génère, teste et documente, et ce sont des ingénieurs qui décident. C'est exactement la façon dont nous recommandons d'introduire l'IA dans un audit de sécurité ou une modernisation de legacy chez nos clients : un gain de vitesse réel sur le scan et le premier jet de correction, sans jamais sauter l'étape de revue humaine sur du code qui touche des données sensibles.

Pour une agence ou une PME française qui traîne un vieux monolithe jamais audité, la vraie leçon d'Alberta n'est pas d'acheter de l'IA : c'est de commencer par scanner, mesurer la dette réelle, puis prioriser. C'est un chantier qu'on peut lancer à une échelle bien plus modeste qu'un gouvernement provincial.

Votre parc applicatif traîne une dette de sécurité jamais auditée ?

Nous auditons vos applications et vos dépôts de code pour identifier les failles réelles et prioriser les correctifs. Audit gratuit sous 24h, développement sur-mesure, dépannage rapide.

29 AVIS 5/5 · +200 PROJETS LIVRÉS · RÉPONSE EXPRESS

Sources primaires

Un projet en tête ?

Discutons de votre projet et voyons comment nous pouvons vous aider.

Nous contacter