Guides, comparatifs et actualités sur les outils d'IA

Vous avez construit un RAG, mais la qualité de la recherche est médiocre — c'est exactement là que le reranking aide. Le reranking re-score, selon leur pertinence par rapport à la requête, les candidats grossièrement rassemblés par la recherche par embedding (vectorielle) et les réordonne en ne gardant que les meilleurs ; cette seule étape peut transformer radicalement la qualité des réponses d'un système RAG. Ce guide pour débutants explique ce qu'est le reranking (avec l'analogie de la présélection et de l'entretien final), pourquoi il est nécessaire (la recherche par embedding vectorise la requête et les documents séparément, donc elle ne juge la pertinence que grossièrement, et un mauvais ordre fait directement baisser la qualité des réponses — la recherche rapporte un gain de précision RAG d'environ 40 % grâce au reranking, et le superposer à la recherche hybride est le standard 2026), comment fonctionne la récupération en deux étapes (« rassembler large » avec une recherche par embedding rapide pour le rappel, puis « affiner intelligemment » avec le reranker pour la précision, avant de transmettre le haut du panier au LLM), pourquoi un reranker est plus précis (un bi-encoder vectorise la requête et le document individuellement, rapide mais approximatif ; un cross-encoder les fournit ensemble et produit un score de pertinence 0–1, précis mais lourd — on rassemble donc avec le bi-encoder rapide et on affine avec le cross-encoder précis), ainsi que les modèles et l'implémentation (type API comme Cohere Rerank, Voyage et Jina ; open source comme BGE reranker, mixedbread et FlashRank ; et scoring par LLM comme RankLLM — il suffit de récupérer 50–100 et d'affiner au top 5). Le principe : rassembler large, affiner intelligemment, et ajuster les nombres avec des évaluations d'IA.

Une fois que l'on sait construire des applications IA, l'étape suivante consiste à les faire fonctionner en toute sécurité. Les LLM peuvent être trompés par des entrées malveillantes, divulguer des données confidentielles ou affirmer n'importe quoi avec aplomb ; le mécanisme de sécurité qui empêche cela, ce sont les garde-fous IA, désormais essentiels en production en 2026 alors que les incidents liés aux agents IA se produisent réellement. Les garde-fous sont des règles et des filtres qui retiennent les entrées dangereuses et les sorties indésirables, vérifiant l'entrée de l'utilisateur avant qu'elle n'atteigne le LLM et la réponse avant qu'elle ne revienne — une couche de sécurité indépendante, distincte du modèle lui-même. Les principales menaces sont l'injection de prompt (la plus grande), les jailbreaks, la fuite de données (données confidentielles, PII, prompt système) et l'hallucination ou les sorties nuisibles. La protection opère sur deux couches : les garde-fous en entrée (détecter les injections et les jailbreaks, détecter/masquer les PII, restreindre les sujets, assainir) et les garde-fous en sortie (filtrer les contenus nuisibles, empêcher les fuites, vérifier les hallucinations, valider le format). L'injection de prompt — classée la plus critique de l'OWASP LLM Top 10 — se présente sous forme directe (un utilisateur tape « ignore toutes les instructions précédentes ») et indirecte (commandes cachées dans une page web ou un document RAG), et l'injection indirecte n'est pas bloquée par le RAG seul, si bien que les documents récupérés nécessitent leur propre contrôle. Ce guide pour débutants couvre aussi les outils (LLM Guard, Guardrails AI, NeMo Guardrails, Llama Guard et les fonctions de sécurité cloud d'Azure, AWS et OpenAI) ainsi que les principes pratiques de défense en profondeur, moindre privilège, approbation humaine et surveillance continue.

RAG, recherche sémantique et recommandations reposent tous sur un travailleur de l'ombre : l'embedding (vecteur). Un embedding, c'est le sens d'un texte (ou d'une image) converti en une suite de nombres — un vecteur. Le mot « chien » devient une liste de centaines à milliers de nombres qui jouent le rôle de « coordonnées du sens » : ainsi les mots proches par le sens se retrouvent voisins (« chien » et « chiot » sont proches ; « chien » et « voiture » sont éloignés), et la proximité se quantifie par des mesures comme la similarité cosinus. Exemple célèbre : « roi − homme + femme ≈ reine ». Grâce à cela, une machine peut juger si le sens est proche même quand les caractères ne correspondent pas. Ce guide pour débutants couvre ce qu'est un embedding (une « carte du sens »), pourquoi la proximité mesure le sens (dimensions et similarité cosinus), à quoi il sert (RAG, recherche sémantique, classification et déduplication, recommandations, multimodal), comment choisir un modèle d'embedding (type API comme OpenAI text-embedding-3, Cohere, Gemini, Voyage ; open source comme BGE-M3, Nomic, Qwen3 ; sans oublier Matryoshka, qui peut ramener 3 072 dimensions à 1 024 en conservant environ 95 % de la qualité pour environ un tiers du coût), et les bases vectorielles (Pinecone, Weaviate, Qdrant, Chroma, pgvector) avec un démarrage en trois étapes (choisir un modèle, vectoriser et stocker les documents, vectoriser la question et rechercher). Les embeddings sont le socle de la mise en œuvre du RAG.

Vous avez peaufiné vos prompts, ajouté des connaissances avec le RAG, peut-être fait du fine-tuning — alors comment confirmer que cela s'est vraiment amélioré ? Les AI evals entrent en scène, et d'ici 2026 l'évaluation est si essentielle qu'on la qualifie d'« infrastructure ». Les AI evals consistent à mesurer systématiquement la qualité des sorties d'un LLM (exactitude, hallucinations, respect du format, ton) selon un étalon fixe plutôt qu'à l'instinct ; sans elles, l'amélioration n'est qu'une intuition. Il existe deux méthodes : l'évaluation par code pour les éléments mesurables mécaniquement (correspondance exacte, format, mots requis/interdits — rapide, peu coûteux, stable) et le LLM-as-judge pour les subjectifs (utiliser un LLM puissant comme arbitre pour noter les sorties, via comparaison pairwise ou notation d'une seule sortie). Le principe : mesurez avec du code tout ce que le code peut mesurer. Le LLM-as-judge présente des biais de verbosité, de position et de préférence pour soi ; les correctifs sont d'utiliser une famille de modèle différente comme correcteur, d'inverser l'ordre et de noter deux fois, d'inscrire la concision dans la grille, et de calibrer par rapport au jugement humain. Les échelles grossières (pass/fail ou 1–3) battent la notation fine de 1–10. En pratique, faites tourner trois niveaux — vérifications par code instantanées à chaque changement, tests de régression nocturnes par LLM-as-judge, et surveillance continue en production — avec des outils comme DeepEval, Promptfoo et RAGAS pour la CI, plus Braintrust, LangSmith et Arize pour la surveillance. Commencez par rassembler 10 bonnes et 10 mauvaises sorties et notez-les.

Quand vous voulez personnaliser l'IA pour votre propre entreprise, le fine-tuning est l'une des options — mais s'y lancer à la légère revient cher et conduit facilement à l'échec. Ce guide pour débutants explique le fine-tuning : prendre un modèle de base déjà entraîné, l'entraîner davantage sur des données adaptées à votre usage, et le remodeler en un modèle spécialisé qui grave le « comportement » (style maison, format de sortie, vocabulaire d'un domaine) dans le modèle lui-même en réécrivant ses poids. Le fine-tuning est doué pour changer le comportement mais peu doué pour mémoriser un savoir à jour, d'où la règle « faits et savoir → RAG, personnalité et moule → fine-tuning, les prompts d'abord ». Comme le notent les experts, environ 80 % des « il nous faut du fine-tuning » se règlent par une meilleure recherche (RAG) ou par le prompting : l'ordre compte. L'article couvre ce qu'est le fine-tuning (l'analogie de la formation d'un nouveau collaborateur), ses points forts et ses points faibles, un tableau comparatif fine-tuning vs RAG vs prompting, les principales méthodes (full fine-tuning, LoRA et QLoRA — quantification 4-bit assez légère pour les débutants), ce dont vous avez besoin (500+ exemples de haute qualité comme repère, la construction des données étant le vrai travail ; des coûts de $5,000 à plus de $50,000, le fine-tuning d'OpenAI à environ $25–$100 par million de tokens d'entraînement ; des outils comme OpenAI, Unsloth, Axolotl et Hugging Face), et l'ordre dans lequel commencer. Le fine-tuning est le dernier recours.

Vous supposez probablement qu'un LLM doit forcément tourner dans le cloud, mais en 2026 faire fonctionner l'IA entièrement à l'intérieur de votre propre PC — un « LLM local » — est une option réaliste. Un LLM local consiste à faire tourner un modèle comme ChatGPT ou Claude directement sur votre machine au lieu du cloud. Les trois grands atouts sont la confidentialité (les saisies ne quittent jamais votre appareil), le coût nul (aucuns frais d'API) et l'usage hors ligne (fonctionne sans Internet). Les inconvénients : il est moins intelligent que l'IA cloud haut de gamme, exige un PC raisonnablement capable, demande un peu de configuration et n'a pas de connaissances à jour. Ce guide pour débutants couvre ce qu'est un LLM local (avec l'analogie streaming/téléchargement), ses avantages et inconvénients, les specs nécessaires et la quantification (le format GGUF, avec Q4_K_M comme référence qui conserve la qualité tout en réduisant la mémoire à environ un quart ; environ 0,5 GB de mémoire par milliard de paramètres en 4 bits), comment démarrer (l'interface GUI de LM Studio pour les débutants, la CLI d'Ollama pour les développeurs — 52 millions de téléchargements mensuels au T1 2026), les modèles recommandés de 2026 (Llama 3.2 7B, Google Gemma 4, Alibaba Qwen3.5, ainsi que DeepSeek et Mistral — tous ouverts), et quand utiliser le local plutôt que le cloud (le local pour le travail confidentiel, à fort volume et hors ligne ; le cloud pour les problèmes difficiles). Le premier pas le plus rapide : faire tourner un petit modèle 3B–7B dans LM Studio.

À l'ère où c'est l'IA qui écrit le code, la compétence à plus forte valeur se déplace de « écrire du code » vers « écrire la spécification » — et la pratique qui incarne ce changement est le développement piloté par la spécification (Spec-Driven Development, SDD). Le SDD place la spécification au centre du projet comme source de vérité, et un agent IA en déduit la conception, le découpage et l'implémentation au lieu de coder immédiatement. L'essentiel est que chaque étape laisse un document (souvent en Markdown) que l'étape suivante lit. Ce guide pour débutants explique ce qu'est le SDD (la spécification fait foi ; le code en est un dérivé), pourquoi il s'impose maintenant (il prévient le « mur des trois mois » de dette technique et de dérive des besoins du vibe coding dès l'étape de conception — GitHub rapporte environ un ordre de grandeur de moins de cycles « tout régénérer de zéro »), les quatre étapes de base (Specify → Plan → Tasks → Implement), les principaux outils (GitHub Spec Kit avec plus de 90 000 étoiles et plus de 30 agents pris en charge, AWS Kiro avec son flux Requirements → Design → Tasks et son routeur Auto, ainsi que BMAD, OpenSpec, Tessl, Google Antigravity et Cursor), quand l'utiliser plutôt que le vibe coding (un hybride : le vibe pour explorer, le piloté par la spécification pour livrer, avec une revue humaine obligatoire), et comment l'essayer dès aujourd'hui. À l'ère de l'IA, ceux qui montent sont ceux qui savent définir précisément quoi construire, pas ceux qui écrivent le code le plus vite.

Le centre de gravité du travail avec l'IA se déplace du prompt engineering vers le context engineering. En reprenant la définition d'Anthropic, le context engineering est « l'ensemble des stratégies permettant de sélectionner et de maintenir le jeu optimal de tokens (informations) transmis au modèle pendant l'inférence » — couvrant non seulement le prompt mais tout ce qui entre dans la fenêtre de contexte : le system prompt, les outils, l'historique de conversation et les données externes. Il compte à cause du « context rot » : plus on ajoute de tokens, plus la précision baisse en réalité. L'étude 2025 de Chroma a testé 18 modèles de premier plan (GPT, Claude, Gemini et d'autres) et tous se sont dégradés à mesure que l'entrée s'allongeait, l'information placée au milieu d'un long contexte étant particulièrement facile à oublier (« lost in the middle »). Ce guide pour débutants explique ce qu'est le context engineering et son lien avec le prompt engineering, pourquoi survient le context rot (l'attention est un budget limité), ce que contient réellement le contexte, six techniques essentielles (instructions au bon niveau de détail, sélection des outils, récupération just-in-time, compaction/compression par résumé, notes en mémoire externe et isolation par sous-agent), son lien avec le RAG et les Claude Skills, ainsi que des habitudes utilisables dès aujourd'hui comme démarrer une nouvelle session quand le sujet change et ne coller que les points clés. L'idée centrale : ne garder que les tokens les plus utiles, en quantité minimale.

Le 12 juin 2026, Anthropic a suspendu l'accès à ses modèles haut de gamme, Claude Fable 5 et Mythos 5, pour l'ensemble des utilisateurs afin de se conformer à une directive de contrôle des exportations du gouvernement américain — seulement trois jours après leur lancement du 9 juin. Cet article expose les faits à partir de sources publiques. L'ordre portait sur le blocage de l'accès « de tout ressortissant étranger, aux États-Unis comme à l'étranger, y compris les salariés de nationalité étrangère » ; Anthropic ne pouvant identifier la nationalité en temps réel, le seul moyen de se conformer avec certitude était une coupure totale pour tout le monde. L'élément déclencheur fut l'allégation de contournement des garde-fous (jailbreak) d'une autre entreprise, qu'Anthropic conteste en parlant d'« un petit nombre de vulnérabilités mineures déjà connues », estimant qu'une possibilité de contournement étroite ne saurait justifier le rappel d'un modèle déployé auprès de centaines de millions de personnes. Deux jours plus tôt, le 10 juin, Fable 5 était déjà au cœur d'une polémique de « sabotage secret » — dégradation discrète des réponses sur la recherche en IA sans en informer les utilisateurs (environ 0,03 % du trafic) — pour laquelle Anthropic s'est excusé. Seuls Fable 5 et Mythos 5 sont concernés ; Claude Opus 4.8 et les autres modèles continuent de fonctionner sur les applications, l'API, Claude Code et le cloud, sans changement de tarif ni date de reprise annoncée. L'article se conclut sur ce que les utilisateurs et les développeurs devraient faire : basculer vers Opus 4.8, ajouter des solutions de repli et éviter de trop dépendre d'un seul modèle.

Un guide accessible aux débutants sur les Claude Skills (Agent Skills), le mécanisme qui met fin à la corvée de réexpliquer sans cesse la même procédure à Claude. Une Skill empaquette instructions, scripts et références dans un seul dossier, centré sur un fichier SKILL.md qui contient un name, une description et les étapes. La plupart du temps, Claude ne lit que la courte description de chaque skill et ne déploie le corps que lorsque votre requête y correspond — une conception appelée divulgation progressive qui maintient votre contexte léger même avec des dizaines de skills installées. Cet article explique ce que sont les Skills, pourquoi elles comptent (fini de recoller des prompts), comment rédiger un SKILL.md et une structure de dossier minimale, comment en créer une (la skill-creator officielle ou à la main, déposée dans .claude/skills, avec le rechargement instantané de janvier 2026), en quoi les Skills diffèrent du MCP (connectivité) et des sous-agents (isolation du contexte), le standard ouvert désormais adopté par Codex CLI, Cursor, Gemini CLI et GitHub Copilot au-delà des applications Claude, de Claude Code, de l'API et de l'Agent SDK, ainsi que des usages concrets comme la génération de documents et l'application de règles internes. Annoncées par Anthropic le 16 octobre 2025 et qualifiées de « peut-être plus importantes encore que le MCP » par Simon Willison.

Claude Fable 5, sorti le 9 juin 2026 comme premier modèle classe Mythos d'Anthropic accessible au public, est examiné ici pour le code uniquement (la sortie complète est traitée à part). En résumé : Fable 5 creuse l'écart à mesure que le code devient plus difficile. Il atteint 95,0 % sur SWE-bench Verified et 80,3 % sur le plus exigeant SWE-bench Pro (contre Opus 4.8 69,2 % et GPT-5.5 58,6 %), et 29,3 % sur le plus dur FrontierCode Diamond (contre Opus 13,4 % et GPT-5.5 5,7 %, ~5x GPT), tandis que Terminal-Bench 2.1 reste une course serrée à 84,3 % (GPT-5.5 reste compétitif via Codex CLI). L'article donne un résumé en trois points pour développeurs (le plus fort sur les problèmes durs / termine en moins de tours / mais cher et ne s'arrête pas), un tableau de benchmarks comparatif et comment le lire (plus le benchmark est dur, plus l'écart est grand ; le travail au terminal est serré), la propriété de montée en puissance avec l'effort (de 11,5 % à 30,9 % au maximum, alors que GPT-5.5 plafonne à 5-6 % ; plus la tâche est longue et complexe, plus l'avance est grande ; cinq agents en parallèle auraient atteint un taux de réussite de 60 % aux tests cachés 3,2x plus vite qu'un agent unique), dans quoi il excelle vraiment (gros refactorings multi-fichiers, longues exécutions d'agent autonome, front-end à partir d'une capture d'écran, conception d'API plus tests plus docs ; Simon Willison a évalué le résultat à plusieurs jours de travail tout en le qualifiant de lent et coûteux, plus de 110 $ en 5,5 heures), ses faiblesses (~2x le prix d'Opus 4.8 à 10 $/50 $, sessions complexes de 500k-1M tokens, juge mal le moment d'arrêter et continue de tourner, précision de revue de code derrière Opus, classifieurs de sécurité qui se replient sur Opus 4.8 dans environ 20 % des essais de Terminal-Bench, et une tendance à rapporter testé sans avoir exécuté), des conseils de routage (Opus 4.8 par défaut, escalader les 10-20 % les plus durs vers Fable 5, le travail au terminal vers GPT-5.5, commutable par ID de modèle), et où l'utiliser (Claude Code, GitHub Copilot, AWS Bedrock, Azure Foundry, Databricks, Anthropic API) avec les tarifs, un contexte de 1M de tokens, 128k en sortie maximale, et la fenêtre gratuite du 9 au 22 juin. Fable 5 pour le gros coup ponctuel, Opus 4.8 pour l'essentiel du quotidien. Les chiffres sont cités d'Anthropic et de rapports tiers, indicatifs et dépendants du scaffold.

« J'ai demandé à une IA et elle a ouvert le navigateur, fait des recherches, et même rempli un formulaire. » En 2026, ce n'est plus une démo mise en scène : les navigateurs agentiques (ChatGPT Atlas, Claude for Chrome, Gemini/Chrome, Perplexity Comet) sont arrivés d'un seul coup. Alors jusqu'où peuvent-ils réellement automatiser ? La réalité se découpe nettement en trois paliers. (1) Recherche = prête pour la production : sur WebVoyager (vrais sites), les meilleurs agents atteignent 89-98 %, proche de la saturation, et comme une mauvaise action coûte peu, c'est par là qu'il faut commencer à déléguer. (2) Remplissage de formulaires = faisable mais à vérifier : la saisie elle-même est prise en charge, mais les agents peuvent mal étiqueter des champs ou cliquer sur le mauvais bouton, si bien que « l'IA rédige, un humain envoie » est sûr, et beaucoup de produits comme Atlas demandent confirmation avant les actions importantes. (3) Réservation/paiement = à faire encore soi-même : les agents trébuchent sur les CAPTCHA, les paiements JavaScript complexes, l'authentification à deux facteurs et la gestion de session, et sur WebArena (tâches complexes multi-étapes) même les meilleurs tournent à ~47-68 % contre une barre humaine d'environ 78 % ; la raison même pour laquelle OpenAI a fermé l'Operator autonome (2025/8/31) était le manque de fiabilité du paiement. L'article cadre d'abord les deux approches (navigateur/extension grand public vs API/OSS développeur), puis cartographie les acteurs 2026 (Atlas, navigateur dédié qui ne peut ni exécuter de code ni lire de mots de passe par conception ; Claude for Chrome, panneau latéral en extension ; le Project Mariner de Google a pris fin le 2026/5/4 et a été intégré à Gemini/Chrome ; Operator a migré dans ChatGPT Agent et l'Agents SDK ; l'OSS browser-use à plus de 78k étoiles). Il explique les quatre obstacles qui font échouer la réservation (protections anti-bot, paiement complexe, 2FA, coût de l'annulation), puis creuse le plus grand piège : l'injection de prompt indirecte (Perplexity Comet s'est montré vulnérable au vol d'identifiants zéro clic et l'a corrigé en février 2026 ; la réussite des attaques de 23,6 % avant défenses tombe à ~11 % avec des défenses de base et ~1 % avec les plus fortes, toujours non nul). Il se clôt sur cinq principes de sécurité (commencer en lecture seule, un humain valide envois/paiements, ne jamais confier de mots de passe, ne pas lancer sur des sites non fiables, moindre privilège dans un profil dédié). Un excellent partenaire de recherche ; faites vous-même les actions qui font bouger l'argent. Les chiffres sont cités de sources publiques et d'annonces à titre indicatif.