Aller au contenu
DevSecOps Logo Stéphane ROBERT
Docs
Blog

Pourquoi les pipelines CI/CD échouent (vraiment)

Mise à jour :

Une équipe passe des semaines à construire une pipeline “parfaite”. Six mois plus tard, personne n’ose y toucher. Les builds échouent de façon aléatoire. Les développeurs attendent parfois une heure pour savoir si leur code fonctionne. La pipeline censée accélérer les livraisons est devenue un goulot d’étranglement.

Cette situation n’est pas exceptionnelle. Selon le rapport GitLab 2024, 70% des organisations affirment pratiquer le CI/CD, mais seulement 24% peuvent réellement déployer à la demande. L’écart entre l’intention et la réalité révèle un problème plus profond que la technologie.

La pipeline comme miroir de l’organisation

Une pipeline CI/CD n’est pas un simple enchaînement de scripts. C’est la cristallisation des processus, des responsabilités et de la culture d’une équipe. Chaque étape reflète une décision organisationnelle :

  • Qui a le droit de merger ?
  • Quels tests sont obligatoires ?
  • Qui est responsable si le déploiement échoue ?
  • Combien de temps peut-on attendre un résultat ?

La loi de Conway s’applique directement : une pipeline reproduit la structure de communication de l’organisation qui la construit. Une équipe cloisonnée produira une pipeline fragmentée. Une équipe où personne ne veut prendre de responsabilité produira une pipeline sans propriétaire clair.

Loi de Conway appliquée aux pipelines

Symptômes organisationnels dans les pipelines

Ce que vous voyezCe que ça révèle
Étapes qui s’accumulent sans jamais disparaîtrePersonne n’a l’autorité pour simplifier
Exceptions permanentes pour certains projetsNégociations politiques plutôt que standards techniques
Tests désactivés “temporairement” depuis des moisPression de livraison sans regard sur la qualité
Pipeline différent pour chaque équipeSilos organisationnels, pas de vision commune
Personne ne sait pourquoi une étape existeTurnover et perte de contexte

L’anti-pattern du copier-coller

La façon dont une pipeline naît conditionne souvent son destin. Dans de nombreuses organisations, la première pipeline est copiée depuis un tutoriel ou un autre projet, puis adaptée à la hâte pour “faire fonctionner” le build.

Cette approche crée plusieurs problèmes :

Cargo cult : des étapes sont présentes sans que personne ne comprenne leur utilité. L’équipe les conserve “au cas où”, créant une complexité inutile.

Contexte perdu : la pipeline originale répondait à des contraintes spécifiques (taille d’équipe, type d’application, contraintes de sécurité). Ces contraintes ne s’appliquent pas forcément au nouveau contexte.

Évolution impossible : modifier un pipeline mal compris est risqué. L’équipe préfère ajouter des étapes plutôt que de refactorer, aggravant la complexité.

Comment ça se manifeste

Une équipe copie un pipeline de production d’une grande entreprise pour un projet interne de trois personnes. Ce pipeline inclut :

  • Des tests d’intégration sur 15 environnements différents
  • Une validation de sécurité multi-niveaux
  • Un processus d’approbation à trois étages

Pour un projet simple, ce pipeline transforme un déploiement de 5 minutes en une attente de 2 heures. L’équipe finit par contourner le pipeline entièrement, déployant manuellement “pour aller plus vite”.

Le pipeline intouchable

Avec le temps, certains pipelines deviennent des artefacts sacrés que personne n’ose modifier. Ce phénomène émerge de plusieurs facteurs :

La personne qui l’a créé est partie : le contexte et les décisions de conception ont disparu avec elle. Modifier le pipeline sans comprendre ces décisions, c’est risquer de casser quelque chose d’invisible.

Des incidents passés ont créé une peur : une modification anodine a provoqué une panne. Depuis, la règle implicite est “on ne touche pas au pipeline”.

La complexité décourage l’intervention : le pipeline a grandi organiquement, accumulant des cas particuliers et des contournements. Comprendre son fonctionnement demande des jours d’investigation.

Ce pattern porte un nom : le Bus Factor égal à zéro. Non seulement une seule personne comprenait le pipeline, mais cette personne n’est plus là.

Le paradoxe de la stabilité

Un pipeline qu’on n’ose pas modifier semble stable. En réalité, il accumule une dette technique invisible :

  • Les dépendances ne sont plus mises à jour
  • Les vulnérabilités connues restent présentes
  • Les optimisations possibles ne sont jamais appliquées
  • L’adaptation aux nouveaux besoins devient impossible

Cette “stabilité” est une bombe à retardement. Le jour où une modification devient inévitable (fin de support d’un outil, faille critique, nouveau besoin métier), l’équipe découvre l’ampleur du problème.

La dette de pipeline

Comme le code applicatif, les pipelines accumulent de la dette technique. Mais cette dette est souvent invisible car personne ne la mesure.

Cycle de la dette de pipeline

Les formes de la dette

Dette d’obsolescence : les outils et les pratiques du pipeline datent de son époque de création. Ce qui était moderne il y a trois ans est aujourd’hui dépassé.

Dette de duplication : chaque projet a sa propre copie du pipeline, avec ses propres variations. Une amélioration doit être répliquée manuellement partout.

Dette de documentation : le pipeline fonctionne, mais personne ne sait exactement comment ni pourquoi. Les décisions ne sont pas documentées.

Dette de test : le pipeline lui-même n’est pas testé. Chaque modification est un pari.

Pourquoi la dette s’accumule

Excuse couranteRéalité
”Le pipeline fonctionne, pas besoin d’y toucher”L’absence de changement n’est pas un signe de santé
”On n’a pas le temps de refactorer”Chaque workaround ajoute du temps de maintenance futur
”C’est juste du script, pas du vrai code”Les pipelines sont du code critique qui mérite les mêmes standards
”On fera une grosse refonte plus tard”Les grosses refontes échouent, les améliorations incrémentales réussissent

Le pipeline lent

Un pipeline qui prend trop de temps n’est pas un désagrément mineur. C’est un facteur de dysfonctionnement systémique.

L’impact en cascade

Impact d'un pipeline lent

Quand un pipeline prend 45 minutes :

  • Les développeurs empilent plusieurs changements dans un seul commit (pour ne pas attendre plusieurs fois)
  • Les problèmes deviennent plus difficiles à isoler (quel changement a cassé le build ?)
  • La boucle de feedback s’allonge (découverte tardive des problèmes)
  • Les contournements se multiplient (“je teste en local, c’est plus rapide”)

Un pipeline lent favorise les gros commits peu fréquents au lieu des petits commits fréquents. Or, les petits commits fréquents sont associés à de meilleures métriques de performance (indicateurs DORA).

Où va le temps ?

La lenteur d’un pipeline vient rarement d’une seule cause. Elle résulte de l’accumulation :

  • Tests redondants ou mal parallélisés
  • Téléchargement répété de dépendances (absence de cache efficace)
  • Étapes séquentielles qui pourraient être parallèles
  • Environnements provisionnés à chaque build au lieu d’être réutilisés
  • Contrôles de sécurité non optimisés (scans complets au lieu d’incrémentaux)

Chaque étape ajoute “juste quelques minutes”. Multipliées par le nombre de builds quotidiens, ces minutes deviennent des heures de productivité perdue.

La culture du héros

Dans certaines organisations, une seule personne “gère” les pipelines. C’est elle qu’on appelle quand le build échoue. C’est elle qui connaît les astuces pour contourner les problèmes. C’est elle qui peut merger les changements urgents.

Cette centralisation crée une dépendance toxique :

  • L’équipe n’apprend jamais à résoudre les problèmes elle-même
  • Le “héros” devient un goulot d’étranglement
  • Les connaissances ne se diffusent pas
  • Le départ du héros provoque une crise

La culture du héros est souvent célébrée (“heureusement qu’on a Jean-Pierre”). En réalité, elle est le symptôme d’un échec organisationnel : l’absence de documentation, de formation et de propriété partagée.

Ce qui distingue les organisations matures

Les équipes qui maintiennent des pipelines efficaces sur la durée partagent certaines caractéristiques :

🤝 Propriété collective

Le pipeline n’appartient pas à une personne ou une équipe dédiée. Chaque développeur est responsable de sa compréhension et de son amélioration. Les modifications sont encouragées, pas redoutées.

🔄 Évolution continue

Le pipeline évolue régulièrement par petites améliorations. Pas de “grande refonte” prévue depuis des années. Les optimisations sont appliquées dès qu’elles sont identifiées.

📝 Documentation vivante

Les décisions de conception sont documentées. Quand quelqu’un demande “pourquoi cette étape ?”, la réponse existe. Cette documentation est maintenue à jour, pas abandonnée après la création initiale.

📊 Métriques suivies

L’équipe mesure la durée des builds, le taux d’échec, la fréquence des déploiements. Ces métriques détectent les dégradations avant qu’elles ne deviennent critiques. La boucle de rétroaction fonctionne.

🛡️ Sécurité psychologique

Les échecs de pipeline ne sont pas punis. Ils sont analysés collectivement pour comprendre ce qui s’est passé et comment éviter que ça se reproduise. Cette approche encourage l’expérimentation.

À retenir

  • Les pipelines échouent parce qu’ils reflètent les dysfonctionnements de l’organisation qui les crée, pas uniquement pour des raisons techniques.

  • Le copier-coller de pipelines crée une complexité héritée et un contexte perdu qui handicapent l’évolution future.

  • Un pipeline qu’on n’ose pas modifier accumule une dette invisible qui explose le jour où un changement devient inévitable.

  • La lenteur d’un pipeline n’est pas un inconvénient mineur : elle dégrade les pratiques de développement et les métriques de performance.

  • La culture du héros est un symptôme d’échec organisationnel, pas une solution à célébrer.

  • Les équipes matures cultivent la propriété collective, l’évolution continue et la documentation vivante de leurs pipelines.

Liens utiles