Selon le rapport State of DevSecOps de Datadog, près de 9 organisations sur 10 présentent au moins une vulnérabilité exploitable connue dans leurs environnements déployés. Ce constat traduit une mutation du secteur : les failles se déplacent désormais en amont du cycle de développement, au cœur même de la chaîne d’approvisionnement logicielle.
State of DevSecOps 2026 : la sécurité glisse vers la chaîne d’approvisionnement logicielle
Des vulnérabilités plus systémiques que jamais
Les chiffres sont éloquents. 87 % des organisations hébergent au moins une vulnérabilité exploitable dans leurs services. Pis encore, 42% de ces services s’appuient sur des bibliothèques abandonnées, non maintenues. À mesure que les équipes modernisent leurs pratiques de développement, l’adoption rapide d’outils, de frameworks crée une surface d’attaque de plus en plus diffuse.
L’étude souligne notamment que 50% des organisations intègrent de nouvelles versions de bibliothèques dans les 24 heures suivant leur publication. Une cadence vertigineuse, qui accélère l’innovation mais multiplie également les risques d’introduire des composants compromis. Dans le même temps, seules 4% des entreprises verrouillent leurs GitHub Actions publiques à une version spécifique, exposant leurs systèmes d’intégration continue (CI/CD) à des modifications silencieuses du code tiers.
La chaîne d’approvisionnement au cœur des menaces
On observe l’évolution du point d’impact des attaques. Là où la sécurité se concentrait autrefois sur le code en production, elle doit désormais s’étendre à toute la chaîne de développement, des pipelines de build aux dépendances logicielles. Datadog note que la « dépendance logicielle médiane » accuse désormais 278 jours de retard soit près de deux mois supplémentaires par rapport à l’an dernier. Les logiciels vieillissent donc plus vite que les équipes ne peuvent les maintenir.
Cette tendance révèle une tension croissante au sein des équipes DevSecOps : comment sécuriser davantage, sans ralentir le rythme du développement ? Andrew Krug, Head of Security Advocacy chez Datadog, résume le dilemme « Les équipes DevSecOps doivent trouver un équilibre entre lenteur et excès de vitesse. Aller trop lentement favorise l’accumulation de vulnérabilités connues dans les logiciels obsolètes, tandis qu’aller trop vite, avec l’automatisation, peut introduire du code non vérifié. Le vrai défi, cependant, n’est pas la vitesse, c’est la clarté ». Autrement dit, les entreprises doivent combiner automatisation et discernement, s’appuyer sur l’IA pour hiérarchiser les priorités et agir là où l’impact est réel.
Trop d’alertes, pas assez de contexte
Autre enseignement : la prolifération des alertes de sécurité nuit à leur efficacité. Datadog observe que seules 18% des vulnérabilités classées “critiques” le restent une fois replacées dans leur contexte d’exécution. L’inflation des signaux faibles brouille les priorités et engendre une triple conséquence : épuisement des équipes, ralentissement des réponses et accumulation des risques réels.
Comme le souligne Andrew Krug, « quand presque tout est classé critique, rien ne l’est vraiment. » À l’heure où les alertes se comptent par milliers, la voie de progrès est de comprendre quelles menaces ont un impact tangible sur la continuité d’activité.
Le rapport dresse le portrait d’un écosystème en pleine mutation. Les outils d’automatisation, les dépendances open source et les pipelines CI/CD accélèrent le développement logiciel. Mais ils imposent aussi une vigilance accrue, dès la conception, sur l’ensemble de la chaîne d’approvisionnement.
Source : Datadog a analysé la télémétrie de dizaines de milliers d’applications afin d’évaluer les risques de sécurité dans les environnements logiciels modernes, en utilisant également des données complémentaires pour certaines analyses. Etude mondiale.
Téléchargez cette ressource
Plan de sécurité Microsoft 365
Les attaquants savent comment prendre le contrôle de votre tenant Microsoft 365, et vous, savez-vous comment le reprendre en main ?
Les articles les plus consultés
- Ransomware : Ennemi public N°1
- Maintenez votre sécurité dans le temps
- Vol de propriété intellectuelle: détecter les copies de répertoires
- Cybersécurité : Techniques de cartographie Active Directory avec BloodHound
- Envahissement de l’Ukraine par la Russie : la cybersécurité en deuxième ligne, les SOC en alerte maximale
Les plus consultés sur iTPro.fr
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
- Deepfakes et IA : 64% des Français pensent savoir les détecter, mais la confiance reste fragile
- Cryptographie post-quantique : le Campus Cyber publie deux guides clés pour accélérer la transition des entreprises
Articles les + lus
La blockchain n’est pas seulement un défi à encadrer : c’est aussi une solution à exploiter
Le futur de la cryptographie post-quantique
Deepfakes et IA : 64% des Français pensent savoir les détecter, mais la confiance reste fragile
Cybersécurité française 2026 : explosion des startups, ralentissement des scale-ups et virage stratégique de l’IA
Crypto Crime 2026 : États et cybercriminels convergent vers une industrialisation des infrastructures
À la une de la chaîne Sécurité
- La blockchain n’est pas seulement un défi à encadrer : c’est aussi une solution à exploiter
- Le futur de la cryptographie post-quantique
- Deepfakes et IA : 64% des Français pensent savoir les détecter, mais la confiance reste fragile
- Cybersécurité française 2026 : explosion des startups, ralentissement des scale-ups et virage stratégique de l’IA
- Crypto Crime 2026 : États et cybercriminels convergent vers une industrialisation des infrastructures
