State of DevSecOps 2026 : la sécurité glisse vers la chaîne d’approvisionnement logicielle

Des vulnérabilités plus systémiques que jamais

Les chiffres sont éloquents. 87 % des organisations hébergent au moins une vulnérabilité exploitable dans leurs services. Pis encore, 42% de ces services s’appuient sur des bibliothèques abandonnées, non maintenues. À mesure que les équipes modernisent leurs pratiques de développement, l’adoption rapide d’outils, de frameworks crée une surface d’attaque de plus en plus diffuse.

L’étude souligne notamment que 50% des organisations intègrent de nouvelles versions de bibliothèques dans les 24 heures suivant leur publication. Une cadence vertigineuse, qui accélère l’innovation mais multiplie également les risques d’introduire des composants compromis. Dans le même temps, seules 4% des entreprises verrouillent leurs GitHub Actions publiques à une version spécifique, exposant leurs systèmes d’intégration continue (CI/CD) à des modifications silencieuses du code tiers.

La chaîne d’approvisionnement au cœur des menaces

On observe l’évolution du point d’impact des attaques. Là où la sécurité se concentrait autrefois sur le code en production, elle doit désormais s’étendre à toute la chaîne de développement, des pipelines de build aux dépendances logicielles. Datadog note que la « dépendance logicielle médiane » accuse désormais 278 jours de retard soit près de deux mois supplémentaires par rapport à l’an dernier. Les logiciels vieillissent donc plus vite que les équipes ne peuvent les maintenir.

Cette tendance révèle une tension croissante au sein des équipes DevSecOps : comment sécuriser davantage, sans ralentir le rythme du développement ? Andrew Krug, Head of Security Advocacy chez Datadog, résume le dilemme « Les équipes DevSecOps doivent trouver un équilibre entre lenteur et excès de vitesse. Aller trop lentement favorise l’accumulation de vulnérabilités connues dans les logiciels obsolètes, tandis qu’aller trop vite, avec l’automatisation, peut introduire du code non vérifié. Le vrai défi, cependant, n’est pas la vitesse, c’est la clarté ». Autrement dit, les entreprises doivent combiner automatisation et discernement, s’appuyer sur l’IA pour hiérarchiser les priorités et agir là où l’impact est réel.

Trop d’alertes, pas assez de contexte

Autre enseignement : la prolifération des alertes de sécurité nuit à leur efficacité. Datadog observe que seules 18% des vulnérabilités classées “critiques” le restent une fois replacées dans leur contexte d’exécution. L’inflation des signaux faibles brouille les priorités et engendre une triple conséquence : épuisement des équipes, ralentissement des réponses et accumulation des risques réels.

Comme le souligne Andrew Krug, « quand presque tout est classé critique, rien ne l’est vraiment. » À l’heure où les alertes se comptent par milliers, la voie de progrès est de comprendre quelles menaces ont un impact tangible sur la continuité d’activité.

Le rapport dresse le portrait d’un écosystème en pleine mutation. Les outils d’automatisation, les dépendances open source et les pipelines CI/CD accélèrent  le développement logiciel. Mais ils imposent aussi une vigilance accrue, dès la conception, sur l’ensemble de la chaîne d’approvisionnement.

Source : Datadog a analysé la télémétrie de dizaines de milliers d’applications afin d’évaluer les risques de sécurité dans les environnements logiciels modernes, en utilisant également des données complémentaires pour certaines analyses. Etude mondiale.