Datadog a publié son nouveau rapport DevSecOps 2025, apportant son éclairage annuel sur la gestion des vulnérabilités et l’état général de la sécurité applicative dans les environnements cloud modernes. Voici les principales conclusions.
Selon l’étude, seulement 18 % des vulnérabilités critiques détectées mériteraient d’être réellement traitées en priorité. Datadog a développé un algorithme de priorisation intégrant le contexte d’exécution aux scores CVSS traditionnels. En prenant en compte des critères comme l’exposition à Internet ou la présence dans un environnement de production, l’outil permet de réduire le bruit et de concentrer les efforts sur les failles véritablement exploitables.
Andrew Krug, Head of Security Advocacy chez Datadog, souligne que ce tri est « essentiel pour permettre aux équipes de sécurité de gagner en efficacité : moins de temps passé à examiner de fausses alertes signifie une réduction plus rapide de la surface d’attaque globale, et une capacité accrue à répondre aux véritables menaces ».
Le rapport pointe également du doigt l’écosystème Java, particulièrement touché par les vulnérabilités. Quarante-quatre pour cent des applications Java analysées contiennent une faille connue exploitable, un taux bien supérieur à celui observé pour Go, Python, .NET, PHP, Ruby ou JavaScript, où la moyenne ne dépasse pas 2 %. En outre, les correctifs sont appliqués plus lentement dans l’écosystème Java, avec un délai moyen de 62 jours contre 46 jours pour .NET et seulement 19 jours pour les applications JavaScript basées sur npm.
La chaîne d’approvisionnement logicielle continue d’être une cible privilégiée des cybercriminels. Datadog identifie dans son rapport des milliers de bibliothèques malveillantes sur PyPI et npm, souvent issues de techniques de typosquatting ou de compromissions de projets légitimes, un phénomène qui ne cesse de croître, alimenté à la fois par des groupes étatiques et des acteurs criminels.
Autre enseignement : si la gestion des identifiants tend à s’améliorer, elle reste encore fragile. L’usage d’identifiants de longue durée, responsable de nombreuses fuites de données, a baissé de 63 % à 58 % en un an dans les workflows GitHub Actions, mais demeure préoccupant.
Enfin, le rapport met en lumière un problème récurrent pour les développeurs : l’utilisation de bibliothèques obsolètes. Les services déployés moins d’une fois par mois utilisent des dépendances en moyenne 47 % plus anciennes que ceux mis à jour quotidiennement, augmentant le risque de vulnérabilités non corrigées.
Pour réaliser cette étude, Datadog a analysé des dizaines de milliers d’applications et d’images de conteneurs réparties sur des milliers d’environnements cloud. Le rapport complet est accessible sur le site de Datadog.
