Votre chaîne CI/CD est peut-être en train de trahir votre sécurité en ce moment-même. C’est l’un des constats les plus frappants du rapport State of DevSecOps 2026 de Datadog, publié le 26 février. Près de neuf organisations sur dix présentent au moins une vulnérabilité exploitable connue dans leurs services déployés. On l’a lu pour vous, un an après notre analyse du rapport 2025.
Le paradoxe central du rapport : l’IA et l’automatisation accélèrent le développement logiciel, mais les pratiques de sécurité n’ont pas suivi le rythme. La dépendance logicielle médiane accuse désormais 278 jours de retard sur sa dernière version majeure, soit 63 jours de plus que l’année dernière. Les logiciels vieillissent plus vite que les équipes ne peuvent les mettre à jour.
Trop lent ou trop rapide : les deux faces du même risque
42 % des services dépendent de bibliothèques qui ne sont plus activement maintenues. 10 % tournent sur des versions de langages en fin de vie (EOL) : Go arrive en tête avec 23 % des services concernés, suivi de PHP (13 %), Java (10 %), Node.js (9 %), Python (8 %) et Ruby (5 %). Et quand un service utilise une version EOL, 50 % de ses dépendances présentent des vulnérabilités exploitables, contre 31 % pour les versions encore supportées.
Mais l’excès de vitesse est tout aussi dangereux. 50 % des organisations adoptent de nouvelles versions de bibliothèques dans les 24 heures suivant leur publication, s’exposant ainsi à des logiciels malveillants avant que la communauté ait eu le temps de les auditer. Les attaques s1ngularity et Shai-Hulud de l’année passée ont précisément exploité ce réflexe.
« Les équipes DevSecOps doivent trouver un équilibre entre lenteur et excès de vitesse« , résume Andrew Krug, Head of Security Advocacy chez Datadog. « Le vrai défi n’est pas la vitesse, c’est la clarté. »
GitHub Actions : l’angle mort des pipelines CI/CD
Seules 4 % des organisations verrouillent toutes leurs GitHub Actions publiques à une version spécifique via des commit hashes. 71 % ne le font jamais. Résultat : les pipelines CI/CD sont devenus un vecteur d’attaque majeur sur la chaîne d’approvisionnement logicielle, comme l’a illustré la compromission de l’action tj-actions en 2025.
Autre enseignement contre-intuitif du rapport : seules 18 % des vulnérabilités classées « critiques » le restent vraiment une fois le contexte d’exécution pris en compte. « Quand presque tout est classé critique, rien ne l’est vraiment », note Krug. Sur-alerter les équipes crée de la fatigue, ralentit les réponses et laisse passer les vraies menaces.
Le rapport complet est disponible sur datadoghq.com (en anglais).
