Une étude menée à l’échelle européenne par l’ANSSI, avec l’appui de Wavestone dresse un tableau du marché DevSecOps : domination américaine, maturité organisationnelle encore fragile, et une vague réglementaire qui transforme la sécurisation du cycle de développement logiciel en obligation industrielle. Avec, en ligne de mire, l’enjeu émergent du MLSecOps.
Un marché structuré par la pression, pas encore par la maturité
SolarWinds, XZ Utils, et depuis 2025 une succession d’incidents ciblant les pipelines npm et les frameworks web les plus répandus : la chaîne d’approvisionnement logicielle est devenue le terrain de jeu privilégié des attaquants. Les contrôles de sécurité appliqués trop en aval ne suffisent plus.
C’est dans ce contexte que l’ANSSI, via sa division Industrie et Technologie, a conduit une étude de marché approfondie sur le S-SDLC (Secure Software Development Life Cycle) et le DevSecOps à l’échelle européenne, en partenariat avec Wavestone : un panorama de 116 solutions identifiées, 42 fournisseurs analysés, des entretiens croisés avec acteurs publics et privés. Et un constat qui ne surprendra pas les praticiens : le marché est dominé à environ 60 % par des fournisseurs américains, qui proposent en moyenne 2,8 solutions chacun, contre 1,6 pour leurs homologues européens.
La plateformisation accélère cette concentration. 77 % des fournisseurs interrogés proposent désormais une offre sous forme de plateforme, et 95 % des solutions identifiées sont déployées en mode SaaS ou hybride. Pour les organisations, cela se traduit par un arbitrage complexe : attendre qu’une plateforme mature couvre tous les segments, ou assembler un « best of breed » en attendant, une stratégie par défaut plus que par conviction.
Les irritants opérationnels sont bien identifiés. Les outils SAST génèrent trop de faux positifs. La remédiation des secrets détectés sur des applications legacy reste particulièrement douloureuse, tout comme les résultats SCA qui impliquent parfois une réécriture profonde du code. « Les fonctionnalités d’IA intégrées dans les solutions DevSecOps ne sont pas encore pleinement matures », note l’étude, alors que les attentes, notamment autour de la remédiation automatisée, sont très élevées. Les organisations interrogées réclament des LLM spécialisés en cybersécurité plutôt que des modèles génériques.
Du cadre réglementaire à l’obligation opérationnelle
Ce qui change la donne, c’est la densification du cadre réglementaire. CRA, NIS2, DORA, AI Act, Product Liability Directive : le DevSecOps évolue, selon l’ANSSI, « du statut de bonne pratique à celui d’obligation réglementaire ». Les organisations le confirment : si la majorité a initié sa démarche DevSecOps pour des raisons de sécurité avant tout, les réglementations accélèrent désormais les arbitrages budgétaires. Mais un problème d’interprétation subsiste, les textes restent formulés à haut niveau, laissant les équipes face à un écart difficile à combler entre les exigences et leur traduction opérationnelle.
L’ANSSI formule cinq orientations concrètes à destination de l’écosystème. La première concerne la structuration d’une offre européenne compétitive, via des consortiums susceptibles de répondre aux appels à projets Horizon Europe et Digital Europe. La deuxième porte sur l’intégration des exigences réglementaires dès la conception : security by design, SBOM, journalisation, durées de support explicites. Avec une mise en œuvre automatisée dans les chaînes CI/CD via SAST, DAST, SCA et gestion des secrets. La troisième s’adresse aux éditeurs : développer des modèles de diffusion adaptés aux TPE, PME et ETI, par exemple via des stratégies freemium. La quatrième appelle à structurer une approche MLSecOps intégrant nativement sécurité et conformité dans les pipelines IA. La cinquième, enfin, vise l’animation d’une communauté nationale DevSecOps associant acteurs publics, industriels et académiques.
MLSecOps : la prochaine frontière
L’intégration de l’IA dans les pipelines de développement ouvre un champ de risques que les outils actuels ne couvrent pas : génération de code vulnérable ou non maîtrisé, hallucination de dépendances, fuite de secrets via des prompts générés, dilution des responsabilités dans les processus de développement. Sans oublier les risques pesant sur les systèmes IA eux-mêmes ; empoisonnement des données, attaques adverses, extraction de modèles.
L’ANSSI encourage explicitement le développement d’une approche MLSecOps, « intégrant nativement les enjeux de sécurité et de conformité réglementaire, non seulement au niveau des modèles, mais également dans leurs usages opérationnels, notamment via des agents IA intégrés aux chaînes CI/CD ». Une piste de travail qui s’inscrit également dans le calendrier de l’AI Act, avec des capacités attendues d’auditabilité, de traçabilité et de documentation automatisées des modèles.
La cinquième orientation de l’ANSSI porte sur l’animation d’une communauté nationale DevSecOps, associant acteurs publics, industriels et académiques pour faire émerger des standards communs. L’étude est accompagnée de livrables directement opérationnels : scénarios d’attaque sur les pipelines CI/CD, analyse de risque générique, feuilles de route adaptées à différents niveaux de maturité organisationnelle. De quoi passer des intentions aux actes.
