Les vulnérabilités à haut risque ont augmenté de 36 % d’une année sur l’autre, tandis que la dette de sécurité critique a bondi de 20 %, signe d’une crise croissante en matière de sécurité logicielle

BURLINGTON, Massachusetts–(BUSINESS WIRE)–Veracode, l’un des leaders mondiaux de la gestion des risques liés aux applications, a publié aujourd’hui son rapport 2026 sur l’état de la sécurité logicielle, qui révèle un écart croissant entre la vitesse à laquelle les entreprises développent des logiciels et celle à laquelle elles peuvent les sécuriser. Le rapport révèle que 82 % des organisations ont désormais une dette de sécurité, soit une augmentation de 11 % par rapport à l’année précédente, et que 60 % d’entre elles ont une dette de sécurité qualifiée de « critique », c’est-à-dire des vulnérabilités accumulées suffisamment graves pour causer des dommages catastrophiques à une organisation si elles étaient exploitées. Le rapport recommande d’adopter une stratégie « Protéger, prioriser et prouver » afin de réduire de manière significative les risques en 2026 et au-delà.

Le rapport phare de Veracode, qui en est maintenant à sa 16^e e édition annuelle, a analysé 1,6 million d’applications uniques provenant d’entreprises, de fournisseurs de logiciels commerciaux, de sous-traitants de logiciels et de projets open source du monde entier.

Les conclusions de 2026 révèlent un décalage fondamental entre la vitesse de développement et la capacité de mise en œuvre corrective. Si les capacités de détection se sont améliorées, le nombre de vulnérabilités non résolues augmente plus rapidement que les équipes ne peuvent les éliminer. Cette tendance est exacerbée par une augmentation de 36 % d’une année sur l’autre des vulnérabilités à haut risque, classées comme des failles à la fois graves et hautement exploitables.

« La vitesse de développement des logiciels a explosé, ce qui signifie que le rythme de création des failles dépasse la capacité actuelle de mesure corrective », a indiqué Chris Wysopal, responsable de la sécurité chez Veracode. « Malgré une légère amélioration des taux de correction, la dette de sécurité devient un enjeu beaucoup plus important pour de nombreuses organisations. Maintenant que l’IA a porté la vitesse de développement des logiciels à un niveau sans précédent, les entreprises doivent s’assurer qu’elles font des choix délibérés et intelligents pour endiguer le flot de failles et minimiser leurs risques. »

Principaux enseignements du rapport 2026 sur l’état de la sécurité des logiciels

L’étude de cette année établit les principaux thèmes qui façonnent la maturité de la sécurité logicielle dans un monde où le développement axé sur l’IA, l’expansion des surfaces d’attaque et l’accélération des cycles de publication se heurtent à la capacité de mise en œuvre de mesures correctives.

• Le poids de la dette de sécurité critique s’intensifie : l’augmentation de 20 % d’une année sur l’autre de la dette de sécurité critique suggère que l’accumulation de vulnérabilités risquées datant de plus d’un an dépasse la capacité de mise en œuvre de mesures correctives, ce qui indique un besoin urgent de repenser la gestion des retards.
• Les vulnérabilités à haut risque exigent un nouveau type de hiérarchisation : l’augmentation relative de 36 % des failles classées comme « graves » et « hautement exploitables » exige un passage urgent d’une notation générique de la gravité à une hiérarchisation basée sur le potentiel d’attaque réel.
• La détection s’améliore modestement, mais pas la mesure corrective : bien que les organisations parviennent à détecter moins de failles et à améliorer les taux de détection, les données révèlent une difficulté persistante à mettre en place des mesures correctives suffisamment rapidement pour réduire la fenêtre d’exposition qui ne cesse de s’élargir.
• Les composants open source comportent des risques disproportionnés : les bibliothèques tierces et les dépendances open source représentent 66 % des vulnérabilités les plus dangereuses et les plus durables, ce qui rappelle que l’hygiène des tiers a encore un long chemin à parcourir malgré des signes d’amélioration.
• L’impact de l’IA : le développement de l’IA introduit à grande échelle de nouveaux modèles de vulnérabilité à haut risque, tandis que la mesure corrective alimentée par l’IA commence à offrir une voie crédible pour combler ces lacunes.

Conclusions et recommandations

Pour lutter contre ces risques, Veracode préconise de passer d’une simple détection à un cadre plus stratégique axé sur la hiérarchisation, la protection et la vérification. Cette approche permet aux organisations de hiérarchiser leurs « joyaux de la couronne », c’est-à-dire les systèmes et applications les plus précieux qui contiennent des données sensibles, fournissent des services essentiels ou ont un impact sur l’ensemble des opérations.

« Nous sommes à un tournant où il n’est plus viable de courir plus vite sur le tapis roulant de la gestion des vulnérabilités », a conclu M. Wysopal. « Pour réussir, il faut opérer un changement délibéré. Les équipes doivent hiérarchiser les 11,3 % de failles qui représentent un danger réel, protéger leurs actifs critiques grâce à des mesures correctives automatisées et prouver que leur posture de sécurité répond aux exigences rigoureuses de la conformité moderne. Il ne s’agit pas de tout réparer, mais de gérer la dette de sécurité en minimisant ses risques les plus importants. »

Le rapport annuel de Veracode sur l’état de la sécurité des logiciels est l’un des rapports les plus anciens et les plus exhaustifs du secteur sur le paysage de la gestion des risques liés aux applications.

Le rapport complet 2026 est disponible sur le site Web de Veracode. Participez au webinaire le 26 février à 11 h, heure de l’Est, pour écouter les auteurs du rapport de cette année et obtenir une analyse approfondie des principales conclusions.

À propos du rapport State of Software Security

Le rapport State of Software Security de Veracode s’appuie sur l’analyse d’applications testées à l’aide d’analyses statiques, d’analyses dynamiques, d’analyses de composition logicielle et/ou de tests de pénétration manuels via la plateforme cloud de Veracode. L’ensemble de données de cette année comprend 1,6 million d’applications uniques générant 141,3 millions de résultats bruts, dont 115,6 millions provenant de l’analyse statique, 22,1 millions de l’analyse de la composition logicielle et 3,6 millions de l’analyse dynamique. Ces données couvrent des sociétés de toutes tailles, des fournisseurs de logiciels commerciaux, des sous-traitants de logiciels et des projets open source dans le monde entier.

À propos de Veracode

Veracode est un leader mondial de la gestion des risques liés aux applications à l’ère de l’IA. S’appuyant sur des milliards de lignes de code analysées et un moteur exclusif de réparation assisté par IA, la plateforme Veracode est utilisée par des organisations du monde entier afin de concevoir et maintenir des logiciels sécurisés, de la création du code au déploiement cloud. Des milliers d’équipes de développement et de sécurité parmi les plus performantes au monde utilisent Veracode à chaque seconde, chaque jour, pour obtenir une visibilité précise et concrète des risques exploitables, corriger les vulnérabilités en temps réel et réduire leur dette de sécurité de manière adaptée. Veracode est une entreprise maintes fois primée qui offre des solutions pour sécuriser l’intégralité du cycle de vie du développement logiciel, notamment Veracode Fix, l’analyse statique, l’analyse dynamique, l’analyse de la composition logicielle, la sécurité des conteneurs, la gestion de la posture professionnelle de sécurité des applications, la détection des packages malveillants, le pare-feu de packages et les tests d’intrusion.

Pour en savoir plus, rendez-vous sur www.veracode.com, sur le blog Veracode, ainsi que sur LinkedIn et X.

Copyright © 2026 Veracode, Inc. Tous droits réservés. Veracode est une marque déposée de Veracode, Inc. aux États-Unis et peut être déposée dans certaines autres juridictions. Tous les autres noms de produits, marques ou logos appartiennent à leurs propriétaires respectifs. Toutes les autres marques commerciales citées dans le présent document sont la propriété de leurs propriétaires respectifs.

Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.

Contacts

Contact avec les médias
Katy Gwilliam

Responsable de la communication mondiale, Veracode

kgwilliam@veracode.com