Etude de marché : S-SDLC / DEVSECOPS

Quels sont les défis actuels et futurs du marché européen ?

L’amélioration des pratiques de développement logiciel, ainsi que l’intégration systématique de la sécurité au sein du cycle de vie du développement (Secure Software Development Life Cycle – S-SDLC), notamment dans les chaînes d’intégration et de déploiement continus (CI/CD), constituent aujourd’hui un enjeu majeur de cybersécurité. À ce titre, cette thématique a été identifiée par l’ANSSI comme prioritaire et inscrite dans son plan stratégique pour la période 2025-2027.

Dans un contexte marqué par une augmentation significative des risques liés au développement logiciel, de nouvelles menaces ciblant spécifiquement la chaîne d’approvisionnement logicielle (software supply chain) ont émergé, comme en témoignent les incidents majeurs tels que SolarWinds, Log4Shell ou encore Shai-Hulud. Parallèlement, l’hétérogénéité croissante des outils et composants intervenant dans les chaînes CI/CD, combinée aux évolutions réglementaires structurantes - notamment le Cyber Resilience Act (CRA), la directive NIS2 et le règlement DORA - complexifie l’analyse du marché du S-SDLC et des pratiques DevSecOps, tant du point de vue des offres que des besoins.

Dans ce contexte, l’ANSSI a conduit une étude visant à caractériser l’état du marché du S-SDLC et du DevSecOps à l’échelle européenne et d’identifier des leviers de politique industrielle pour contribuer à son évolution. Cette démarche repose sur une analyse approfondie des enjeux de sécurité, des risques associés et du cadre réglementaire applicable, ainsi que sur un panorama détaillé des acteurs du marché, incluant les prestataires, éditeurs et solutions spécialisées dans la sécurisation du cycle de développement logiciel. Elle s’appuie également sur l’identification des besoins opérationnels au travers d’échanges avec des organisations bénéficiaires de l’ANSSI, représentatives de différents secteurs et de tailles variées, tant publiques que privées.

Dans ce cadre, neuf bénéficiaires de l’ANSSI ainsi que treize éditeurs de solutions de sécurisation du développement logiciel ont été consultés afin d’alimenter l’analyse et de confronter les approches théoriques aux réalités opérationnelles du terrain.

L’étude propose en outre des orientations stratégiques destinées à favoriser l’adoption des bonnes pratiques de sécurité au sein du marché européen. Ces orientations couvrent les dimensions organisationnelles, méthodologiques et de gouvernance, et s’accompagnent de recommandations de haut niveau visant à structurer durablement les démarches DevSecOps. Elles intègrent également la montée en puissance des systèmes d’intelligence artificielle, qui impose l’émergence d’une approche dite « MLSecOps », visant à intégrer nativement les exigences de sécurité et de conformité réglementaire.

Enfin, le document est enrichi d’annexes à vocation opérationnelle, proposant des éléments directement réutilisables. Celles-ci incluent notamment un rappel structuré des principaux composants d’une chaîne CI/CD et des menaces auxquelles elle est exposée, une analyse de risques générique permettant d’identifier les vulnérabilités intrinsèques à ces environnements et de définir des mesures de sécurité adaptées, ainsi que des feuilles de route pragmatiques, différenciées selon le type d’organisation (start-up, PME ou grands groupes) afin d’accompagner efficacement les premières étapes de sécurisation des chaînes CI/CD.