MtoM Mag - Le journal de l'MtoM.

Le rapport « State of the Union » 2026 révèle une hausse de 451 % des paquets npm malveillants, ainsi qu’une utilisation croissante des outils de développement IA à des fins malveillantes, soulignant le besoin urgent d’une gouvernance automatisée.

La France présente le plus grand déficit en matière de sécurité de l’IA en Europe : près de deux organisations françaises sur cinq ne disposent d’aucun contrôle sur les données d’entrée et de sortie de l’IA.

JFrog Ltd (Nasdaq : FROG), The Liquid Software company et créatrice de la JFrog Software Supply Chain Platform, le système d’enregistrement des artefacts logiciels, des binaires et des actifs d’IA, et les ressources d’IA fiables, annonce aujourd’hui les conclusions de son rapport « The JFrog 2026 Software Supply Chain Security State of the Union ». Le rapport de cette année révèle une accélération sans précédent des risques liés aux logiciels d’entreprise, les acteurs malveillants étendant leurs attaques au-delà des registres de paquets traditionnels pour cibler les registres de modèles d’IA et les outils de développement, créant ainsi un angle mort dans les cadres actuels de gouvernance logicielle.

« Toutes les entreprises de la planète intègrent désormais l’IA dans leur chaîne logistique logicielle. Ce rapport montre que les pirates ont pris les devants – non pas en contournant les défenses, mais en corrompant les outils, les modèles et les registres auxquels les développeurs font le plus confiance », a déclaré Shlomi Ben Haim, CEO et cofondateur de JFrog. « L’ère du « scan and hope » (analyser et espérer) est révolue. Les organisations ont besoin d’une source unique de vérité qui régisse chaque fichier binaire, chaque modèle et chaque compétence d’agent IA, depuis le moment où ils entrent dans le pipeline jusqu’à leur mise en production. C’est précisément pour cela que JFrog a été créé. »

Alors que l’IA passe du stade expérimental à celui d’une force structurelle qui redéfinit la chaîne d’approvisionnement logicielle, les entreprises constatent un écart croissant entre le niveau de confiance déclaré en matière de sécurité et les risques qui s’accumulent au sein de leur infrastructure. S’appuyant sur les données télémétriques issues de 18,2 milliards d’artefacts gérés sur la plateforme JFrog (soit une hausse de 136 % par rapport à l’année précédente), sur les recherches originales menées par l’équipe de recherche en sécurité de JFrog et sur une enquête mondiale menée auprès de 1 508 professionnels de la sécurité et du DevOps, ce rapport met en lumière ce qu’il appelle « l’illusion de la maîtrise », c’est-à-dire le fossé grandissant entre la perception de la sécurité et la réalité des risques croissants pesant sur la chaîne d’approvisionnement.

Parmi les principales conclusions globales, on peut citer :

 Les paquets malveillants atteignent un niveau record : les paquets npm malveillants ont bondi de 451 % d’une année sur l’autre, avec 177 000 nouveaux paquets malveillants détectés dans les registres en 2025. Les attaquants exploitent la confiance à grande échelle : la campagne « Qix » n’a utilisé que 25 paquets pour compromettre plus de 2,5 millions de téléchargements.

 Les compétences des agents IA apparaissent comme une nouvelle surface d’attaque : pour la première fois, JFrog a suivi les compétences malveillantes des agents IA – identifiant 969 d’entre elles transportant des charges utiles à fort impact, ainsi que 495 modèles IA malveillants sur Hugging Face et 56 extensions malveillantes sur OpenVSX. Les attaquants ne ciblent plus seulement le code ; ils ciblent les outils autonomes qui l’écrivent, le révisent et le déploient.

 Sounds off, les vulnérabilités se multiplient et les scores de gravité sont trompeurs : plus de 48 000 nouvelles CVE ont été divulguées en 2025, soit une augmentation de 20 % par rapport à l’année précédente, en partie due au code généré par l’IA qui réintroduit des failles vieilles de plusieurs décennies, comme l’injection (CWE-74), dont le nombre a augmenté de 3 110 %. Pourtant, l’équipe de recherche en sécurité de JFrog a constaté que 66 % des CVE analysées avaient une applicabilité minimale dans le monde réel – ce qui signifie que le tri basé sur le volume submerge principalement les équipes de sécurité de bruit, et non de signaux.

 Les équipes de sécurité supportent le coût humain de l’IA : l’IA n’a pas éliminé le travail de sécurité — elle a simplement déplacé la charge de travail de l’écriture du code vers sa validation. 45 % des personnes interrogées déclarent que la révision et le renforcement du code généré par l’IA constituent désormais une perte de temps considérable, une catégorie qui n’existait pas dans l’enquête de l’année dernière.

 Les menaces qui connaissent la croissance la plus rapide sont les moins bien défendues : seules 40 % des organisations ont adopté la détection des paquets malveillants et la détection des secrets n’est active que dans 28 % des cas. Les catégories qui connaissent la croissance la plus rapide en termes de volume de menaces restent les moins couvertes par les outils existants.

 Le déficit de gouvernance en matière d’IA : 97 % des organisations affirment disposer d’une gouvernance certifiée des modèles – pourtant, 53 % hébergent en interne des modèles provenant de sources où des charges utiles malveillantes ont été détectées, et 18 % n’exercent aucun contrôle sur leurs extensions IDE ou leurs serveurs MCP (Model Context Protocol) présents dans les environnements de leurs développeurs. Ainsi, le fossé entre la confiance déclarée des dirigeants et le contrôle réel se creuse à mesure que le développement de l’IA s’accélère.

Parmi les principales conclusions concernant la France (l’une des pires élèves en Europe), on peut citer :

 Seules 58,4 % des entreprises françaises vérifient les données d’entrée et les résultats de l’IA, ce qui représente le taux le plus bas d’Europe (68,8 % en Europe) et un écart de près de 20 points de pourcentage par rapport à la moyenne mondiale de 77,9 %.
 Seules 30,4 % utilisent des outils automatisés d’analyse des paquets logiciels opensource (OSS) – le taux le plus bas d’Europe (40,1 % en Europe, 47 % au niveau mondial).
 Seules 23,2 % ont déployé un système de gestion de la posture de sécurité des applications (ASPM) – contre 39,0 % en Europe et 42,9 % dans le monde.
 Seules 21,6 % utilisent la détection active des secrets – le taux le plus bas d’Europe (23,9 % en Europe et 27,9 % dans le monde).
 Et seules 35,2 % utilisent la détection automatisée des « shadow AI » – le taux le plus bas d’Europe (monde : 50,5 %)

Analyse des chiffres français

La France a connu l’une des évolutions les plus singulières au sein de l’ensemble des données mondiales. En 2024, 72 % des entreprises françaises utilisaient sept langages de programmation ou plus. En 2025, ce chiffre était tombé à 30 % – ce qui représente la plus forte baisse en une seule année parmi tous les pays et toutes les années couvertes par l’enquête. Une consolidation des piles technologiques d’une telle ampleur, probablement motivée par la pression liée à la mise en conformité avec la loi européenne sur la cyber-résilience, devrait réduire la complexité de la chaîne d’approvisionnement et la surface d’attaque, mais aussi concentrer les risques.

Pour chaque indicateur de sécurité automatisée, la France se situe en dessous de ses homologues européens et de la référence mondiale.

Cette combinaison crée un profil de risque spécifique : moins d’éléments mobiles, mais une protection moins automatisée de ceux-ci. La conformité aux exigences de l’UE en matière de CRA est le moteur du premier aspect. Elle n’a pas encore été le moteur du second.

« Le secteur évolue avec un faux sentiment de sécurité. Les vulnérabilités sont de plus en plus nombreuses, mais la véritable menace réside dans le fait que des acteurs malveillants détournent nos pipelines CI/CD et nos outils de développement avant même que le code n’existe », explique Shachar Menashe, vice-président de JFrog Security Research. « Passer à une gouvernance automatisée et intégrée à la plateforme n’est plus une option : c’est le seul moyen de sécuriser les systèmes intelligents qui créent, valident et distribuent les logiciels d’aujourd’hui. »

« L’IA n’a pas seulement transformé la manière dont les logiciels sont écrits ; elle a également modifié la nature même du risque, qui ne réside plus dans des fichiers statiques, mais dans des systèmes agissant de manière autonome. Les pirates détournent déjà les systèmes intelligents qui créent nos logiciels avant même qu’une seule ligne de code n’existe », déclare Yoav Landman, CTO et cofondateur de JFrog. « Pour survivre, les entreprises doivent mettre en place une gouvernance automatisée et intégrée à la plateforme, capable de sécuriser à la fois le code qu’elles écrivent et les outils autonomes qui agissent en leur nom. »

Pour découvrir l’intégralité des conclusions du rapport de cette année et savoir comment votre organisation peut combler le déficit de gouvernance en matière d’IA, téléchargez le rapport JFrog 2026 Software Supply Chain Security State of the Union. Vous pouvez également consulter notre blog et vous inscrire pour rejoindre les experts en sécurité et en développement de JFrog lors d’un prochain webinaire “The Illusion of Mastery : Bridging the AI Governance Gap in 2026” détaillant les défis, les menaces et les mesures nécessaires pour sécuriser votre chaîne logistique logicielle à l’ère de l’IA.