Le paysage des outils DevSecOps compte en 2026 plus de 200 solutions commerciales et open-source actives, réparties en dix catégories fonctionnelles : SAST, DAST, SCA, secrets scanning, IaC security, container security, Kubernetes security runtime et policy, supply chain security et signing, vulnerability management, CSPM et CNAPP. La stack gagnante n'est pas « la plus complète » mais celle qui matche la maturité de l'équipe, la taille de la codebase et le risque business. Cet article détaille les catégories d'outils à connaître, les leaders open-source et commerciaux par catégorie, trois stacks type (minimale, intermédiaire, avancée) selon maturité, un exemple d'intégration CI/CD et les pièges courants lors du déploiement.
Les dix catégories d'outils DevSecOps en 2026
Un programme DevSecOps couvre tout le cycle de vie applicatif, du code au runtime en production. Chaque phase a ses outils spécialisés.
| Catégorie | Objectif | Phase SDLC |
|---|---|---|
| SAST | Analyse statique du code source | Commit / PR / Build |
| DAST | Analyse dynamique de l'application en exécution | Staging / Pré-prod |
| SCA + SBOM | Analyse des dépendances tierces | Build / Continu |
| Secrets scanning | Détection de secrets en clair | Commit / Pre-commit |
| IaC security | Analyse des configurations Terraform, CloudFormation, K8s | Commit / PR |
| Container security | Scan images et conteneurs | Build / Registry / Runtime |
| Kubernetes security | Policy + runtime sur cluster | Déploiement / Runtime |
| Supply chain + signing | Vérifier intégrité artefacts | Build / Deploy |
| Vulnerability management | Orchestration findings tous outils | Transverse |
| CSPM / CNAPP | Posture cloud multi-comptes | Runtime cloud |
1. SAST — Static Application Security Testing
Analyse le code source ou le bytecode pour détecter les vulnérabilités connues sans exécuter l'application.
| Outil | Type | Force principale |
|---|---|---|
| Semgrep | Open-source + Pro | Règles YAML lisibles, rapide, large communauté |
| SonarQube Community | Open-source | Dette technique + sécurité, intégration CI universelle |
| GitHub CodeQL | Gratuit repos publics | Intégration native GitHub, très puissant |
| Snyk Code | Commercial | IA assistée, autofix, UX développeur |
| Checkmarx One | Commercial | Couverture large langages, grands comptes |
| Fortify (Micro Focus) | Commercial | Historique, gouvernement, finance |
| Veracode | Commercial | Plateforme intégrée SAST + DAST + SCA |
Recommandation 2026 : démarrer avec Semgrep (open-source, règles communauté de qualité, moins de faux positifs que les SAST classiques). Migrer vers Snyk Code ou Checkmarx au-delà de 100 développeurs si reporting exécutif et intégration Jira sont requis.
2. DAST — Dynamic Application Security Testing
Teste l'application en exécution contre des vulnérabilités exploitables via requêtes HTTP.
| Outil | Type | Usage principal |
|---|---|---|
| OWASP ZAP | Open-source | CI sur staging, pentest assisté |
| Nuclei | Open-source | Scan CVE-based via templates communautaires |
| Burp Suite Pro | Commercial | Pentest manuel, Scanner professionnel |
| Invicti (ex-Netsparker) | Commercial | Scan automatisé haut-volume |
| Acunetix | Commercial | UX simple, mid-market |
| StackHawk | Commercial | DAST moderne natif CI |
Recommandation 2026 : OWASP ZAP pour CI staging (gratuit, extension active). Nuclei pour scan CVE ciblé très rapide. Burp Suite Pro pour pentest manuel complémentaire. StackHawk si budget et CI-first culture.
3. SCA et SBOM — Software Composition Analysis
Identifie les dépendances tierces (librairies open-source, paquets, modules) et corrèle avec les bases CVE.
| Outil | Type | Force |
|---|---|---|
| Trivy | Open-source (Aqua) | Couvre SCA + container + IaC + SBOM |
| OWASP Dependency-Check | Open-source | Historique solide, Java-centric |
| Grype | Open-source (Anchore) | Rapide, intégration Syft pour SBOM |
| Syft | Open-source (Anchore) | Génération SBOM (CycloneDX, SPDX) |
| Snyk Open Source | Commercial | IDE + CI, priorisation exploitability |
| Black Duck | Commercial | Compliance + licensing avancé |
| JFrog Xray | Commercial | Natif Artifactory |
| Mend (WhiteSource) | Commercial | Remédiation auto via PR |
| FOSSA | Commercial | Focus licensing open-source |
Recommandation 2026 : Trivy en baseline (couvre 4 catégories simultanément, vraiment excellent). Snyk Open Source pour priorisation basée sur exploitability et intégration IDE. Syft pour génération SBOM conforme CycloneDX en prévision du CRA européen.
4. Secrets scanning
Détecte les clés API, tokens, mots de passe et certificats exposés en clair dans le code, les commits historiques et les fichiers de configuration.
| Outil | Type | Usage |
|---|---|---|
| gitleaks | Open-source | Scan pre-commit + CI, très rapide |
| trufflehog | Open-source | Scan approfondi avec vérification secrets valides |
| detect-secrets | Open-source | Yelp, baseline-based |
| GitHub secret scanning | Gratuit | Repos publics et GitHub Advanced Security |
| GitGuardian | Commercial | Plateforme complète, remédiation guidée |
Recommandation 2026 : gitleaks en pre-commit hook et CI systematic. GitHub secret scanning activé si repos sur GitHub. GitGuardian pour grandes équipes ayant besoin de dashboards et workflow de remédiation.
5. IaC security — Infrastructure as Code
Analyse les configurations d'infrastructure (Terraform, CloudFormation, Kubernetes manifests, Ansible, Helm) contre des règles de sécurité.
| Outil | Type | Couverture |
|---|---|---|
| Checkov | Open-source (Bridgecrew / Palo Alto) | Terraform, CloudFormation, K8s, Helm, Dockerfile |
| tfsec | Open-source (maintenant Trivy config) | Terraform |
| Trivy config | Open-source | Unification Aqua : Terraform, K8s, Docker |
| KICS | Open-source (Checkmarx) | Multi-IaC |
| Terrascan | Open-source | Multi-cloud, multi-IaC |
| cfn-nag | Open-source | CloudFormation spécifique |
| Snyk IaC | Commercial | IDE + CI, auto-remediation |
| HashiCorp Sentinel | Commercial | Policy-as-code Terraform Cloud |
Recommandation 2026 : Checkov ou Trivy config pour couverture multi-IaC. tfsec est désormais intégré à Trivy. HashiCorp Sentinel si Terraform Cloud Enterprise utilisé.
6. Container security
Analyse les images container au build, dans le registry et à l'exécution.
| Outil | Type | Focus |
|---|---|---|
| Trivy | Open-source | Scan images, vulnérabilités OS + app + misconfig |
| Grype | Open-source | Vulnérabilités images, rapide |
| Clair | Open-source | Vulnérabilités, intégration registries |
| Dive | Open-source | Analyse layers optimisation + sécurité |
| Docker Scout | Gratuit + payant | Natif Docker Desktop |
| Snyk Container | Commercial | Priorisation exploitability |
| Aqua Trivy Enterprise | Commercial | Runtime + policy + CNAPP |
| Prisma Cloud Container | Commercial | CNAPP complet |
| Sysdig Secure | Commercial | Runtime eBPF + compliance |
Recommandation 2026 : Trivy au build pour scan images (gratuit, excellent, standard de fait). Sysdig Secure ou Aqua Enterprise pour runtime container en production.
7. Kubernetes security — Policy et runtime
La sécurité Kubernetes combine deux approches complémentaires : policy as code (prévention au déploiement) et runtime detection (détection comportementale en exécution).
Policy as Code (admission control)
| Outil | Type | Moteur |
|---|---|---|
| OPA / Gatekeeper | Open-source CNCF | Rego language |
| Kyverno | Open-source CNCF | YAML natif Kubernetes |
| Polaris | Open-source | Checks best practices |
| Kubewarden | Open-source CNCF | WebAssembly policies |
| ValidatingAdmissionPolicy | Natif K8s 1.30+ | CEL language |
Recommandation 2026 : Kyverno pour équipes qui veulent écrire des policies en YAML natif Kubernetes (courbe d'entrée faible). OPA/Gatekeeper pour équipes ayant déjà OPA en usage général (policies multi-systèmes).
Runtime detection
| Outil | Type | Technologie |
|---|---|---|
| Falco | Open-source CNCF | eBPF, rules YAML |
| Tetragon | Open-source (Isovalent) | eBPF, Cilium ecosystem |
| Tracee | Open-source (Aqua) | eBPF |
| Sysdig Secure | Commercial | Falco + reporting |
| Aqua Runtime | Commercial | Workloads complets |
Network policy
| Outil | Type | Spécificité |
|---|---|---|
| Cilium | Open-source CNCF | eBPF, L3-L7 policy, observabilité Hubble |
| Calico | Open-source | Plus mature, plus simple |
| NetworkPolicy natif K8s | Natif | Baseline L3-L4 |
Recommandation 2026 : Falco + Cilium pour une stack Kubernetes runtime + network ouverte et complète. Sysdig Secure pour dashboards et compliance CIS si budget.
8. Supply chain security et signing
Enjeu critique depuis 2020 (SolarWinds, Log4Shell, Codecov, xz-utils backdoor en mars 2024).
| Outil | Type | Rôle |
|---|---|---|
| Cosign (SigStore) | Open-source OpenSSF | Signature images + artefacts, keyless OIDC |
| Fulcio (SigStore) | Open-source OpenSSF | CA éphémère pour keyless signing |
| Rekor (SigStore) | Open-source OpenSSF | Transparency log immuable |
| Syft (Anchore) | Open-source | Génération SBOM CycloneDX / SPDX |
| in-toto | Open-source | Attestations provenance build |
| SLSA framework | Spec OpenSSF | Niveaux 1-4 provenance artefacts |
| Notary v2 / Notation | Open-source | Alternative OCI signing |
| Chainguard Images | Commercial | Images distroless signées par défaut |
Recommandation 2026 : Cosign + Syft en baseline. Signature via GitHub Actions OIDC keyless (gratuit). Cible SLSA niveau 2 à 3 selon maturité. Anticipation du CRA européen applicable 2027.
9. Vulnerability management et orchestration
Une fois les outils déployés, agréger, dédupliquer, prioriser et suivre les findings.
| Outil | Type | Caractéristique |
|---|---|---|
| DefectDojo | Open-source OWASP | Plus utilisé open-source, large intégrations |
| OWASP Dependency-Track | Open-source OWASP | SBOM-centric, très actif |
| ThreadFix | Commercial / open-source | Historique |
| Snyk Apps | Commercial | Native Snyk ecosystem |
| Arnica | Commercial | Moderne, développeur-centric |
| Apiiro | Commercial | ASPM (Application Security Posture Management) |
| Cycode | Commercial | Platform ASPM |
| OX Security | Commercial | ASPM + supply chain |
La catégorie ASPM (Application Security Posture Management) est émergente depuis 2023 : orchestration native multi-outils, corrélation par asset (repo, service, environment), priorisation basée sur contexte métier (exposition, données, business value). Leaders 2026 : Apiiro, Cycode, OX Security, ArmorCode, Legit Security, Phoenix Security.
Recommandation 2026 : DefectDojo en démarrage open-source. Dependency-Track complémentaire si focus SBOM. Migration vers ASPM commercial (Apiiro, Cycode, OX) au-delà de 10 outils DevSecOps déployés.
10. CSPM et CNAPP — Cloud Security Posture
Pour les architectures cloud, la sécurité des configurations multi-comptes et la protection des workloads dépassent le périmètre DevSecOps pur mais s'y rattachent.
| Outil | Type | Catégorie |
|---|---|---|
| Prowler | Open-source | CSPM AWS / GCP / Azure |
| CloudSploit | Open-source | CSPM multi-cloud |
| ScoutSuite | Open-source NCC Group | Audit multi-cloud |
| Kube-bench | Open-source (Aqua) | CIS Benchmark Kubernetes |
| AWS Security Hub | AWS natif | CSPM AWS |
| Microsoft Defender for Cloud | Azure natif | CSPM + CWPP Azure (et multi-cloud) |
| Wiz | Commercial | Leader CNAPP 2024-2026 |
| Orca Security | Commercial | CNAPP agentless |
| Lacework | Commercial | CNAPP |
| Prisma Cloud (Palo Alto) | Commercial | CNAPP suite complète |
| CrowdStrike Falcon Cloud | Commercial | CNAPP + runtime EDR |
| Sysdig Secure | Commercial | CNAPP centré Kubernetes |
Recommandation 2026 : Prowler et Kube-bench pour démarrer gratuit. Microsoft Defender for Cloud ou AWS Security Hub si cloud mono-fournisseur. Wiz ou Orca pour CNAPP consolidé multi-cloud (budget 50-200 k€/an typique).
Exemple d'intégration CI/CD
Un pipeline GitHub Actions type combinant SAST, SCA, secrets, IaC et container scanning sur chaque PR.
name: DevSecOps Pipeline
on:
pull_request:
branches: [main]
jobs:
security-checks:
runs-on: ubuntu-latest
permissions:
id-token: write
contents: read
security-events: write
steps:
- name: Checkout code
uses: actions/checkout@v4
with:
fetch-depth: 0
- name: Secrets scan with gitleaks
uses: gitleaks/gitleaks-action@v2
env:
GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
- name: SAST with Semgrep
uses: semgrep/semgrep-action@v1
with:
config: p/ci p/owasp-top-ten p/security-audit
- name: SCA with Trivy (dependencies)
uses: aquasecurity/trivy-action@0.24.0
with:
scan-type: fs
scanners: vuln,secret,license
severity: CRITICAL,HIGH
exit-code: 1
- name: IaC with Checkov
uses: bridgecrewio/checkov-action@master
with:
directory: terraform/
framework: terraform
soft_fail: false
- name: Container scan with Trivy
uses: aquasecurity/trivy-action@0.24.0
with:
image-ref: my-app:${{ github.sha }}
severity: CRITICAL,HIGH
exit-code: 1
- name: Sign container image with Cosign (keyless)
uses: sigstore/cosign-installer@v3
if: github.event_name != 'pull_request'
- name: Upload SARIF to GitHub Security
uses: github/codeql-action/upload-sarif@v3
if: always()
with:
sarif_file: trivy-results.sarif
- name: Aggregate findings in DefectDojo
run: |
curl -sS -X POST \
-H "Authorization: Token ${{ secrets.DEFECTDOJO_TOKEN }}" \
-F "file=@trivy-results.json" \
-F "scan_type=Trivy Scan" \
-F "engagement=${{ env.DEFECTDOJO_ENGAGEMENT }}" \
https://defectdojo.internal/api/v2/import-scan/Comment assembler sa stack selon la maturité
Trois stacks types émergent selon le niveau de maturité du programme DevSecOps.
Stack minimale (niveau 1, budget limité, moins de 50 développeurs)
| Catégorie | Outil |
|---|---|
| SAST | Semgrep open-source |
| SCA | Trivy (couvre SCA + container + IaC) |
| Secrets | gitleaks |
| IaC | Inclus dans Trivy |
| Container | Inclus dans Trivy |
| Orchestration | DefectDojo |
Budget licences : 0 €. Effort déploiement : 3-4 semaines. Effort maintenance : 10-15 % d'un ETP.
Stack intermédiaire (niveau 2, 50-200 développeurs)
| Catégorie | Outil |
|---|---|
| SAST | Semgrep Pro ou Snyk Code |
| SCA | Snyk Open Source (priorisation exploitability) |
| Secrets | gitleaks + GitGuardian dashboards |
| IaC | Checkov ou Snyk IaC |
| Container | Trivy + Snyk Container |
| K8s policy | Kyverno |
| K8s runtime | Falco |
| Supply chain | Cosign + Syft |
| Orchestration | DefectDojo + Dependency-Track |
| CSPM | Prowler ou Microsoft Defender for Cloud |
Budget licences : 30-80 k€/an. Effort déploiement : 3-6 mois. Effort maintenance : 1 ETP DevSecOps.
Stack avancée (niveau 3, 200+ développeurs, entreprise régulée)
| Catégorie | Outil |
|---|---|
| SAST | Checkmarx One ou Veracode |
| SCA | Black Duck ou JFrog Xray |
| Secrets | GitGuardian |
| IaC | Snyk IaC + HashiCorp Sentinel |
| Container | Aqua Enterprise ou Prisma Cloud |
| K8s | Sysdig Secure ou Prisma Cloud |
| Supply chain | SigStore Enterprise + SLSA 3 |
| Orchestration ASPM | Apiiro ou Cycode ou OX Security |
| CNAPP | Wiz ou Orca ou Prisma Cloud |
| IAST | Contrast Security |
Budget licences : 200-800 k€/an. Effort déploiement : 6-18 mois. Effort maintenance : 3-10 ETP DevSecOps selon taille.
Pièges et erreurs courantes
Empiler sans dédupliquer. Installer Semgrep + SonarQube + Checkmarx + Snyk Code couvre 4 fois les mêmes CWE avec 4 licences. Consolider sur 1-2 SAST selon volume de langages.
Configurer tout en bloquant dès le jour 1. Produit un contournement massif par les équipes dev. Le pattern gagnant : 3-6 mois en informationnel, puis bloquant graduel sur les findings introduits par PR, pas sur la dette existante.
Négliger l'orchestration et le dashboard. Un outil sans consolidation des findings produit 500-5 000 alertes par semaine ignorées. DefectDojo ou ASPM dès le 2e outil déployé.
Oublier le tuning des règles. Les règles SAST par défaut produisent 30-50 % de faux positifs. Le tuning (suppression des règles non pertinentes, ajout de règles custom, exclusion de chemins de test) réduit à 5-10 %. Compter 20-30 % du temps DevSecOps sur le tuning la première année.
Penser que les outils remplacent la formation. Les outils détectent les patterns connus. Les développeurs sensibilisés détectent les contextes. Sous-investir dans la formation au profit des licences est l'erreur DevSecOps la plus fréquente.
Ne pas monitorer l'utilisation. Un SAST acheté et jamais lu en PR est une licence perdue. Suivre mensuellement : nombre de findings remédiés vs introduits, délai moyen de remédiation, taux de couverture des repos actifs.
Confondre détection et remédiation. Détecter 10 000 vulnérabilités sans processus de remédiation augmente la dette. Priorisation (critique/exploitable/exposée) + SLA clairs + automation des PR de correction (Dependabot, Renovate, Snyk auto-fix).
Points clés à retenir
- 10 catégories d'outils : SAST, DAST, SCA + SBOM, secrets, IaC, container, Kubernetes, supply chain, vulnerability management, CSPM/CNAPP.
- Stack open-source gratuite couvre 80 % des besoins de base en 2026 : Semgrep, Trivy, gitleaks, Checkov, OWASP ZAP, Falco, Kyverno, Cosign, Syft, DefectDojo.
- Trivy est le meilleur premier investissement : couvre SCA + container + IaC + SBOM en un seul outil gratuit.
- Approche progressive : informationnel (3-6 mois) → bloquant sur nouveaux findings (mois 6-12) → bloquant étendu (an 1+). Jamais en tout-bloquant dès J1.
- Orchestration (DefectDojo ou ASPM) dès le 2e outil pour éviter l'explosion d'alertes non traitées.
- Supply chain devient critique : Cosign + Syft + SLSA en anticipation du CRA européen 2027.
- CNAPP (Wiz, Orca, Prisma Cloud) consolide 4-6 outils en plateforme unique, utile au-delà de 200 développeurs multi-cloud.
- Tuning et formation consomment plus que l'acquisition sur la durée. Budget 20-30 % du temps DevSecOps sur tuning, 5-10 % du budget licences sur formation développeurs.
Pour aller plus loin
- Roadmap DevSecOps 2026 — parcours d'apprentissage pour maîtriser ces outils dans une trajectoire carrière.
- SAST vs DAST : différences, complémentarité, choix — zoom sur les deux catégories d'outils de test les plus importantes.
- Roadmap Cloud Security 2026 — extension vers la stack CSPM/CNAPP dominante.
- Secure coding : définition, principes et référentiels 2026 — principes que les outils ne couvrent pas, complément humain indispensable.
- Devenir DevSecOps sans expérience — pillar de la catégorie, point d'entrée global.
