{"id":169435,"date":"2026-07-02T09:55:12","date_gmt":"2026-07-02T07:55:12","guid":{"rendered":"https:\/\/jfrog.com\/blog\/lecart-de-gouvernance-entre-vos-politiques-et-votre-pipeline\/"},"modified":"2026-07-02T10:32:15","modified_gmt":"2026-07-02T08:32:15","slug":"the-ai-governance-gap-2026-software-supply-chain-report","status":"publish","type":"post","link":"https:\/\/jfrog.com\/fr\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/","title":{"rendered":"L\u2019\u00e9cart de gouvernance entre vos politiques et votre pipeline"},"content":{"rendered":"<p><img decoding=\"async\" class=\"aligncenter wp-image-167080 size-full\" src=\"https:\/\/media.jfrog.com\/wp-content\/uploads\/2026\/05\/20150232\/03-Blog-inner-main-img-863X300.png\" alt=\"\" width=\"863\" height=\"300\" srcset=\"https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2026\/05\/20150232\/03-Blog-inner-main-img-863X300.png?speedsize=w_863 863w, https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2026\/05\/20150232\/03-Blog-inner-main-img-863X300.png?speedsize=w_300 300w, https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2026\/05\/20150232\/03-Blog-inner-main-img-863X300.png?speedsize=w_768 768w\" sizes=\"(max-width: 863px) 100vw, 863px\" \/><\/p>\n<p>Les \u00e9quipes de s\u00e9curit\u00e9 subissent plus de pression que jamais, et la plupart d\u2019entre elles pensent tenir le rythme. Or cette confiance pourrait bien \u00eatre l\u2019enseignement le plus r\u00e9v\u00e9lateur du <a href=\"https:\/\/jfrog.com\/fr\/software-supply-chain-state-of-union\/\">rapport JFrog \u00c9tat des lieux de la s\u00e9curit\u00e9 de la cha\u00eene d\u2019approvisionnement logicielle 2026<\/a>.<\/p>\n<p>Sur 18,2\u00a0milliards d\u2019artefacts analys\u00e9s, les travaux ind\u00e9pendants de recherche sur les vuln\u00e9rabilit\u00e9s men\u00e9s par l\u2019\u00e9quipe de recherche en s\u00e9curit\u00e9 de JFrog, ainsi qu\u2019une enqu\u00eate r\u00e9alis\u00e9e aupr\u00e8s de 1\u00a0508\u00a0professionnels dans huit pays, font ressortir un m\u00eame sch\u00e9ma, encore et encore\u00a0: <strong>les organisations d\u00e9clarent syst\u00e9matiquement des postures de s\u00e9curit\u00e9 plus solides que ce que leur couverture r\u00e9elle permet de justifier. Nous appelons cela l\u2019illusion de ma\u00eetrise.<\/strong> Le comprendre est la premi\u00e8re \u00e9tape pour combler le foss\u00e9.<\/p>\n\n    <a class=\"button button-primary\"  href=\"\" target=\"_self\">\n    <span>T\u00e9l\u00e9charger le rapport<\/span>\n    <\/a>\n    \n<h2>Qu\u2019est-ce que l\u2019\u00e9cart de gouvernance de l\u2019IA\u00a0?<\/h2>\n<p>Le foss\u00e9 en mati\u00e8re de gouvernance de l\u2019IA n\u2019est pas de la n\u00e9gligence. Ce n\u2019est pas non plus de l\u2019ignorance. Il s\u2019agit de quelque chose de plus insidieux\u00a0: c\u2019est ce qui se produit lorsque la confiance dans la gouvernance d\u00e9passe son application effective, lorsque les investissements en s\u00e9curit\u00e9 s\u2019accumulent aux mauvais niveaux, et lorsque les personnes qui utilisent les outils et celles qui les ach\u00e8tent d\u00e9crivent la m\u00eame organisation en des termes fondamentalement diff\u00e9rents.<\/p>\n<p>Voici un exemple tir\u00e9 des donn\u00e9es de cette ann\u00e9e : <strong>97\u00a0% des organisations d\u00e9clarent disposer d\u2019une gouvernance certifi\u00e9e des mod\u00e8les d\u2019IA. L\u2019\u00e9quipe de recherche en s\u00e9curit\u00e9 de JFrog a identifi\u00e9 495\u00a0mod\u00e8les malveillants sur Hugging Face uniquement, ce m\u00eame registre dans lequel pr\u00e8s d\u2019une organisation sur cinq puise activement.<\/strong> Une liste certifi\u00e9e qui n\u2019est pas analys\u00e9e pour d\u00e9tecter les charges utiles malveillantes n\u2019est pas un contr\u00f4le de s\u00e9curit\u00e9\u00a0: ce n\u2019est qu\u2019une liste de noms. La confiance est r\u00e9elle. Il en va de m\u00eame pour l\u2019exposition. La distance entre les deux, c\u2019est le risque.<\/p>\n<p>Ce sch\u00e9ma se r\u00e9p\u00e8te dans l\u2019ensemble du rapport. On le retrouve dans la g\u00e9n\u00e9ration de preuves de conformit\u00e9, dans l\u2019adoption de la d\u00e9tection des secrets, ainsi que dans la mani\u00e8re dont les organisations gouvernent les extensions d\u2019IDE et les serveurs MCP que leurs d\u00e9veloppeurs utilisent au quotidien. Le rapport 2026 de JFrog sur la s\u00e9curit\u00e9 de la cha\u00eene d\u2019approvisionnement logicielle indique pr\u00e9cis\u00e9ment o\u00f9 se situent ces \u00e9carts et, surtout, explique pourquoi ils persistent.<\/p>\n<h2>Pourquoi l\u2019\u00e9cart est plus grand que vous ne le pensez<\/h2>\n<p>Le foss\u00e9 entre le niveau de confiance rapport\u00e9 et la couverture r\u00e9elle n\u2019est pas r\u00e9parti uniform\u00e9ment. Ils se concentrent dans trois domaines sp\u00e9cifiques que le rapport 2026 examine en profondeur.<\/p>\n<p><strong>Les outils n\u2019ont pas suivi l\u2019\u00e9volution de la pile.<\/strong> Pour la premi\u00e8re fois dans l\u2019histoire de ce rapport, npm a d\u00e9pass\u00e9 Maven pour devenir l\u2019\u00e9cosyst\u00e8me de packages le plus utilis\u00e9 en volume de requ\u00eates. PyPI a d\u00e9pass\u00e9 YUM. Dans le m\u00eame temps, Hugging Face a publi\u00e9 1,4\u00a0million de nouveaux packages en 2025, ce qui en fait la deuxi\u00e8me source de nouveaux packages parmi tous les registres suivis par JFrog, derri\u00e8re Docker Hub et ses 2,2\u00a0millions. La plupart des outils de s\u00e9curit\u00e9 actuellement en place dans les entreprises ont \u00e9t\u00e9 con\u00e7us pour un monde centr\u00e9 sur Java et les registres de packages. La cha\u00eene d\u2019approvisionnement a \u00e9volu\u00e9. De nombreuses d\u00e9fenses, elles, n\u2019ont pas suivi.<\/p>\n<p><strong>Le volume n&#8217;est pas le bon indicateur du risque.<\/strong> L\u2019\u00e9quipe de recherche en s\u00e9curit\u00e9 de JFrog a r\u00e9\u00e9valu\u00e9 chaque CVE tr\u00e8s m\u00e9diatis\u00e9e qu\u2019elle a analys\u00e9e en 2025 en fonction de son exploitabilit\u00e9 dans le monde r\u00e9el, et non de sa gravit\u00e9 th\u00e9orique. R\u00e9sultat\u00a0: <strong>96\u00a0% des CVE class\u00e9es \u00ab\u00a0critiques\u00a0\u00bb par la NVD ont \u00e9t\u00e9 r\u00e9trograd\u00e9es par JFrog<\/strong>, contre 88\u00a0% en 2024. \u00c0 l\u2019inverse, 171\u00a0592\u00a0packages npm malveillants ont \u00e9t\u00e9 d\u00e9tect\u00e9s l\u2019an dernier, soit une hausse de 451\u00a0% par rapport \u00e0 2024. Pourtant, la d\u00e9tection des packages malveillants ne concerne que 40\u00a0% des organisations, un chiffre stable par rapport \u00e0 l\u2019ann\u00e9e pr\u00e9c\u00e9dente. Le volume des menaces a atteint un niveau record. La couverture de d\u00e9tection n\u2019a pas progress\u00e9. C&#8217;est l&#8217;illusion de la ma\u00eetrise \u00e0 l&#8217;\u0153uvre.<\/p>\n<p><strong>La surface d\u2019attaque s\u2019est d\u00e9plac\u00e9e l\u00e0 o\u00f9 travaillent les d\u00e9veloppeurs.<\/strong> 45\u00a0% des \u00e9quipes DevSecOps citent d\u00e9sormais la revue et le renforcement du code g\u00e9n\u00e9r\u00e9 par l\u2019IA comme l\u2019une des principales charges pesant sur leur temps\u00a0: une cat\u00e9gorie qui n\u2019existait m\u00eame pas dans l\u2019enqu\u00eate de l\u2019an dernier. Les pipelines CI\/CD sont devenus des cibles actives pour les attaques contre la cha\u00eene d\u2019approvisionnement. Les extensions d\u2019IDE ont \u00e9t\u00e9 transform\u00e9es en armes. Les serveurs MCP comportent des vuln\u00e9rabilit\u00e9s RCE actives. JFrog a d\u00e9couvert 56\u00a0extensions d\u2019IDE malveillantes sur OpenVSX et identifi\u00e9 une vuln\u00e9rabilit\u00e9 RCE not\u00e9e CVSS\u00a09.6 dans mcp-remote. Pourtant, seules 57\u00a0% des organisations encadrent l\u2019usage des MCP au moyen de contr\u00f4les automatis\u00e9s\u00a0; les autres s\u2019appuient sur des listes manuelles qui ne se mettent pas \u00e0 jour lorsque de nouvelles vuln\u00e9rabilit\u00e9s sont divulgu\u00e9es. 18\u00a0% des organisations n\u2019ont aucune gouvernance active sur les outils pr\u00e9sents dans les environnements de leurs d\u00e9veloppeurs. Le point d\u2019infection s\u2019est d\u00e9plac\u00e9 en amont, avant m\u00eame que le code ne soit \u00e9crit.<\/p>\n<h2>Trois chiffres qui d\u00e9finissent le probl\u00e8me<\/h2>\n<p>Le rapport 2026 repose sur trois piliers de donn\u00e9es\u00a0: les donn\u00e9es d\u2019utilisation de la plateforme JFrog issues de milliers d\u2019environnements d\u2019entreprise, des recherches de s\u00e9curit\u00e9 ind\u00e9pendantes et les r\u00e9ponses \u00e0 l\u2019enqu\u00eate de 1\u00a0508\u00a0professionnels de l\u2019informatique. C\u2019est cette combinaison qui rend visible l\u2019illusion de ma\u00eetrise\u00a0: il faut \u00e0 la fois les donn\u00e9es du pipeline et les donn\u00e9es humaines pour voir l\u2019\u00e9cart qui les s\u00e9pare.<\/p>\n<p>Voici quelques chiffres qui illustrent pr\u00e9cis\u00e9ment le probl\u00e8me :<\/p>\n<ul>\n<li aria-level=\"1\"><strong>59\u00a0% des organisations d\u00e9clarent disposer d\u2019une visibilit\u00e9 compl\u00e8te sur la provenance en production.<\/strong> Pourtant, 48\u00a0% mettent encore une semaine ou plus \u00e0 g\u00e9n\u00e9rer une preuve d\u2019audit de conformit\u00e9 par application, et 10\u00a0% mettent un mois ou plus. Une visibilit\u00e9 compl\u00e8te devrait permettre de g\u00e9n\u00e9rer rapidement des preuves. Le fait que ce ne soit pas le cas sugg\u00e8re que \u00ab\u00a0visibilit\u00e9 compl\u00e8te\u00a0\u00bb signifie que les donn\u00e9es existent quelque part, et non qu\u2019elles sont structur\u00e9es pour un acc\u00e8s \u00e0 la demande.<\/li>\n<li aria-level=\"1\"><strong>28\u00a0% des organisations ont activ\u00e9 la d\u00e9tection des secrets<\/strong> \u2013 le taux d\u2019adoption le plus faible de toutes les cat\u00e9gories de s\u00e9curit\u00e9 cit\u00e9es dans l\u2019enqu\u00eate. JFrog a trouv\u00e9 17\u00a0637\u00a0jetons expos\u00e9s dans des d\u00e9p\u00f4ts binaires publics en 2025. Parmi eux, 3\u00a0260\u00a0\u00e9taient encore actifs au moment de leur d\u00e9couverte. Le taux d\u2019activit\u00e9 le plus \u00e9lev\u00e9\u00a0? Les jetons Hugging Face, \u00e0 87\u00a0%.<\/li>\n<li aria-level=\"1\"><strong>23\u00a0% des d\u00e9veloppeurs d\u00e9clarent qu\u2019ils consid\u00e9reraient une correction de s\u00e9curit\u00e9 sugg\u00e9r\u00e9e par l\u2019IA comme quasi d\u00e9finitive<\/strong>, ne n\u00e9cessitant qu\u2019un examen rapide avant sa mise en \u0153uvre. Ce n\u2019est pas n\u00e9cessairement une erreur. La question est de savoir si l\u2019outil d\u2019IA auquel ils font confiance fonctionne au sein d\u2019un pipeline gouvern\u00e9, ou en dehors de celui-ci.<\/li>\n<\/ul>\n<p>Aucun de ces chiffres ne signifie que les organisations ne font pas d\u2019efforts. Ils disent que l\u2019effort est r\u00e9el, mais que la couverture est incompl\u00e8te. L\u2019objectif de <a href=\"https:\/\/jfrog.com\/fr\/software-supply-chain-state-of-union\/\">ce rapport<\/a> est de montrer exactement o\u00f9.<\/p>\n<h2>Qu\u2019est-ce que cela signifie pour votre \u00e9quipe\u00a0?<\/h2>\n<p>L\u2019enqu\u00eate de cette ann\u00e9e montre que la part des organisations utilisant sept outils de s\u00e9curit\u00e9 ou plus est pass\u00e9e de 73\u00a0% \u00e0 35\u00a0%, une tendance \u00e0 la consolidation dont on pourrait s\u2019attendre \u00e0 ce qu\u2019elle r\u00e9duise la fatigue li\u00e9e aux alertes et comble les lacunes de couverture caus\u00e9es par la fragmentation des solutions ponctuelles. Cependant, les \u00e9carts les plus critiques ne se sont pas r\u00e9sorb\u00e9s pour autant. La d\u00e9tection des packages malveillants stagne. La d\u00e9tection des secrets fait son entr\u00e9e dans l\u2019enqu\u00eate \u00e0 son niveau le plus bas. Avoir moins d\u2019outils n\u2019a pas signifi\u00e9 b\u00e9n\u00e9ficier d\u2019une meilleure couverture.<\/p>\n<p>Ce qui distingue les organisations qui se sentent en s\u00e9curit\u00e9 de celles qui le sont r\u00e9ellement tient \u00e0 une seule question\u00a0:<strong> votre gouvernance s\u2019ex\u00e9cute-t-elle en continu dans le pipeline, au point o\u00f9 chaque artefact entre et sort, ou reste-t-elle cantonn\u00e9e \u00e0 un document de politique\u00a0?<\/strong><\/p>\n<p>Le rapport 2026 identifie quatre couches o\u00f9 cette question trouve les r\u00e9ponses les plus nettes\u00a0:<\/p>\n<ol>\n<li aria-level=\"1\">La gouvernance des artefacts de mod\u00e8les d\u2019IA<\/li>\n<li aria-level=\"1\">La gouvernance des outils de d\u00e9veloppement et des serveurs MCP<\/li>\n<li aria-level=\"1\">D\u00e9tection de secrets au niveau binaire<\/li>\n<li aria-level=\"1\">La g\u00e9n\u00e9ration de preuves de conformit\u00e9 \u00e0 la demande<\/li>\n<\/ol>\n<p>\u00c0 chaque niveau, l\u2019\u00e9cart entre ce que les organisations d\u00e9clarent et ce que les donn\u00e9es montrent est pr\u00e9cis, mesurable et exploitable.<\/p>\n<p>Il ne s\u2019agit pas de risques hypoth\u00e9tiques. L\u2019attaque GlassWorm d\u2019octobre 2025 a compromis sept extensions VS Code, collect\u00e9 des identifiants et d\u00e9ploy\u00e9 un cheval de Troie d\u2019acc\u00e8s \u00e0 distance sur environ 35\u00a0800\u00a0installations. La campagne S1ngularity a entra\u00een\u00e9 la fuite de 83\u00a0000\u00a0secrets via huit packages et un seul workflow CI\/CD mal configur\u00e9. Les plus grands \u00e9v\u00e9nements de 2025 dans la cha\u00eene d\u2019approvisionnement logicielle n\u2019ont pas \u00e9t\u00e9 les plus massifs en volume, mais les plus pr\u00e9cis\u00e9ment cibl\u00e9s.<\/p>\n<h2>Comment JFrog voit ce que les autres ne voient pas<\/h2>\n<p>La plateforme JFrog traite des donn\u00e9es sur plus de 60\u00a0types de packages, notamment les artefacts de mod\u00e8les d\u2019IA, les extensions d\u2019IDE et les serveurs MCP\u00a0: les trois nouvelles surfaces d\u2019attaque suivies pour la premi\u00e8re fois dans le rapport de cette ann\u00e9e. En tant que syst\u00e8me de r\u00e9f\u00e9rence pour plus de 80\u00a0% des entreprises du Fortune\u00a0100, la plateforme JFrog comptait 18,2\u00a0milliards d\u2019artefacts chez ses clients SaaS \u00e0 la fin de l\u2019ann\u00e9e 2025.<\/p>\n<p>C\u2019est cette \u00e9chelle qui permet de rendre visible l\u2019illusion de ma\u00eetrise. \u00c0 elles seules, les donn\u00e9es d\u2019enqu\u00eate ne peuvent indiquer que ce que les organisations pensent de leur posture de s\u00e9curit\u00e9. Les donn\u00e9es de plateforme montrent ce qui circule r\u00e9ellement dans leurs pipelines. L\u2019\u00e9cart entre les deux constitue le fil conducteur de ce rapport.<\/p>\n<p>Pour combler ces \u00e9carts, il faut des contr\u00f4les qui op\u00e8rent au niveau du pipeline, et non au niveau des politiques\u00a0:<\/p>\n<ul>\n<li aria-level=\"1\"><strong>JFrog Curation<\/strong> bloque les packages, mod\u00e8les et extensions d\u2019IDE malveillants d\u00e8s l\u2019ingestion, avant qu\u2019ils n\u2019atteignent la machine d\u2019un d\u00e9veloppeur.<\/li>\n<li aria-level=\"1\"><strong>JFrog Xray<\/strong> r\u00e9\u00e9value les CVE en fonction de leur exploitabilit\u00e9 r\u00e9elle dans votre environnement sp\u00e9cifique, et non \u00e0 partir du score th\u00e9orique de la NVD.<\/li>\n<li aria-level=\"1\"><strong>JFrog Advanced Security<\/strong> analyse les secrets au niveau binaire, afin de d\u00e9tecter les jetons expos\u00e9s que les scanners limit\u00e9s au code source ne voient pas.<\/li>\n<li aria-level=\"1\"><strong>JFrog AppTrust<\/strong> met les preuves de conformit\u00e9 \u00e0 disposition \u00e0 la demande, comblant ainsi l\u2019\u00e9cart entre le fait de d\u00e9clarer une visibilit\u00e9 compl\u00e8te sur la provenance et la capacit\u00e9 \u00e0 le prouver.<\/li>\n<\/ul>\n<h2>Pr\u00eat \u00e0 voir la situation dans son ensemble\u00a0?<\/h2>\n<p>Le rapport 2026 de JFrog sur la s\u00e9curit\u00e9 de la cha\u00eene d\u2019approvisionnement logicielle couvre tout cela et bien plus encore. La cha\u00eene d\u2019approvisionnement ne se contente pas de s\u2019\u00e9tendre. Elle change de nature\u00a0: dans les \u00e9cosyst\u00e8mes qui concentrent le plus de risques, dans la mani\u00e8re dont les attaquants remontent en amont, et dans les endroits o\u00f9 l\u2019\u00e9cart entre confiance et couverture est le plus susceptible d\u2019\u00eatre exploit\u00e9 ensuite.<\/p>\n<p>Les organisations qui parviennent \u00e0 combler cet \u00e9cart sont celles qui consid\u00e8rent la gouvernance comme une propri\u00e9t\u00e9 du pipeline, et non comme un simple exercice documentaire. Les donn\u00e9es n\u00e9cessaires pour comprendre o\u00f9 se situe votre organisation se trouvent dans le rapport. <strong><a href=\"https:\/\/jfrog.com\/fr\/software-supply-chain-state-of-union\/\">T\u00e9l\u00e9chargez le rapport<\/a><\/strong> pour obtenir une vue d\u2019ensemble compl\u00e8te.<\/p>\n<p>Si vous \u00eates pr\u00eat \u00e0 passer \u00e0 l\u2019action, <a href=\"https:\/\/jfrog.com\/fr\/request-a-demo\/\">planifiez une d\u00e9monstration<\/a>, <a href=\"https:\/\/jfrog.com\/fr\/tour\/\">faites une visite guid\u00e9e en ligne<\/a> ou <a href=\"https:\/\/jfrog.com\/fr\/start-free\/\">commencez un essai gratuit<\/a> de la plateforme de cha\u00eene d\u2019approvisionnement logicielle de JFrog.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les \u00e9quipes de s\u00e9curit\u00e9 subissent plus de pression que jamais, et la plupart d\u2019entre elles pensent tenir le rythme. Or cette confiance pourrait bien \u00eatre l\u2019enseignement le plus r\u00e9v\u00e9lateur du rapport JFrog \u00c9tat des lieux de la s\u00e9curit\u00e9 de la cha\u00eene d\u2019approvisionnement logicielle 2026. Sur 18,2\u00a0milliards d\u2019artefacts analys\u00e9s, les travaux ind\u00e9pendants de recherche sur les &hellip;<\/p>\n","protected":false},"author":506,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[10619,10529,10531,10153],"tags":[11286,11298,11299,11300,11079,11010,10741,10724],"class_list":["post-169435","post","type-post","status-publish","format-standard","hentry","category-ia-ml","category-communaute","category-devops-fr","category-securite-et-devsecops","tag-vulnerabilites","tag-chaine-dapprovisionnement-logicielle","tag-risque","tag-etat-des-lieux-de-la-securite-de-la-chaine-dapprovisionnement-logicielle","tag-governance-fr","tag-ai-ml-fr","tag-compliance-fr","tag-security-fr","resource_categories-grc","resource_categories-ai-ml","resource_categories-security","resource_categories-devops"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v22.6 (Yoast SEO v22.6) - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>L\u2019\u00e9cart de gouvernance entre vos politiques et votre pipeline | JFrog<\/title>\n<meta name=\"description\" content=\"D\u00e9couvrez ce qu\u2019est le foss\u00e9 en mati\u00e8re de gouvernance de l\u2019IA et comment le combler. Cet article de blog r\u00e9sume les principaux enseignements du rapport 2026 de JFrog sur la s\u00e9curit\u00e9 de la cha\u00eene d\u2019approvisionnement logicielle.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/jfrog.com\/fr\/wp-json\/wp\/v2\/posts\/169435\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"L\u2019\u00e9cart de gouvernance entre vos politiques et votre pipeline\" \/>\n<meta property=\"og:description\" content=\"D\u00e9couvrez ce qu\u2019est le foss\u00e9 en mati\u00e8re de gouvernance de l\u2019IA et comment le combler. Cet article de blog r\u00e9sume les principaux enseignements du rapport 2026 de JFrog sur la s\u00e9curit\u00e9 de la cha\u00eene d\u2019approvisionnement logicielle.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/jfrog.com\/fr\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/\" \/>\n<meta property=\"og:site_name\" content=\"JFrog\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/artifrog\" \/>\n<meta property=\"article:published_time\" content=\"2026-07-02T07:55:12+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-07-02T08:32:15+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/jfrog.com\/wp-content\/uploads\/2026\/05\/03-Blog-inner-main-img-863X300.png\" \/>\n<meta name=\"author\" content=\"zoer\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@jfrog\" \/>\n<meta name=\"twitter:site\" content=\"@jfrog\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"zoer\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"9 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/jfrog.com\/fr\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/jfrog.com\/fr\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/\"},\"author\":{\"name\":\"zoer\",\"@id\":\"https:\/\/jfrog.com\/fr\/#\/schema\/person\/506b8c11f17cb8a81546c486fa9f663e\"},\"headline\":\"L\u2019\u00e9cart de gouvernance entre vos politiques et votre pipeline\",\"datePublished\":\"2026-07-02T07:55:12+00:00\",\"dateModified\":\"2026-07-02T08:32:15+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/jfrog.com\/fr\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/\"},\"wordCount\":2148,\"publisher\":{\"@id\":\"https:\/\/jfrog.com\/fr\/#organization\"},\"image\":{\"@id\":\"https:\/\/jfrog.com\/fr\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/jfrog.com\/wp-content\/uploads\/2026\/05\/03-Blog-inner-main-img-863X300.png\",\"keywords\":[\"vuln\u00e9rabilit\u00e9s\",\"cha\u00eene d\u2019approvisionnement logicielle\",\"risque\",\"\u00e9tat des lieux de la s\u00e9curit\u00e9 de la cha\u00eene d'approvisionnement logicielle\",\"governance\",\"AI\/ML\",\"compliance\",\"security\"],\"articleSection\":[\"IA\/ML\",\"Communaut\u00e9\",\"DevOps\",\"S\u00e9curit\u00e9 et DevSecOps\"],\"inLanguage\":\"fr-FR\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/jfrog.com\/fr\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/\",\"url\":\"https:\/\/jfrog.com\/fr\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/\",\"name\":\"L\u2019\u00e9cart de gouvernance entre vos politiques et votre pipeline | JFrog\",\"isPartOf\":{\"@id\":\"https:\/\/jfrog.com\/fr\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/jfrog.com\/fr\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/jfrog.com\/fr\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/jfrog.com\/wp-content\/uploads\/2026\/05\/03-Blog-inner-main-img-863X300.png\",\"datePublished\":\"2026-07-02T07:55:12+00:00\",\"dateModified\":\"2026-07-02T08:32:15+00:00\",\"description\":\"D\u00e9couvrez ce qu\u2019est le foss\u00e9 en mati\u00e8re de gouvernance de l\u2019IA et comment le combler. Cet article de blog r\u00e9sume les principaux enseignements du rapport 2026 de JFrog sur la s\u00e9curit\u00e9 de la cha\u00eene d\u2019approvisionnement logicielle.\",\"breadcrumb\":{\"@id\":\"https:\/\/jfrog.com\/fr\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/#breadcrumb\"},\"inLanguage\":\"fr-FR\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/jfrog.com\/fr\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\/\/jfrog.com\/fr\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/#primaryimage\",\"url\":\"https:\/\/jfrog.com\/wp-content\/uploads\/2026\/05\/03-Blog-inner-main-img-863X300.png\",\"contentUrl\":\"https:\/\/jfrog.com\/wp-content\/uploads\/2026\/05\/03-Blog-inner-main-img-863X300.png\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/jfrog.com\/fr\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/jfrog.com\/fr\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"L\u2019\u00e9cart de gouvernance entre vos politiques et votre pipeline\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/jfrog.com\/fr\/#website\",\"url\":\"https:\/\/jfrog.com\/fr\/\",\"name\":\"JFrog\",\"description\":\"Deliver Trusted Software Releases at Speed and Scale\",\"publisher\":{\"@id\":\"https:\/\/jfrog.com\/fr\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/jfrog.com\/fr\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"fr-FR\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/jfrog.com\/fr\/#organization\",\"name\":\"JFrog\",\"url\":\"https:\/\/jfrog.com\/fr\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\/\/jfrog.com\/fr\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2025\/05\/27095207\/Logo.svg\",\"contentUrl\":\"https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2025\/05\/27095207\/Logo.svg\",\"width\":74,\"height\":73,\"caption\":\"JFrog\"},\"image\":{\"@id\":\"https:\/\/jfrog.com\/fr\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/artifrog\",\"https:\/\/x.com\/jfrog\",\"https:\/\/www.linkedin.com\/company\/455737\",\"https:\/\/www.youtube.com\/channel\/UCh2hNg76zo3d1qQqTWIQxDg\",\"https:\/\/www.wikidata.org\/wiki\/Q98608948\"],\"description\":\"We set out on our Liquid Software journey in 2008, with the mission to transform the way enterprises manage and release software updates. The world expects software to update continuously, securely, non-intrusively and without user intervention. This hyper-connected experience can only be enabled by automation with an end-to-end DevOps platform and a binary-centric focus. With this in mind, we\u2019ve developed the JFrog Platform, ushering in a new era of DevOps and DevSecOps standards that power continuous updates. More than a decade after our founding, with thousands of customers and millions of users globally, JFrog has become the \u201cDatabase of DevOps\u201d and the de-facto standard in release and update management.\",\"legalName\":\"Jfrog, Inc.\",\"numberOfEmployees\":{\"@type\":\"QuantitativeValue\",\"minValue\":\"1001\",\"maxValue\":\"5000\"}},{\"@type\":\"Person\",\"@id\":\"https:\/\/jfrog.com\/fr\/#\/schema\/person\/506b8c11f17cb8a81546c486fa9f663e\",\"name\":\"zoer\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\/\/jfrog.com\/fr\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/98fe27df64b29d39c0d9f3e1f93264891c82c56b04f5811e5b310089561acf52?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/98fe27df64b29d39c0d9f3e1f93264891c82c56b04f5811e5b310089561acf52?s=96&d=mm&r=g\",\"caption\":\"zoer\"}}]}<\/script>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"L\u2019\u00e9cart de gouvernance entre vos politiques et votre pipeline | JFrog","description":"D\u00e9couvrez ce qu\u2019est le foss\u00e9 en mati\u00e8re de gouvernance de l\u2019IA et comment le combler. Cet article de blog r\u00e9sume les principaux enseignements du rapport 2026 de JFrog sur la s\u00e9curit\u00e9 de la cha\u00eene d\u2019approvisionnement logicielle.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/jfrog.com\/fr\/wp-json\/wp\/v2\/posts\/169435","og_locale":"fr_FR","og_type":"article","og_title":"L\u2019\u00e9cart de gouvernance entre vos politiques et votre pipeline","og_description":"D\u00e9couvrez ce qu\u2019est le foss\u00e9 en mati\u00e8re de gouvernance de l\u2019IA et comment le combler. Cet article de blog r\u00e9sume les principaux enseignements du rapport 2026 de JFrog sur la s\u00e9curit\u00e9 de la cha\u00eene d\u2019approvisionnement logicielle.","og_url":"https:\/\/jfrog.com\/fr\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/","og_site_name":"JFrog","article_publisher":"https:\/\/www.facebook.com\/artifrog","article_published_time":"2026-07-02T07:55:12+00:00","article_modified_time":"2026-07-02T08:32:15+00:00","og_image":[{"url":"https:\/\/jfrog.com\/wp-content\/uploads\/2026\/05\/03-Blog-inner-main-img-863X300.png"}],"author":"zoer","twitter_card":"summary_large_image","twitter_creator":"@jfrog","twitter_site":"@jfrog","twitter_misc":{"Written by":"zoer","Est. reading time":"9 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/jfrog.com\/fr\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/#article","isPartOf":{"@id":"https:\/\/jfrog.com\/fr\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/"},"author":{"name":"zoer","@id":"https:\/\/jfrog.com\/fr\/#\/schema\/person\/506b8c11f17cb8a81546c486fa9f663e"},"headline":"L\u2019\u00e9cart de gouvernance entre vos politiques et votre pipeline","datePublished":"2026-07-02T07:55:12+00:00","dateModified":"2026-07-02T08:32:15+00:00","mainEntityOfPage":{"@id":"https:\/\/jfrog.com\/fr\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/"},"wordCount":2148,"publisher":{"@id":"https:\/\/jfrog.com\/fr\/#organization"},"image":{"@id":"https:\/\/jfrog.com\/fr\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/#primaryimage"},"thumbnailUrl":"https:\/\/jfrog.com\/wp-content\/uploads\/2026\/05\/03-Blog-inner-main-img-863X300.png","keywords":["vuln\u00e9rabilit\u00e9s","cha\u00eene d\u2019approvisionnement logicielle","risque","\u00e9tat des lieux de la s\u00e9curit\u00e9 de la cha\u00eene d'approvisionnement logicielle","governance","AI\/ML","compliance","security"],"articleSection":["IA\/ML","Communaut\u00e9","DevOps","S\u00e9curit\u00e9 et DevSecOps"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/jfrog.com\/fr\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/","url":"https:\/\/jfrog.com\/fr\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/","name":"L\u2019\u00e9cart de gouvernance entre vos politiques et votre pipeline | JFrog","isPartOf":{"@id":"https:\/\/jfrog.com\/fr\/#website"},"primaryImageOfPage":{"@id":"https:\/\/jfrog.com\/fr\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/#primaryimage"},"image":{"@id":"https:\/\/jfrog.com\/fr\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/#primaryimage"},"thumbnailUrl":"https:\/\/jfrog.com\/wp-content\/uploads\/2026\/05\/03-Blog-inner-main-img-863X300.png","datePublished":"2026-07-02T07:55:12+00:00","dateModified":"2026-07-02T08:32:15+00:00","description":"D\u00e9couvrez ce qu\u2019est le foss\u00e9 en mati\u00e8re de gouvernance de l\u2019IA et comment le combler. Cet article de blog r\u00e9sume les principaux enseignements du rapport 2026 de JFrog sur la s\u00e9curit\u00e9 de la cha\u00eene d\u2019approvisionnement logicielle.","breadcrumb":{"@id":"https:\/\/jfrog.com\/fr\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/jfrog.com\/fr\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/jfrog.com\/fr\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/#primaryimage","url":"https:\/\/jfrog.com\/wp-content\/uploads\/2026\/05\/03-Blog-inner-main-img-863X300.png","contentUrl":"https:\/\/jfrog.com\/wp-content\/uploads\/2026\/05\/03-Blog-inner-main-img-863X300.png"},{"@type":"BreadcrumbList","@id":"https:\/\/jfrog.com\/fr\/blog\/the-ai-governance-gap-2026-software-supply-chain-report\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/jfrog.com\/fr\/"},{"@type":"ListItem","position":2,"name":"L\u2019\u00e9cart de gouvernance entre vos politiques et votre pipeline"}]},{"@type":"WebSite","@id":"https:\/\/jfrog.com\/fr\/#website","url":"https:\/\/jfrog.com\/fr\/","name":"JFrog","description":"Deliver Trusted Software Releases at Speed and Scale","publisher":{"@id":"https:\/\/jfrog.com\/fr\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/jfrog.com\/fr\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"fr-FR"},{"@type":"Organization","@id":"https:\/\/jfrog.com\/fr\/#organization","name":"JFrog","url":"https:\/\/jfrog.com\/fr\/","logo":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/jfrog.com\/fr\/#\/schema\/logo\/image\/","url":"https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2025\/05\/27095207\/Logo.svg","contentUrl":"https:\/\/speedmedia2.jfrog.com\/08612fe1-9391-4cf3-ac1a-6dd49c36b276\/media.jfrog.com\/wp-content\/uploads\/2025\/05\/27095207\/Logo.svg","width":74,"height":73,"caption":"JFrog"},"image":{"@id":"https:\/\/jfrog.com\/fr\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/artifrog","https:\/\/x.com\/jfrog","https:\/\/www.linkedin.com\/company\/455737","https:\/\/www.youtube.com\/channel\/UCh2hNg76zo3d1qQqTWIQxDg","https:\/\/www.wikidata.org\/wiki\/Q98608948"],"description":"We set out on our Liquid Software journey in 2008, with the mission to transform the way enterprises manage and release software updates. The world expects software to update continuously, securely, non-intrusively and without user intervention. This hyper-connected experience can only be enabled by automation with an end-to-end DevOps platform and a binary-centric focus. With this in mind, we\u2019ve developed the JFrog Platform, ushering in a new era of DevOps and DevSecOps standards that power continuous updates. More than a decade after our founding, with thousands of customers and millions of users globally, JFrog has become the \u201cDatabase of DevOps\u201d and the de-facto standard in release and update management.","legalName":"Jfrog, Inc.","numberOfEmployees":{"@type":"QuantitativeValue","minValue":"1001","maxValue":"5000"}},{"@type":"Person","@id":"https:\/\/jfrog.com\/fr\/#\/schema\/person\/506b8c11f17cb8a81546c486fa9f663e","name":"zoer","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/jfrog.com\/fr\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/98fe27df64b29d39c0d9f3e1f93264891c82c56b04f5811e5b310089561acf52?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/98fe27df64b29d39c0d9f3e1f93264891c82c56b04f5811e5b310089561acf52?s=96&d=mm&r=g","caption":"zoer"}}]}},"_links":{"self":[{"href":"https:\/\/jfrog.com\/fr\/wp-json\/wp\/v2\/posts\/169435","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/jfrog.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/jfrog.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/jfrog.com\/fr\/wp-json\/wp\/v2\/users\/506"}],"replies":[{"embeddable":true,"href":"https:\/\/jfrog.com\/fr\/wp-json\/wp\/v2\/comments?post=169435"}],"version-history":[{"count":1,"href":"https:\/\/jfrog.com\/fr\/wp-json\/wp\/v2\/posts\/169435\/revisions"}],"predecessor-version":[{"id":169437,"href":"https:\/\/jfrog.com\/fr\/wp-json\/wp\/v2\/posts\/169435\/revisions\/169437"}],"wp:attachment":[{"href":"https:\/\/jfrog.com\/fr\/wp-json\/wp\/v2\/media?parent=169435"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/jfrog.com\/fr\/wp-json\/wp\/v2\/categories?post=169435"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/jfrog.com\/fr\/wp-json\/wp\/v2\/tags?post=169435"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}