Paris, France — 10 juin 2025 — Azul, la seule entreprise entièrement dédiée à Java, annonce aujourd’hui une évolution majeure de sa plateforme Azul Intelligence Cloud : une avancée technologique dans la détection de vulnérabilités avec Azul Vulnerability Detection, qui offre une précision inégalée pour repérer les failles de sécurité dans les applications Java.
Contrairement aux outils AppSec ou APM traditionnels, qui identifient les vulnérabilités en comparant les noms de fichiers ou les informations SBOM (Software Bill of Materials) — ce qui génère souvent un flot écrasant de faux positifs — Azul Vulnerability Detection s’appuie sur des données d’exécution collectées en production au niveau des classes. Cela permet aux organisations de se concentrer uniquement sur les chemins de code réellement utilisés, réduisant ainsi les faux positifs de 100 à 1 000 fois par rapport aux autres outils. Les équipes DevOps peuvent ainsi hiérarchiser plus rapidement les vrais risques, renforcer leur posture de sécurité et améliorer significativement la productivité des développeurs.
Dans la détection des vulnérabilités Java, les équipes DevOps recherchent la précision avant tout
Les entreprises sont submergées par le bruit autour de la sécurité Java. D’après le State of Java Survey & Report 2025 d’Azul, 33 % des organisations déclarent que plus de la moitié du temps de leurs équipes DevOps est gaspillé à traiter de faux positifs liés aux alertes CVE (Common Vulnerabilities and Exposures) Java. Les outils AppSec classiques signalent les vulnérabilités dans des composants tiers Java présents dans une application — qu’ils soient utilisés ou non. Cette approche trop globale génère de nombreuses alertes inutiles, empêche une priorisation efficace et nuit considérablement à la productivité.
Les composants Java comme Log4j sont constitués de fichiers JAR (Java ARchive), qui contiennent généralement de nombreuses classes. Il est donc possible qu’un composant vulnérable soit présent dans l’application sans que la classe vulnérable ne soit jamais invoquée — ce qui signifie que l’application n’est pas réellement exposée.
Pour regagner en capacité et en productivité, les équipes Java ont besoin d’une solution capable d’identifier précisément le code vulnérable utilisé en production, jusqu’au niveau des classes, afin de prioriser les correctifs selon le risque réel — et de cesser de perdre du temps avec des faux positifs.
Azul Intelligence Cloud cible uniquement le code Java réellement à risque, éliminant jusqu’à 99 % des faux positifs
Azul Intelligence Cloud est une solution d’analyse cloud qui fournit des données exploitables issues de l’exécution des applications Java en production. Sa fonctionnalité Vulnerability Detection identifie et priorise les vulnérabilités connues avec une précision 100 à 1 000 fois supérieure aux outils AppSec ou APM (Application Performance Management) classiques.
Elle s’appuie sur une base de connaissances enrichie, qui fait le lien entre les CVE et les classes réellement utilisées à l’exécution. Cela permet de cibler précisément les composants vulnérables, de les corriger plus efficacement, et d’éliminer jusqu’à 99 % des faux positifs — avec à la clé un gain de productivité considérable pour les DevOps.
Exemple : la CVE-2024-1597, classée critique, affecte certaines versions 42.x du pilote PostgreSQL JDBC (pgjdbc) et permet une injection SQL si le pilote est utilisé dans un mode non par défaut (rarement activé). Les outils AppSec traditionnels déclenchent une alerte dès que le composant est présent — même s’il est inutilisé ou exécuté dans un mode sûr. Cela entraîne des faux positifs et une perte de temps. Avec Vulnerability Detection, Azul est capable d’identifier si une ou plusieurs des 11 classes vulnérables sur les 470 classes du composant sont réellement utilisées en production.
Autres avantages clés d’Azul Vulnerability Detection :
- Tri efficace des nouvelles vulnérabilités : détection continue et en temps réel des failles Java en production, permettant une réponse rapide, notamment lors d’incidents critiques comme Log4j.
- Analyse en temps réel et historique, enrichie par l’IA : conserve l’historique des composants et de leur usage, pour une traçabilité fine. L’équipe sécurité d’Azul utilise l’IA pour identifier rapidement les nouvelles CVE Java dans la base NVD et autres sources, et met à jour sa base de données en continu.
- Surveillance en production des JDK Oracle et OpenJDK : fonctionne avec toutes les JVM basées sur OpenJDK (Azul, Amazon, Temurin, Microsoft, Red Hat, etc.), indépendamment du fournisseur.
- Aucun impact sur la performance : s’appuie sur les données disponibles au sein même de la JVM à l’exécution, sans surcoût ni dégradation des performances — ce qu’aucun autre outil ne permet à ce niveau de précision.
« Notre mission est d’aider les entreprises à concentrer leurs efforts de cybersécurité sur ce qui compte vraiment : le risque réel, et non les alertes superflues », déclare Scott Sellers, cofondateur et CEO d’Azul. « En éliminant jusqu’à 99 % des faux positifs et en identifiant précisément les vulnérabilités dans les applications Java avec une précision sans précédent, Azul Intelligence Cloud permet aux équipes DevOps et sécurité de retrouver leur capacité, de hiérarchiser efficacement les risques et d’accélérer les remédiations — sans impacter les performances ni ralentir l’innovation. »
Ressources supplémentaires :
À propos d’Azul
Basée à Sunnyvale, en Californie, Azul fournit une plateforme Java adaptée aux entreprises modernes orientées sur le cloud. Azul est la seule entreprise 100% axée sur Java. Des millions de développeurs Java, des centaines de millions d’appareils et les entreprises les plus réputées au monde font confiance à Azul pour alimenter leurs applications avec des capacités, des performances, une sécurité, une valeur et un succès exceptionnels. Azul compte parmi ses clients 36 % des entreprises du Fortune 100, 50 % des 10 marques les plus valorisées au monde par Forbes, les 10 plus grandes sociétés de négoce financier au monde et des marques de premier plan telles qu’Avaya, Bazaarvoice, BMW, Deutsche Telekom, LG, Mastercard, Mizuho, Priceline, Salesforce, Software AG et Workday. Pour en savoir plus, rendez-vous sur azul.com et suivez-nous @azulsystems.