OWASP Top 10

• Le OWASP Top 10 est un document de sensibilisation pour les développeurs et les équipes de sécurité applicative.
• Il représente un consensus sur les risques les plus critiques pour les applications web.
• La version 2025 utilise les données et tendances de sécurité les plus récentes.
• Référence : OWASP Top 10:2025.

Ce qui change en 2025

• Deux nouvelles catégories apparaissent dans le Top 10.
• Une catégorie est consolidée dans une autre.
• Le classement se concentre davantage sur les causes profondes que sur les symptômes.
• Le projet 2025 analyse 248 CWE dans les 10 catégories.

2021 vs 2025

Liste OWASP Top 10 2025

1. A01 : Contrôles d'accès défaillants
2. A02 : Mauvaise configuration de sécurité
3. A03 : Défaillances de la chaîne d'approvisionnement logicielle
4. A04 : Erreurs cryptographiques
5. A05 : Injection
6. A06 : Conception non sécurisée
7. A07 : Échecs d'authentification
8. A08 : Échecs d'intégrité des logiciels ou des données
9. A09 : Échecs de journalisation et d'alerte de sécurité
10. A10 : Mauvaise gestion des conditions exceptionnelles

A01 : contrôles d'accès défaillants

• Les utilisateurs peuvent agir hors de leurs permissions prévues.
• Les impacts typiques sont la divulgation, la modification ou la destruction non autorisée de données.
• La SSRF est maintenant intégrée à cette catégorie.
• Exemples :
  • accès à une ressource protégée sans autorisation ;
  • API accessible sans contrôle ;
  • modification d'un identifiant dans une URL pour accéder aux données d'un autre compte.
• Référence : A01 Broken Access Control.

A02 : mauvaise configuration de sécurité

• Les erreurs de configuration remontent de la 5e position en 2021 à la 2e position en 2025.
• Une application moderne dépend de nombreuses configurations : serveur, nuage, conteneurs, frameworks et en-têtes HTTP.
• Exemples :
  • panneau d'administration exposé ;
  • comptes ou mots de passe par défaut ;
  • messages d'erreur détaillés en production ;
  • en-têtes de sécurité absents ou mal configurés.
• Référence : A02 Security Misconfiguration.

A03 : chaîne d'approvisionnement logicielle

• Nouvelle catégorie 2025.
• Elle élargit l'ancien risque lié aux composants vulnérables ou obsolètes.
• Elle couvre les dépendances, les systèmes de compilation, les paquets et les mécanismes de distribution.
• Exemples :
  • dépendance compromise ;
  • paquet malveillant ;
  • pipeline de build non protégé ;
  • absence de vérification de provenance.
• Référence : A03 Software Supply Chain Failures.

A04 : erreurs cryptographiques

• Les données sensibles ne sont pas correctement protégées pendant la transmission ou le stockage.
• Cette catégorie descend de la 2e à la 4e position.
• Elle mène souvent à l'exposition de données sensibles ou à un compromis système.
• Exemples :
  • mot de passe stocké en clair ;
  • HTTP utilisé au lieu de HTTPS ;
  • algorithme faible ou dépassé ;
  • clés codées en dur dans le code source.
• Référence : A04 Cryptographic Failures.

A05 : injection

• Les données fournies par l'utilisateur sont interprétées comme des commandes, requêtes ou fragments de code.
• Cette catégorie descend de la 3e à la 5e position, mais reste très testée.
• Elle inclut des problèmes très fréquents, comme le XSS, et des failles très critiques, comme l'injection SQL.
• Exemples :
  • injection SQL ;
  • injection de commande système ;
  • injection HTML ou JavaScript.
• Référence : A05 Injection.

A06 : conception non sécurisée

• Les risques sont causés par des choix de conception insuffisants ou absents.
• Cette catégorie vise les problèmes que les tests ou correctifs tardifs ne règlent pas toujours.
• Exemples :
  • absence de limites dans un flux sensible ;
  • logique métier facile à contourner ;
  • absence de modélisation des menaces ;
  • décisions de sécurité reportées à l'implémentation.
• Référence : A06 Insecure Design.

A07 : échecs d'authentification

• La catégorie conserve la 7e position avec un nom simplifié.
• Elle couvre les faiblesses dans l'authentification, les sessions et la récupération de compte.
• Exemples :
  • absence de multifactoriel ;
  • aucune limite sur les tentatives de connexion ;
  • session non invalidée après déconnexion ;
  • réinitialisation de mot de passe mal sécurisée.
• Référence : A07 Authentication Failures.

A08 : intégrité des logiciels ou des données

• L'application ne vérifie pas suffisamment l'intégrité du code, des logiciels ou des données.
• Cette catégorie reste distincte de la chaîne d'approvisionnement logicielle.
• Elle concerne surtout la confiance dans les artefacts et données utilisés par l'application.
• Exemples :
  • mises à jour non signées ;
  • scripts chargés depuis des sources non fiables ;
  • désérialisation non sécurisée ;
  • données critiques modifiées sans vérification.
• Référence : A08 Software or Data Integrity Failures.

A09 : journalisation et alertes

• Le nom met maintenant l'accent sur les alertes, pas seulement sur la surveillance.
• Des logs utiles sans alertes ne permettent pas toujours de réagir à temps.
• Exemples :
  • connexions suspectes non journalisées ;
  • échecs d'authentification ignorés ;
  • absence d'alerte sur des événements critiques ;
  • logs impossibles à corréler pendant un incident.
• Référence : A09 Security Logging and Alerting Failures.

A10 : conditions exceptionnelles mal gérées

• Nouvelle catégorie 2025.
• Elle couvre les erreurs de gestion d'exceptions, erreurs logiques et comportements qui échouent en mode ouvert.
• Exemples :
  • message d'erreur qui expose de l'information sensible ;
  • paramètre manquant mal géré ;
  • permission insuffisante traitée comme une autorisation ;
  • panne partielle qui désactive un contrôle de sécurité.
• Référence : A10 Mishandling of Exceptional Conditions.

Résumé

• Le Top 10 2025 conserve les grands risques applicatifs connus.
• Il met davantage l'accent sur la configuration, la chaîne d'approvisionnement et la gestion des erreurs.
• La SSRF n'est plus une catégorie séparée : elle est intégrée aux contrôles d'accès défaillants.
• La liste OWASP doit servir de point de départ pour prioriser les risques, pas de couverture complète.