OWASP Top 10 2025

Objectif : Présenter les dix risques de sécurité applicatifs web les plus critiques selon l'OWASP Top 10 2025.

OWASP Top 10 2025

OWASP Top 10

  • Le OWASP Top 10 est un document de sensibilisation publié par l'Open Worldwide Application Security Project.
  • Il s'adresse aux développeurs et aux équipes de sécurité applicative.
  • Il représente un consensus sur les risques les plus critiques pour les applications web.
  • Il sert de point de départ pour repérer, expliquer et prioriser les risques applicatifs.
OWASP Top 10 2025

2021 vs 2025

OWASP Top 10 2025

Liste OWASP Top 10 2025

  • Contrôles d'accès défaillants
  • Mauvaise configuration de sécurité
  • Défaillances de la chaîne d'approvisionnement logicielle
  • Erreurs cryptographiques
  • Injection
  • Conception non sécurisée
  • Échecs d'authentification
  • Échecs d'intégrité des logiciels ou des données
  • Échecs de journalisation et d'alerte de sécurité
  • Mauvaise gestion des conditions exceptionnelles
OWASP Top 10 2025

Contrôles d'accès défaillants

  • Les utilisateurs peuvent agir hors de leurs permissions prévues.
  • Les impacts typiques sont la divulgation, la modification ou la destruction non autorisée de données.
  • Les attaques peuvent aussi exploiter un serveur pour atteindre une ressource interne qui devrait rester inaccessible.
  • Exemples :
    • accès à une ressource protégée sans autorisation ;
    • interface de programmation accessible sans contrôle ;
    • modification d'un identifiant dans une adresse web pour accéder aux données d'un autre compte.
OWASP Top 10 2025

Mauvaise configuration de sécurité

  • Les erreurs de configuration sont un risque majeur dans les applications modernes.
  • Une application moderne dépend de nombreuses configurations : serveur, nuage, conteneurs, cadres de développement et en-têtes de requêtes web.
  • Exemples :
    • panneau d'administration exposé ;
    • comptes ou mots de passe par défaut ;
    • messages d'erreur détaillés en production ;
    • en-têtes de sécurité absents ou mal configurés.
OWASP Top 10 2025

Chaîne d'approvisionnement logicielle

  • L'application dépend de code, d'outils ou de services externes qui peuvent introduire des risques.
  • Cette catégorie couvre les dépendances, les systèmes de compilation, les paquets et les mécanismes de distribution.
  • Exemples :
    • dépendance compromise ;
    • paquet malveillant ;
    • chaîne de compilation non protégée ;
    • absence de vérification de provenance.
OWASP Top 10 2025

Erreurs cryptographiques

  • Les données sensibles ne sont pas correctement protégées pendant la transmission ou le stockage.
  • Elle mène souvent à l'exposition de données sensibles ou à un compromis système.
  • Exemples :
    • mot de passe stocké en clair ;
    • connexion web non chiffrée utilisée au lieu d'une connexion sécurisée ;
    • algorithme faible ou dépassé ;
    • clés codées en dur dans le code source.
OWASP Top 10 2025

Injection

  • Les données fournies par l'utilisateur sont interprétées comme des commandes, requêtes ou fragments de code.
  • Cette catégorie apparaît souvent dans les applications web.
  • Elle inclut des problèmes très fréquents, comme l'injection de code dans une page web, et des failles très critiques, comme l'injection dans une base de données.
  • Exemples :
    • injection dans une requête de base de données ;
    • injection de commande système ;
    • injection de code dans une page web.
OWASP Top 10 2025

Conception non sécurisée

  • Les risques sont causés par des choix de conception insuffisants ou absents.
  • Cette catégorie vise les problèmes que les tests ou correctifs tardifs ne règlent pas toujours.
  • Exemples :
    • absence de limites dans un flux sensible ;
    • logique métier facile à contourner ;
    • absence de modélisation des menaces ;
    • décisions de sécurité reportées à l'implémentation.
OWASP Top 10 2025

Échecs d'authentification

  • Cette catégorie couvre les faiblesses dans l'authentification, les sessions et la récupération de compte.
  • Exemples :
    • absence d'authentification à plusieurs facteurs ;
    • aucune limite sur les tentatives de connexion ;
    • session non invalidée après déconnexion ;
    • réinitialisation de mot de passe mal sécurisée.
OWASP Top 10 2025

Intégrité des logiciels ou des données

  • L'application ne vérifie pas suffisamment l'intégrité du code, des logiciels ou des données.
  • Elle concerne surtout la confiance dans les artefacts et données utilisés par l'application.
  • Exemples :
    • mises à jour non signées ;
    • scripts chargés depuis des sources non fiables ;
    • désérialisation non sécurisée ;
    • données critiques modifiées sans vérification.
OWASP Top 10 2025

Journalisation et alertes

  • Une application doit conserver des traces utiles et déclencher des alertes sur les événements importants.
  • Des logs utiles sans alertes ne permettent pas toujours de réagir à temps.
  • Exemples :
    • connexions suspectes non journalisées ;
    • échecs d'authentification ignorés ;
    • absence d'alerte sur des événements critiques ;
    • logs impossibles à corréler pendant un incident.
OWASP Top 10 2025

Conditions exceptionnelles mal gérées

  • Elle couvre les erreurs de gestion d'exceptions, erreurs logiques et comportements qui échouent en mode ouvert.
  • Exemples :
    • message d'erreur qui expose de l'information sensible ;
    • paramètre manquant mal géré ;
    • permission insuffisante traitée comme une autorisation ;
    • panne partielle qui désactive un contrôle de sécurité.
OWASP Top 10 2025

Résumé

  • Le Top 10 2025 présente les grands risques applicatifs à connaître.
  • Il aide à prioriser la configuration, la chaîne d'approvisionnement, l'authentification, l'intégrité et la gestion des erreurs.
  • Les catégories donnent un vocabulaire commun pour discuter des risques avec une équipe technique.
  • La liste OWASP doit servir de point de départ pour prioriser les risques, pas de couverture complète.
OWASP Top 10 2025