OWASP Top 10

Fonctionnement technique

L'OWASP Top 10 est un classement de référence mondiale des risques de sécurité les plus critiques pour les applications web, publié par l'Open Web Application Security Project (OWASP). Mis à jour périodiquement (dernière version 2021), il s'appuie sur l'analyse de données provenant de centaines d'organisations et couvrant des centaines de milliers d'applications pour identifier les catégories de vulnérabilités les plus prévalentes et impactantes.

La version 2021 comprend : A01 Broken Access Control, A02 Cryptographic Failures, A03 Injection (SQL, NoSQL, OS, LDAP), A04 Insecure Design, A05 Security Misconfiguration, A06 Vulnerable and Outdated Components, A07 Identification and Authentication Failures, A08 Software and Data Integrity Failures, A09 Security Logging and Monitoring Failures, A10 Server-Side Request Forgery (SSRF).

Chaque catégorie est évaluée selon quatre facteurs : exploitabilité (facilité d'exploitation), prévalence (fréquence dans les applications testées), détectabilité (facilité de détection), et impact technique. Le classement combine données empiriques (fréquence observée dans les tests de sécurité) et contributions d'experts (pour les risques émergents). A01 (Broken Access Control) a remplacé Injection en première position, reflétant l'évolution des pratiques de développement.

Cas d'usage

L'OWASP Top 10 est utilisé comme référentiel de base pour la sécurité applicative dans la plupart des organisations. Les standards de conformité (PCI DSS, SOC 2) le citent comme exigence minimale. Les programmes de formation développeur s'en servent comme curriculum, et les pentests d'applications web couvrent systématiquement ces dix catégories.

Les éditeurs de scanners de vulnérabilités (Burp Suite, OWASP ZAP, Acunetix, Nessus) organisent leurs détections autour de l'OWASP Top 10. Les politiques WAF incluent des jeux de règles correspondants. Les certifications de sécurité (OSCP, eWPT, CEH) testent la compréhension et l'exploitation de ces vulnérabilités.

Outils et implémentation

OWASP ZAP (Zed Attack Proxy) est le scanner de sécurité web open source le plus utilisé, couvrant les catégories du Top 10. Burp Suite (PortSwigger) est l'outil commercial de référence pour le test de sécurité applicative. Semgrep et SonarQube détectent les vulnérabilités OWASP Top 10 dans le code source (SAST).

OWASP Dependency-Check identifie les composants vulnérables (A06). OWASP ASVS (Application Security Verification Standard) fournit une checklist détaillée de contrôles de sécurité au-delà du Top 10. Juice Shop (OWASP) est une application volontairement vulnérable pour s'entraîner. ModSecurity avec le Core Rule Set (CRS) implémente un WAF aligné sur le Top 10.

Défense / Bonnes pratiques

Intégrez la sécurité OWASP Top 10 dès la conception (Secure by Design, A04). Formez les développeurs à reconnaître et éviter les patterns vulnérables. Implémentez des revues de code automatisées (SAST) et des tests de sécurité dynamiques (DAST) dans votre pipeline CI/CD pour détecter les vulnérabilités avant la production.

Pour A01 (Broken Access Control), implémentez un contrôle d'accès centralisé et testez systématiquement les autorisations (IDOR, élévation de privilèges). Pour A03 (Injection), utilisez des requêtes paramétrées et validez toutes les entrées utilisateur. Pour A05 (Security Misconfiguration), automatisez le durcissement des configurations avec des templates IaC vérifiés.

Allez au-delà du Top 10 en adoptant l'OWASP ASVS (Application Security Verification Standard) pour une couverture complète de la sécurité applicative. Le Top 10 est un minimum, pas un objectif : il couvre les risques les plus courants mais pas tous les risques. Surveillez les évolutions pour la prochaine version (prévue 2025-2026) qui intégrera potentiellement les risques liés à l'IA et aux API.

Articles associés

Voir nos articles détaillés sur ce sujet.