Standard PTES - Piirates
Standard PTES : La Méthodologie Complète pour un Pentest Efficace
27 février 2025
Open source intelligence - Piirates
OSINT, guide de l’open source intelligence en cybersécurité
27 février 2025

OWASP Top 10, le guide complet des vulnérabilités web les plus critiques (2025)

OWASP - Piirates

Le OWASP Top 10 est le référentiel mondial des vulnérabilités de sécurité les plus critiques pour les applications web. Publié par l’Open Web Application Security Project, ce classement permet aux développeurs, pentesters et RSSI d’identifier et corriger les failles les plus exploitées par les cyberattaquants.

Dans ce guide exhaustif, découvrez l’intégralité du OWASP Top 10 2021, comment protéger vos applications contre chaque vulnérabilité, et pourquoi ce standard est devenu incontournable en cybersécurité.

 

Qu’est-ce que l’OWASP Top 10 ?

Le OWASP Top 10 est un document de sensibilisation qui répertorie les 10 risques de sécurité les plus critiques pour les applications web. Mis à jour tous les 3-4 ans par la communauté OWASP (Open Web Application Security Project), il s’appuie sur des données réelles collectées auprès de centaines d’organisations et d’experts en sécurité.

Pourquoi le OWASP Top 10 est-il important ?

  • Référence mondiale : utilisé par les normes ISO 27001, PCI-DSS, et l’ANSSI
  • Base des audits de sécurité : guide les tests d’intrusion et pentests applicatifs
  • Prévention proactive : permet d’anticiper 80% des attaques web courantes
  • Conformité réglementaire : exigé par de nombreux frameworks de sécurité
  • Éducation continue : sensibilise les équipes de développement aux risques actuels

Ignorer le OWASP Top 10 expose votre infrastructure à des cyberattaques évitables et coûteuses.

 

 

OWASP Top 10 2021 : Les 10 vulnérabilités web les plus critiques

A01:2021 – Broken Access Control (Contrôle d’accès défaillant)

Position dans le OWASP Top 10 : #1 (anciennement #5 en 2017)

Le contrôle d’accès défaillant est devenu la vulnérabilité la plus critique du OWASP Top 10 2021. Cette faille permet à un attaquant d’accéder à des ressources, données ou fonctionnalités pour lesquelles il n’a pas d’autorisation.

Exemples d’attaques :

  • Modification d’URL pour accéder à des pages administrateur (/admin)
  • Manipulation d’identifiants dans les requêtes (user_id=123user_id=456)
  • Élévation de privilèges via des tokens mal sécurisés
  • Accès direct aux objets (IDOR – Insecure Direct Object Reference)

Solutions de protection :

  • Implémenter des contrôles d’accès côté serveur (jamais uniquement côté client)
  • Adopter le principe du moindre privilège (least privilege)
  • Refuser l’accès par défaut (deny by default)
  • Journaliser tous les échecs de contrôle d’accès
  • Effectuer des tests de sécurité réguliers sur les permissions

 

 

A02:2021 – Cryptographic Failures (Défaillances cryptographiques)

Position dans le OWASP Top 10 : #2 (anciennement A3:2017 Sensitive Data Exposure)

Les défaillances cryptographiques du OWASP Top 10 concernent l’exposition de données sensibles due à un chiffrement absent, faible ou mal implémenté.

Données à risque :

  • Mots de passe stockés en clair ou avec un hachage faible (MD5, SHA-1)
  • Numéros de cartes bancaires non chiffrés
  • Données personnelles (RGPD) transmises en HTTP
  • Clés API et secrets exposés dans le code source

Solutions de protection :

  • Utiliser TLS/HTTPS pour toutes les communications
  • Chiffrer les données sensibles au repos (AES-256)
  • Hacher les mots de passe avec bcrypt, Argon2 ou scrypt
  • Ne jamais stocker de données sensibles inutilement
  • Implémenter une gestion sécurisée des clés cryptographiques

 

 

A03:2021 – Injection

Position dans le OWASP Top 10 : #3 (anciennement #1 jusqu’en 2017)

Les attaques par injection restent parmi les vulnérabilités les plus dangereuses du OWASP Top 10. Elles permettent à un attaquant d’injecter du code malveillant dans une application.

Types d’injections courants :

  • SQL Injection : manipulation de requêtes bases de données
  • NoSQL Injection : exploitation de MongoDB, CouchDB, etc.
  • Command Injection : exécution de commandes système
  • LDAP Injection : manipulation de requêtes d’annuaire
  • XPath Injection : exploitation de requêtes XML

Exemple d’attaque SQL Injection :

SELECT * FROM users WHERE username = 'admin' AND password = '' OR '1'='1'

 

Solutions de protection :

  • Utiliser des requêtes paramétrées (prepared statements)
  • Employer des ORM (Object-Relational Mapping) sécurisés
  • Valider et nettoyer toutes les entrées utilisateur
  • Implémenter une whitelist des caractères autorisés
  • Appliquer le principe de moindre privilège sur les comptes base de données

 

 

A04:2021 – Insecure Design (Conception non sécurisée)

Position dans le OWASP Top 10 : #4 (nouvelle catégorie en 2021)

La conception non sécurisée est une nouveauté du OWASP Top 10 2021. Elle concerne les failles architecturales qui ne peuvent être corrigées par une implémentation parfaite.

Problèmes typiques :

  • Absence de modélisation des menaces
  • Pas de design patterns de sécurité
  • Logique métier contournable
  • Architecture insuffisamment résiliente

Solutions de protection :

  • Intégrer la sécurité dès la phase de conception (Security by Design)
  • Réaliser des modélisations de menaces (STRIDE, PASTA)
  • Utiliser des design patterns sécurisés
  • Impliquer des experts sécurité dès le début du projet
  • Effectuer des revues de design régulières

 

 

A05:2021 – Security Misconfiguration (Mauvaise configuration de sécurité)

Position dans le OWASP Top 10 : #5 (anciennement #6 en 2017)

La mauvaise configuration de sécurité du OWASP Top 10 résulte de paramètres par défaut non modifiés, de fonctionnalités inutiles activées, ou de messages d’erreur trop verbeux.

Erreurs fréquentes :

  • Comptes et mots de passe par défaut non changés
  • Pages d’administration non protégées
  • Stack traces visibles par les utilisateurs
  • Fonctionnalités inutilisées activées
  • En-têtes de sécurité HTTP manquants

Solutions de protection :

  • Automatiser les configurations sécurisées (Infrastructure as Code)
  • Désactiver tous les services et fonctionnalités inutiles
  • Implémenter un processus de hardening
  • Effectuer des audits de configuration réguliers
  • Utiliser des outils de scanning de configuration (OpenSCAP, Lynis)

 

 

A06:2021 – Vulnerable and Outdated Components (Composants vulnérables et obsolètes)

Position dans le OWASP Top 10 : #6 (anciennement A9:2017)

L’utilisation de composants vulnérables expose les applications aux failles de sécurité connues (CVE) présentes dans les bibliothèques et frameworks tiers.

Risques identifiés :

  • Utilisation de versions obsolètes (Java, PHP, Node.js, etc.)
  • Dépendances avec des CVE critiques
  • Absence de patch management
  • Bibliothèques non maintenues

Solutions de protection :

  • Maintenir un inventaire complet des dépendances (SBOM)
  • Utiliser des outils d’analyse de dépendances (Dependabot, Snyk, OWASP Dependency-Check)
  • Mettre à jour régulièrement les composants
  • S’abonner aux alertes de sécurité
  • Supprimer les dépendances inutilisées

 

 

A07:2021 – Identification and Authentication Failures (Échecs d’identification et d’authentification)

Position dans le OWASP Top 10 : #7 (anciennement A2:2017 Broken Authentication)

Les échecs d’authentification du OWASP Top 10 permettent aux attaquants de compromettre des comptes utilisateurs via des mécanismes de connexion faibles.

Vulnérabilités courantes :

  • Absence d’authentification multi-facteurs (MFA)
  • Mots de passe faibles acceptés
  • Absence de limitation des tentatives de connexion
  • Gestion de session non sécurisée
  • Exposition d’identifiants de session dans l’URL

Solutions de protection :

  • Implémenter l’authentification multi-facteurs (MFA/2FA)
  • Appliquer des politiques de mots de passe robustes
  • Limiter les tentatives de connexion (rate limiting)
  • Utiliser des gestionnaires de sessions sécurisés
  • Invalider les sessions après déconnexion
  • Implémenter des délais après échecs de connexion

 

 

A08:2021 – Software and Data Integrity Failures (Échecs d’intégrité logicielle et des données)

Position dans le OWASP Top 10 : #8 (nouvelle catégorie en 2021)

Les échecs d’intégrité du OWASP Top 10 2021 concernent le code et l’infrastructure ne protégeant pas contre les violations d’intégrité.

Scénarios d’attaque :

  • Supply chain attacks (compromission de la chaîne d’approvisionnement)
  • Désérialisation non sécurisée
  • Mises à jour automatiques non vérifiées
  • Pipeline CI/CD compromis

Solutions de protection :

  • Vérifier les signatures numériques des dépendances
  • Utiliser des repositories de confiance
  • Sécuriser le pipeline CI/CD
  • Implémenter des contrôles d’intégrité
  • Éviter la désérialisation de données non fiables

 

 

A09:2021 – Security Logging and Monitoring Failures (Journalisation et surveillance insuffisantes)

Position dans le OWASP Top 10 : #9 (anciennement A10:2017)

Une journalisation insuffisante empêche la détection, l’escalade et la réponse aux incidents de sécurité actifs.

Conséquences :

  • Attaques non détectées pendant des mois
  • Impossibilité d’analyse post-incident
  • Absence de preuves pour enquêtes légales
  • Détection tardive des compromissions

Solutions de protection :

  • Journaliser tous les événements de sécurité critiques
  • Centraliser les logs (ELK, Splunk, Graylog)
  • Implémenter un SIEM (Security Information and Event Management)
  • Configurer des alertes en temps réel
  • Conserver les logs selon les exigences légales
  • Protéger les logs contre la falsification

 

 

A10:2021 – Server-Side Request Forgery (SSRF) (Falsification de requêtes côté serveur)

Position dans le OWASP Top 10 : #10 (nouvelle catégorie en 2021)

La SSRF est une nouvelle entrée du OWASP Top 10 2021. Cette vulnérabilité permet à un attaquant d’utiliser le serveur pour effectuer des requêtes vers des ressources internes ou externes.

Exemples d’exploitation :

  • Scan de ports internes via le serveur
  • Accès à des métadonnées cloud (AWS, Azure)
  • Contournement de pare-feu
  • Accès à des services internes non exposés

Solutions de protection :

  • Valider et filtrer toutes les URL fournies par les utilisateurs
  • Implémenter une whitelist de domaines autorisés
  • Désactiver les redirections HTTP
  • Segmenter le réseau (network segmentation)
  • Utiliser un proxy sortant avec filtrage

 

 

Comment implémenter le OWASP Top 10 dans vos projets ?

1. Intégration dans le cycle de développement (DevSecOps)

  • Phase de conception : modélisation des menaces basée sur le OWASP Top 10
  • Développement : formation des développeurs aux vulnérabilités OWASP
  • Tests : audits de sécurité et pentests couvrant le OWASP Top 10
  • Déploiement : validation des configurations de sécurité
  • Maintenance : surveillance continue et patch management

2. Outils et ressources OWASP

  • OWASP ZAP : scanner de vulnérabilités open-source
  • OWASP Dependency-Check : analyse des dépendances vulnérables
  • OWASP ASVS : standard de vérification de sécurité applicative
  • OWASP Testing Guide : méthodologie complète de tests de sécurité
  • OWASP Cheat Sheet Series : guides pratiques par vulnérabilité

3. Formation et sensibilisation

  • Sessions de formation régulières sur le OWASP Top 10
  • Ateliers pratiques de secure coding
  • Capture The Flag (CTF) internes
  • Veille sur les nouvelles vulnérabilités

 

 

Nous contacter

 

OWASP Top 10 : Évolutions et changements par version

Différences entre OWASP Top 10 2017 et 2021

Nouvelles entrées 2021 :

  • A04:2021 Insecure Design
  • A08:2021 Software and Data Integrity Failures
  • A10:2021 Server-Side Request Forgery (SSRF)

Principales évolutions :

  • Broken Access Control passe de #5 à #1
  • Injection passe de #1 à #3
  • Fusion de plusieurs catégories liées à la cryptographie en A02
  • Suppression de XXE (XML External Entities) comme catégorie séparée

 

 

Checklist OWASP Top 10 pour sécuriser vos applications

Contrôle d’accès : tous les endpoints critiques sont-ils protégés ?
Cryptographie : les données sensibles sont-elles chiffrées ?
Injection : les requêtes paramétrées sont-elles utilisées partout ?
Design : une modélisation des menaces a-t-elle été effectuée ?
Configuration : les paramètres par défaut ont-ils été modifiés ?
Composants : toutes les dépendances sont-elles à jour ?
Authentification : le MFA est-il activé pour les comptes critiques ?
Intégrité : les signatures numériques sont-elles vérifiées ?
Logging : les événements de sécurité sont-ils journalisés ?
SSRF : les URLs utilisateurs sont-elles validées ?

 

 

Pentest sur mesure

 

 

Le OWASP Top 10, pilier de la sécurité applicative

Le OWASP Top 10 n’est pas simplement une liste de vulnérabilités, c’est le fondement de toute stratégie de sécurité applicative moderne. En 2025, avec l’augmentation des cyberattaques ciblant les applications web, maîtriser ce référentiel est devenu indispensable pour :

  • Développeurs : coder de manière sécurisée dès le départ
  • Pentesters : structurer leurs audits de sécurité
  • RSSI : évaluer le niveau de risque de leurs applications
  • Entreprises : démontrer leur conformité aux standards de sécurité

Téléchargez le guide officiel OWASP Top 10 2021 en PDF et intégrez ces recommandations dans votre processus de développement pour construire des applications web résilientes face aux menaces actuelles.

La sécurité n’est pas une fonctionnalité, c’est un processus continu. Le OWASP Top 10 vous fournit la feuille de route pour y parvenir.

 

 

Ressources complémentaires OWASP

Nos articles liés

Vous êtes arrivé jusqu’ici ?
N’en restons pas là.

Vous souhaitez en savoir plus sur nos expertises, nos services et les motivations qui nous animent ?
Venez discuter avec nous et obtenez des réponses pertinentes !

Appelons-nous
OWASP Top 10, le guide complet des vulnérabilités web les plus critiques (2025)
Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site. Si vous continuez à utiliser ce dernier, nous considérerons que vous acceptez l'utilisation des cookies.
Plus d'info