OWASP Top 10 2025 : Les nouvelles menaces web à connaître
Découvrez les 10 principales vulnérabilités web selon l'OWASP pour 2025. Comprendre ces menaces pour mieux protéger votre site.
OWASP Top 10 2025 : Les nouvelles menaces web à connaître
L'OWASP Top 10 est la référence mondiale des vulnérabilités web les plus critiques. La version 2025 apporte des évolutions importantes qu'il faut connaître pour protéger efficacement votre site.
Qu'est-ce que l'OWASP Top 10 ?
L'Open Web Application Security Project (OWASP) publie tous les 3 ans une liste des 10 vulnérabilités web les plus critiques. Cette liste est basée sur des données réelles de milliers d'applications web auditées.
Les 10 vulnérabilités critiques de 2025
1. A01:2021 – Broken Access Control
Impact : Très élevé
Fréquence : Très élevée
Description : Contrôles d'accès défaillants permettant d'accéder à des ressources non autorisées.
Exemples :
- Accès direct aux fichiers via URL
- Élévation de privilèges
- Modification de paramètres d'URL
Protection :
// Vérification des permissions côté serveur
function checkUserPermission(userId, resourceId) {
return userHasAccess(userId, resourceId);
}2. A02:2021 – Cryptographic Failures
Impact : Très élevé
Fréquence : Élevée
Description : Échecs liés à la cryptographie, exposant des données sensibles.
Exemples :
- Données non chiffrées en transit
- Algorithmes de chiffrement faibles
- Clés de chiffrement exposées
Protection :
- Utiliser HTTPS partout
- Chiffrer les données sensibles au repos
- Utiliser des algorithmes robustes (AES-256, RSA-2048)
3. A03:2021 – Injection
Impact : Très élevé
Fréquence : Élevée
Description : Injection de code malveillant via des entrées utilisateur.
Types :
- SQL Injection
- NoSQL Injection
- Command Injection
- LDAP Injection
Protection :
-- Utiliser des requêtes préparées
PREPARE stmt FROM 'SELECT * FROM users WHERE id = ?';
EXECUTE stmt USING @user_id;4. A04:2021 – Insecure Design
Impact : Élevé
Fréquence : Élevée
Description : Défauts de conception de sécurité dans l'architecture.
Exemples :
- Absence de contrôles de sécurité
- Architecture non sécurisée
- Modèles de menace non définis
Protection :
- Intégrer la sécurité dès la conception
- Effectuer des revues de sécurité
- Utiliser des patterns sécurisés
5. A05:2021 – Security Misconfiguration
Impact : Élevé
Fréquence : Très élevée
Description : Configuration de sécurité incorrecte ou par défaut.
Exemples :
- Pages d'erreur détaillées
- Services inutiles activés
- Headers de sécurité manquants
Protection :
# Headers de sécurité
Header always set X-Content-Type-Options nosniff
Header always set X-Frame-Options DENY
Header always set X-XSS-Protection "1; mode=block"6. A06:2021 – Vulnerable and Outdated Components
Impact : Élevé
Fréquence : Élevée
Description : Composants avec des vulnérabilités connues.
Exemples :
- CMS non mis à jour
- Bibliothèques obsolètes
- Plugins vulnérables
Protection :
- Inventaire des composants
- Surveillance des vulnérabilités
- Mises à jour régulières
7. A07:2021 – Identification and Authentication Failures
Impact : Élevé
Fréquence : Élevée
Description : Défaillances dans l'identification et l'authentification.
Exemples :
- Mots de passe faibles
- Session fixation
- Brute force non protégé
Protection :
- Authentification multi-facteurs
- Limitation des tentatives de connexion
- Gestion sécurisée des sessions
8. A08:2021 – Software and Data Integrity Failures
Impact : Élevé
Fréquence : Moyenne
Description : Défaillances dans l'intégrité du logiciel et des données.
Exemples :
- Supply chain compromise
- Données corrompues
- Mises à jour non vérifiées
Protection :
- Vérification des signatures
- Checksums des fichiers
- Chaîne d'approvisionnement sécurisée
9. A09:2021 – Security Logging and Monitoring Failures
Impact : Élevé
Fréquence : Très élevée
Description : Défaillances dans la journalisation et la surveillance.
Exemples :
- Logs insuffisants
- Absence de monitoring
- Alertes non configurées
Protection :
// Journalisation sécurisée
logger.info('User login attempt', {
userId: user.id,
ip: req.ip,
userAgent: req.get('User-Agent'),
timestamp: new Date().toISOString()
});10. A10:2021 – Server-Side Request Forgery (SSRF)
Impact : Élevé
Fréquence : Moyenne
Description : Forçage de requêtes côté serveur vers des ressources non autorisées.
Exemples :
- Accès aux services internes
- Scan de ports internes
- Accès aux métadonnées cloud
Protection :
- Validation des URLs
- Listes blanches d'URLs autorisées
- Isolation réseau
Évolutions 2025 vs 2021
Nouvelles entrées
- A04: Insecure Design (nouveau)
- A08: Software and Data Integrity Failures (nouveau)
Changements de position
- A01: Broken Access Control (était A05)
- A02: Cryptographic Failures (était A03)
Sorties
- XML External Entities (XXE)
- Insecure Deserialization
Comment appliquer l'OWASP Top 10
1. Audit de votre application
- Scan automatisé des vulnérabilités
- Test de pénétration manuel
- Revue de code sécurisée
2. Priorisation des corrections
- Évaluer l'impact business
- Calculer le risque (Impact × Probabilité)
- Corriger les vulnérabilités critiques en premier
3. Mise en place de contrôles
- Intégrer la sécurité dans le cycle de développement
- Former les équipes aux bonnes pratiques
- Mettre en place un processus de revue
Outils recommandés
Scanners de vulnérabilités
- OWASP ZAP (gratuit)
- Burp Suite (commercial)
- Nessus (commercial)
Tests de sécurité
- SQLMap (injection SQL)
- Nikto (vulnérabilités web)
- Nmap (scan de ports)
Points clés à retenir
✅ L'OWASP Top 10 est la référence mondiale
✅ Les vulnérabilités évoluent, restez à jour
✅ La sécurité doit être intégrée dès la conception
✅ Un audit régulier est essentiel
Articles similaires
Checklist d'hygiène web : 20 points pour sécuriser votre site
Une checklist complète de 20 points essentiels pour maintenir la sécurité de votre site web. À appliquer régulièrement.