Le OWASP Top 10 est le standard le plus reconnu en matière de risques de sécurité des applications web. Que vous soyez développeur, ingénieur sécurité ou dirigeant — ce guide explique chaque catégorie avec des exemples concrets, techniques de détection et stratégies de remédiation.
Un document de sensibilisation mis à jour périodiquement qui classe les risques de sécurité les plus critiques pour les applications web. Basé sur l'analyse de données de centaines d'organisations, des enquêtes communautaires et des données réelles de violations. Référencé par PCI DSS, DORA, NIS2 et de nombreuses normes industrielles.
Vulnérabilité n°1 la plus courante — trouvée dans 94 % des applications testées.
/api/users/123/profile en /api/users/124/profile/admin/dashboardAnciennement « Exposition de données sensibles » — renommé pour se concentrer sur la cause profonde.
Imposer HTTPS partout avec HSTS. Utiliser AES-256, bcrypt/Argon2, SHA-256+. Ne jamais coder en dur les secrets — utiliser Vault ou AWS Secrets Manager. Chiffrer les données au repos. Désactiver TLS 1.0/1.1.
La vulnérabilité web classique — toujours dans le top 3 après deux décennies.
' OR 1=1 -- et des attaques bien plus sophistiquéesRequêtes paramétrées pour toutes les interactions DB. Validation des entrées avec listes blanches. Encodage de la sortie selon le contexte. En-têtes Content Security Policy. Comptes DB avec privilèges minimaux. Utilisation cohérente des ORM.
Nouvelle catégorie — défauts au niveau de la conception, pas des bugs d'implémentation.
Solution : Intégrer la modélisation des menaces (STRIDE, PASTA) dans la phase de conception. Utiliser des patrons de conception sécurisés. Rédiger des cas d'abus en parallèle des cas d'usage.
Trouvée dans 90 % des applications testées.
Processus de durcissement reproductible. Supprimer toutes les fonctionnalités inutiles. Implémenter tous les en-têtes de sécurité. Automatiser la gestion de configuration avec l'IaC. Audits de configuration réguliers. Utiliser le CSPM pour le cloud.
Solution : Maintenir un inventaire des composants (SBOM). Surveiller en continu les bases CVE. Supprimer les dépendances inutilisées. Automatiser les mises à jour avec Dependabot/Renovate.
Implémenter le MFA. Imposer des mots de passe forts avec vérification dans les bases de fuites. Limitation de débit sur les endpoints d'authentification. Gestion de session sécurisée (IDs aléatoires, flags HTTPOnly/Secure). Invalider les sessions à la déconnexion/changement de mot de passe.
Solution : Signatures numériques sur tous les logiciels/données. Subresource Integrity (SRI) pour les ressources externes. CI/CD sécurisé avec contrôles d'accès et signature. Éviter la désérialisation non sécurisée — utiliser JSON.
Temps moyen pour identifier une violation : 204 jours (IBM 2024). Sans journalisation adéquate, les attaquants peuvent établir leur persistance, exfiltrer des données et étendre leur emprise — le tout sans déclencher d'alarme.
Solution : Journaliser tous les événements d'authentification, les échecs de contrôle d'accès et les échecs de validation des entrées. Inclure le contexte (horodatage, utilisateur, IP, action). Centraliser les logs dans un SIEM inviolable. Implémenter des alertes automatisées. Tester régulièrement les capacités de détection.
Nouvelle catégorie — ajoutée en raison de la prévalence croissante dans les architectures cloud-natives.
http://169.254.169.254/ pour les identifiants IAMValider toutes les URL fournies par l'utilisateur côté serveur. Utiliser des listes blanches pour les domaines autorisés. Bloquer les plages d'IP privées (10.x, 172.16.x, 169.254.x, 127.x). Désactiver les schémas d'URL inutiles (file://, gopher://). Utiliser IMDSv2 sur AWS. Segmenter les services de récupération d'URL.
| Catégorie OWASP | Couverture KENSAI |
|---|---|
| A01 Contrôle d'accès défaillant | Tests IDOR, contournement d'autorisation, vérifications CORS |
| A02 Défaillances cryptographiques | Analyse TLS, vérification des en-têtes, validation du chiffrement |
| A03 Injection | SQL, XSS, injection de commandes, SSTI, injection d'en-têtes |
| A04 Conception non sécurisée | Limitation de débit, ressources prévisibles, tests logiques |
| A05 Mauvaise configuration | En-têtes, valeurs par défaut, divulgation d'information, méthodes HTTP |
| A06 Composants vulnérables | Fingerprinting technologique, base de 332K+ CVE |
| A07 Défaillances d'authentification | Identifiants par défaut, tests de session, analyse des cookies |
| A08 Défaillances d'intégrité | Vérifications SRI, tests de désérialisation |
| A09 Défaillances de journalisation | Analyse des en-têtes de sécurité, revue de gestion des erreurs |
| A10 SSRF | Injection d'endpoints internes, tests de métadonnées cloud |
Scan gratuit — sans engagement, sans carte bancaire. DAST alimenté par l'IA avec rapports prêts pour la conformité.
Lancer le Scan Gratuit →Contrôle d'accès défaillant (A01) — trouvé dans 94 % des applications testées. Elle est passée de la position 5 à la position 1, reflétant l'échec généralisé à appliquer l'autorisation, particulièrement dans les API et SPA.
Le OWASP Top 10 en lui-même est volontaire. Cependant, il est référencé par PCI DSS (exige de traiter le OWASP Top 10), NIS2 (attend une gestion systématique des vulnérabilités), DORA (référence les tests selon les standards industriels) et de nombreuses évaluations fournisseurs. En pratique, c'est effectivement obligatoire.
Les outils DAST automatisés détectent efficacement la plupart des catégories — en particulier l'injection (A03), les défaillances cryptographiques (A02), les mauvaises configurations (A05) et les composants vulnérables (A06). Certaines catégories comme la conception non sécurisée (A04) et les défaillances de journalisation (A09) nécessitent souvent une évaluation manuelle. Utilisez le scan automatisé pour la couverture + les tests manuels pour la profondeur.
Tous les 3 à 4 ans. Versions majeures : 2013, 2017, 2021. Chaque mise à jour reflète l'évolution du paysage des menaces — la mise à jour 2021 a introduit la conception non sécurisée (A04) et le SSRF (A10) tout en réorganisant les autres.
La sécurité n'est pas optionnelle.
🗡️ L'équipe KENSAI
Get a free security scan of your website in 60 seconds
Free Security Scan →