Publication du Top 10 2025 de l’OWASP – Ce que vous devez savoir
Publié le: 28 Nov 2025
Le Top 10 de l’OWASP est depuis longtemps reconnu comme la référence mondiale pour comprendre et relever les défis les plus critiques en matière de sécurité des applications web. Mis à jour tous les deux ans, il s’adapte pour mettre en évidence les dernières tendances en matière d’attaques, les évolutions technologiques et les enseignements tirés d’incidents réels.
L’édition 2025 marque l’une des mises à jour les plus significatives de ces dernières années. En introduisant deux nouvelles catégories et en consolidant les catégories existantes, l’OWASP met l’accent sur les causes profondes plutôt que sur les symptômes isolés, ce qui rend cette version plus conforme à la façon dont les menaces d’aujourd’hui se manifestent réellement.
Quoi de neuf dans le Top 10 2025 de l’OWASP ?
La liste mise à jour comprend désormais dix catégories affinées :
- Contrôle d’accès défaillant
Lorsque des utilisateurs peuvent voir ou faire des choses qu’ils ne devraient pas pouvoir faire, il s’agit souvent de l’une des principales causes des violations de données. - Mauvaise configuration de la sécurité
De simples erreurs de configuration dans les serveurs, les services en nuage ou les cadres laissent des portes ouvertes aux attaquants. - Défaillances de la chaîne d’approvisionnement des logiciels (nouveau)
Risques provenant d’outils, de bibliothèques et de composants tiers sur lesquels repose votre logiciel – une cible de plus en plus importante pour les attaquants. - Défaillances cryptographiques
Problèmes liés à la protection des données sensibles, notamment un cryptage obsolète ou mal utilisé. - Injection
Situations dans lesquelles des attaquants introduisent du code ou des commandes nuisibles dans une application parce que les entrées n’ont pas été vérifiées correctement. - Conception non sécurisée
Les lacunes de sécurité sont intégrées dès le départ, souvent parce que la modélisation des menaces ou les pratiques de conception sécurisée ont été omises. - Défauts d’authentification
Les processus de connexion faibles ou les contrôles d’identité interrompus permettent aux attaquants de se faire passer pour des utilisateurs réels. - Défauts d’intégrité des logiciels ou des données
Lorsque les systèmes font confiance à des sources de données ou de mises à jour erronées, ce qui permet aux pirates d’interférer avec des composants clés. - Défaillances en matière de journalisation et d’alerte
Surveillance inefficace (ou absence de surveillance) qui fait que les attaques passent inaperçues jusqu’à ce que des dommages réels soient causés. - Mauvaise gestion des conditions exceptionnelles (nouveau)
Lorsque les applications ne gèrent pas bien les situations inattendues, telles que les dépassements de délai, les surcharges ou les entrées étranges, elles créent des ouvertures pour les attaquants.
Guide pratique pour les développeurs, les RSSI et les équipes de conformité
Le Top 10 de l’OWASP est un guide pratique pour les développeurs, les RSSI et les équipes de conformité afin de hiérarchiser les risques et de renforcer les défenses. Avec l’ajout de la sécurité de la chaîne d’approvisionnement et de la gestion des erreurs, la mise à jour de 2025 met en évidence l’évolution du paysage des menaces et la nécessité d’une résilience proactive.
Nous sommes en train de concevoir une série de contenus et de ressources pour aider les organisations à comprendre et à traiter chacun de ces risques, qui seront déployés au cours du nouvel exercice financier. L’objectif de ces ressources est de fournir aux chefs d’entreprise et à leurs équipes des informations et des formations concrètes pour leur permettre de garder une longueur d’avance sur l’évolution des risques.
Pour rester au fait des dernières tendances en matière de sécurité, consultez notre page de ressources.
Questions fréquemment posées sur le Top 10 2025 de l'OWASP
Qu'est-ce que l'OWASP ?
L’OWASP (Open Web Application Security Project) est une organisation mondiale à but non lucratif qui se consacre à l’amélioration de la sécurité des applications web. Elle propose des bonnes pratiques, des outils et des ressources pour aider les organisations à identifier et à réduire les risques de cybersécurité.
Qu'est-ce que le Top 10 2025 de l'OWASP ?
Le Top 10 2025 de l’OWASP est une liste des dix risques les plus critiques en matière de sécurité des applications web. Elle reflète les menaces actuelles, les vulnérabilités émergentes et les dernières tendances en matière d’attaques afin d’aider les organisations à renforcer leurs défenses.
Pourquoi la mise à jour OWASP 2025 est-elle importante ?
La mise à jour 2025 introduit de nouvelles catégories et se concentre sur les causes profondes des défaillances de sécurité. Cela permet aux organisations de mieux prévenir les attaques, d’améliorer la gestion des risques et de hiérarchiser efficacement les mesures de cybersécurité.
À qui s'adresse le Top 1025 de l'OWASP ?
Les développeurs, les responsables de la sécurité, les équipes informatiques et les professionnels de la conformité utilisent le Top 2025 de l’OWASP pour identifier les vulnérabilités, hiérarchiser les risques et mettre en œuvre de solides stratégies de sécurité des applications web.
Quelles sont les défaillances de la chaîne d'approvisionnement en logiciels ?
Les défaillances de la chaîne d’approvisionnement des logiciels se produisent lorsque les vulnérabilités des bibliothèques, outils ou services tiers sont exploitées par des pirates. Cette menace croissante est au cœur du Top 10 2025 de l’OWASP, car les attaques de la chaîne d’approvisionnement peuvent compromettre des systèmes entiers.
Où puis-je trouver des ressources pour le Top 10 2025 de l'OWASP ?
Les organisations peuvent accéder à des guides, des formations et des outils pratiques pour faire face aux 10 principaux risques 2025 de l’OWASP sur la page des ressources de MetaCompliance. Ces ressources soutiennent la gestion proactive de la sécurité des applications web.