La nouvelle liste du Top 10 de l’OWASP 2025 : ce qui a changé et ce que vous devez savoir
Senior Content Marketing Manager
La liste tant attendue des 10 principales menaces OWASP 2025 est presque finalisée* : sa version « candidat à la publication » ou « brouillon » a été annoncée le jeudi 6 novembre 2025 lors de la Global AppSec Conference par l'Open Worldwide Application Security Project (OWASP).
Mis à jour tous les quatre ans environ, le Top 10 de l'OWASP reflète les changements intervenus dans le paysage de la cybersécurité et met en évidence les menaces émergentes. Il répertorie les Common Weakness Enumerations (CWE), ou faiblesses courantes des logiciels et du matériel informatique. Cette liste sert de norme de référence et fournit un classement et des conseils de correction pour les dix risques les plus critiques en matière de sécurité des applications. L'objectif de l'OWASP est d'aider les développeurs et les professionnels de la sécurité à mieux comprendre et gérer les menaces.
**Nous publierons des mises à jour de cet article si des ajustements (peu probables) sont effectués à la liste de 2025.**
Alors, que contient la nouvelle liste (presque finalisée) du Top 10 de l’OWASP pour 2025 ?
Réponse courte : la plupart des CWE sont identiques, mais il y a deux mises à jour importantes à prendre en compte. Ces changements, que nous examinerons dans la section suivante, soulignent la complexité et l'interconnexion croissantes des logiciels (et les risques qui y sont associés). Il est essentiel de comprendre ces mises à jour de 2025 pour tous les programmes AppSec.
A01:2025 - Contrôle d'accès défaillant (A01 en 2021) Description de l'OWASP : le contrôle d'accès applique une politique telle que les utilisateurs ne peuvent pas agir en dehors des autorisations qui leur sont accordées. Les défaillances entraînent généralement la divulgation non autorisée d'informations, la modification ou la destruction de toutes les données, ou l'exécution d'une fonction commerciale en dehors des limites de l'utilisateur.
A02:2025 - Mauvaise configuration de sécurité (A05 en 2021)
Description de l'OWASP : une mauvaise configuration de sécurité se produit lorsqu’un système, une application ou un service cloud est configuré de manière incorrecte du point de vue de la sécurité, créant ainsi des vulnérabilités.
A03:2025 - Défaillances de la chaîne logistique des logiciels (Nouveau en 2025)
Description de l'OWASP : les défaillances de la chaîne logistique des logiciels sont des pannes ou d'autres compromis dans le processus de construction, de distribution ou de mise à jour des logiciels. Elles sont souvent causées par des vulnérabilités ou des modifications malveillantes dans le code, les outils ou d'autres dépendances tiers sur lesquels repose le système.
A04:2025 - Échecs cryptographiques (A02 en 2021)
Description de l'OWASP : Cette faiblesse se concentre sur les échecs liés à l'absence de cryptographie, une cryptographie insuffisamment forte, la fuite de clés cryptographiques et les erreurs connexes.
A05:2025 - Injection (A03 en 2021)
Description de l'OWASP : une vulnérabilité par injection est une faille du système qui permet à un hacker d'insérer du code ou des commandes malveillantes (telles que du code SQL ou shell) dans les champs d'entrée d'un programme, trompant ainsi le système pour qu'il exécute le code ou les commandes comme s'ils faisaient partie du système. Cela peut entraîner des conséquences vraiment désastreuses.
A06:2025 - Conception non sécurisée (A04 en 2021)
Description de l'OWASP : la conception non sécurisée est une vaste catégorie représentant différentes failles, exprimées comme « une absence ou inefficacité des contrôles prévus ».
A07:2025 - Échecs d'authentification (A07 en 2021)
Description de l'OWASP : lorsqu'un hacker est capable de tromper un système pour qu'il reconnaisse un utilisateur invalide ou incorrect comme légitime.
A08:2025 - Défauts d'intégrité des logiciels ou des données (A08 en 2021)
Description de l'OWASP : les défauts d'intégrité des logiciels et des données concernent le code et l'infrastructure qui ne protègent pas contre le fait qu'un code ou des données invalides ou non fiables soient traités comme fiables et valides.
A09:2025 - Échecs de logging et d'alerte (A09 en 2021)
Description de l'OWASP : sans logging et surveillance, les attaques et les failles ne peuvent pas être détectées, et sans alerte, il est très difficile de répondre rapidement et efficacement lors d'un incident de sécurité. L'insuffisance de logging, de surveillance continue, de détection et d'alerte pour initier des réponses actives peut survenir à tout moment.
A10:2025 - Mauvaise gestion des conditions exceptionnelles (Nouveau en 2025)
Description de l’OWASP : La mauvaise gestion des conditions exceptionnelles dans les logiciels se produit lorsque les programmes ne parviennent pas à prévenir, détecter et répondre à des situations inhabituelles et imprévisibles, ce qui entraîne des plantages, des comportements inattendus et parfois des vulnérabilités. Cela peut impliquer un ou plusieurs des 3 défauts suivants : l’application n’empêche pas la survenue d’une situation inhabituelle, elle n’identifie pas la situation au moment où elle se produit et/ou elle réagit mal ou pas du tout à la situation par la suite.
Qu'est-ce qui a changé dans le Top 10 de l'OWASP de 2025 ?
La liste 2025 a vu l'ajout de deux nouvelles catégories : défaillances de la chaîne d'approvisionnement des logiciels et mauvaise gestion des conditions exceptionnelles, ainsi qu'une consolidation où la catégorie 2021 A10 : falsification de requête côté serveur (SSRF) a été intégrée dans la catégorie A01:2025 contrôle d'accès défaillant.
Les A02, A03 et A04 de l'édition 2021 ont reculé de quelques places, mais sont restés dans le même ordre, ce qui indique que, bien qu'ils soient toujours courants, d'autres CWE sont plus préoccupants dans la nouvelle liste 2025.
Le thème global des changements de 2025 était un clin d'œil à la vision d'ensemble : au lieu de concentrer les efforts sur des défauts spécifiques, des thèmes ont émergé autour de la considération du cycle de vie de développement du logiciel (SDLC) dans son ensemble.
NOUVEAU A03 - Défaillances de la chaîne logistique des logiciels
La première, A03 - Défaillances de la chaîne d'approvisionnement logicielle, est une extension de la catégorie de 2021 intitulée « Composants vulnérables et obsolètes ». L’objectif de cette extension était d’inclure l’ensemble de la chaîne d’approvisionnement logicielle, et non seulement les impacts limités des composants sur cette chaîne. En 2025, il englobe désormais tout ce qui est lié au « processus de création, de distribution ou de mise à jour de logiciels ».
L'OWASP note que « les défaillances de la chaîne logistique continuent d'être difficiles à identifier ». L'extension de cette catégorie témoigne de la reconnaissance de la complexité de la chaîne logistique des logiciels ; tout ce qui touche à une partie du processus de développement peut avoir un impact négatif sur le résultat, avec un vaste périmètre de sécurité à couvrir.
NOUVEL A10 - Mauvaise gestion des conditions exceptionnelles
La deuxième nouvelle catégorie, A10 - Mauvaise gestion des conditions exceptionnelles, fait référence à l'importance de se concentrer sur la résilience. L'OWASP insiste sur le fait que « la détection et la gestion des conditions exceptionnelles garantissent que l'infrastructure sous-jacente de nos programmes n'est pas confrontée à des situations imprévisibles ». Ils conseillent aux organisations de « s'attendre au pire » lorsqu'il s'agit de détecter toutes les erreurs système possibles.
Cet ajout témoigne de la nécessité d'un changement de culture au sein des équipes afin de se préparer à l'échec, c'est-à-dire que les organisations doivent anticiper quand et comment les choses peuvent mal tourner (et partir du principe qu'elles le feront). Cela implique de mettre en place des pratiques et des procédures pour gérer les échecs avec élégance (autrement dit, « renforcer la résilience »). L'OWASP recommande aux organisations d'évaluer leurs programmes de sécurité des applications par rapport à des cadres standard afin de déterminer leur niveau de maturité et d'apporter les ajustements nécessaires.
FUSIONNÉS : A10:2021 Falsification de requêtes côté serveur dans A01:2025 Contrôle d'accès défaillant
Dans la liste de 2021, la catégorie A10:2021 Falsification de requêtes côté serveur était une catégorie à part entière. En 2025, la falsification des requêtes côté serveur (SSRF) a été intégrée à la catégorie Contrôle d'accès brisé de 2025.
Cela reflète la perspective selon laquelle de nombreux problèmes de SSRF sont fondamentalement liés à un contrôle d'accès inapproprié, permettant à un hacker de contraindre un serveur à effectuer des requêtes qu'il ne devrait pas être en mesure d'effectuer (par exemple, vers des services internes ou des points d'extrémité de métadonnées). Plutôt que de suivre les SSRF séparément, l’OWASP les traite désormais comme une manifestation spécifique d’un contrôle d’accès défaillant.
Qu’est-ce que cela signifie pour votre programme de sécurité ?
Les modifications apportées à la liste des 10 principaux éléments soulignent la nécessité d’adopter un cadre de sécurité plus complet tout au long du cycle de vie de développement du logiciel. Au plus haut niveau, l'OWASP recommande de mettre en place et d'utiliser des processus de sécurité reproductibles et des contrôles de sécurité standard dans tous vos environnements. Plus précisément, ils ont fourni cinq domaines d'amélioration basés sur les résultats de la liste de 2025.
Établir une approche basée sur les risques
L'OWASP recommande vivement aux organisations d'envisager le risque d'un point de vue commercial, de la satisfaction des exigences réglementaires à l'identification des besoins du portefeuille d'applications, vous devez établir un niveau de tolérance au risque. À partir de cette tolérance au risque, l’utilisation d’un modèle commun d’évaluation du risque peut aider à fournir une façon structurée d’évaluer le risque.
Créer une base solide pour le programme de sécurité
L'OWASP recommande aux organisations d'établir des politiques et des normes qui fournissent une base de référence à laquelle toutes les équipes de développement et de sécurité doivent se conformer.
Intégrez la sécurité dans les processus existants
En intégrant la sécurité dans les processus de développement et opérationnels existants, vous pouvez maintenir la vitesse de développement tout en prenant note des domaines à améliorer dans les processus et outils existants.
Prioriser la formation en sécurité des applications
Les programmes de promotion de la sécurité, ou au moins une formation générale en matière de sécurité, devraient être obligatoires, car la sécurité est la responsabilité de tous.
Offrir une visibilité aux parties prenantes de haut niveau
Selon l’OWASP, les organisations doivent viser à « gérer avec des métriques ». Cela signifie prendre des décisions basées sur une visibilité claire des fonctionnalités du programme AppSec.
Vous pouvez trouver une discussion plus détaillée des recommandations de l'OWASP ici.
Comment Fastly peut vous aider à vous protéger contre le Top 10 de l’OWASP
La résolution des risques de sécurité figurant dans le Top 10 de l’OWASP nécessite une approche de sécurité multicouche et une analyse globale du programme de sécurité existant. D’une manière générale, les organisations doivent s’assurer que la sécurité est prise en compte, du codage à l’infrastructure et aux composants tiers.
Classement | Catégorie | La solution de Fastly |
|---|---|---|
A01:2025 | Contrôle d'accès défaillant | - Le Next-Gen WAF de Fastly bloque les requêtes malveillantes (comme la traversée de répertoire) avant qu'elles n'atteignent l'origine. |
A02:2025 | Mauvaise configuration de sécurité | - La plateforme Fastly Edge Cloud peut également être configurée pour ajouter des en-têtes de sécurité tels que Content-SecurityPolicy et Strict-Transport-Security. Le paramétrage automatique des en-têtes de réponse renvoyés aux clients depuis la périphérie peut offrir une couche de protection supplémentaire contre les applications ou les serveurs d'origine mal configurés. |
A03:2025 | Défaillances de la chaîne d'approvisionnement logicielle | - Pour le reste de votre chaîne d'approvisionnement logiciel, le Next-Gen WAF propose des correctifs virtuels pour les menaces émergentes et les nouvelles CVE. Les correctifs virtuels offrent une protection temporaire contre les nouvelles vulnérabilités, en bloquant les tentatives d'exploiter pendant que le logiciel sous-jacent est corrigé. - Fastly, en tant que partie intégrante de votre chaîne logistique logicielle, peut se mettre à jour automatiquement vers la dernière version, garantissant ainsi que vos services sont protégés contre les bogues et autres problèmes |
A04:2025 | Défaillances Cryptographiques | - La plateforme Edge Cloud de Fastly gère la terminaison de la sécurité de la couche de transport et l'accélération à l'échelle mondiale avec des paramètres par défaut sécurisés (tels que TLS 1.3 et la suppression des chiffrements faibles) pour les clients. Nous pouvons garantir que les algorithmes et protocoles de chiffrement faibles ne sont pas autorisés pour les requêtes adressées aux zones sensibles de l'application ni pour aucune requête de l'application. |
A05:2025 | Injection | - Le Next-Gen WAF de Fastly détecte par défaut les attaques par injection sans nécessiter de règles ou de réglages supplémentaires. - Le Next-Gen WAF de Fastly utilise SmartParse, sa technologie de détection propriétaire, conçue pour prendre des décisions instantanées en ligne afin de déterminer si des charges utiles malveillantes ou anormales sont présentes. En évaluant le contexte de la requête et la manière dont elle serait réellement exécutée, SmartParse prend des décisions très précises. |
A06:2025 | Conception non sécurisée | - Le Next-Gen WAF permet de créer des signaux personnalisés pour surveiller l'activité sur les chemins ou les flux sensibles dans une application. Par exemple, si une application est conçue autour d'un flux /checkout et qu'il s'agit d'un chemin d'accès sensible, vous pouvez associer un signal personnalisé aux requêtes client pour cette partie de l'application. Le signal personnalisé vous permettra de surveiller l'activité et de créer des règles de blocage ou de limitation du débit basées sur les propriétés de la requête en cas de comportement abusif. |
A07:2025 | Échecs d'authentification | - Le Next-Gen WAF peut être configuré pour se protéger contre les attaques par force brute, telles que le bourrage d’identifiants, en détectant ces attaques et en bloquant les tentatives de connexion du hacker. Toutes les tentatives de connexion infructueuses sont enregistrées, et les administrateurs sont immédiatement alertés lorsque le hacker est détecté. - Le Next-Gen WAF peut détecter les tentatives d'authentification non sécurisées, comme l'utilisation de jetons JSON avec l'algorithme « none ». |
A08:2025 | Défaillances d'intégrité des logiciels ou des données | - Le Next-Gen WAF inspecte toutes les requêtes pour des attaques telles que les attaques par injection. |
AO9:2025 | Logging et alerte des défaillances | - Le Next-Gen WAF surveille toutes les requêtes HTTP entrantes afin de détecter les attaques et les anomalies. Cela inclut la surveillance et le logging de toutes les tentatives de connexion, qu'elles soient réussies ou non. - Le Next-Gen WAF envoie des notifications d'événements en temps réel à une liste d'intégrations webhook par défaut dans le tableau de bord. |
A10:2025 | Mauvaise gestion de conditions exceptionnelles | - Fastly offre une DDoS Protection automatique, des rate limits configurables, des alertes pour les conditions anormales lorsque cela est possible, et la création de sources de vérité pour votre programme AppSec via des tableaux de bord complets qui vous permettent d'évaluer rapidement si quelque chose ne fonctionne pas correctement. |
Si vous consultez le nouveau Top 10 de l'OWASP et que vous vous demandez ce que cela signifie réellement pour vos applications, nous sommes là pour vous aider. N’hésitez pas à contacter notre équipe d’experts en sécurité ou l'équipe responsable de votre compte Fastly.