Qu’est-ce que l’OWASP ?
Open Web Application Security Project : une communauté en ligne travaillant sur la sécurité des applications Web, libre et ouverte à tous, publiant des recommandations de sécurisation et proposant des méthodes et outils de référence.
Comment l’OWASP répertorie-t-il le Top 10 des menaces ?
L’OWASP répertorie le Top 10 en fonction des types de produits/services : collecte de données sur menaces récentes, analyse par experts en sécurité, vote de la communauté sur failles en émergence, constitution du top 10 (8 failles basées sur données, 2 sur votes).
Quelle est la formule de calcul du risque selon l’OWASP ?
Risque = (Exploitabilité + Prévalence + Détectabilité) x (impact technique + impact d’affaire)
Quelle est la vulnérabilité #1 du Top 10 Web 2021 ?
A01-2025 : Broken Access Control
Qu’est-ce que “Broken Access Control” inclut comme vulnérabilités ?
Violation du ‘Least Privilege’ ou ‘Deny by default’, contournement des autorisations (manipulation d’URLs), voir ou éditer le compte d’un autre usager, accès à des verbes de modifications sans vérification, manipulation de données comme JWT, CORS.
Qu’est-ce que “Security Misconfiguration” ?
Aucune résilience dans le cycle de l’application, fonctionnalités en surplus non-utilisées, compte/mot de passe par défaut, messages d’erreur révélateurs avec stacktrace, désactivation par défaut des mises à jour, valeurs non-sécuritaires par défaut des frameworks.
Que couvre “Software Supply Chain Failure” ?
Composantes vulnérables ou pas à jour, mauvaise connaissance des versions utilisées, pas de scan de vulnérabilités régulier, pas de processus de mise à jour, mauvaise gestion des sources de librairies, CI/CD non sécurisé, mauvaise séparation des rôles.
Quelles sont les failles cryptographiques mentionnées dans le Top 10 ?
Utilisation d’un protocole texte en clair (HTTP, FTP), algorithmes dépassés ou faibles, fonctions de hachage faibles, validation incorrecte du certificat x.509 (SSL), utilisation d’un PRNG non-sécuritaire, vulnérabilités dans les fonctions cryptographiques, présence de clés dans les repo de code.
Qu’est-ce que l’injection selon OWASP Top 10 ?
Aucune validation (validations, filtres, sanitization) des inputs, requêtes dynamiques non-paramétrées, pollution des requêtes avec des données hostiles.
Qu’est-ce que “Insecure Design” ?
Un design non-sécuritaire ne peut être rattrapé par une implémentation parfaite. C’est un problème de culture dans le développement que le ‘Shift left’ et DevSecOps veulent prévenir en plaçant la sécurité directement dans le cycle de développement.
Quelles failles sont incluses dans “Authentication Failures” ?
Brute Force possible, mots de passe faibles acceptés, mauvais processus de recouvrement de mot de passe (Knowledge-base answers), stockage des mots de passe mal sécurisé, pas de MFA, mauvais mécanisme de déconnection (JWT toujours valide).
Que couvre “Software and Data Integrity Failures” ?
CI/CD insécure, utilisation de composantes de sources avec peu de confiance, problèmes d’auto-update, désérialisation insécure des données/objets.
Qu’est-ce que “Logging and Alerting Failures” ?
Actions à haute valeur non loggées (login/attempts), logs de faible qualité (pas l’info qu’on veut, trop de faux positifs), logs non analysés pour détection d’évènements suspects, mauvais stockage de logs (destruction, falsification), PenTest ne déclenchant pas d’alarmes, pas d’actions automatisées ou de plan d’actions.
Qu’est-ce que “Mishandling of Exceptional Conditions” ?
Échec de prévenir une situation exceptionnelle, échec d’identifier une situation exceptionnelle, réponse faible à une situation exceptionnelle.
Qu’est-ce que l’ASVS ?
Application Security Verification Standard : un cadre de vérification définissant les requis de sécurité pour le design, le développement et les tests des applications modernes.
Quels sont les 4 axes couverts par l’ASVS ?
Application (sécurisation des applications, API, authentification), Sécurité (requis testables alignés sur menaces), Vérification (méthodologie pour audits de sécurité), Standard (minimum global pour application et mesure uniforme).
Combien de requis testables contient l’ASVS version 5.0 ?
Environ 350 requis testables répartis dans 17 catégories.
Combien de niveaux l’ASVS définit-il et quelle est leur répartition ?
3 niveaux :
Niveau 1 - Minimum (environ 20%),
Niveau 2 - Standard (environ 50%),
Niveau 3 - Avancé (environ 30%).
Que couvre le Niveau 1 de l’ASVS ?
Le niveau critique à couvrir, premier niveau de défense. Nombre de requis bas (~120) pour faciliter l’application. Majoritairement des processus et configurations minimales pour la sécurité (stocker mots de passe avec hachage résistant, principe du refus par défaut, chiffrer communications externes avec TLS).
Que couvre le Niveau 2 de l’ASVS ?
Niveau cible pour la majorité des applications (sauf finance, santé, gouvernements). Couvre tous les requis du Niveau 1 + niveau 2 (70% des mesures). Mesures de protections passives et actives : protection contre brute force, JWT de courte durée + jeton de rafraichissement, règles d’accès basées sur moindre privilège.
Que couvre le Niveau 3 de l’ASVS ?
Plus haut niveau couvrant protections en profondeur et mécanismes plus efficaces dont l’implémentation est complexe. Couvre tous les requis des 3 niveaux (100%). Activer Content Security Policies, forcer ré-authentification pour actions risquées, traçabilité de toutes les actions des utilisateurs.
Quels sont quelques exemples de Top 10 OWASP disponibles ?
WEB 2025, API 2023, Mobile 2024, LLM App 2025, CI/CD, Cloud, LowCode, Desktop app, Docker.
Quelle est la vulnérabilité #1 du Top 10 API 2023 ?
API1-2023 : Broken Object Level Authorization
Top 10 OWASP Web 2021
Rang 1
Identifiant: A01-2025
Vulnérabilité: Broken Access Control
Rang 2 (+3)
Identifiant: A02-2025
Vulnérabilité: Security Misconfiguration
Rang 3 (+3)
Identifiant: A03-2025
Vulnérabilité: Software Supply Chain Failures*
Rang 4 (-2)
Identifiant: A04-2025
Vulnérabilité: Cryptographic Failures
Rang 5 (-2)
Identifiant: A05-2025
Vulnérabilité: Injection
Rang 6 (-2)
Identifiant: A06-2025
Vulnérabilité: Insecure Design
Rang 7
Identifiant: A07-2025
Vulnérabilité: Authentication Failures
Rang 8
Identifiant: A08-2025
Vulnérabilité: Software and Data Integrity Failures
Rang 9
Identifiant: A09-2025
Vulnérabilité: Logging And Alerting Failures*
Rang 10 (New)
Identifiant: A10-2025
Vulnérabilité: Mishandling for Exceptional Conditions
- Sondage de la communauté
