L’OWASP Top 10, c’est quoi exactement ?
Si vous vous intéressez un tant soit peu à la sécurité informatique, vous avez forcément croisé le nom OWASP — pour Open Worldwide Application Security Project. Il s’agit d’une fondation à but non lucratif, mondialement reconnue, dont la mission est d’améliorer la sécurité des logiciels. Parmi ses publications les plus attendues figure le célèbre Top 10, une liste des dix catégories de vulnérabilités les plus critiques affectant les applications web. Ce document de référence, mis à jour régulièrement, sert de boussole à des milliers de développeurs, d’architectes logiciels et de responsables sécurité à travers le monde — y compris en France, où les DSI et les équipes DevSecOps s’en servent comme base de travail au quotidien. La version 2025 apporte son lot de nouveautés, et il est important de comprendre ce qui change, et pourquoi.
Ce qui change par rapport aux éditions précédentes
La dernière édition majeure de l’OWASP Top 10 datait de 2021. En quatre ans, le paysage des menaces a considérablement évolué : généralisation des architectures cloud, explosion des APIs, adoption massive de l’intelligence artificielle dans les applications web, et bien sûr, professionnalisation croissante des attaquants. La version 2025 intègre ces nouvelles réalités. Parmi les évolutions notables, on remarque une attention renforcée portée aux vulnérabilités liées aux composants tiers et aux dépendances logicielles — un sujet qui avait déjà fait son entrée en 2021 avec la catégorie A06 – Vulnerable and Outdated Components, mais qui prend encore plus d’ampleur aujourd’hui avec la multiplication des attaques de type supply chain. L’affaire SolarWinds ou encore les failles répétées dans des bibliothèques open source très populaires ont montré à quel point ce vecteur d’attaque est devenu stratégique pour les cybercriminels.
Autre évolution significative : la montée en puissance des problématiques liées à la sécurité des APIs. Les applications modernes reposent quasi systématiquement sur des APIs REST ou GraphQL pour communiquer entre elles, et ces interfaces sont devenues des cibles privilégiées. L’OWASP maintient d’ailleurs une liste dédiée — l’OWASP API Security Top 10 — mais la version 2025 du Top 10 classique intègre désormais plus explicitement ces enjeux dans plusieurs de ses catégories, notamment autour du contrôle d’accès et de la gestion de l’authentification.
Les nouvelles entrées et les repositionnements majeurs
Sans entrer dans un niveau de détail purement technique, voici les grandes tendances qui ressortent du classement 2025. Premièrement, les failles d’injection restent en tête de liste — une constante depuis des années. SQL, NoSQL, commandes système : ces attaques consistent à injecter du code malveillant dans une requête afin de manipuler le comportement de l’application. Malgré des décennies de sensibilisation, elles restent tristement efficaces, notamment dans les projets mal maintenus ou développés rapidement sans revue de code sérieuse.
Deuxièmement, une nouveauté importante : l’apparition explicite des vulnérabilités liées à l’IA et aux modèles de langage (LLM). Avec l’intégration croissante de solutions basées sur des modèles comme GPT ou LLaMA dans des applications grand public ou professionnelles, de nouvelles surfaces d’attaque émergent. Le prompt injection — qui consiste à manipuler les instructions données à un modèle d’IA pour lui faire produire des réponses non désirées ou contourner des garde-fous — fait son entrée dans les préoccupations majeures. En France, où de nombreuses startups de la French Tech intègrent des briques d’IA dans leurs produits SaaS, c’est un point de vigilance absolument crucial.
Troisièmement, la gestion des secrets et des credentials reste un problème endémique. Tokens d’API exposés dans des dépôts GitHub publics, clés AWS stockées en dur dans le code source, mots de passe en clair dans des fichiers de configuration : ces erreurs, aussi basiques soient-elles, continuent de provoquer des incidents majeurs. Des outils comme GitGuardian — une pépite française du secteur, soit dit en passant — se sont d’ailleurs construits autour de la détection de ce type de fuites.
Les implications concrètes pour les équipes françaises
Pour les entreprises françaises, la publication de ce nouveau Top 10 n’est pas qu’un événement académique. Elle a des implications très concrètes. D’abord, de nombreuses politiques de sécurité internes et référentiels de conformité — comme ceux de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) ou les exigences liées à la certification HDS (Hébergeur de Données de Santé) — s’appuient directement ou indirectement sur les recommandations de l’OWASP. Une mise à jour du Top 10 implique donc souvent une révision des politiques internes, des audits de sécurité et des formations dispensées aux équipes de développement.
Ensuite, dans le contexte du règlement européen NIS2, dont la transposition en droit français est en cours, les entreprises considérées comme des entités essentielles ou importantes sont soumises à des obligations renforcées en matière de gestion des risques liés à la cybersécurité. Connaître et adresser les vulnérabilités listées dans l’OWASP Top 10 devient ainsi une forme de bonne pratique minimale, voire une exigence implicite lors des audits de conformité. Les équipes de développement qui ne se mettent pas à jour risquent non seulement des incidents, mais aussi des difficultés lors des évaluations réglementaires.
Comment se préparer efficacement ?
Face à ces nouvelles exigences, plusieurs approches complémentaires s’imposent. La première est la formation continue des développeurs. Il ne s’agit pas de former uniquement les équipes sécurité, mais bien l’ensemble des personnes qui écrivent du code. Des plateformes comme SecNumAcadémie de l’ANSSI, ou encore des services comme OWASP WebGoat (un environnement d’apprentissage intentionnellement vulnérable), permettent de pratiquer dans un cadre sécurisé. En France, plusieurs organismes de formation certifiés proposent désormais des parcours dédiés à la sécurité applicative.
La deuxième approche consiste à intégrer la sécurité le plus tôt possible dans le cycle de développement — c’est le principe du Shift Left Security. Utiliser des outils d’analyse statique de code (SAST), effectuer des revues de code axées sur la sécurité, automatiser des tests de pénétration dans les pipelines CI/CD : toutes ces pratiques permettent de détecter les vulnérabilités avant qu’elles n’atteignent la production. Enfin, rester informé des évolutions du paysage des menaces — notamment via les publications de l’OWASP, de l’ANSSI ou du CERT-FR — est une habitude simple mais indispensable pour tout acteur du numérique qui se respecte en 2025.