Formation OWASP Top 10 2025

A01:2025 - Contrôle d'accès défectueux
A02:2025 - Mauvaise configuration de sécurité
A03:2025 - Échecs dans la chaîne d'approvisionnement logiciel
A04:2025 - Échecs cryptographiques
A05:2025 - Injection
A06:2025 - Conception insécurisée
A07:2025 - Échecs d'authentification
A08:2025 - Échecs d'intégrité du logiciel ou des données
A09:2025 - Échecs de journalisation et d'alerte de sécurité
A10:2025 - Mauvaise gestion des conditions exceptionnelles

A01:2025 Contrôle d'accès défectueux - Le contrôle d'accès applique des politiques pour que les utilisateurs ne puissent pas agir en dehors de leurs permissions prévues. Les échecs entraînent généralement une divulgation non autorisée d'informations, une modification ou destruction de toutes les données, ou l'exécution d'une fonction commerciale en dehors des limites de l'utilisateur.

A02:2025 Mauvaise configuration de sécurité - Une mauvaise configuration de la sécurité se produit lorsqu'un système, une application ou un service cloud est configuré incorrectement du point de vue de la sécurité, créant des vulnérabilités.

A03:2025 Échecs dans la chaîne d'approvisionnement logiciel - Les échecs dans la chaîne d'approvisionnement logiciel sont des ruptures ou compromissions dans le processus de construction, distribution ou mise à jour du logiciel. Ils sont souvent causés par des vulnérabilités ou des modifications malveillantes dans le code tiers, les outils ou autres dépendances sur lesquelles le système repose.

A04:2025 Échecs cryptographiques - Généralement, toutes les données en transit doivent être chiffrées au niveau de transport (couche 4 OSI). Les obstacles précédents tels que la performance CPU et la gestion des clés privées/certificats sont maintenant gérés par des CPUs disposant d'instructions conçues pour accélérer le chiffrement (par exemple, AES support) et une simplification de la gestion des clés privées et certificats grâce à des services comme LetsEncrypt.org, avec les fournisseurs cloud offrant des services de gestion de certificats encore plus intégrés. Au-delà du chiffrage au niveau de transport, il est important de déterminer quels données nécessitent un chiffrement au repos ainsi que quelles données nécessitent une protection supplémentaire en transit (au niveau applicatif, couche 7 OSI). Par exemple, les mots de passe, les numéros de cartes de crédit, les dossiers médicaux, les informations personnelles et les secrets commerciaux nécessitent une protection supplémentaire, surtout si ces données relèvent des lois sur la protection de la vie privée, comme le Règlement général sur la protection des données (RGPD) de l'UE ou des réglementations telles que la Norme de sécurité des données du secteur des cartes à puce (PCI DSS).

A05:2025 Injection - Une vulnérabilité d'injection est un défaut de système qui permet à un attaquant d'insérer du code ou des commandes malveillants (comme SQL ou shell code) dans les champs d'entrée d'un programme, trompant le système pour qu'il exécute ce code ou ces commandes comme s'ils faisaient partie intégrante du système. Cela peut entraîner des conséquences graves.

A06:2025 Conception insécurisée - La conception insécurisée est une catégorie large représentant différentes faiblesses, exprimées sous la forme de “contrôles manquants ou inefficaces”. La conception insécurisée n'est pas la source de toutes les autres catégories de risques du Top Ten. Il est important de distinguer entre les défauts de conception et d'implémentation, car ils ont des causes différentes, se produisent à différents moments dans le processus de développement, et nécessitent des corrections différentes. Une conception sécurisée peut toujours avoir des défauts d'implémentation conduisant à des vulnérabilités exploitables. Une conception insécurisée ne peut pas être corrigée par une implémentation parfaite car les contrôles de sécurité nécessaires n'ont jamais été créés pour se défendre contre des attaques spécifiques. Un facteur contribuant à la conception insécurisée est l'absence de profilage des risques métier inhérent au logiciel ou système en développement, et donc l'échec de déterminer le niveau de sécurité requis.

A07:2025 Échecs d'authentification - Lorsqu'un attaquant parvient à tromper un système pour qu'il reconnaisse un utilisateur invalide ou incorrect comme légitime, cette vulnérabilité est présente.

A08:2025 Échecs d'intégrité du logiciel ou des données - Les échecs d'intégrité du logiciel et des données concernent le code et l'infrastructure qui ne protègent pas contre le traitement comme fiable et valide de code ou données invalides ou non fiables. Un exemple en est une application qui dépend de plugins, bibliothèques ou modules provenant de sources, dépôts ou réseaux de diffusion de contenu (CDNs) non fiables. Une pipeline CI/CD insécure sans vérification et fourniture d'intégrité du logiciel peut introduire le potentiel pour un accès non autorisé, un code malveillant ou une compromission du système. Un autre exemple est une pipeline CI/CD qui récupère du code ou des artefacts de sources non fiables et/ou ne les vérifie pas avant utilisation (par vérification de la signature ou mécanisme similaire).

A09:2025 Échecs de journalisation et d'alerte de sécurité - Sans journalisation et surveillance, les attaques et violations ne peuvent pas être détectées, et sans alertes il est très difficile de réagir rapidement et efficacement lors d'un incident de sécurité. Une journalisation insuffisante, une surveillance continue, une détection et des alertes pour initier des réponses actives se produisent à tout moment

A10:2025 Mauvaise gestion des conditions exceptionnelles - La mauvaise gestion des conditions exceptionnelles dans le logiciel se produit lorsque les programmes échouent à prévenir, détecter et répondre aux situations inhabituelles et imprévisibles, ce qui entraîne des crashs, un comportement inattendu et parfois des vulnérabilités. Cela peut impliquer une ou plusieurs des trois défaillances suivantes : l'application n'empêche pas une situation inhabituelle de se produire, elle ne l'identifie pas alors qu'elle se produit, et/ou elle y répond mal ou pas du tout par la suite.

Nous discuterons et présenterons les aspects pratiques de :

Contrôle d'accès défectueux
- Exemples pratiques de contrôles d'accès défectueux
- Contrôles d'accès sécurisés et bonnes pratiques

Mauvaise configuration de sécurité
- Exemples réels de mauvaises configurations
- Étapes pour prévenir les mauvaises configurations, y compris la gestion des configurations et les outils d'automatisation

Échecs cryptographiques
- Analyse détaillée des échecs cryptographiques tels que les algorithmes de chiffrement faibles ou la gestion des clés incorrecte
- Importance des mécanismes cryptographiques forts, des protocoles sécurisés (SSL/TLS), et exemples de cryptographie moderne en sécurité web

Attaques par injection
- Décomposition détaillée des injections SQL, NoSQL, OS et LDAP
- Techniques d'atténuation utilisant des instructions préparées, des requêtes paramétrées et l'échappement des entrées

Conception insécurisée
- Nous explorerons les défauts de conception qui peuvent conduire à des vulnérabilités, comme la validation incorrecte des entrées
- Nous étudierons des stratégies pour une architecture et des principes de conception sécurisés

Échecs d'authentification
- Problèmes courants d'authentification
- Stratégies d'authentification sécurisée, comme l'authentification multifactorielle et la gestion de session appropriée

Échecs d'intégrité du logiciel ou des données
- Focus sur les problèmes tels que les mises à jour non fiables et le déni de service - Mécanismes de mise à jour sûrs et vérifications d'intégrité des données

Échecs de journalisation et de surveillance de sécurité
- Importance de la journalisation d'informations pertinentes pour la sécurité et de la surveillance pour activités suspectes - Outils et pratiques pour une journalisation appropriée et une surveillance en temps réel afin de détecter les violations précocement