OWASP Top Ten 2025 : Les Nouvelles Vulnérabilités qui Menacent vos Applications Web
L'OWASP a publié le 6 novembre 2025 la version candidate de son Top Ten 2025, identifiant les 10 risques de sécurité les plus critiques. Découvrez les nouvelles catégories, les changements majeurs depuis 2021, et les mesures pratiques pour protéger vos applications.
William Aklamavo
21 novembre 2025
OWASP Top Ten 2025 : Les Nouvelles Vulnérabilités qui Menacent vos Applications Web
Le 6 novembre 2025, l'OWASP (Open Web Application Security Project) a publié la version candidate de son Top Ten 2025, le document de référence sur les risques de sécurité des applications web. Cette mise à jour majeure, qui intervient 4 ans après la version 2021, reflète l'évolution rapide des menaces et des pratiques de développement.
Deux nouvelles catégories font leur apparition, certaines vulnérabilités sont consolidées, et le classement a été réorganisé pour mieux refléter la réalité des risques en 2025. Pour les développeurs, les architectes sécurité et les responsables techniques, comprendre ces changements est crucial pour protéger leurs applications.
Dans cet article, nous allons explorer en profondeur le Top Ten 2025, analyser les nouveautés, comparer avec la version précédente, et fournir des recommandations pratiques pour sécuriser vos applications web.
Qu'est-ce que l'OWASP Top Ten ?
L'OWASP Top Ten est une publication standard de l'industrie qui identifie et documente les dix risques de sécurité applicative les plus critiques. Basé sur des données réelles de milliers d'applications testées, il sert de référence pour :
- Les développeurs qui veulent comprendre les risques à éviter
- Les équipes de sécurité qui évaluent les applications
- Les responsables techniques qui priorisent les efforts de sécurisation
- Les auditeurs qui vérifient la conformité
Méthodologie 2025 :
- Analyse de milliers d'applications testées entre 2021 et 2025
- Données provenant de plusieurs sources : scanners automatiques, tests manuels, rapports d'incidents
- 3,73% des applications testées présentent au moins une vulnérabilité du Top Ten
Le Top Ten 2025 : Vue d'Ensemble
Voici le classement complet des 10 risques les plus critiques en 2025 :
- A01:2025 - Contrôle d'accès défaillant (3,73% des applications)
- A02:2025 - Mauvaise configuration de sécurité (3,00% des applications)
- A03:2025 - Défaillances de la chaîne d'approvisionnement logicielle (NOUVEAU)
- A04:2025 - Défaillances cryptographiques (3,80% des applications)
- A05:2025 - Injection (prévalence élevée)
- A06:2025 - Conception non sécurisée (3,50% des applications)
- A07:2025 - Défaillances d'authentification (36 faiblesses identifiées)
- A08:2025 - Défaillances d'intégrité logicielle ou des données (inchangé)
- A09:2025 - Défaillances de journalisation et d'alerte (nom modifié)
- A10:2025 - Mauvaise gestion des conditions exceptionnelles (NOUVEAU - 24 faiblesses)
Analyse Détaillée : Les Changements Majeurs
A01:2025 - Contrôle d'Accès Défaillant (Toujours en Tête)
Position : 1ère place (inchangée depuis 2021)
Prévalence : 3,73% des applications testées présentent au moins une des 40 faiblesses de cette catégorie.
Pourquoi c'est toujours #1 ? Le contrôle d'accès reste le problème de sécurité le plus répandu car il est complexe à implémenter correctement et souvent négligé dans les phases de développement.
Exemples de faiblesses :
- Accès horizontal : Un utilisateur peut accéder aux données d'un autre utilisateur du même niveau
- Accès vertical : Un utilisateur peut accéder à des fonctionnalités réservées aux administrateurs
- Contournement des contrôles d'accès via des paramètres modifiés
- Accès non authentifié à des ressources sensibles
Mesures de protection :
- Implémenter un contrôle d'accès basé sur les rôles (RBAC)
- Vérifier les permissions à chaque requête, pas seulement à l'authentification
- Utiliser des frameworks de sécurité éprouvés
- Tester régulièrement les contrôles d'accès avec des outils comme OWASP ZAP
A02:2025 - Mauvaise Configuration de Sécurité (En Progression)
Position : 2ème place (montée depuis la 5ème place en 2021)
Prévalence : 3,00% des applications affectées
Pourquoi cette montée ? L'augmentation des déploiements cloud, des conteneurs, et des microservices a multiplié les surfaces d'attaque et les opportunités de mauvaise configuration.
Exemples de problèmes :
- Services avec configurations par défaut non sécurisées
- Messages d'erreur qui révèlent des informations sensibles
- Fonctionnalités de débogage activées en production
- Headers de sécurité manquants (CSP, HSTS, etc.)
- Bases de données exposées publiquement sans authentification
Mesures de protection :
- Utiliser des configurations sécurisées par défaut
- Automatiser les vérifications de configuration (Infrastructure as Code)
- Désactiver les fonctionnalités inutiles
- Implémenter un processus de durcissement de sécurité
- Scanner régulièrement les configurations avec des outils comme Snyk, Checkmarx
A03:2025 - Défaillances de la Chaîne d'Approvisionnement Logicielle (NOUVEAU)
Position : 3ème place (nouvelle catégorie)
Pourquoi cette nouvelle catégorie ? Les attaques sur la chaîne d'approvisionnement (supply chain attacks) ont explosé ces dernières années. Des incidents majeurs comme SolarWinds, Log4j, et npm ont montré la vulnérabilité des dépendances logicielles.
Ce que cette catégorie englobe :
- Vulnérabilités dans les dépendances : Bibliothèques tierces non mises à jour
- Composants non vérifiés : Packages npm, PyPI, Maven non validés
- Systèmes de build compromis : Outils CI/CD non sécurisés
- Infrastructure de distribution : Registries Docker, dépôts npm compromis
- Dépendances transitives : Vulnérabilités dans les dépendances de vos dépendances
Exemples d'attaques récentes :
- Log4j (2021) : Vulnérabilité critique dans une bibliothèque Java utilisée par des millions d'applications
- npm packages malveillants : Des packages populaires compromis pour voler des données
- SolarWinds (2020) : Compromission d'un outil de monitoring utilisé par des milliers d'entreprises
Mesures de protection :
- Audit régulier des dépendances : Utiliser des outils comme Snyk, Dependabot, WhiteSource
- Signature et vérification : Vérifier l'intégrité des packages avant installation
- Minimiser les dépendances : N'utiliser que les packages nécessaires et maintenus
- Mise à jour proactive : Maintenir les dépendances à jour avec des correctifs de sécurité
- SBOM (Software Bill of Materials) : Documenter toutes les dépendances de votre application
- Scanning automatique : Intégrer le scanning dans votre pipeline CI/CD
Outils recommandés :
# Exemple avec npm audit
npm audit
# Exemple avec Snyk
snyk test
# Exemple avec Dependabot (GitHub)
# Configuration automatique dans .github/dependabot.yml
A04:2025 - Défaillances Cryptographiques (En Baisse)
Position : 4ème place (descendue depuis la 2ème place en 2021)
Prévalence : 3,80% des applications concernées
Pourquoi cette baisse ? Les développeurs sont mieux formés sur la cryptographie, et les frameworks modernes utilisent des algorithmes sécurisés par défaut. Cependant, les erreurs restent fréquentes.
Exemples de problèmes :
- Utilisation d'algorithmes de hachage faibles (MD5, SHA-1)
- Clés de chiffrement faibles ou hardcodées
- Gestion incorrecte des secrets (clés API, tokens)
- Certificats SSL/TLS expirés ou auto-signés
- Chiffrement avec des algorithmes obsolètes (DES, RC4)
Mesures de protection :
- Utiliser des algorithmes modernes (AES-256, SHA-256, RSA-2048+)
- Ne jamais hardcoder les secrets dans le code
- Utiliser des gestionnaires de secrets (AWS Secrets Manager, HashiCorp Vault)
- Renouveler régulièrement les certificats SSL/TLS
- Valider les certificats côté serveur et client
A05:2025 - Injection (En Baisse mais Toujours Critique)
Position : 5ème place (descendue depuis la 3ème place en 2021)
Pourquoi cette baisse ? L'utilisation de frameworks modernes avec protection intégrée (ORM, paramètres préparés) a réduit les vulnérabilités d'injection. Cependant, les attaques restent fréquentes.
Types d'injection :
- SQL Injection : Injection de code SQL malveillant
- NoSQL Injection : Injection dans les bases de données NoSQL
- Command Injection : Exécution de commandes système
- LDAP Injection : Injection dans les annuaires LDAP
- XSS (Cross-Site Scripting) : Injection de scripts JavaScript
Mesures de protection :
- Utiliser des requêtes paramétrées (prepared statements)
- Utiliser des ORM (Object-Relational Mapping) qui échappent automatiquement
- Valider et sanitizer toutes les entrées utilisateur
- Utiliser des listes blanches plutôt que des listes noires
- Implémenter Content Security Policy (CSP) pour prévenir XSS
Exemple de code sécurisé :
// ❌ VULNÉRABLE - Injection SQL
const query = `SELECT * FROM users WHERE id = ${userId}`;
// ✅ SÉCURISÉ - Requête paramétrée
const query = 'SELECT * FROM users WHERE id = ?';
db.query(query, [userId]);
A06:2025 - Conception Non Sécurisée (Nouvelle Approche)
Position : 6ème place (glissée depuis la 4ème place)
Prévalence : 3,50% des applications
Changement majeur : Cette catégorie met maintenant l'accent sur la modélisation des menaces et la conception sécurisée dès le départ, plutôt que sur les vulnérabilités techniques spécifiques.
Principes de conception sécurisée :
- Modélisation des menaces : Identifier les menaces avant de développer
- Défense en profondeur : Plusieurs couches de sécurité
- Principe du moindre privilège : Accorder uniquement les permissions nécessaires
- Fail-secure : En cas d'erreur, le système doit être sécurisé par défaut
- Séparation des préoccupations : Isoler les composants critiques
Mesures de protection :
- Effectuer des revues de sécurité du design (Security Design Reviews)
- Utiliser des frameworks de modélisation des menaces (STRIDE, DREAD)
- Implémenter des contrôles de sécurité dès la conception
- Former les développeurs aux principes de sécurité
A07:2025 - Défaillances d'Authentification (Nom Modifié)
Position : 7ème place (inchangée)
Changement : Le nom a été modifié de "Identification et Authentification Défaillantes" à "Défaillances d'Authentification" pour refléter plus précisément les 36 faiblesses identifiées.
Exemples de problèmes :
- Mots de passe faibles acceptés
- Absence de protection contre les attaques par force brute
- Gestion incorrecte des sessions (tokens non invalidés)
- Authentification multi-facteurs (MFA) non implémentée
- Récupération de mot de passe non sécurisée
Mesures de protection :
- Implémenter des politiques de mots de passe fortes
- Limiter les tentatives de connexion (rate limiting)
- Utiliser MFA (Multi-Factor Authentication)
- Invalider les sessions après déconnexion ou expiration
- Utiliser des tokens sécurisés (JWT avec expiration courte)
A08:2025 - Défaillances d'Intégrité Logicielle ou des Données (Inchangé)
Position : 8ème place (inchangée)
Focus : Cette catégorie se concentre sur l'échec à maintenir les frontières de confiance et à vérifier l'intégrité des logiciels, du code et des artefacts de données.
Exemples de problèmes :
- Mises à jour non signées ou non vérifiées
- Intégrité des données non validée
- Code non vérifié avant déploiement
- Manque de vérification de l'intégrité des fichiers téléchargés
Mesures de protection :
- Signer numériquement les mises à jour logicielles
- Vérifier l'intégrité des données avec des checksums (SHA-256)
- Implémenter des contrôles d'intégrité pour les fichiers critiques
- Utiliser des registries de confiance pour les packages
A09:2025 - Défaillances de Journalisation et d'Alerte (Nom Modifié)
Position : 9ème place (inchangée)
Changement : Le nom a été modifié pour souligner l'importance de la fonctionnalité d'alerte nécessaire pour induire une action appropriée sur les événements de journalisation pertinents.
Exemples de problèmes :
- Événements critiques non journalisés
- Logs contenant des informations sensibles (mots de passe, tokens)
- Absence d'alertes pour les événements suspects
- Logs non centralisés ou difficiles à analyser
Mesures de protection :
- Journaliser tous les événements critiques (authentification, accès, erreurs)
- Ne jamais logger d'informations sensibles
- Implémenter un système d'alertes pour les événements suspects
- Centraliser les logs (ELK Stack, Splunk, Datadog)
- Mettre en place une rétention de logs appropriée
A10:2025 - Mauvaise Gestion des Conditions Exceptionnelles (NOUVEAU)
Position : 10ème place (nouvelle catégorie)
Prévalence : 24 faiblesses identifiées
Pourquoi cette nouvelle catégorie ? La gestion incorrecte des erreurs et des conditions exceptionnelles peut révéler des informations sensibles, permettre des contournements de sécurité, ou causer des dénis de service.
Exemples de problèmes :
- Messages d'erreur qui révèlent des informations système
- Gestion incorrecte des exceptions (catch générique qui masque les erreurs)
- Déni de service causé par des exceptions non gérées
- Logique métier qui échoue ouvertement (fail-open) au lieu de fail-secure
- Stack traces exposées aux utilisateurs
Mesures de protection :
- Ne jamais exposer de détails techniques dans les messages d'erreur utilisateur
- Gérer spécifiquement chaque type d'exception
- Implémenter un fail-secure (en cas d'erreur, refuser l'accès)
- Logger les erreurs détaillées côté serveur uniquement
- Tester les scénarios d'erreur
Exemple de code sécurisé :
// ❌ VULNÉRABLE - Message d'erreur révélateur
catch (error) {
res.status(500).send(`Erreur SQL: ${error.message}`);
}
// ✅ SÉCURISÉ - Message générique pour l'utilisateur
catch (error) {
logger.error('Database error', { error, userId, action });
res.status(500).send('Une erreur est survenue. Veuillez réessayer.');
}
Comparaison 2021 vs 2025 : Les Changements Majeurs
| Position 2021 | Position 2025 | Catégorie | Changement |
|---|---|---|---|
| 1 | 1 | Contrôle d'accès défaillant | = |
| 5 | 2 | Mauvaise configuration de sécurité | ↑ +3 |
| - | 3 | Défaillances de la chaîne d'approvisionnement | NOUVEAU |
| 2 | 4 | Défaillances cryptographiques | ↓ -2 |
| 3 | 5 | Injection | ↓ -2 |
| 4 | 6 | Conception non sécurisée | ↓ -2 |
| 7 | 7 | Défaillances d'authentification | = |
| 8 | 8 | Défaillances d'intégrité | = |
| 9 | 9 | Défaillances de journalisation | = |
| - | 10 | Mauvaise gestion des conditions exceptionnelles | NOUVEAU |
Catégories retirées du Top Ten 2021 :
- A10:2021 - Falsification de requêtes côté serveur (SSRF) : Intégrée dans d'autres catégories
Plan d'Action : Comment Protéger Votre Application
Étape 1 : Audit de Sécurité
Actions immédiates :
- Effectuer un scan de sécurité avec OWASP ZAP ou Burp Suite
- Auditer toutes vos dépendances avec Snyk ou Dependabot
- Vérifier vos configurations (sécurité des headers, SSL/TLS, etc.)
- Réviser vos contrôles d'accès
Étape 2 : Priorisation
Ordre de priorité recommandé :
- A01 - Contrôle d'accès : Impact critique, prévalence élevée
- A03 - Chaîne d'approvisionnement : Nouveau risque majeur
- A02 - Configuration : Facile à corriger, impact important
- A05 - Injection : Prévalence élevée, impact critique
- A10 - Conditions exceptionnelles : Nouveau, facile à corriger
Étape 3 : Mise en Place de Contrôles
Outils recommandés :
- OWASP ZAP : Scanner de vulnérabilités
- Snyk : Audit des dépendances
- SonarQube : Analyse de code statique
- Burp Suite : Tests de pénétration
- Dependabot : Mises à jour automatiques des dépendances
Étape 4 : Formation et Sensibilisation
Actions :
- Former l'équipe sur le Top Ten 2025
- Intégrer la sécurité dans le processus de développement (DevSecOps)
- Effectuer des revues de code axées sur la sécurité
- Organiser des sessions de sensibilisation régulières
Checklist de Sécurité OWASP Top Ten 2025
A01 - Contrôle d'Accès
- RBAC (Role-Based Access Control) implémenté
- Vérification des permissions à chaque requête
- Tests d'accès horizontal et vertical effectués
- Principe du moindre privilège appliqué
A02 - Configuration
- Headers de sécurité configurés (CSP, HSTS, etc.)
- Messages d'erreur génériques en production
- Fonctionnalités de débogage désactivées
- Configurations par défaut sécurisées
A03 - Chaîne d'Approvisionnement
- Audit régulier des dépendances
- Mises à jour de sécurité appliquées
- SBOM (Software Bill of Materials) maintenu
- Scanning automatique dans CI/CD
A04 - Cryptographie
- Algorithmes modernes utilisés (AES-256, SHA-256)
- Secrets gérés via un gestionnaire de secrets
- Certificats SSL/TLS valides et à jour
- Pas de secrets hardcodés dans le code
A05 - Injection
- Requêtes paramétrées utilisées
- ORM avec échappement automatique
- Validation et sanitization des entrées
- CSP implémenté pour prévenir XSS
A06 - Conception
- Modélisation des menaces effectuée
- Revues de sécurité du design
- Défense en profondeur implémentée
- Fail-secure par défaut
A07 - Authentification
- MFA implémenté
- Politique de mots de passe forte
- Rate limiting sur les tentatives de connexion
- Gestion sécurisée des sessions
A08 - Intégrité
- Mises à jour signées numériquement
- Vérification de l'intégrité des données
- Contrôles d'intégrité pour les fichiers
A09 - Journalisation
- Événements critiques journalisés
- Pas d'informations sensibles dans les logs
- Système d'alertes configuré
- Logs centralisés
A10 - Conditions Exceptionnelles
- Messages d'erreur génériques pour les utilisateurs
- Gestion spécifique des exceptions
- Fail-secure implémenté
- Stack traces non exposées
Conclusion : La Sécurité est un Processus Continu
Le Top Ten 2025 de l'OWASP reflète l'évolution constante des menaces et des pratiques de développement. Les deux nouvelles catégories (chaîne d'approvisionnement et gestion des exceptions) montrent que les attaquants adaptent leurs stratégies.
Les 5 Vérités Essentielles :
- La sécurité n'est pas un état, c'est un processus : Continuez à auditer, tester et améliorer
- Les dépendances sont un risque majeur : Surveillez et mettez à jour régulièrement
- La configuration compte : Une mauvaise configuration peut annuler tous vos autres efforts
- La conception sécurisée paie : Intégrez la sécurité dès le début
- La formation est cruciale : Une équipe formée est votre meilleure défense
L'investissement en sécurité paie :
- Protection contre les violations de données
- Conformité réglementaire (RGPD, etc.)
- Confiance des clients
- Économies sur les coûts d'incidents
Chaque jour sans audit de sécurité = Exposition aux risques
Une seule vulnérabilité exploitée = Potentielle violation de données
La sécurité est votre bouclier numérique
Si vous développez ou maintenez des applications web, assurez-vous de comprendre et d'adresser les risques du Top Ten 2025. C'est la seule façon de protéger vos utilisateurs et votre entreprise contre les menaces modernes.
Besoin d'un audit de sécurité pour votre application ? Contactez BOVO Digital pour une évaluation complète basée sur l'OWASP Top Ten 2025 et la mise en place de mesures de protection adaptées.
