Découvrez GoogleTest certifié TÜV avec Agentic AI pour les tests C/C++ !
Plus de détails »
Aller à la section
Blog Parasoft
L'Open Web Application Security Project (OWASP) a contribué à apporter des réponses aux problèmes informatiques critiques grâce à des formations et des forums. Découvrez les réponses aux 10 principaux problèmes OWASP de 2025 concernant les applications web.
Aller à la section
Libéré: Le classement OWASP Top 10:2025 a été annoncé en novembre 2025 lors de la conférence OWASP Global AppSec à Washington, DC. La version finale a été publiée en janvier 2026.
Édition précédente : OWASP Top 10:2021
Quoi de neuf: Deux nouvelles catégories (Défaillances de la chaîne d'approvisionnement logicielle et mauvaise gestion des conditions exceptionnelles), quatre reclassements importants, trois changements de nom et SSRF absorbé dans le contrôle d'accès défaillant.
Données à l'origine de la liste : Plus de 175 000 CVE analysés, 248 CWE cartographiés dans les 10 catégories et des enquêtes auprès de praticiens dans des milliers d'organisations.
En novembre 2025, la Fondation OWASP a publié le classement OWASP Top 10:2025 lors de la conférence mondiale sur la sécurité des applications à Washington, D.C. – la première mise à jour de la liste depuis 2021. Cette mise à jour reflète quatre années d'évolution des données sur les menaces, les contributions des praticiens et les changements du secteur.
Pour les équipes de développement et de sécurité chargées de garantir la sécurité des applications, la liste de 2025 ne se limite pas à une simple mise à jour. Elle révèle des changements importants dans les cibles des attaques et les besoins en matière de défense.
Ce guide détaille les changements apportés à la liste de 2025, leur importance et les mesures que les équipes de développement et de sécurité doivent prendre. Que vous soyez développeur, ingénieur en sécurité ou responsable d'équipe, comprendre la mise à jour de 2025 est essentiel pour un programme de sécurité applicative moderne. fondement de tout programme de conformité OWASP.
Le Top 10 de l'OWASP est un document de sensibilisation largement reconnu, publié par l'Open Web Application Security Project (OWASP). Il recense les dix risques de sécurité les plus critiques pour les applications web.
S’appuyant sur des données réelles et un consensus d’experts en sécurité du monde entier, cette liste fait office de norme reconnue du secteur pour permettre aux développeurs, aux équipes de sécurité et aux organisations de comprendre, de prioriser et de traiter les vulnérabilités applicatives les plus courantes et les plus dangereuses.
Mise à jour environ tous les deux à quatre ans (la dernière édition datant de 2025), cette liste se concentre sur les risques tels que les failles de contrôle d'accès, les défaillances cryptographiques et les problèmes liés à la chaîne d'approvisionnement des logiciels, aidant ainsi les équipes à passer d'une application réactive des correctifs à des pratiques de sécurité proactives et axées sur les risques.
La liste de 2025 a été établie à partir d'un ensemble de données plus vaste et plus rigoureux que toutes les éditions précédentes. L'OWASP a analysé plus de 175 000 enregistrements CVE, mené des enquêtes auprès de professionnels dans des milliers d'organisations et intégré les contributions de fournisseurs de sécurité, de programmes de primes aux bogues et de contributeurs de la communauté.
Chacune des 10 catégories correspond désormais à des CWE spécifiques (248 au total), offrant ainsi des indications plus précises pour la détection et la correction que les versions précédentes.
Le classement reflète les éléments suivants :
Deux catégories ont été supprimées ou fusionnées. Deux catégories entièrement nouvelles ont été ajoutées pour la première fois.
Le tableau ci-dessous présente la correspondance complète entre les listes de 2021 et 2025. Deux nouvelles catégories apparaissent en 2025, comme indiqué ci-dessous. Une catégorie de 2021 (SSRF) a été intégrée à la catégorie A01.
| Rang | OWASP Top 10:2021 | OWASP Top 10:2025 | Changer |
|---|---|---|---|
| #1 | Contrôle d'accès cassé | Contrôle d'accès cassé | Aucun changement |
| #2 | Échecs cryptographiques | Mauvaise configuration de la sécurité | ↑ à partir du n° 5 |
| #3 | Injection | Défaillances de la chaîne d'approvisionnement logicielle | ★ NOUVEAU |
| #4 | Conception non sécurisée | Échecs cryptographiques | ↓ à partir du n° 2 |
| #5 | Mauvaise configuration de la sécurité | Injection | ↓ à partir du n° 3 |
| #6 | Composants vulnérables et obsolètes | Conception non sécurisée | ↓ à partir du n° 4 |
| #7 | Échecs d'identification et d'authentification | Échecs d'authentification | Renommé |
| #8 | Défaillances d'intégrité des logiciels et des données | Défaillances logicielles ou d'intégrité des données | Changement de nom mineur |
| #9 | Journalisation et surveillance des défaillances de sécurité | Journalisation et alerte de sécurité en cas de défaillance | Renommé |
| #10 | Falsification de demande côté serveur (SSRF) | Mauvaise gestion des conditions exceptionnelles | ★ NOUVEAU / SSRF → A01 |
★ Deux nouvelles catégories en 2025. SSRF (A10:2021) a été absorbé dans A01:2025 Contrôle d'accès brisé.
L’expression « exposition de données sensibles » figurait dans la liste OWASP Top 10:2017. Dans la mise à jour de 2021, l’OWASP l’a renommée « défaillances cryptographiques » afin de mieux identifier la cause profonde (cryptographie faible ou absente) plutôt que le symptôme.
Dans la liste de 2025, les défaillances cryptographiques demeurent un risque majeur, occupant la 4e place (contre la 2e en 2021, ce qui reflète l'adoption accrue du protocole TLS et le renforcement des suites de chiffrement par défaut dans l'ensemble du secteur). Consultez la section A04:2025 — Défaillances cryptographiques ci-dessous pour connaître le périmètre actuel, les correspondances avec les CWE et les recommandations de correction.
Les ajouts les plus importants à la liste de 2025 sont les deux nouvelles catégories. Elles ne représentent pas des classes de vulnérabilités nouvellement découvertes, mais des surfaces d'attaque que la communauté de la sécurité a jugées trop importantes pour rester incluses dans des catégories plus larges.
L'attaque SolarWinds, Log4Shell et la recrudescence des attaques par confusion de dépendances ont démontré qu'il est souvent plus facile de compromettre la chaîne d'approvisionnement que d'attaquer directement l'application.
Les défaillances de la chaîne d'approvisionnement logicielle concernent les risques liés à la compromission ou au manque de fiabilité des composants, bibliothèques, outils de compilation et mécanismes de distribution dont dépendent les applications modernes. Contrairement aux catégories de vulnérabilités traditionnelles qui se concentrent sur les failles du code source, cette catégorie s'intéresse à l'intégrité de l'ensemble des éléments entrant dans le processus de compilation.
Cette catégorie correspond à 5 CWE et englobe des scénarios tels que : les paquets provenant de registres non fiables ou squattés, les pipelines de construction sans vérification d'intégrité, les artefacts non signés ou non vérifiés et les attaques par confusion de dépendances où les noms de paquets internes sont détournés par des entrées de registre publiques.
Mettez en place la génération de la nomenclature logicielle (SBOM) pour toutes les versions. Exigez la signature et la vérification des artefacts. Utilisez le verrouillage des dépendances et surveillez les registres pour prévenir le typosquatting. Auditez les permissions du pipeline CI/CD et limitez les actions pouvant déclencher des versions ou des déploiements.
50 % des personnes interrogées dans le cadre de l'enquête OWASP ont classé ce problème comme leur principale préoccupation émergente en matière de sécurité — pourtant, il apparaît rarement dans les bases de données CVE car il se manifeste en situation de stress, et non en fonctionnement normal.
La gestion inadéquate des conditions exceptionnelles met en lumière une catégorie de vulnérabilités longtemps négligée : les conséquences d’un événement imprévu survenant dans une application. Épuisement des ressources, entrées malformées, dépassement de délai, défaillances de services en aval : les applications qui gèrent ces situations de manière inappropriée peuvent divulguer des données sensibles via des messages d’erreur trop longs, contourner les contrôles d’accès par une logique de tolérance aux pannes, ou devenir des vecteurs d’attaques par déni de service.
Cette catégorie regroupe 24 vulnérabilités critiques (CWE), dont CWE-209 (génération de messages d'erreur contenant des informations sensibles), CWE-476 (déréférencement de pointeur NULL) et CWE-636 (absence de gestion sécurisée des erreurs). Ces failles sont souvent invisibles lors des analyses SAST et DAST standard, car elles n'apparaissent que dans des conditions qui ne font pas partie des tests normaux.
Définissez des modes de défaillance explicites pour chaque limite du système. Mettez en œuvre un système centralisé de gestion des exceptions qui consigne en interne le contexte détaillé des erreurs tout en ne renvoyant en externe que des messages génériques. Effectuez des tests en conditions de charge et d'injection de fautes, et pas seulement dans des scénarios nominaux. Appliquez le principe de sécurité « fail-closed » : en cas de doute, refusez l'accès.
Outre les deux nouvelles catégories, quatre catégories existantes ont connu des changements de classement importants. Ces mouvements reflètent de réelles évolutions du paysage des menaces, là où les données montrent que les attaquants réussissent.
Les erreurs de configuration de sécurité gagnent trois places et se hissent au deuxième rang, soit la plus forte progression du classement de 2025. Cette hausse reflète l'expansion fulgurante des infrastructures cloud, des charges de travail conteneurisées et de l'architecture de microservices, autant d'éléments qui introduisent de nouvelles surfaces de configuration que les équipes négligent souvent de sécuriser.
Les erreurs de configuration du cloud demeurent l'une des principales causes de violations de données en entreprise. Avec la généralisation de l'infrastructure en tant que code et du provisionnement automatique, ces erreurs peuvent se propager silencieusement à travers des centaines de ressources.
Couvre 20 CWE. Exemples courants : identifiants par défaut laissés inchangés, fonctionnalités inutiles activées, en-têtes de sécurité manquants, politiques de stockage cloud trop permissives, messages d’erreur verbeux en production.
Voir la section dédiée ci-dessus.
L'injection SQL perd deux places, poursuivant ainsi un déclin amorcé il y a plusieurs éditions après avoir occupé la première place pendant une décennie. Ce recul témoigne des progrès réels du secteur : les requêtes paramétrées sont désormais la norme, les frameworks modernes nettoient les entrées par défaut et la sensibilisation des développeurs à l'injection SQL est quasi universelle. Cette catégorie demeure néanmoins extrêmement dangereuse et représente encore 1 274,000 failles détectées dans la base de données de l'OWASP.
Ne laissez pas la baisse de classement engendrer un relâchement. L'injection de vulnérabilités demeure l'une des classes de vulnérabilités les plus exploitées dans les attaques actives. Cette baisse reflète une meilleure prévention en amont, et non un moindre intérêt de la part des attaquants.
Couvre 33 CWE. Exemples clés : injection SQL (CWE-89), Cross-Site Scripting (CWE-79), injection de commandes OS (CWE-78).
Les défaillances cryptographiques passent de la 2e à la 4e place, ce qui reflète une meilleure adoption du protocole TLS par défaut par l'industrie, des normes plus robustes pour les suites de chiffrement et une sensibilisation accrue à cette catégorie (anciennement appelée « exposition de données sensibles » en 2021 afin de mieux identifier les causes profondes). Ce risque demeure critique ; cette baisse témoigne d'un progrès, mais pas d'une résolution.
L'absence ou la faiblesse des systèmes de chiffrement demeure à l'origine de certaines des plus importantes violations de données jamais enregistrées. Cette catégorie englobe non seulement le choix des algorithmes de chiffrement, mais aussi les pratiques de gestion des clés, la gestion des certificats et la protection des données en transit.
Couvre 29 vulnérabilités critiques. Exemples clés : choix d’algorithmes faibles, clés codées en dur, absence de HSTS, transmission de données sensibles en clair.
Trois catégories ont été renommées en 2025. Il ne s'agit pas de changements cosmétiques : chaque renommage précise la définition du problème et, surtout, influe sur la façon dont les outils associent les règles aux catégories.
L'appellation plus courte abandonne le terme « Identification » pour se concentrer exclusivement sur les mécanismes d'authentification : gestion des identifiants, gestion des sessions et failles de l'authentification multifacteurs. Cela aligne plus précisément la catégorie sur les CWE auxquels elle correspond.
Un seul changement de mot – « et » devient « ou » – mais un changement significatif. Il clarifie le fait que l'intégrité des logiciels et l'intégrité des données sont des préoccupations indépendantes : une défaillance de l'une ou de l'autre suffit à déclencher cette catégorie. Ceci est important pour les outils et les cadres de conformité qui utilisent le nom de la catégorie pour définir son périmètre d'application.
Le terme « alerte » remplace « surveillance » afin de souligner que la journalisation passive, sans alerte active ni réponse aux incidents, est insuffisante. On peut tout consigner et passer à côté d'une attaque si personne ne réagit aux anomalies.
Contrôle d'accès cassé Pour le quatrième cycle d'évaluation consécutif, cette vulnérabilité demeure numéro 1, confirmant ainsi son statut de faille de sécurité applicative la plus répandue. La mise à jour de 2025 étend sa couverture CWE de 34 à 40 vulnérabilités et intègre notamment la falsification de requête côté serveur (SSRF), qui constituait auparavant une catégorie distincte. OWASP a reconnu la SSRF comme une manifestation spécifique d'un contrôle d'accès inadéquat plutôt que comme une classe distincte, reflétant la fréquence de leur exploitation conjointe dans les environnements cloud.
Le maintien de Broken Access Control en tête du classement est révélateur : ce problème n’est pas en train d’être résolu par l’industrie. La logique d’autorisation demeure l’un des aspects les plus difficiles à maîtriser à grande échelle, et l’une des cibles les plus lucratives pour les attaquants.
La liste de 2025 n'est pas qu'un simple document de référence ; c'est un cadre de priorisation. Voici comment les différents rôles doivent interpréter cette mise à jour :
L'émergence des défaillances de la chaîne d'approvisionnement logicielle parmi les trois principales causes de problèmes signifie que la sécurité du développement s'étend désormais au-delà du code que vous écrivez. La provenance, l'intégrité et la fiabilité de vos dépendances sont désormais explicitement concernées. Revoyez vos pratiques de gestion des dépendances, comprenez ce sur quoi votre pipeline CI/CD se fie implicitement et traitez l'intégrité des artefacts de construction avec la même rigueur que la validation des entrées.
Deux catégories qui restaient auparavant floues – l’intégrité de la chaîne d’approvisionnement et la gestion des exceptions – bénéficient désormais de définitions OWASP claires, de correspondances CWE et d’une documentation communautaire. Vous disposez ainsi du langage et du cadre nécessaires pour formaliser les exigences de couverture, mettre à jour les configurations de règles dans les outils d’analyse statique et élaborer des critères de test qui n’étaient pas standardisés auparavant.
La progression de la catégorie « Mauvaise configuration de sécurité » au deuxième rang est un signal d'alerte concernant l'allocation des ressources. Si votre organisation exploite une infrastructure cloud importante et que vous n'avez pas investi proportionnellement dans la gestion de la configuration, les politiques de sécurité en tant que code et les outils d'évaluation de la sécurité de l'infrastructure, les données de 2025 indiquent que c'est là que se concentrent vos risques. De même, la nouvelle catégorie « Mauvaise gestion des conditions exceptionnelles » souligne la nécessité d'intégrer des pratiques d'injection de fautes et d'ingénierie du chaos à votre stratégie de test, et pas seulement des tests fonctionnels et de sécurité en conditions normales.
Les outils d'analyse statique de Parasoft —Test C / C ++, Jtest, ainsi pointTEST—sont mises à jour pour refléter la catégorisation OWASP Top 10:2025. Chaque produit est livré avec des packs de conformité préconfigurés qui associent directement les règles d'analyse aux catégories 2025, y compris les deux nouvelles.
La version 2025 introduit deux nouvelles catégories et en réorganise huit autres. Les packs de conformité de Parasoft reflètent automatiquement ces modifications : les règles qui correspondaient auparavant à A10:2021 (SSRF) correspondent désormais à A01:2025 (Contrôle d'accès défaillant), et de nouveaux ensembles de vérification couvrent spécifiquement les catégories « Défaillances de la chaîne d'approvisionnement logicielle » et « Mauvaise gestion des conditions exceptionnelles ».
L'adoption d'une nouvelle version de liste peut générer un grand nombre de résultats initiaux. Le système de triage par IA de Parasoft aide les équipes à prioriser les violations à corriger en fonction de leur exploitabilité, de leur gravité et du contexte du code. Pour les types de règles pris en charge, les suggestions de correction automatisées réduisent la charge de travail manuelle liée à la remédiation, permettant ainsi aux développeurs de vérifier et d'accepter les corrections sans quitter leur environnement de développement intégré (IDE).
Pour les organisations gérant plusieurs bases de code ou langages, la plateforme de tests de développement (DTP) de Parasoft offre une vue centralisée de la conformité OWASP pour l'ensemble des projets. Les équipes peuvent ainsi suivre la couverture par rapport à la liste 2025, identifier les catégories les plus exposées au sein du portefeuille et générer des rapports de conformité directement liés aux identifiants de catégorie OWASP et aux correspondances CWE.
Parasoft s'intègre aux environnements IDE et aux pipelines CI/CD, permettant un retour d'information en temps réel pendant l'écriture du code. Les développeurs visualisent les violations de catégories OWASP (y compris la catégorie 2025 applicable) directement dans le code, avant même sa validation. Cette approche permet de détecter les problèmes au moment où leur correction est la moins coûteuse et allège la charge de conformité lors des phases d'audit de sécurité ultérieures.
Approfondissez
Si votre organisation dispose déjà de processus de conformité à l'OWASP Top 10:2021, la transition vers la version 2025 est gérable, mais elle exige une action délibérée, et non une simple mise à jour du numéro de version dans votre documentation. Pour les équipes qui partent de zéro, notre Guide pour débuter avec la conformité OWASP couvre les pratiques fondamentales avant les mises à jour spécifiques à 2025 ci-dessous.
Les normes A03 (Défaillances de la chaîne d'approvisionnement logicielle) et A10 (Mauvaise gestion des situations exceptionnelles) n'ont pas d'équivalent direct en 2021. Veuillez évaluer votre couverture actuelle pour chacune d'elles.
Si vous utilisez test de sécurité des applications statiques (SAST)Veuillez confirmer que les règles ont été mises à jour pour refléter les correspondances de catégories de 2025. Les règles qui correspondaient à A10:2021 (SSRF) doivent désormais correspondre à A01:2025. Les nouvelles règles relatives à la chaîne d'approvisionnement et à la gestion des exceptions doivent être activées.
La formation des développeurs en sécurité, basée sur le Top 10 de l'OWASP, doit être mise à jour. Les changements de classement sont suffisamment importants pour que l'ordre de priorité du contenu de la formation soit déterminant : les développeurs doivent comprendre que les défaillances de la chaîne d'approvisionnement figurent désormais parmi les trois principales préoccupations, et non plus au second plan.
Le contrôle d'accès défaillant, classé numéro 1 pendant quatre éditions consécutives, n'est pas un simple bruit de fond : il s'agit d'un mode de défaillance persistant. La constance de cette position devrait orienter les efforts de revue de conception, de modélisation des menaces et de tests.
À quelle fréquence le Top 10 de l'OWASP est-il mis à jour ?
Environ tous les trois ou quatre ans. Éditions : 2003, 2004, 2007, 2010, 2013, 2017, 2021, 2025. La fréquence dépend des cycles de collecte de données de la communauté et des changements importants dans le paysage des menaces.
Où puis-je télécharger le classement OWASP Top 10:2025 ?
Le Top 10 OWASP complet de 2025 est disponible gratuitement sur owasp.org/Top10/2025/ aux formats HTML et PDF. OWASP publie également des traductions et des pages d'analyse approfondie par catégorie, incluant la correspondance avec les CWE et des recommandations de remédiation.
Combien de CWE sont répertoriés dans le Top 10 de l'OWASP : 2025 ?
248 énumérations de faiblesses communes sont cartographiées dans les 10 catégories en 2025, contre 218 en 2021. Le contrôle d'accès brisé (A01) est la plus grande catégorie unique avec 40 CWE cartographiées.
La norme OWASP Top 10:2025 satisfait-elle aux exigences PCI DSS, SOC 2 ou HIPAA ?
Aucune norme ne considère la conformité aux 10 principales vulnérabilités de l'OWASP comme une conformité réglementaire automatique. Toutefois, la norme PCI DSS 4.0 (exigence 6.2.4), les critères de développement sécurisé SOC 2 et les mesures de protection techniques de la loi HIPAA font tous référence à la couverture des 10 principales vulnérabilités de l'OWASP comme preuve acceptée de bonnes pratiques de codage sécurisé. Il convient de considérer la norme OWASP Top 10:2025 comme une base, et non comme un ensemble de contrôles exhaustif.
En quoi le Top 10 de la sécurité des API OWASP diffère-t-il du Top 10 OWASP ?
Le Top 10 de sécurité des API de l'OWASP se concentre sur les risques spécifiques aux API, tels que l'autorisation au niveau de l'objet (BOLA) et l'affectation de masse. Le Top 10 standard de l'OWASP couvre des vulnérabilités plus générales des applications web, comme les injections et les attaques XSS. Ce sont des listes distinctes, mises à jour par différentes communautés OWASP selon leurs cycles de publication respectifs.
Existe-t-il un Top 10 OWASP pour les applications mobiles ?
Oui. Le Top 10 mobile de l'OWASP est une liste distincte axée sur les risques spécifiques aux appareils mobiles, tels que le stockage de données non sécurisé, le chiffrement faible et les communications non sécurisées. Elle est mise à jour indépendamment du Top 10 des applications web : 2025 et sa dernière mise à jour date de 2024.
Premiers pas avec un outil d'analyse statique
