Infographie du Top 10 OWASP 2021

Le Top 10 de l'OWASP :
Une nouvelle vague de risques

  • Partager sur Facebook
  • Partager sur X
  • Partager sur Linkedin
  • Partager via AddThis

INTRODUCTION

Les opportunités pour les attaquants ont explosé dans l’économie numérique d’aujourd’hui, qui repose sur des applications et des architectures modernes, des déploiements multicloud et des intégrations tierces, notamment des chaînes d’approvisionnement de logiciels et des pipelines CI/CD. Le Top 10 de l'OWASP pour 2021 aborde une nouvelle vague de risques sous forme de conseils incontournables pour améliorer la sécurité dans la conception et la mise en œuvre des applications.

La mise à jour la plus importante depuis 20 ans

Le Top 10 de l'OWASP, publié pour la première fois en 2003, représente un large consensus sur les risques de sécurité les plus critiques pour les applications Web. Pendant 20 ans, les principaux risques sont restés en grande partie inchangés, mais la mise à jour 2021 apporte des changements importants qui traitent des risques d'application dans trois domaines thématiques :

Recatégorisation des risques pour aligner les symptômes sur les causes profondes

Nouvelles catégories de risques englobant les architectures et le développement d'applications modernes

Exploitations de vulnérabilités ainsi que d'abus de logique métier

mot de passe crâne

Quelle est la principale cause des violations ?

Attaques d'accès


« Les attaques d’accès, c’est-à-dire les attaques contre les surfaces d’authentification orientées utilisateur, ont été la cause la plus fréquente de violations. »1

— Rapport 2022 sur la protection des applications : Dans l'attente d'une exfiltration

Quoi de neuf pour 2021

Voici les facteurs clés qui ont influencé la mise à jour du Top 10 de l'OWASP :

2017

Focus sur les applications Web traditionnelles

Petit ensemble de données (sous-ensemble prescrit de 30 CWE)

Diversité des facteurs de risque, impacts techniques/commerciaux

L'injection est le principal risque depuis plus de 20 ans

2021

Passage aux architectures modernes

Processus piloté par les données avec 400 CWE

Recatégorisé autour des symptômes et des causes profondes

Une nouvelle vague de risques : conception et mise en œuvre non sécurisées

Les 10 principaux risques de sécurité de l'OWASP 2021

A01

Contrôle d'accès interrompu

A02

Échecs cryptographiques

A03

Injection

A04

Conception non sécurisée

A05

Mauvaise configuration de la sécurité

A6

Composants vulnérables et obsolètes

A7

Échecs d'identification et d'authentification

A8

Défaillances en matière d'intégrité des logiciels et des données

A9

Journalisation de sécurité et surveillance des échecs

A10

Falsification de requête côté serveur (SSRF)

THÈME #1

Symptômes alignés sur les causes profondes

Accès aux périphériques OWASP de sécurité

Qu'est-ce qui a changé ?

La cartographie des 10 principaux risques de l'OWASP correspond aux énumérations de faiblesses courantes (CWE), qui deviennent souvent des exploits de vulnérabilité. Mais la collecte de données OWASP précédente s’est concentrée sur un ensemble prescrit de 30 CWE, et les listes précédentes ne faisaient aucune distinction significative entre les CWE qui représentaient les causes profondes et les faiblesses plus symptomatiques avec une variété de causes potentielles. La liste 2021 reflète 400 CWE et a ainsi permis une analyse plus large.

2017 : Symptôme

A3:2017
Exposition de données sensibles

A7:2017
Script intersite (XSS)

A4:2017
Entités externes XML (XXE)

A9:2017
Utilisation de composants présentant des vulnérabilités connues

A8:2017
Désérialisation non sécurisée

A10:2017
Enregistrement et surveillance insuffisants

2021 : Cause première

A02:2021
Défaillances cryptographiques

A03:2021
Injection

A05:2021
Mauvaise configuration de sécurité

A06:2021
Composants vulnérables et obsolètes

A08:2021
Défaillances en matière d'intégrité des logiciels et des données

A09:2021
Journalisation de sécurité et échecs de surveillance

Pourquoi est-ce important ?

La liste 2021 aligne mieux les symptômes sur les causes profondes sous-jacentes pour aider les équipes de sécurité à se concentrer sur la réduction des risques à leur source.

mot de passe crâne

Quelle est la principale cause des violations du cloud ?

Mauvaise configuration de sécurité


« Ce que nous voulons, c’est que vous réfléchissiez réellement à ces causes profondes et à ce que vous pouvez faire pour y remédier, plutôt que d’essayer de mettre des pansements sur les symptômes. »2

—Andrew van der Stock, directeur exécutif de la Fondation OWASP

THÈME #2

Nouvelles catégories de risques

Sécurité OWASP Device Hacker

Qu'est-ce qui a changé ?

Trois nouvelles catégories de risques soulignent la nécessité d’aborder la sécurité dès le début de la conception de l’application et d’intégrer la sécurité dans le cycle de vie du logiciel.

A04: 2021
Conception non sécurisée

A08: 2021
Défaillances en matière d'intégrité des logiciels et des données

A10: 2021
Falsification de requête côté serveur

Pourquoi est-ce important ?

La récente publication de la vulnérabilité log4j2 met en lumière l’importance des exploits de logiciels open source. Les faiblesses de l'utilitaire de journalisation log4j2 correspondent à deux catégories de risques OWASP Top 10 et à un CVE avec des exploits du monde réel, ce qui en fait un trio : des échecs d'injection, de logiciel et d'intégrité des données, et des composants vulnérables et obsolètes.

Infographie courte de l'OWASP

Figure 1 : L'exploit Log4Shell dans l'utilitaire de journalisation open source Apache Log4j2 est un exemple d'attaque qui couvre plusieurs catégories de risques. Il permet l'exécution de code arbitraire chargé à partir des serveurs LDAP lorsque la substitution de recherche de message est activée.

« Une conception sécurisée peut néanmoins présenter des défauts de mise en œuvre conduisant à des vulnérabilités pouvant être exploitées. »

—Top 10 de l'OWASP pour 2021

THÈME #3

Protection pour les applications et architectures modernes

Sécurité OWASP Utilisateur Centre de données Tablette

Qu'est-ce qui a changé ?

Les architectures d’applications ont évolué, avec les déploiements cloud, la conteneurisation, les applications mobiles et une prolifération d’API et d’intégrations tierces. Les pages de connexion, les paniers d’achat et autres logiques métier ne sont pas des défauts, mais ils sont intrinsèquement vulnérables aux abus. Le Top 10 de l'OWASP pour 2021 offre des conseils pour une sécurité proactive et préventive dans ce nouvel ordre mondial.

Infographie courte de l'OWASP

Figure 2 : Les meilleures pratiques d’hier ne suffisent plus aux applications et architectures modernes distribuées d’aujourd’hui.

Pourquoi est-ce important ?

La sécurité doit être intégrée tout au long du processus de développement d’applications, y compris les pipelines CI/CD sécurisés, les inventaires de composants, la modélisation des menaces et une gestion rigoureuse des risques. Le dernier Top 10 de l'OWASP offre une ressource pour les professionnels de la sécurité et d'AppDev/DevOps qui travaillent à déplacer la sécurité encore plus loin dans les principes de conception fondamentaux.

1 Rapport sur la protection des applications F5 2022.

2 Van der Stock, Andrew, Top 10 de l'OWASP , YouTube. 8 octobre 2021. 

En savoir plus

Rapport __ptNoRemap

RAPPORT

Rapport 2022 de F5 Labs sur la protection des applications

Comprenez comment les menaces ont évolué au cours de l’année écoulée et comment les défenses de sécurité peuvent être ajustées pour vaincre les dernières attaques.

Obtenir le rapport ›

Livre électronique

E-LIVRE

Le Top 10 de l'OWASP 2021 : La nouvelle vague de risques

Découvrez comment utiliser le Top 10 de l’OWASP comme base pour un développement plus sécurisé et une meilleure sécurité des applications.

Obtenez le livre électronique ›

Webinaire

WEBINAIRE

Le Top 10 OWASP 2021 : Le nouvel ordre du risque

Découvrez ce qui a changé dans le Top 10 de l’OWASP et comment des solutions comme F5 Distributed Cloud WAAP atténuent ces risques.

Regarder maintenant ›

Simulateur de solutions

Simulateur de solutions

Protection des applications Web et des API distribuées dans le cloud F5 (WAAP)

Découvrez une démonstration interactive de protection holistique en tant que service pour les applications, où qu'elles s'exécutent.

Découvrez comment ça marche ›

Vidéos

VIDÉO

Série de vidéos de cours sur tableau lumineux OWASP Top 10 2021

Obtenez une analyse détaillée des 10 principaux risques de sécurité des applications Web de l'OWASP.

Regarder maintenant ›