Top 10 de l’OWASP pour 2021 :
une nouvelle vague de risques

  • Share to Facebook
  • Share to Twitter
  • Share to Linkedin
  • Share via AddThis

INTRODUCTION

Les opportunités pour les attaquants ont explosé dans l’économie numérique actuelle, qui repose sur des applications et des architectures modernes, des déploiements multiclouds et des intégrations tierces, y compris les chaînes d’approvisionnement en logiciels et les pipelines CI/CD. Le Top 10 de l’OWASP pour 2021 présente une nouvelle vague de risques et sert de guide incontournable pour améliorer la sécurité dans la conception et la mise en œuvre des applications.

La mise à jour la plus importante depuis 20 ans

Le Top 10 de l’OWASP, publié pour la première fois en 2003, représente un large consensus sur les risques de sécurité les plus critiques pour les applications Web. Pendant 20 ans, les principaux risques sont restés pratiquement les mêmes, mais la mise à jour de 2021 apporte des changements significatifs qui traitent des risques liés aux applications dans trois domaines thématiques :

Recatégorisation des risques pour aligner les symptômes sur les causes profondes

Nouvelles catégories de risques englobant les architectures et le développement d’applications modernes

Exploitation des vulnérabilités et utilisation abusive de la logique commerciale

analyse des mots de passe

Quelle est la première cause des violations ?

Attaques des accès


« Les attaques d’accès, c’est-à-dire les attaques contre les surfaces d’authentification en contact avec l’utilisateur, ont été la cause la plus fréquente des brèches. »1

— Rapport sur la protection des applications 2022 : En attendant l’exfiltration

Nouveautés pour 2021

Voici les principaux facteurs qui ont influencé la mise à jour du Top 10 de l’OWASP :

2017

Se concentrer sur les applications Web traditionnelles

Petit ensemble de données (sous-ensemble prescrit de 30 CWE)

Plusieurs facteurs de risque, impacts techniques/commerciaux

L’injection comme premier risque depuis plus de 20 ans

2021

Passage à des architectures modernes

Processus basé sur les données avec 400 CWE

Recatégorisation autour des symptômes et des causes profondes

Une nouvelle vague de risques : une conception et une mise en œuvre peu sûres

Top 10 des risques de sécurité de l’OWASP pour 2021

A01

Contrôle d’accès défectueux

A02

Défaillances cryptographiques

A03

Injection

A04

Conception non sécurisée

A05

Mauvaise configuration de la sécurité

A6

Composants vulnérables et obsolètes

A7

Défauts d’identification et d’authentification

A8

Défaillances de l’intégrité des logiciels et des données

A9

Défaillances de la journalisation et de la surveillance de la sécurité

A10

Server-Side Request Forgery (SSRF)

THÈME 1

Symptômes alignés sur les causes profondes

Nouveautés

Le Top 10 des risques de l’OWASP correspond à des énumérations de faiblesses communes (CWE), qui deviennent souvent des exploits de vulnérabilité. Mais la précédente collecte de données de l’OWASP se concentrait sur un ensemble prescrit de 30 CWE, et les listes précédentes ne faisaient pas de distinction significative entre les CWE qui représentaient les causes profondes et les faiblesses plus symptomatiques avec une variété de causes potentielles. La liste 2021 reflète 400 CWE et permet ainsi une analyse plus large.

2017 : Symptôme

A3:2017
Exposition de données sensibles

A7:2017
Script intersite (XSS)

A4:2017
Entités externes XML (XXE)

A9:2017
Utilisation de composants présentant des vulnérabilités connues

A8:2017
Désérialisation non sécurisée

A10:2017
Consignation et surveillance insuffisantes

2021 : Cause profonde

A02:2021
Défaillances cryptographiques

A03:2021
Injection

A05:2021
Mauvaise configuration de la sécurité

A06:2021
Composants vulnérables et obsolètes

A08:2021
Défaillances de l’intégrité des logiciels et des données

A09:2021
Défaillances de la journalisation et de la surveillance de la sécurité

Pourquoi c’est important ?

La liste 2021 fait mieux correspondre les symptômes aux causes profondes sous-jacentes pour aider les équipes de sécurité à se concentrer sur la réduction des risques à la source.

analyse des mots de passe

Quelle est la première cause de violation du cloud ?

Mauvaise configuration de la sécurité


« Ce que nous voulons, c’est que vous réfléchissiez réellement à ces causes profondes et à ce que vous pouvez faire pour y remédier, plutôt que d’essayer de mettre des pansements sur les symptômes. »2

—Andrew van der Stock, directeur exécutif de la Fondation OWASP

THÈME 2

Nouvelles catégories de risques

Nouveautés

Trois nouvelles catégories de risques soulignent la nécessité d’aborder la sécurité dès la conception des applications et de l’intégrer au cycle de vie des logiciels.

A04:2021
Conception non sécurisée

A08:2021
Défaillances de l’intégrité des logiciels et des données

A10:2021
Falsification de requête côté serveur

Pourquoi c’est important ?

La récente publication de la vulnérabilité de log4j2 met en évidence l’importance des exploits de logiciels libres. Les faiblesses de l’utilitaire de journalisation log4j2 correspondent à deux catégories de risque du Top 10 de l’OWASP, et un CVE avec des exploits réels en dénombre trois : injection, défaillances de l’intégrité du logiciel et des données, et composants vulnérables et obsolètes.

Infographie Résumé de l’OWASP

Figure 1 : L’exploit Log4Shell dans l’utilitaire de journalisation open source Apache Log4j2 est un exemple d’attaque qui couvre plusieurs catégories de risques. Il permet l’exécution de code arbitraire chargé à partir de serveurs LDAP lorsque la substitution de la recherche de messages est activée.

« Une conception sécurisée peut toujours présenter des défauts de mise en œuvre conduisant à des vulnérabilités susceptibles d’être exploitées. »

—Top 10 de l’OWASP pour 2021

THÈME 3

Protection des applications et des architectures modernes

Nouveautés

Les architectures d’application ont évolué, avec des déploiements cloud, la conteneurisation, les applications mobiles et une prolifération d’API et d’intégrations tierces. Les pages de connexion, les paniers d’achat et autres logiques commerciales ne sont pas des défauts, mais ils sont intrinsèquement vulnérables aux abus. Le Top 10 de l’OWASP pour 2021 fait des recommandations pour avoir une sécurité proactive et préventive dans ce nouvel ordre mondial.

Infographie Résumé de l’OWASP

Figure 2 : Les meilleures pratiques d’hier ne suffisent pas pour les applications et architectures modernes distribuées d’aujourd’hui.

Pourquoi c’est important ?

La sécurité doit être intégrée dans l’ensemble du processus de développement des applications, y compris les pipelines CI/CD sécurisés, les inventaires de composants, la modélisation des menaces et une bonne gestion des risques. Le dernier Top 10 de l’OWASP constitue une ressource pour les professionnels de la sécurité et AppDev/DevOps qui s’efforcent d’intégrer davantage la sécurité dans les principes de conception fondamentaux.

1 Rapport 2022 de F5 sur la protection des applications.

2 Van der Stock, Andrew, Top 10 de l’OWASP, YouTube. 8 oct. 2021

En savoir plus

Rapport

RAPPORT

F5 Labs : rapport 2022 sur la protection des applications

Comprenez comment les menaces ont évolué au cours de l’année écoulée et comment les défenses de sécurité peuvent être ajustées pour déjouer les dernières attaques.

Obtenir le rapport ›

E-book

E-BOOK

Le Top 10 de l’OWASP pour 2021 : La nouvelle vague de risques

Apprenez à utiliser le Top 10 de l’OWASP comme base pour un développement plus sûr et une meilleure sécurité des applications.

Télécharger l’e-book ›

Webinaire

WEBINAIRE

Le Top 10 de l’OWASP pour 2021 : Le nouvel ordre du risque

Découvrez ce qui a changé dans le Top 10 de l’OWASP et comment les solutions comme Distributed Cloud WAAP de F5 atténuent ces risques.

Regarder maintenant ›

Simulateur de solution

Simulateur de solution

F5 Distributed Cloud Web App and API Protection (WAAP)

Découvrez une démonstration interactive de la protection holistique en tant que service pour les applications, où qu’elles soient exécutées.

Voir comment ça marche ›

Vidéos

VIDÉO

Formations en vidéo Lightboard Top 10 de l’OWASP 2021

Obtenez une ventilation détaillée du nouveau Top 10 des risques de sécurité des applications Web de l’OWASP.

Regarder maintenant ›