Les 10 risques OWASP (2021)
- A01 – Broken Access Control : contrôles d'accès défaillants (IDOR, escalade de privilèges).
- A02 – Cryptographic Failures : chiffrement faible ou absent.
- A03 – Injection : SQL, NoSQL, OS, LDAP.
- A04 – Insecure Design : défauts de conception.
- A05 – Security Misconfiguration : configurations par défaut.
- A06 – Vulnerable Components : dépendances obsolètes.
- A07 – Auth Failures : authentification défaillante.
- A08 – Software & Data Integrity : intégrité compromise.
- A09 – Logging & Monitoring : traçabilité insuffisante.
- A10 – SSRF : Server-Side Request Forgery.
Pourquoi le OWASP Top 10 est important pour les PME ?
Les vulnérabilités du Top 10 représentent la majorité des failles trouvées lors des pentests. Les tester systématiquement couvre le socle de sécurité minimal attendu par les clients, les assureurs cyber et les auditeurs.
OWASP Top 10 et pentest
Chez Laucked, chaque mission de pentest web inclut la couverture complète de l'OWASP Top 10. Les findings sont mappés sur les catégories OWASP pour faciliter la lecture du rapport et le suivi des corrections.
Évolution 2017 → 2021 : ce qui a changé
Le Top 10 2021 a reconfiguré 3 catégories majeures par rapport à 2017 :
- A01 Broken Access Control : passe de la 5ème à la 1ère place. 94 % des apps testées en contiennent. Englobe IDOR, escalade horizontale/verticale, CORS mal configuré.
- A03 Injection : descend de #1 à #3 et absorbe maintenant XSS (qui était A07 en 2017). SQLi reste dominante mais NoSQLi et template injection gagnent du terrain.
- A04 Insecure Design : nouvelle catégorie. Ne couvre plus des bugs techniques mais des défauts de modélisation (absence de rate-limiting, workflow de réinitialisation vulnérable by design).
- A10 SSRF : nouvelle catégorie. Poussée par la généralisation du cloud (Capital One breach 2019).
Les catégories OWASP Top 10 servent de taxonomie commune entre dev, sec, audit et assurance cyber. Un rapport de pentest qui map les findings sur OWASP facilite la priorisation et l'acceptation par les assureurs (Axa, Hiscox, Beazley, Stoïk).
Recevoir la checklist OWASP Top 10 (PDF imprimable)
Les 10 risques 2021 traduits en contrôles de remédiation à cocher pour vos équipes dev et sécurité. Indiquez votre email professionnel pour y accéder immédiatement.
FAQ OWASP Top 10
OWASP Top 10 ou OWASP ASVS, que choisir pour ma PME ?
Le Top 10 est un référentiel de risques (les 10 catégories les plus fréquentes). L'ASVS (Application Security Verification Standard) est un référentiel de contrôles avec 3 niveaux. Pour une PME : Top 10 minimum lors d'un pentest annuel, ASVS L1 si vous visez des grands comptes exigeants, L2 si vous traitez des données sensibles (santé, finance).
La prévention OWASP Top 10 suffit-elle pour un pentest complet ?
Non. Le Top 10 couvre le socle web, mais un pentest complet doit aussi tester : logique métier (workflows abusables), API (OWASP API Top 10 distinct), authentification multi-facteurs, rate-limiting, endpoints d'administration cachés, back-office, et spécificités techniques (GraphQL, WebSocket).
Quand sortira OWASP Top 10 2025 ?
La v2021 reste le référentiel officiel en 2026. OWASP a annoncé une v2025 attendue mi-2026, collectée sur les données de pentests 2023-2025. Les candidats à l'inclusion : AI/LLM vulnérabilités (prompt injection — déjà dans OWASP LLM Top 10), supply chain attacks, race conditions.
Mon assurance cyber exige-t-elle une conformité OWASP Top 10 ?
La plupart des assureurs (Axa, Hiscox, Stoïk, Mutuelle Générale) demandent désormais un questionnaire de sécurité qui inclut « Avez-vous testé l'OWASP Top 10 ? » ou « Votre application fait-elle l'objet d'un pentest annuel ? ». Ne pas cocher ces cases peut alourdir la prime ou exclure certaines garanties. L'impact exact varie selon l'assureur et le profil de risque. Voir assurance cyber PME.