OWASP Top 10 2021 : guide pratique pour les PME françaises
Les 10 vulnérabilités web les plus critiques identifiées par l'OWASP (Open Worldwide Application Security Project), expliquées concrètement pour les dirigeants et équipes techniques de PME. Chaque vulnérabilité est illustrée par un scénario réel et des actions correctives immédiates.
Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES
Pourquoi l'OWASP Top 10 concerne votre PME ?
L'OWASP est une fondation internationale à but non lucratif dédiée à la sécurité des applications web. Son Top 10 est le référentiel de sécurité web le plus utilisé au monde. Il est cité par l'ANSSI, la directive NIS2 et les normes ISO 27001/27002 comme cadre de référence pour les tests de sécurité.
43% des cyberattaques ciblent les PME (Verizon DBIR 2024), et la majorité exploitent des vulnérabilités listées dans ce Top 10. Connaître ces failles et savoir les corriger est la première étape pour protéger votre entreprise.
Contrôle d’accès défaillant
CritiqueDe quoi s'agit-il ?
Un utilisateur accède à des données ou des fonctionnalités qui ne lui sont pas destinées. Par exemple : un client modifie son URL pour consulter la facture d’un autre client, ou un employé accède au panneau d’administration sans vérification de rôle.
Impact pour votre PME
Fuite de données clients, modification non autorisée, escalade de privilèges. C’est la vulnérabilité la plus fréquemment identifiée lors de nos tests d’intrusion sur les applications PME.
Comment corriger
Appliquer le principe du moindre privilège. Vérifier les autorisations côté serveur pour chaque requête (pas uniquement côté interface). Utiliser des contrôles d’accès basés sur les rôles (RBAC).
Défaillances cryptographiques
HauteDe quoi s'agit-il ?
Les données sensibles (mots de passe, numéros de carte, données personnelles) sont stockées ou transmises sans chiffrement adéquat. Mots de passe en clair, certificats SSL expirés, algorithmes obsolètes (MD5, SHA1).
Impact pour votre PME
Vol de données personnelles, non-conformité RGPD, amendes CNIL. En cas de fuite, l’entreprise doit notifier la CNIL sous 72 heures.
Comment corriger
Chiffrer toutes les données en transit (TLS 1.2+) et au repos (AES-256). Hasher les mots de passe avec bcrypt ou Argon2. Supprimer les algorithmes obsolètes.
Injection
CritiqueDe quoi s'agit-il ?
Un attaquant insère du code malveillant dans une requête : SQL injection, NoSQL injection, injection de commandes OS, ou injection LDAP. Cela se produit quand les entrées utilisateur ne sont pas validées avant d’être traitées.
Impact pour votre PME
Accès complet à la base de données, suppression de données, exécution de commandes sur le serveur. Une injection SQL réussie peut compromettre l’intégralité de votre système d’information.
Comment corriger
Utiliser systématiquement des requêtes paramétrées (prepared statements). Valider et assainir toutes les entrées utilisateur. Appliquer le principe du moindre privilège sur les comptes de base de données.
Conception non sécurisée
HauteDe quoi s'agit-il ?
L’application n’a pas été conçue avec la sécurité en tête. Absence de modélisation des menaces, pas de revue d’architecture sécurité, logique métier exploitable.
Impact pour votre PME
Vulnérabilités structurelles difficiles à corriger après le développement. Contournement de la logique métier (ex : modification du prix d’une commande côté client).
Comment corriger
Intégrer la sécurité dès la conception (Security by Design). Réaliser une modélisation des menaces avant le développement. Faire auditer l’architecture par un expert sécurité.
Mauvaise configuration de sécurité
HauteDe quoi s'agit-il ?
Paramètres par défaut non modifiés, pages d’erreur détaillées exposées, répertoires ouverts, headers de sécurité manquants, services inutiles activés.
Impact pour votre PME
Divulgation d’informations techniques (versions, stack traces), accès à des interfaces d’administration, exploitation de services non patchés.
Comment corriger
Durcir les configurations serveur. Activer les headers de sécurité (HSTS, CSP, X-Frame-Options). Désactiver les pages d’erreur détaillées en production. Automatiser les audits de configuration.
Composants vulnérables et obsolètes
HauteDe quoi s'agit-il ?
Utilisation de bibliothèques, frameworks ou dépendances avec des vulnérabilités connues (CVE). Dépendances non mises à jour depuis des mois ou des années.
Impact pour votre PME
Les CVE publiques sont les premières cibles des attaquants automatisés. Une seule dépendance vulnérable peut compromettre l’ensemble de l’application.
Comment corriger
Mettre en place un processus de gestion des dépendances. Utiliser des outils d’analyse (npm audit, Dependabot, Snyk). Planifier des mises à jour régulières.
Identification et authentification défaillantes
CritiqueDe quoi s'agit-il ?
Mots de passe faibles autorisés, brute force non limité, sessions qui n’expirent pas, tokens prévisibles, absence de MFA.
Impact pour votre PME
Prise de contrôle de comptes utilisateurs ou administrateurs. Accès non autorisé aux données et aux fonctionnalités sensibles.
Comment corriger
Imposer des politiques de mots de passe robustes. Activer le MFA (authentification multi-facteurs). Limiter les tentatives de connexion. Invalider les sessions après déconnexion.
Défaillances d’intégrité logicielle et des données
HauteDe quoi s'agit-il ?
Absence de vérification d’intégrité lors des mises à jour logicielles, pipelines CI/CD non sécurisés, désérialisation non sécurisée.
Impact pour votre PME
Injection de code malveillant dans le pipeline de déploiement. Compromission de la supply chain logicielle.
Comment corriger
Vérifier l’intégrité des packages (signatures, checksums). Sécuriser les pipelines CI/CD. Éviter la désérialisation d’objets non fiables.
Carence des journaux et de la surveillance
MoyenneDe quoi s'agit-il ?
Absence de logs sur les événements de sécurité (connexions échouées, accès refusés, modifications critiques), pas de monitoring en temps réel, pas d’alertes.
Impact pour votre PME
Incapacité à détecter une intrusion en cours. Impossibilité de retracer une compromission. Non-conformité NIS2 (obligation de détection et notification sous 72h).
Comment corriger
Centraliser les logs de sécurité. Mettre en place des alertes sur les événements critiques. Conserver les journaux au minimum 12 mois. Tester régulièrement le processus de détection.
Falsification de requête côté serveur (SSRF)
HauteDe quoi s'agit-il ?
L’application effectue des requêtes HTTP vers des URLs fournies par l’utilisateur sans validation. L’attaquant peut scanner le réseau interne, accéder à des services internes ou exfiltrer des données.
Impact pour votre PME
Accès aux services internes (bases de données, API internes, métadonnées cloud). Pivot vers le réseau interne depuis une application exposée.
Comment corriger
Valider et filtrer toutes les URLs fournies par l’utilisateur. Bloquer les requêtes vers les adresses privées (127.0.0.1, 10.x, 192.168.x). Utiliser des allowlists de domaines autorisés.
Votre application est-elle vulnérable ?
Un test d'intrusion (pentest) couvre l'ensemble de l'OWASP Top 10 et identifie les vulnérabilités spécifiques à votre application. Laucked teste votre périmètre web, API et intégrations IA avec un rapport détaillé et un plan de remédiation priorisé.