[Dossier spécial] les 10 priorisations de vulnérabilité à résoudre selon l'OWASP #2
Cet article fait partie d'un dossier spécial sur le thème de la sécurité dans le monde du développement. Au travers une série de trois articles, nous allons aborder le thème de la sécurité. Notre objectif est de vous éclairer sur les enjeux de sécurisation de vos données et plus largement de vos projets en phase de build.
Dans notre deuxième article, intitulé "OWASP TOP 10", nous mettons en lumière le travail d'une communauté dédiée qui identifie les principales menaces et propose des moyens de sécurité à privilégier et à intégrer tout au long de vos développements. Il s'agit d'une ressource inestimable pour renforcer la résilience de vos projets. Retrouvez les autres articles de notre dossier spécial au bas de cette page.
Qu’est-ce que l’OWASP ?
L’ « Open Web Application Security Project », ou OWASP, est une organisation internationale à but non lucratif, fondé par Mark Curphey, qui se consacre à la sécurité des applications web. L’un des principes fondamentaux de l’OWASP est que tous ses documents soient disponibles gratuitement et facilement accessibles sur son site web, ce qui permet à chacun d’améliorer la sécurité de ses propres applications web.
Le Top 10 de l’OWASP est un rapport régulièrement mis à jour qui expose les préoccupations en matière de sécurité des applications web, en se concentrant sur les 10 risques les plus critiques. Le rapport est élaboré par une équipe d’experts en sécurité du monde entier. La liste est utilisée par les développeurs, les testeurs de sécurité et les professionnels de la sécurité pour évaluer et améliorer la sécurité des applications.
OWASP Top 10 :
Cette liste, publié par l’OWASP, est rangée selon un niveau d’occurrence sur le marché. C’est-à-dire que plus une catégorie de vulnérabilité est haute dans cette liste, plus elle est exploitée et exploitable par des utilisateurs malveillants.
Ci-joint la liste en question en 2023 :
1. Défaillance de l'autorisation au niveau de l'objet
2. Défaillance de l'authentification
3. Défaillance de l'autorisation au niveau de la propriété de l'objet
4. Consommation de ressources illimitée
5. Défaillance de l'autorisation au niveau de la fonction
6. Vulnérabilité côté serveur de type SSRF
7. Configuration incorrecte de la sécurité
8. Manque de protection contre les menaces automatisées
9. Mauvaise gestion des actifs
10. Utilisation non sécurisée des API
Suis-je concerné ?
Bien que cette liste soit techniquement réservée à un public portant un bagage technique important (développeurs, expert en cybersécurité, testeurs et autres), il n’en reste pas moins indispensable pour toute personne responsable d’un projet informatique ou d’une base de données sensibles de rester curieux et concerné par les enjeux de la sécurité.
Intérêt de l’OWASP pour l’entreprise :
Sensibilisation à la sécurité : Cette liste claire et concise des principales vulnérabilités de sécurité permet aux entreprises de comprendre les menaces potentielles et d'être conscientes des risques liés à la sécurité des applications.
Priorisation des mesures de sécurité : La liste établit un classement des vulnérabilités en fonction de leur impact potentiel afin d’identifier les problèmes les plus critiques et à concentrer leurs efforts sur les mesures de sécurité les plus importantes.
Réduction des risques : En se concentrant sur les dix principales vulnérabilités de l'OWASP, une entreprise peut réduire considérablement les risques d'attaques et de violations de sécurité. En comprenant ces vulnérabilités courantes et en les corrigeant, les entreprises peuvent renforcer la sécurité de leurs applications et protéger les données sensibles de leurs clients.
Conformité aux normes et réglementations : De nombreuses réglementations et normes de sécurité, telles que le Règlement général sur la protection des données (RGPD) en Europe, exigent des entreprises qu'elles prennent des mesures appropriées pour sécuriser les données personnelles. En s'appuyant sur l'OWASP Top 10, les entreprises peuvent s'assurer qu'elles sont conformes aux exigences de sécurité et éviter des conséquences légales et financières.
Bonnes pratiques de développement sécurisé : En utilisant l'OWASP Top 10 comme guide, les entreprises peuvent adopter des pratiques de développement sécurisé dès le début du processus de développement des applications. Cela permet d'intégrer la sécurité dans le cycle de développement et de réduire les vulnérabilités dès le départ, ce qui est plus efficace et économique que de corriger les problèmes de sécurité une fois l'application terminée.
En résumé, l'OWASP Top 10 aide les entreprises à prendre des mesures proactives pour améliorer la sécurité de leurs applications web, à réduire les risques d'attaques et de violations de données, et à se conformer aux normes de sécurité. Cela permet de renforcer la confiance des utilisateurs et protéger la réputation de l'entreprise.
Rédacteurs : Alexandre LEPAGE
DOSSIER SPECIAL :
Cet article fait partie de notre dossier spécial sur la sécurité. Retrouvez les autres thèmes abordés ici :
INTRODUCTION - La sécurité en phase projet : essentiel pour garantir vos données et le cycle de vie de vos produits
Article 1 - L’analyse des risques dans le cadre de projets de développements
Article 3 - DevSecOps : la clé pour accélérer le développement sans compromettre la sécurité
Sources :
Barracuda.com pour plus de détails en français sur la liste top 10
En savoir plus >>
OWASP
En savoir plus >>
Titre et description de la source
En savoir plus >>
Titre et description de la source
En savoir plus >>