OWASP Top 10 2025

OWASP est un projet que, personnellement, j’ai toujours beaucoup apprécié. Au fil du temps, j’ai publié plusieurs articles sur mon blog en lien avec OWASP. Je me souviens qu’il y a quelques années, je lui ai consacré un article parce que je regrettais que l’on ne parle pas davantage d’OWASP à l’université. Depuis, j’ai écrit sur l’OWASP Top 10 de 2017 et l’OWASP Top 10 2021, sur l’OWASP Mobile Top 10 Vulnerabilities, sur l’OWASP MSTG, et j’ai même publié plusieurs vidéos sur ma chaîne YouTube en utilisant l’outil WebGoat d’OWASP. Pour toutes ces raisons, je ne pouvais pas laisser passer plus de temps sans écrire sur l’OWASP Top 10 2025. L’objectif de cet article n’est pas de faire une revue détaillée de chacune des dix vulnérabilités, mais plutôt de proposer une analyse succincte afin de comprendre comment les principales menaces web ont évolué au fil des années.

Si l’on compare l’OWASP Top 10 2013 avec l’OWASP Top 10 2017, on peut constater qu’à cette époque, l’une des principales vulnérabilités web était l’injection de code, qu’il s’agisse de SQL Injection ou de Command Injection. Ce type de failles était extrêmement courant et avait un impact très élevé. De plus, en 2017, les catégories A4 et A7 ont été fusionnées pour donner naissance à A5 – Broken Access Control, une vulnérabilité qui, comme nous le verrons par la suite, a pris une importance considérable. Cette même année, nous avons également commencé à prendre davantage conscience de la nécessité de journaliser et de surveiller correctement nos applications. Certaines entreprises ont commencé à accorder plus d’importance aux systèmes SIEM, en comprenant que la visibilité et l’analyse des événements étaient essentielles pour la sécurité. Enfin, dans l’OWASP Top 10 2017, l’importance des vulnérabilités de type CSRF a diminué, car ce type de faille était de mieux en mieux maîtrisé dans les applications modernes.

 

OWASP Top 10 2013 vs OWASP Top 10 2017

En analysant l’OWASP Top 10 2021 et en le comparant à celui de 2017, on observe clairement que les vulnérabilités liées à l’injection de code reculent dans le classement. Cela est probablement dû, en grande partie, à l’efficacité des IPS et des systèmes de sécurité périmétrique. Bien qu’elles restent critiques, ces attaques deviennent, à partir de 2021, plus faciles à détecter et à bloquer. En revanche, Broken Access Control passe de la cinquième à la première position. Nous constatons de plus en plus de faiblesses liées à la gestion des sessions et à l’authentification, ce qui entraîne des fuites de données — souvent à caractère personnel — et augmente considérablement la criticité de ce type de failles de sécurité.

 

OWASP Top 10 2017 vs OWASP Top 10 2021

Enfin, nous arrivons à 2025, année au cours de laquelle OWASP met de nouveau à jour son Top 10. Les vulnérabilités de Broken Access Control se maintiennent en première position, ce qui montre clairement qu’il nous reste encore beaucoup à améliorer dans ce domaine. Il sera nécessaire de mieux configurer les contrôles d’accès et de renforcer l’utilisation des pare-feux applicatifs web (WAF). Dans cet OWASP Top 10 2025, on remarque également la montée à la troisième position des vulnérabilités liées à la chaîne d’approvisionnement logicielle, un domaine dans lequel de nombreuses organisations continuent d’utiliser des bibliothèques et des composants obsolètes. Parallèlement, les vulnérabilités d’injection de code restent présentes, mais continuent de perdre de l’importance dans le classement, en grande partie parce que nous disposons de mécanismes de protection de plus en plus efficaces contre ce type d’attaques.

 

OWASP Top 10 2021 vs OWASP Top 10 2025

 

Je suis convaincu que je continuerai à lire et à écrire sur OWASP, car c’est un projet qui apporte une immense valeur à la communauté. C’est une source d’apprentissage permanente et une aide essentielle pour protéger nos données et nos services. Et maintenant, la grande question demeure… oserai-je écrire sur l’OWASP Top 10 pour les LLM ?