L'OWASP Top 10 (Open Worldwide Application Security Project) est le référentiel de sécurité web le plus cité au monde depuis 2003, classant les 10 catégories de vulnérabilités les plus impactantes en applications web. La version courante OWASP Top 10:2021 (publiée septembre 2021) reste en 2026 la baseline de communication entre RSSI, dev, audit, RFP, citée dans 90% des contrats clients sécurité FR 2026, intégrée dans NIST SSDF, ISO 27001 et PCI DSS 4.0. Mais se limiter au Top 10 web pour faire de la sécurité applicative est une erreur stratégique : il faut le compléter avec OWASP API Top 10 2023 (architectures microservices), OWASP LLM Top 10 v2.0 (octobre 2024, IA générative), et ASVS v4.0.3 (~280 contrôles concrets pour audit pro). Cet article documente les 7 priorités à comprendre pour utiliser correctement ce référentiel : origine et utilité réelle, décortique des 10 catégories 2021, comparaison avec ses cousins API/LLM, mapping vers ASVS/SAMM, méthode de priorisation, anti-patterns d'utilisation, et évolution attendue 2025-2027.
Pour les fondamentaux : voir pillar OWASP (si pillar). Pour l'API security : voir OWASP API Top 10 2023. Pour les LLM : voir OWASP LLM Top 10 v2.0.
Le bon mental model : Top 10 = checklist de communication, pas méthodologie d'audit
Beaucoup de candidats abordent l'OWASP Top 10 comme un référentiel exhaustif d'audit. C'est une erreur de cadrage. Le Top 10 a été conçu en 2003 par Mark Curphey comme outil de sensibilisation et de communication pour faire monter la sécurité applicative dans l'agenda des CIO et dev leads. Il n'a jamais prétendu être une méthodologie d'audit, c'est une liste extractive des risques les plus prévalents, mise à jour tous les 3-4 ans avec données empiriques (CVE, programmes bug bounty, sondages communautaires).
Mythe OWASP Top 10 vs Réalité OWASP Top 10 2026
─────────────────────────────── ────────────────────────────────────
« Si je traite les 10, je suis safe » → Top 10 = ~30-40% des risques applicatifs
Liste exhaustive d'audit → Liste de prévalence pour communication
Ordre A01 → A10 = priorité de fix → Ordre = prévalence statistique 2017-2020
1 référentiel pour tout → Top 10 web + API 2023 + LLM v2.0 + ASVS
Outil pour pentesters → Outil pour management + dev sensibilisation
Stable depuis 2003 → Mises à jour 2003, 2007, 2010, 2013, 2017, 2021
Position 1 : utiliser uniquement l'OWASP Top 10 web pour faire de la sécurité applicative en 2026 = couvrir 30-40% des risques réels d'une stack moderne (microservices + APIs + LLM + supply chain). Le Top 10 doit être complété par OWASP ASVS (audit technique, ~280 contrôles), OWASP API Top 10 2023 (microservices REST/GraphQL), OWASP LLM Top 10 v2.0 (applications IA générative), et NIST SSDF (cycle de vie sécurisé).
Position 2 : la mode 2024-2025 du « Top 10-driven security » chez les startups produit des audits superficiels. Vraie sécurité applicative en 2026 = threat modeling spécifique + ASVS L2 minimum + Top 10 (web + API + LLM selon stack) + supply chain (SLSA + SBOM). Pas une checklist mais une méthode contextuelle.
Priorité 1, L'OWASP Top 10:2021 décortiqué (10 catégories actuelles)
| Code | Catégorie | Prévalence apps testées | CWE clés mappés | Impact business |
|---|---|---|---|---|
| A01 | Broken Access Control | 94% | CWE-22, CWE-284, CWE-285, CWE-639 (IDOR), CWE-918 (SSRF) | Élevé, accès non autorisé |
| A02 | Cryptographic Failures (ex-Sensitive Data Exposure) | 79% | CWE-259, CWE-327 (faibles algos), CWE-331, CWE-916 | Fuite données |
| A03 | Injection (incluant XSS depuis 2021) | 77% | CWE-79 (XSS), CWE-89 (SQLi), CWE-77 (Command Injection), CWE-78 | Compromission |
| A04 | Insecure Design (nouveau 2021) | 73% | CWE-209, CWE-256, CWE-501, CWE-522 | Conception failure |
| A05 | Security Misconfiguration | 90% | CWE-16, CWE-260, CWE-732, CWE-1004 | Surface étendue |
| A06 | Vulnerable and Outdated Components | 84% | CWE-1104 (utilisation libs vulnérables) | Supply chain |
| A07 | Identification and Authentication Failures | 88% | CWE-287, CWE-261, CWE-330, CWE-384, CWE-521 | Compromission compte |
| A08 | Software and Data Integrity Failures (nouveau 2021) | 76% | CWE-345, CWE-353, CWE-426, CWE-829 (post-XZ Utils CVE-2024-3094) | Supply chain attack |
| A09 | Security Logging and Monitoring Failures | 78% | CWE-117, CWE-223, CWE-532, CWE-778 | Détection tardive |
| A10 | Server-Side Request Forgery (SSRF, nouveau 2021) | 70% | CWE-918 | Pivot interne |
Top 5 statistiquement les plus exploités en prod 2024-2025
# Données empiriques OWASP Top 10 prévalence FR 2024-2025
# (basées sur HackerOne 2024 H1 Hacker-Powered Security Report + NVD/CISA KEV)
prevalence_pratique = {
"A01 Broken Access Control": "94% apps testées, ~32% findings totaux",
"A05 Security Misconfiguration": "90% apps testées, ~15% findings",
"A07 Auth Failures": "88% apps testées, ~12% findings",
"A06 Vulnerable Components": "84% apps testées, ~10% findings",
"A03 Injection (XSS dominant, SQLi en baisse)": "77% apps testées, ~8% findings",
}
# Position : focaliser fixs sur A01, A05, A07 = 60%+ couverture risques réels
# A02 (crypto) souvent surévalué dans la com, sous-représenté en exploits réelsPriorité 2, Différences A01-A10 vs anciennes versions (2017 → 2021)
| Changement 2017 → 2021 | Détails |
|---|---|
| A01 Promotion Broken Access Control de A05 (2017) à A01 (2021) | Reflète prévalence #1 mesurée |
| A02 Renommage Sensitive Data Exposure → Cryptographic Failures | Focus sur cause (faible crypto) plutôt que symptôme (fuite) |
| A03 Fusion Injection + XSS | Reconnaissance que XSS = forme d'injection client-side |
| A04 Nouvelle catégorie : Insecure Design | Promotion de l'importance du threat modeling early-stage |
| A07 Renommage Auth & Identification merged | Cohérence terminologique |
| A08 Nouvelle : Software and Data Integrity Failures | Anticipation supply chain attacks (avant XZ Utils 2024) |
| A10 Nouvelle : SSRF | Reconnaissance prévalence cloud + microservices |
Position 3 : la version 2021 est structurellement supérieure à la 2017 (insecure design, supply chain integrity, SSRF) et reste utilisable en 2026 même en attendant la version 2025. Mais elle date, CSP, CORS, Trusted Types, OAuth misconfigs ne sont pas suffisamment couverts. La v2025 est attendue avec ces ajouts + intégration AI risks.
Priorité 3, OWASP Top 10 web vs API 2023 vs LLM v2.0
| Référentiel | Année | Focus | Catégories clés non couvertes par autres |
|---|---|---|---|
| OWASP Top 10 web | 2021 | Applications web monolithiques | XSS, SSRF cloud, supply chain |
| OWASP API Security Top 10 | 2023 (janvier) | APIs REST/GraphQL | API1 BOLA, API3 BOPLA, API4 unrestricted resource consumption, API9 improper inventory |
| OWASP LLM Top 10 | v2.0 octobre 2024 | Applications IA générative | LLM01 prompt injection, LLM06 excessive agency, LLM07 system prompt leakage, LLM10 unbounded consumption |
Mapping OWASP Top 10 web ↔ API ↔ LLM (correspondances directes)
| Risque commun | Top 10 web 2021 | API Top 10 2023 | LLM Top 10 v2.0 |
|---|---|---|---|
| Authentification faible | A07 | API2 (Broken Authentication) | LLM02 (Sensitive Information Disclosure) partiel |
| Autorisation cassée | A01 | API1 (BOLA) + API5 (BFLA) | LLM06 (Excessive Agency) partiel |
| Injection | A03 | API8 (Security Misconfiguration) | LLM01 (Prompt Injection) |
| Supply chain | A08 | (non couvert directement) | LLM03 (Supply Chain) |
| Logging insuffisant | A09 | API9 (Improper Inventory Management) | LLM05 (Improper Output Handling) |
Position 4 : pour un système moderne complet (web + APIs + LLM), utiliser les 3 référentiels conjointement, pas l'un OU l'autre. Erreur fréquente FR 2026 : équipe sécurité qui audite avec Top 10 web seul une stack microservices avec LLM intégré → 60-70% des risques spécifiques API et LLM passent à la trappe.
Priorité 4, Top 10 vs ASVS vs SAMM (vraie méthodologie d'audit)
| Référentiel OWASP | Type | Volume contrôles | Usage cible |
|---|---|---|---|
| Top 10 | Liste prévalence | 10 catégories | Communication, sensibilisation, RFP |
| ASVS (Application Security Verification Standard) v4.0.3 | Standard de vérification | ~280 contrôles, 14 chapitres, 3 niveaux L1/L2/L3 | Audit technique pro |
| SAMM (Software Assurance Maturity Model) v2.1 | Modèle maturité | 5 fonctions, 15 pratiques, 4 niveaux | Pilotage program AppSec |
| MASVS (Mobile ASVS) | Standard mobile | ~80 contrôles | Audit mobile |
| WSTG (Web Security Testing Guide) v4.2 | Guide de test | ~100 tests détaillés | Méthodologie pentest web |
# Exemple structure ASVS v4.0.3 (à savoir lire en 2026)
# 14 chapitres :
# V1 - Architecture, Design and Threat Modeling
# V2 - Authentication
# V3 - Session Management
# V4 - Access Control
# V5 - Validation, Sanitization, Encoding
# V6 - Stored Cryptography
# V7 - Error Handling and Logging
# V8 - Data Protection
# V9 - Communications
# V10 - Malicious Code
# V11 - Business Logic
# V12 - File and Resources
# V13 - API and Web Service
# V14 - Configuration
# 3 niveaux de conformité :
# L1 (Opportunistic) : protection contre attaques opportunistes (scripts kiddies)
# L2 (Standard) : protection contre attaques ciblées (norm production)
# L3 (Advanced) : protection contre attaques sophistiquées (santé, finance, militaire)
# Exemple contrôle ASVS V4.1.1 :
# "Vérifier que le mécanisme d'autorisation refuse l'accès par défaut"
# Mapping CWE : CWE-862 (Missing Authorization)
# Mapping NIST : SP 800-53 AC-3
# Niveaux : L1 ✓, L2 ✓, L3 ✓Position 5 : un audit AppSec sérieux 2026 utilise ASVS L2 minimum comme référentiel d'audit, Top 10 web + API + LLM comme grille de communication client, WSTG comme méthodologie de test pentest, et SAMM comme modèle de maturité du programme. Le tout mappé sur CWE pour scoring CVSS et NIST SSDF pour compliance.
Priorité 5, Méthode de priorisation des fixs (sans suivre A01 → A10 mécaniquement)
# Méthode priorisation OWASP Top 10 contextualisée 2026
def prioriser_fix(risque_owasp, contexte_app):
score = 0
# Facteur 1 : Prévalence Top 10 (poids 20%)
prevalence = {"A01": 94, "A02": 79, "A03": 77, "A04": 73, "A05": 90,
"A06": 84, "A07": 88, "A08": 76, "A09": 78, "A10": 70}
score += 0.20 * (prevalence[risque_owasp] / 100)
# Facteur 2 : CVSS v4.0 score de la vulnérabilité spécifique trouvée (poids 30%)
score += 0.30 * (contexte_app["cvss_score"] / 10)
# Facteur 3 : EPSS (Exploit Prediction Scoring System), proba d'exploit 30j (poids 20%)
score += 0.20 * contexte_app["epss_proba"]
# Facteur 4 : CISA KEV (Known Exploited Vulnerabilities), exploit connu in-the-wild (poids 15%)
score += 0.15 * (1 if contexte_app["cisa_kev"] else 0)
# Facteur 5 : Valeur actif / criticité business (poids 15%)
score += 0.15 * (contexte_app["criticite_actif"] / 5)
return score
# Exemple : SSRF (A10) sur API qui accède à AWS metadata service
contexte = {
"cvss_score": 9.8,
"epss_proba": 0.35, # 35% proba exploit 30j
"cisa_kev": False,
"criticite_actif": 5 # accès secrets cloud
}
print(f"Priorité SSRF : {prioriser_fix('A10', contexte):.2f}")
# Résultat : ~0.74, à fixer en priorité même si A10 est dernier dans la listePosition 6 : ne jamais fixer dans l'ordre A01 → A10 mécaniquement. La méthode 2026 = threat modeling app-spécifique + scoring CVSS v3.1/v4.0 + EPSS (Exploit Prediction Scoring System, FIRST.org 2021) + CISA KEV (Known Exploited Vulnerabilities catalog, depuis novembre 2021) + criticité actif. Voir CVE et CVSS DevSecOps et EPSS comment l'utiliser.
Priorité 6, Mapping OWASP Top 10 → frameworks compliance FR 2026
| Référentiel | Mapping vers OWASP Top 10:2021 |
|---|---|
| NIST SSDF SP 800-218 (2022, mises à jour 2024) | PW.5, PW.6 → A01-A10 |
| PCI DSS 4.0 (mars 2022, applicable mars 2025) | Req. 6.2 = A03 + A05, Req. 8 = A07, Req. 11.4 = A01 + A10 |
| ISO/IEC 27001:2022 | A.8.28 = A03 + A04, A.5.7 = A06 |
| NIS2 (transposée FR octobre 2024) | Article 21 mesures techniques → A01-A10 indirectement |
| DORA (applicable 17 janvier 2025, finance UE) | RTS sécurité applicative → ASVS L2 + Top 10 |
| EU Cyber Resilience Act (entrée en vigueur 11 décembre 2024, applicable 2027) | Annexe I.1.1 → A06 + A08 supply chain |
| EBIOS RM (ANSSI v2024) | Sources de risques → utilisation Top 10 pour scénarios opérationnels |
Position 7 : la valeur business du Top 10 en 2026 vient principalement du mapping vers les frameworks compliance que tu dois respecter. Un dev qui dit « je fixe le Top 10 » sans mapper vers PCI DSS / ISO 27001 / NIS2 / DORA selon son secteur = perd 50% de la valeur du référentiel.
Erreurs fréquentes d'utilisation de l'OWASP Top 10
| Erreur | Symptôme | Fix |
|---|---|---|
| Croire que Top 10 = méthodologie d'audit | Audit superficiel, 60% risques manqués | Compléter avec ASVS L2 minimum |
| Auditer API microservices avec Top 10 web seul | BOLA, BFLA, BOPLA non détectés | Ajouter OWASP API Top 10 2023 |
| Ignorer Top 10 LLM v2.0 sur stack avec IA | Prompt injection, excessive agency manqués | Ajouter OWASP LLM Top 10 v2.0 (octobre 2024) |
| Fixer A01 → A10 dans l'ordre mécaniquement | Priorisation sous-optimale | Méthode CVSS + EPSS + KEV + criticité actif |
| Ne pas mapper Top 10 vers compliance (PCI, ISO, NIS2) | Travail perdu en audit, redondance | Mapping systématique selon secteur |
| Citer Top 10 sans préciser version (2017 vs 2021) | Confusion en RFP/contrats | Toujours préciser « OWASP Top 10:2021 » ou « v2.0 » |
| Utiliser Top 10 comme grille pentest senior | Pentest superficiel | Utiliser WSTG v4.2 + threat modeling app-spécifique |
| Croire que Top 10 = exhaustif | False sense of security | Top 10 ≈ 30-40% des risques applicatifs réels |
| Confondre Top 10 et CWE Top 25 | Mélange périmètre | OWASP = applicatif web/API/LLM, CWE = code-level all stacks |
Pour aller plus loin
- OWASP API Top 10 2023 expliqué, détail référentiel APIs.
- OWASP LLM Top 10 v2.0 expliqué, détail référentiel IA générative.
- OWASP ASVS v4.0.3 guide, 280 contrôles d'audit.
- Broken Access Control A01 OWASP, détail catégorie #1.
- Injection A03 OWASP Top 10, SQLi/XSS/Command injection.
- SSRF A10 OWASP Top 10, exploitation et défense.
- CVE et CVSS DevSecOps, scoring vulnérabilités.
Points clés à retenir
- OWASP Top 10:2021 (publié septembre 2021) reste baseline de communication AppSec FR 2026, cité dans 90% RFP/contrats. Prochaine version 2025 attendue.
- Top 10 web couvre ~30-40% des risques applicatifs modernes. Compléter avec API Top 10 2023, LLM Top 10 v2.0 (octobre 2024), ASVS v4.0.3 selon stack.
- Top 10:2021, 10 catégories : A01 Broken Access Control (94% prévalence, #1), A02 Cryptographic Failures, A03 Injection (XSS inclus), A04 Insecure Design (nouveau 2021), A05 Security Misconfiguration, A06 Vulnerable Components, A07 Auth Failures, A08 Software/Data Integrity (supply chain), A09 Logging Failures, A10 SSRF (nouveau 2021).
- Top 5 statistiquement les plus exploités 2024-2025 : A01 (32% findings), A05 (15%), A07 (12%), A06 (10%), A03 (8%). Représentent 60-70% des risques exploitables.
- Outil de communication, pas méthodologie d'audit. Audit pro 2026 = ASVS L2 minimum + Top 10 (web + API + LLM) + WSTG v4.2 + SAMM v2.1.
- Différences clés Top 10 web 2021 vs API 2023 vs LLM v2.0 : 3 surfaces d'attaque distinctes. Erreur fréquente : auditer microservices+LLM avec Top 10 web seul → 60-70% risques spécifiques manqués.
- Méthode priorisation 2026 (pas A01 → A10 mécaniquement) : threat modeling + CVSS v3.1/v4.0 + EPSS + CISA KEV + criticité actif. Voir CVE/CVSS DevSecOps.
- Mapping compliance obligatoire FR 2026 : PCI DSS 4.0 (Req. 6.2/8/11.4), ISO/IEC 27001:2022 (A.8.28), NIS2 (transposée FR octobre 2024), DORA (applicable janvier 2025), EU CRA (entrée en vigueur 11 décembre 2024).
- OWASP Foundation = ONG américaine 501(c)(3), 250+ chapitres mondiaux, productions 100% open source CC-BY-SA. Référence intégrée dans NIST SSDF, ANSSI guides FR.
- Ne jamais citer « OWASP Top 10 » sans version : « OWASP Top 10:2021 » ou « OWASP API Top 10 2023 » ou « OWASP LLM Top 10 v2.0 ». Précision obligatoire en RFP/contrat client sérieux.
- Anti-pattern majeur : « Top 10-driven security » startup = audit superficiel. Vraie sécurité = ASVS L2 + threat model + Top 10 (web + API + LLM) + supply chain + compliance mapping.
- Évolution attendue 2025-2027 : Top 10 web v2025 avec ajouts CSP/CORS/OAuth, montée influence MITRE ATT&CK + ATLAS, NIST SSDF + EU CRA deviennent compliance majeurs, Top 10 référentiels niche (mobile, smart contract, ICS) gagnent du terrain.
