L'OWASP Top 10 est la liste consensus des 10 vulnérabilités web les plus critiques selon la fondation Open Worldwide Application Security Project (OWASP). Publié pour la première fois en 2003 et mis à jour tous les 3 à 4 ans, le Top 10 reste le référentiel mondial de l'AppSec en 2026, cité par PCI-DSS 4.0, SOC 2, ISO 27001, NIST 800-53, ANSSI. La version en vigueur est OWASP Top 10 2021, avec une mise à jour 2025 attendue fin 2025 ou début 2026. Cet article présente l'origine, la méthodologie, les 10 catégories actuelles, leur usage en audit et CI/CD, et la trajectoire d'apprentissage recommandée pour un développeur ou un AppSec engineer.
Origine et méthodologie du Top 10
L'OWASP Top 10 n'est pas une opinion d'auteur, c'est une liste statistique consensus. La méthodologie OWASP 2021 combine 3 sources de données. Premièrement, analyse de plus de 500 000 applications scannées par les outils des partenaires OWASP (Veracode, Synopsys, Checkmarx, Contrast Security). Deuxièmement, sondage communauté auprès de 800+ ingénieurs sécurité dans le monde sur les vulnérabilités observées en production. Troisièmement, analyse des CVE publiés et de leur exploitabilité réelle.
Les vulnérabilités sont classées selon 4 critères : prévalence (combien d'applications affectées), exploitabilité (facilité d'exploitation), détectabilité (capacité à être trouvée par scan), impact (sévérité des conséquences). Chaque entrée mappe à un ensemble de CWE (Common Weakness Enumeration, MITRE) qui décrivent les faiblesses techniques sous-jacentes.
| Critère | Échelle | Pondération |
|---|---|---|
| Prévalence | 1 (rare) à 3 (très répandue) | × 1 |
| Exploitabilité | 1 (difficile) à 3 (triviale) | × 1 |
| Détectabilité | 1 (difficile à scanner) à 3 (facile à détecter) | × 1 |
| Impact technique | 1 (mineur) à 3 (compromise totale) | × 1 |
Le score final est calculé pour chaque CWE candidat, et les 10 catégories les plus pertinentes sont retenues. La méthodologie est documentée publiquement, ce qui permet à la communauté de contester ou valider les choix.
Les 10 catégories OWASP Top 10:2021
L'ordre reflète la criticité moyenne sur le marché, pas la sévérité dans votre contexte spécifique. Une application B2B peut être plus vulnérable à A07 qu'à A01 par exemple.
A01:2021 - Broken Access Control
Échec dans l'application des règles d'autorisation. L'utilisateur accède à des ressources qu'il ne devrait pas (escalade horizontale ou verticale). Inclut BOLA (Broken Object Level Authorization), IDOR (Insecure Direct Object Reference), forced browsing. CWE mappés : CWE-22, CWE-200, CWE-285. Selon les statistiques OWASP 2021, 94 % des applications testées ont au moins une faiblesse Broken Access Control.
A02:2021 - Cryptographic Failures
Mauvais usage ou absence de cryptographie : transmission en clair, algorithmes obsolètes (MD5, SHA-1, DES), génération de clés faibles, stockage de mots de passe non hashés. CWE mappés : CWE-261, CWE-296, CWE-327. Anciennement appelé Sensitive Data Exposure dans OWASP Top 10 2017.
A03:2021 - Injection
Injection SQL, NoSQL, OS Command, LDAP, expression languages, SSI. L'attaquant insère des instructions dans les données utilisateur qui sont exécutées par le backend. CWE mappés : CWE-79 (Cross-Site Scripting, fusionné en 2021), CWE-89 (SQL Injection), CWE-90 (LDAP). Inclut désormais XSS dans cette catégorie depuis OWASP 2021.
A04:2021 - Insecure Design
Nouveauté 2021. Faiblesses dans la conception architecturale, pas dans l'implémentation. Exemples : pas de rate limiting, absence de séparation de tenant, business logic flaw. La mitigation passe par threat modeling et secure design patterns dès la conception. CWE mappés : CWE-209, CWE-256, CWE-501.
A05:2021 - Security Misconfiguration
Configurations par défaut non durcies, debug laissé en production, headers de sécurité manquants (CSP, HSTS, X-Frame-Options), CORS permissifs, verbose error messages. CWE mappés : CWE-2, CWE-11, CWE-13. Vulnérabilité présente dans plus de 90 % des applications testées en moyenne selon Veracode 2024.
A06:2021 - Vulnerable and Outdated Components
Dépendances avec CVE connues non patchées. Cas emblématique : Log4Shell (CVE-2021-44228) qui a compromis des milliers d'applications en décembre 2021. Mitigation : SCA (Software Composition Analysis) avec Trivy, Snyk Open Source, Dependabot, dependency-check. CWE mappés : CWE-1104, CWE-937, CWE-1035.
A07:2021 - Identification and Authentication Failures
Authentification cassée : mots de passe faibles acceptés, brute force non limité, session fixation, tokens prédictibles, MFA absent ou mal implémenté. CWE mappés : CWE-287, CWE-384, CWE-521. Selon Microsoft Security Report 2024, 99,9 % des compromissions de comptes impliquent l'absence de MFA.
A08:2021 - Software and Data Integrity Failures
Nouvelle catégorie 2021. Couvre la deserialization non sécurisée (CWE-502), les CI/CD compromises (supply chain attacks type SolarWinds 2020), les mises à jour auto sans signature. Mitigation : signature d'artefacts (Sigstore, Cosign), CI/CD durci, SBOM (Software Bill of Materials).
A09:2021 - Security Logging and Monitoring Failures
Absence de logs sécurité, logs non monitorés, alerting absent. Sans détection, le temps moyen entre compromission et identification (dwell time) atteint 277 jours selon IBM Cost of Data Breach 2024. Mitigation : SIEM (Splunk, Elastic, Sentinel), logs structurés, monitoring temps réel.
A10:2021 - Server-Side Request Forgery (SSRF)
Nouvelle catégorie 2021. L'application fait des requêtes vers des URLs fournies par l'utilisateur sans validation, permettant à l'attaquant d'accéder à des ressources internes (cloud metadata endpoint, services internes non exposés). CWE mappé : CWE-918. Exemple critique : Capital One Data Breach 2019, exploité via SSRF sur AWS metadata.
Pourquoi c'est central en 2026
L'OWASP Top 10 dépasse largement le cadre académique. Cinq raisons concrètes.
Premièrement, conformité réglementaire. PCI-DSS 4.0 (entrée en vigueur le 31 mars 2024) exige explicitement la couverture des catégories OWASP Top 10 dans le développement sécurisé. SOC 2 Type II inclut le Top 10 dans les critères Trust Services. ISO 27001:2022 cite OWASP comme référence dans les annexes A.14 et A.18.
Deuxièmement, écosystème outillage. Tous les outils AppSec majeurs (Semgrep, SonarQube, Checkmarx, Snyk Code, Veracode, ZAP) mappent leurs règles aux catégories OWASP. Cela permet une lecture unifiée des findings entre équipes et fournisseurs.
Troisièmement, certifications et formations. OSCP, eWPTX, Burp Suite Certified Practitioner, GIAC GWAPT s'appuient massivement sur OWASP Top 10. Les bootcamps cyber (dont le Bootcamp DevSecOps Zeroday) construisent leurs curriculums autour.
Quatrièmement, communication cross-équipes. Le Top 10 permet de parler le même langage entre développeurs, AppSec engineers, RSSI, auditeurs externes. C'est devenu la lingua franca de l'AppSec moderne.
Cinquièmement, threat modeling baseline. Lors d'un threat modeling sur une nouvelle feature, le Top 10 fournit une grille de lecture immédiate pour identifier les surfaces de risque évidentes.
Intégration en CI/CD pratique
Une pipeline DevSecOps mature couvre les 10 catégories à différents moments du SDLC. Voici un pattern type pour une équipe produit moderne en 2026.
# Pipeline DevSecOps avec couverture OWASP Top 10
name: Security Pipeline
on:
pull_request:
branches: [main]
schedule:
- cron: '0 2 * * *'
jobs:
sast:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- name: Semgrep OWASP scan
uses: returntocorp/semgrep-action@v1
with:
config: p/owasp-top-ten
generateSarif: "1"
sca:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- name: Trivy SCA scan
uses: aquasecurity/trivy-action@master
with:
scan-type: 'fs'
severity: 'HIGH,CRITICAL'
secrets:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
with:
fetch-depth: 0
- name: Gitleaks scan
uses: gitleaks/gitleaks-action@v2
dast:
if: github.event_name == 'schedule'
needs: [build, deploy-staging]
runs-on: ubuntu-latest
steps:
- name: ZAP baseline scan
uses: zaproxy/action-baseline@v0.14.0
with:
target: 'https://staging.example.com'| Catégorie OWASP | Outil principal | Étape CI/CD |
|---|---|---|
| A01 Broken Access Control | DAST (ZAP) + pentest manuel | Staging + audit annuel |
| A02 Cryptographic Failures | SAST (Semgrep) | Pre-commit + PR gate |
| A03 Injection | SAST + DAST | PR gate + staging |
| A04 Insecure Design | Threat modeling | Design phase |
| A05 Security Misconfiguration | IaC scanning (Checkov) | Build phase |
| A06 Vulnerable Components | SCA (Trivy, Snyk) | PR gate + nightly |
| A07 Auth Failures | DAST + pentest | Staging + audit annuel |
| A08 Data Integrity Failures | Signature artefacts (Cosign) | Build + deploy phase |
| A09 Logging Failures | Monitoring SIEM | Production runtime |
| A10 SSRF | DAST + secure code review | Staging + manual review |
Mapping avec les autres référentiels OWASP
L'OWASP Top 10 Web n'est pas isolé, il s'inscrit dans une famille de référentiels OWASP complémentaires.
- OWASP API Security Top 10:2023 : couvre les vulnérabilités spécifiques aux API REST/GraphQL (BOLA, Excessive Data Exposure, Mass Assignment). Voir notre ressource dédiée OWASP API Security Top 10 expliqué.
- OWASP Mobile Top 10:2024 : focus iOS/Android (insecure data storage, weak server-side controls, code tampering).
- OWASP LLM Top 10:2025 : sécurité des applications LLM (prompt injection, training data poisoning, model DoS). Voir le cluster dédié LLM Security.
- OWASP ASVS (Application Security Verification Standard) : catalogue exhaustif de plus de 200 exigences de sécurité.
- OWASP SAMM (Software Assurance Maturity Model) : modèle de maturité organisationnelle pour piloter un programme AppSec.
Recommandation 2026 : pour un développeur ou AppSec engineer, démarrer par OWASP Top 10 Web pour les fondamentaux, élargir vers API Top 10 et LLM Top 10 selon le contexte technique de l'entreprise.
Critiques et limites de l'OWASP Top 10
Le Top 10 a aussi ses détracteurs, à connaître pour ne pas en faire un dogme.
Première critique : trop générique. Les catégories sont volontairement larges (Broken Access Control couvre BOLA, IDOR, forced browsing, escalade verticale, etc.). Pour un pentest approfondi, le Top 10 ne suffit pas, il faut basculer sur OWASP ASVS qui est plus granulaire.
Deuxième critique : fréquence de mise à jour insuffisante. Cycle de 3 à 4 ans, alors que le paysage AppSec évolue beaucoup plus vite (LLM, supply chain, cloud-native). La sortie 2025 corrigera partiellement ce gap.
Troisième critique : biais statistique. La méthodologie favorise les vulnérabilités fréquentes plutôt que les plus dangereuses. Une faille rare mais critique (RCE non authentifiée sur composant critique) peut être moins représentée qu'une faille courante mais à impact modéré (XSS reflected).
Malgré ces critiques, l'OWASP Top 10 reste l'outil de communication et de baseline le plus utile pour l'AppSec en 2026. À combiner avec ASVS pour la profondeur et le threat modeling pour le contexte.
Trajectoire d'apprentissage recommandée
Pour un développeur ou ingénieur tech qui veut maîtriser OWASP Top 10 en 6 à 12 mois, voici un parcours éprouvé.
Mois 1-2 - Théorie et compréhension. Lire la documentation officielle owasp.org/Top10/, suivre PortSwigger Web Security Academy (gratuit, exhaustif, recommandé par OWASP). Comprendre les 10 catégories en profondeur, leurs CWE mappés, les exemples documentés.
Mois 3-6 - Pratique offensive. Hack The Box section Web challenges, TryHackMe OWASP Top 10 path, DVWA (Damn Vulnerable Web Application), bWAPP. Cible : exploiter au moins 3 fois chaque catégorie dans un environnement contrôlé.
Mois 7-9 - Pratique défensive. Coder des exemples vulnérables puis les corriger. Configurer Semgrep avec règles OWASP Top 10. Mettre en place ZAP sur une application personnelle. Comprendre les patterns de mitigation.
Mois 10-12 - Validation et certification. Burp Suite Certified Practitioner (99 EUR, examen pratique 4h), ou poursuivre vers OSCP si trajectoire pentest. Participer à des CTF web (HTB CTFs, Defcon, Insomni'hack).
À l'issue, un profil opérationnel sur OWASP Top 10 + pratique vérifiable = base solide pour postes AppSec engineer, security champion en équipe produit, pentester junior.
Trajectoire formation et accompagnement
Pour les développeurs et ingénieurs sécurité qui veulent maîtriser OWASP Top 10 avec une pratique structurée, la formation OWASP Web Security Zeroday couvre chacune des 10 catégories avec 12 labs Docker offensifs et défensifs (397 EUR, accès à vie). Voir aussi le panorama complet des formations cybersécurité pour profils tech pour identifier la trajectoire adaptée à votre profil. L'auteur Naïm Aouaichia, ingénieur cybersécurité ex-DevSecOps IN Groupe avec audits CAC 40 à son actif, publie régulièrement sur l'AppSec et le DevSecOps via la chaîne YouTube Zeroday Cyber Academy et la newsletter Substack Zeroday Notes.
Points clés à retenir
- L'OWASP Top 10 est la liste consensus mondiale des 10 vulnérabilités web les plus critiques, basée sur l'analyse de 500 000+ applications.
- Version en vigueur : OWASP Top 10 2021. Mise à jour 2025 attendue fin 2025 ou début 2026.
- Les 10 catégories : A01 Broken Access Control, A02 Cryptographic Failures, A03 Injection, A04 Insecure Design, A05 Security Misconfiguration, A06 Vulnerable Components, A07 Auth Failures, A08 Data Integrity Failures, A09 Logging Failures, A10 SSRF.
- Intégration CI/CD standard : SAST (Semgrep) + SCA (Trivy) + DAST (ZAP) + secrets scanning (gitleaks) couvre 73 % des findings (Snyk 2024).
- Référentiel central pour conformité PCI-DSS 4.0, SOC 2, ISO 27001, formations et certifications.
- Compléter avec OWASP ASVS pour la profondeur, OWASP API Top 10 pour les API, OWASP LLM Top 10 pour les apps IA.
- Trajectoire d'apprentissage : 6 à 12 mois (théorie + pratique offensive + pratique défensive + validation certification).
Sources externes utiles : OWASP Top 10:2021 officiel et MITRE CWE Top 25.
