Aikido
Essai gratuit
Sans CB
Blog
/
Guides et bonnes pratiques

Top 10 OWASP : liste officielle, changements et ce que les développeurs doivent savoir

Sooraj ShahSooraj Shah
|
#OWASP
Publié le :
6 novembre 2025
Dernière mise à jour le :
7 janvier 2026

Le Top 10 OWASP est officiellement arrivé, avec deux mises à jour importantes. Il reflète l'évolution de la sécurité logicielle vers des risques complexes et interconnectés, tels que l'intégrité de la chaîne d'approvisionnement et la gestion des erreurs. Pour les développeurs et les équipes de sécurité, il est essentiel de comprendre ces changements afin de garantir la résilience des applications.

OWASP souligne que le Top 10 est un document de sensibilisation et non une norme complète. Il est conçu pour mettre en évidence les risques les plus critiques et non pour servir de cadre de sécurité complet. Pour les organisations qui souhaitent aller plus loin, OWASP recommande d'utiliser des modèles de maturité et de vérification tels que SAMM (Software Assurance Maturity Model), DSOMM (DevSecOps Model) et ASVS (Application Security Verification Standard).

Pour Top 10 OWASP plus sur le Top 10 OWASP , consultez cet article.

Quels changements dans le Top 10 OWASP 2025 ?

L'édition 2025 introduit deux nouvelles catégories et une consolidation.

  • A03 : Les défaillances de la chaîne logistique logicielle élargissent la catégorie 2021 « Composants vulnérables et obsolètes » en couvrant l'ensemble de l'écosystème logiciel, y compris les dépendances, les systèmes de compilation et l'infrastructure de distribution.

  • A10 : La mauvaise gestion des conditions exceptionnelles est une nouveauté absolue, qui souligne l'importance d'une gestion sécurisée des erreurs et de la résilience.
  • Ce qui était A10:2021 : Server-Side Request Forgery (SSRF) a été consolidé dans A01:2025 - contrôle d’accès défaillant

  • Pendant ce temps, A01 : contrôle d’accès défaillant et A02 : configuration de sécurité inadéquate conservent leurs premières places, ce qui montre que les pratiques de sécurité fondamentales restent essentielles.

En bref, OWASP 2025 déplace l'attention des failles de code isolées vers les faiblesses systémiques qui couvrent l'ensemble du cycle de vie du développement.

Le Top 10 OWASP

Vous trouverez ci-dessous la liste complète des catégories du Top 10 OWASP , accompagnée d'un bref résumé de chacune d'entre elles.

Rang Catégorie Résumé
A01:2025 contrôle d’accès défaillant Toujours le risque principal, couvrant les failles qui permettent aux pirates de contourner l'autorisation ou d'obtenir un accès non autorisé.
A02:2025 configuration de sécurité inadéquate Couvre les paramètres par défaut faibles, les services exposés et les contrôles de sécurité incohérents dans les différents environnements.
A03:2025 Défaillances de la chaîne logistique logicielle Élargi pour inclure les vulnérabilités dans les dépendances, les systèmes CI/CD et l'infrastructure de distribution.
A04:2025 Échecs cryptographiques Pratiques de chiffrement non sécurisées ou obsolètes qui exposent les données sensibles.
A05:2025 Injection Les failles classiques de validation des entrées telles que l'injection SQL, OS et de modèles, qui restent courantes dans toutes les piles.
A06:2025 Conception non sécurisée Risques liés à de mauvaises décisions architecturales ou à l'absence de modélisation des menaces.
A07:2025 Échecs d'authentification Problèmes liés aux flux de connexion, aux politiques de mot de passe faibles ou à la gestion des sessions qui conduisent à des accès non autorisés.
A08:2025 Défaillances logicielles ou liées à l'intégrité des données Failles permettant de modifier ou d'altérer le code ou les données, souvent dans les mécanismes de mise à jour ou les pipelines.
A09:2025 Échecs de journalisation et d'alerte Lacunes dans la surveillance ou l'alerte qui permettent aux attaques de passer inaperçues.
A10:2025 Mauvaise gestion des conditions exceptionnelles Nouveauté pour 2025, axée sur la gestion des erreurs dangereuses et la résilience du système en cas de défaillance.

A03:2025 – Défaillances de la chaîne logistique logicielle

Le Top 10 OWASP met en évidence les défaillances de la chaîne logistique logicielle comme l'un des risques les plus urgents dans le domaine de la sécurité logicielle moderne. L'OWASP désigne désormais explicitement les logiciels malveillants dans les écosystèmes logiciels, y compris les paquets malveillants, les mainteneurs compromis et les processus de compilation altérés, comme les principales menaces pour la sécurité des applications.

Ces attaques commencent rarement en production. Elles débutent sur le poste de travail du développeur. En compromettant les dépendances ou en injectant des logiciels malveillants dans des paquets largement utilisés, les pirates peuvent accéder à des environnements intrinsèquement fiables. Une fois à l'intérieur, une seule dépendance malveillante peut se propager en quelques heures à travers les systèmes CI, les conteneurs et cloud , souvent sans déclencher les scanners traditionnels.

Aikido a observé cette évolution de près. Tout au long de l'année 2025, nous avons identifié et analysé plusieurs des plus importantes compromissions de la chaîne d'approvisionnement, chacune constituant un exemple clair de la mise en pratique de l'A03 :

  • Shai Hulud, une campagne malveillante furtive dissimulée dans des paquets npm qui exfiltrait des identifiants et des jetons via des dépendances transitives.
  • S1ngularity, une opération de confusion des dépendances qui exploitait les collisions de noms et les miroirs internes pour infiltrer les postes de travail des développeurs et l'intégration continue.
  • L'épidémie de logiciels malveillants npm de septembre, au cours de laquelle des bibliothèques populaires telles que chalk, debug et ansi-regex ont été infectées et téléchargées des millions de fois avant Aikido et ne signale la compromission.
  • Le cheval de Troie React-Native-Aria, qui insérait une charge utile d'accès à distance dans des versions npm légitimes, a été détecté rapidement grâce au détection d’anomalies Aikido .

Au cours de ces incidents, de nombreuses organisations se sont tournées vers Aikido des informations précises et des conseils avisés, utilisant nos mises à jour pour déterminer leur exposition, valider leurs dépendances et réagir avant que les dommages ne s'étendent.

Cette expansion du champ d'action de l'OWASP reflète ce que de nombreux responsables de la sécurité constatent déjà. Le rapport « State of AI in Security & Development 2026 » Aikidorévèle qu'un responsable de la sécurité sur trois a manqué des risques en raison d'une mauvaise intégration entre les outils, et 38 % signalent des lacunes en matière de visibilité tout au long du cycle de vie du développement ou du déploiement. Il en résulte un manque de visibilité que les attaquants exploitent via des chaînes d'approvisionnement de confiance.

Aikido combler cette lacune. Grâce à Aikido pour les flux d'informations en temps réel sur les menaces, Safe Chain pour la vérification des paquets préinstallés et un graphique de dépendances unifié couvrant le code, les conteneurs et cloud, les équipes peuvent voir exactement où les vulnérabilités se recoupent avec l'exposition réelle. Aikido détecte Aikido seulement les paquets compromis, mais les bloque également avant qu'ils n'atteignent la production.

Pour de nombreuses organisations, A03 est la catégorie la plus pertinente du Top 10 OWASP , car elle reflète la manière dont les logiciels sont réellement conçus et attaqués aujourd'hui. La chaîne d'approvisionnement est devenue le nouveau périmètre, et Aikido aux équipes la visibilité, l'automatisation et l'intelligence nécessaires pour la défendre.

A10:2025 – Mauvaise gestion des conditions exceptionnelles

La nouvelle catégorie A10 : Mauvaise gestion des conditions exceptionnelles, se concentre sur les défaillances des systèmes. Une mauvaise gestion des erreurs, des failles logiques et des états de défaillance non sécurisés peuvent tous conduire à l'exposition de données sensibles ou à des conditions de déni de service.

OWASP note que bon nombre de ces faiblesses étaient auparavant regroupées sous la rubrique « mauvaise qualité du code », mais méritent désormais une catégorie distincte.

Les problèmes courants comprennent :

  • Messages d'erreur révélant des informations sensibles

  • Logique de gestion des privilèges qui échoue ouvertement

  • Gestion incohérente des exceptions

  • Erreurs de mémoire ou d'entrée non gérées

Cette catégorie renforce l'idée que la sécurité des logiciels ne consiste pas seulement à prévenir les attaques, mais aussi à garantir un fonctionnement sûr et prévisible en cas de problème.

L'accent mis par l'OWASP sur la résilience et la sécurité en cas de défaillance touche également à une question culturelle plus large. Le même Aikido a révélé que les développeurs et les équipes de sécurité sont souvent en désaccord sur la responsabilité des pratiques de codage sécurisé. Ce manque de clarté entraîne souvent une gestion incohérente des erreurs ou des tests incomplets, types de défaillances que A10 vise à prévenir.

L'OWASP recommande également aux organisations d'évaluer la maturité de leurs programmes de sécurité des applications à l'aide de cadres tels que SAMM ou DSOMM. L'objectif n'est pas de répondre à toutes les exigences, mais d'identifier les domaines dans lesquels la visibilité, l'automatisation et la cohérence peuvent avoir le plus grand impact.

Comment Aikido aider

Le Top 10 OWASP souligne la nécessité d'une visibilité à tous les niveaux du développement logiciel. Aikido cette clarté aux équipes en unifiant les signaux provenant du code, des dépendances, des conteneurs et cloud .

  • Aikido fournit renseignement sur les menaces en temps réel renseignement sur les menaces, signalant les paquets compromis et les CVE dès leur apparition.

  • Safe Chain, le vérificateur de paquets open source Aikido, vérifie les dépendances npm, yarn et pnpm avant l'installation, bloquant les versions malveillantes.

  • Graphiques de dépendance unifiés graphes de dépendances relie votre code, vos conteneurs et cloud montrer comment les dépendances transitives interagissent avec vos systèmes de production, réduisant ainsi les faux positifs et révélant les véritables chemins d'exploitation.

  • SBOM aide les équipes à visualiser instantanément l'ensemble de leur chaîne logistique logicielle, améliorant ainsi la transparence et la conformité.

  • Top 10 OWASP vous donne une vision claire de la performance de votre environnement dans chaque catégorie, ainsi que des conseils pratiques pour l'améliorer.

Aikido vous Aikido gérer les risques identifiés par le Top 10 OWASP , en vous fournissant le contexte nécessaire pour comprendre ce qui est important et l'automatisation pour agir en conséquence.

Mise en place d'un programme moderne de sécurité des applications

Pour établir une AppSec solide AppSec , l'OWASP recommande d'adopter une approche basée sur les risques pour votre portefeuille de logiciels, de créer des contrôles et des politiques de sécurité réutilisables, d'intégrer la sécurité à chaque phase du cycle de vie du développement logiciel (SDLC), d'investir dans la formation des développeurs et de suivre les progrès à l'aide d'indicateurs. Ensemble, ces mesures permettent de créer une culture où le développement sécurisé fait partie des pratiques quotidiennes plutôt que d'être un processus distinct.

Pourquoi le Top 10 OWASP reste important

Le Top 10 OWASP l'une des ressources les plus précieuses pour les équipes de développement et de sécurité. Il ne s'agit pas seulement d'une liste de contrôle, mais d'un reflet des risques réels qui émergent. En alignant vos processus de sécurité sur ce Top 10, vous pouvez renforcer votre chaîne logistique logicielle, améliorer la qualité du code et intégrer naturellement la sécurité dans le développement. Pour les organisations qui souhaitent disposer d'une norme mesurable et testable, l'OWASP recommande d'associer le Top 10 à la norme ASVS (Application Security Verification Standard), qui traduit la sensibilisation en pratiques de sécurité vérifiables. Aikido cette tâche en cartographiant automatiquement votre couverture OWASP, en détectant les vulnérabilités critiques et en vous aidant à les corriger plus rapidement.

Analysez dès aujourd'hui votre environnement avec Aikido pour voir comment votre pile se positionne par rapport au Top 10 OWASP et déterminer les domaines sur lesquels vous concentrer ensuite.

4.7/5

Sécurisez votre logiciel dès maintenant.

Essai gratuit
Sans CB
Réservez une démo
Vos données ne seront pas partagées - Accès en lecture seule - Pas de CB nécessaire
Écrit par
Sooraj Shah

Responsable Marketing de Contenu

Sooraj Shah est responsable du marketing de contenu chez Aikido . Il a travaillé comme journaliste pour des publications telles que la BBC, le FT, Infosecurity Magazine et SC Magazine, et comme spécialiste du marketing de contenu pour des entreprises technologiques B2B et des start-ups.

Aller à :
Lien texte

Sécurisez votre logiciel dès maintenant.

Obtenez votre Top 10 OWASP

Essai gratuit
Commencez maintenant
Sans CB
Sans CB
Essai gratuit
Commencez maintenant
Sans CB
Sans CB
Réservez une démo
Partager :

https://www.aikido.dev/blog/owasp-top-10-2025-changes-for-developers

Articles similaires
14 janvier 2026

De « No Bullsh*t Security » à 1 milliard de dollars : Nous venons de lever 60 millions de dollars en série B

Aikido annonce un financement de série B de 60 millions de dollars, valorisant l'entreprise à 1 milliard de dollars, accélérant sa vision d'un logiciel auto-sécurisé et de tests d'intrusion continus.

Tags/
15 décembre 2025

SAST l'IDE est désormais gratuit : déplacer SAST où le développement se fait réellement

Exécutez gratuitement SAST directement dans votre IDE avec un retour d'information en temps réel et une visibilité à l'échelle du projet. Utilisez les mêmes SAST et le même moteur SAST Aikido, avec la fonction AutoFix en option pour les résultats pris en charge.

Tags/
28 novembre 2025

SCA : analysez et corrigez les dépendances open source dans votre IDE

Intégrez l'ensemble SCA dans votre IDE grâce à l'analyse dans l'éditeur et à la correction automatique. Détectez les paquets vulnérables, examinez les CVE et appliquez des mises à niveau sécurisées sans quitter votre workflow de développement.

Tags/

Sécurisez-vous maintenant.

Sécuriser votre code, votre cloud et votre runtime dans un système centralisé unique.
Détectez et corrigez les vulnérabilités rapidement et automatiquement.

Lancer le scan
Sans CB
Réservez une démo
Pas de carte de crédit requise | Résultats du scan en 32 secondes.

#OWASP