Aikido
Commencer gratuitement
Sans carte bancaire
Blog
/
Guides et bonnes pratiques

Top 10 OWASP 2025 : Liste officielle, changements et ce que les développeurs doivent savoir

Écrit par
Sooraj Shah
Publié le :
6 novembre 2025

Le Top 10 OWASP 2025 est officiellement arrivé, apportant deux mises à jour majeures. Il reflète la manière dont la sécurité logicielle s'est orientée vers des risques complexes et interconnectés tels que l'intégrité de la chaîne d'approvisionnement et la gestion des erreurs. Pour les développeurs et les équipes de sécurité, comprendre ces changements est essentiel pour maintenir la résilience des applications.

L'OWASP souligne que le Top 10 est un document de sensibilisation, et non une norme complète. Il est conçu pour mettre en évidence les risques les plus critiques, et non pour servir de cadre de sécurité complet. Pour les organisations souhaitant aller plus loin, l'OWASP recommande d'utiliser des modèles de maturité et de vérification tels que SAMM (Software Assurance Maturity Model), DSOMM (DevSecOps Maturity Model) et ASVS (Application Security Verification Standard).

Pour en savoir plus sur le Top 10 OWASP, consultez cet article.

Ce qui a changé dans le Top 10 OWASP pour 2025

L'édition 2025 introduit deux nouvelles catégories et une consolidation.

  • A03 : Défaillances de la chaîne d'approvisionnement logicielle étend la catégorie 2021 « Composants vulnérables et obsolètes », couvrant l'ensemble de l'écosystème logiciel, y compris les dépendances, les systèmes de build et l'infrastructure de distribution.

  • A10 : Mauvaise gestion des conditions exceptionnelles est entièrement nouvelle, soulignant l'importance d'une gestion sécurisée des erreurs et de la résilience.
  • Ce qui était A10:2021 : Server-Side Request Forgery (SSRF) a été consolidé dans A01:2025 - contrôle d’accès défaillant

  • Pendant ce temps, A01 : Contrôle d'accès défaillant et A02 : Configuration de sécurité inadéquate conservent leurs premières positions, montrant que les pratiques de sécurité fondamentales restent critiques.

En bref, l'OWASP 2025 déplace l'attention des failles de code isolées vers les faiblesses systémiques qui s'étendent sur l'ensemble du cycle de vie du développement.

Le Top 10 OWASP 2025

Vous trouverez ci-dessous la liste complète des catégories du Top 10 OWASP 2025, accompagnée d'un bref résumé pour chacune.

Classement Catégorie Résumé
A01:2025 Contrôle d'accès défaillant Toujours le risque principal, couvrant les failles qui permettent aux attaquants de contourner l'autorisation ou d'obtenir un accès non autorisé.
A02:2025 Configuration de sécurité inadéquate Couvre les paramètres par défaut faibles, les services exposés et les contrôles de sécurité incohérents entre les environnements.
A03:2025 Défaillances de la chaîne d'approvisionnement logicielle Étendue pour inclure les vulnérabilités dans les dépendances, les systèmes CI/CD et l'infrastructure de distribution.
A04:2025 Défaillances cryptographiques Pratiques de chiffrement non sécurisées ou obsolètes qui exposent des données sensibles.
A05:2025 Injection Failles classiques de validation des entrées, telles que l'injection SQL, OS et de template, qui restent courantes sur toutes les stacks.
A06:2025 Conception non sécurisée Risques introduits par de mauvaises décisions architecturales ou un manque de modélisation des menaces.
A07:2025 Échecs d'authentification Problèmes dans les flux de connexion, des politiques de mot de passe faibles ou la gestion des sessions qui mènent à un accès non autorisé.
A08:2025 Échecs d'intégrité logicielle ou des données Failles où le code ou les données peuvent être modifiés ou altérés, souvent dans les mécanismes de mise à jour ou les pipelines.
A09:2025 Échecs de journalisation et d'alerte Lacunes dans la surveillance ou l'alerte qui permettent aux attaques de passer inaperçues.
A10:2025 Mauvaise gestion des conditions exceptionnelles Nouveau pour 2025, axé sur la gestion non sécurisée des erreurs et la résilience du système en cas de défaillance.

A03:2025 – Échecs de la chaîne d'approvisionnement logicielle

Le Top 10 OWASP 2025 met en évidence les Échecs de la chaîne d'approvisionnement logicielle comme l'un des risques les plus urgents en matière de sécurité logicielle moderne. OWASP signale désormais explicitement les malwares dans les écosystèmes logiciels, y compris les packages malveillants, les mainteneurs compromis et les processus de build altérés, comme des menaces majeures pour la sécurité des applications.

Ces attaques commencent rarement en production. Elles débutent sur le poste de travail du développeur. En compromettant des dépendances ou en injectant des malwares dans des packages largement utilisés, les attaquants peuvent accéder à des environnements intrinsèquement fiables. Une fois à l'intérieur, une seule dépendance malveillante peut se propager à travers les systèmes CI, les conteneurs et les environnements cloud en quelques heures, souvent sans déclencher les scanners traditionnels.

Aikido Security a observé ce changement de près. Tout au long de l'année 2025, nous avons identifié et analysé plusieurs des plus grandes compromissions de la chaîne d'approvisionnement, chacune étant un exemple clair de A03 en pratique :

  • Shai Hulud, une campagne de malware furtive cachée dans des packages npm qui a exfiltré des identifiants et des tokens via des dépendances transitives.
  • S1ngularity, une opération de confusion de dépendances qui a exploité des collisions de noms et des miroirs internes pour infiltrer les postes de travail des développeurs et les systèmes CI.
  • L'épidémie de malwares npm de septembre, où des bibliothèques populaires telles que chalk, debug et ansi-regex ont été compromises et téléchargées des millions de fois avant qu'Aikido ne détecte et n'escalade la compromission.
  • Le cheval de Troie React-Native-Aria, qui a inséré une charge utile d'accès à distance dans des versions npm légitimes et a été détecté précocement grâce à la détection d’anomalies d'Aikido Intel.

Lors de ces incidents, de nombreuses organisations se sont tournées vers Aikido pour obtenir des renseignements précis et des conseils, utilisant nos mises à jour pour déterminer l'exposition, valider les dépendances et réagir avant que les dégâts ne se propagent.

Cet élargissement du périmètre d'OWASP reflète ce que de nombreux responsables de la sécurité vivent déjà. Le rapport State of AI in Security & Development 2026 d'Aikido a révélé qu'un responsable de la sécurité sur trois a manqué des risques en raison d'une mauvaise intégration entre les outils, et 38 % signalent des lacunes en matière de visibilité tout au long du cycle de vie de développement ou de déploiement. Il en résulte une lacune de visibilité que les attaquants exploitent via des chaînes d'approvisionnement de confiance.

Aikido aide à combler cette lacune. Avec Aikido Intel pour les flux de renseignement sur les menaces en temps réel, Safe Chain pour la vérification des paquets avant l'installation, et un graphe de dépendances unifié pour le code, les conteneurs et le cloud, les équipes peuvent voir exactement où les vulnérabilités recoupent l'exposition réelle. Aikido non seulement détecte les paquets compromis, mais les bloque également avant qu'ils n'atteignent la production.

Pour de nombreuses organisations, A03 est la catégorie la plus pertinente du Top 10 OWASP 2025, car elle reflète la manière dont les logiciels sont réellement construits et attaqués aujourd'hui. La chaîne d'approvisionnement est devenue le nouveau périmètre, et Aikido offre aux équipes la visibilité, l'automatisation et le renseignement nécessaires pour la défendre.

A10:2025 – Mauvaise gestion des conditions exceptionnelles

La nouvelle catégorie, A10 : Mauvaise gestion des conditions exceptionnelles, se concentre sur la manière dont les systèmes échouent. Une mauvaise gestion des erreurs, des failles logiques et des états de défaillance non sécurisés peuvent tous conduire à l'exposition de données sensibles ou à des conditions de déni de service.

OWASP note que bon nombre de ces faiblesses étaient auparavant regroupées sous la catégorie « mauvaise qualité de code », mais méritent désormais une catégorie dédiée.

Les problèmes courants incluent :

  • Messages d'erreur révélant des détails sensibles

  • Logique de gestion des privilèges qui échoue en mode ouvert

  • Gestion incohérente des exceptions

  • Erreurs de mémoire ou d'entrée non gérées

Cette catégorie renforce l'idée qu'un logiciel sécurisé ne consiste pas seulement à prévenir les attaques, mais aussi à échouer de manière sûre et prévisible lorsque quelque chose ne va pas.

L'accent mis par OWASP sur la résilience et la défaillance sécurisée aborde également une question culturelle plus large. Le même rapport Aikido a révélé que les développeurs et les équipes de sécurité sont souvent en désaccord sur la responsabilité des pratiques de codage sécurisé. Ce manque de clarté conduit souvent à une gestion incohérente des erreurs ou à des tests incomplets, les types de défaillances que A10 vise à prévenir.

OWASP recommande également aux organisations de mesurer la maturité de leurs programmes de sécurité des applications en utilisant des frameworks comme SAMM ou DSOMM. L'objectif n'est pas de satisfaire à toutes les exigences, mais d'identifier où la visibilité, l'automatisation et la cohérence peuvent avoir le plus grand impact.

Comment Aikido peut aider

Le Top 10 OWASP 2025 souligne le besoin de visibilité à travers chaque couche du développement logiciel. Aikido offre cette clarté aux équipes en unifiant les signaux provenant du code, des dépendances, des conteneurs et de l'infrastructure cloud.

  • Aikido Intel fournit du renseignement sur les menaces en temps réel, signalant les paquets compromis et les CVEs dès leur apparition.

  • Safe Chain, le vérificateur de paquets open-source d'Aikido, vérifie les dépendances npm, yarn et pnpm avant l'installation, bloquant les versions malveillantes.

  • Les graphes de dépendances unifiés connectent votre code, vos conteneurs et votre cloud pour montrer comment les dépendances transitives interagissent avec vos systèmes de production, réduisant les faux positifs et révélant les véritables chemins d'exploitation.

  • La génération de SBOM aide les équipes à visualiser instantanément l'intégralité de leur chaîne d'approvisionnement logicielle, améliorant la transparence et la conformité.

  • La notation du Top 10 OWASP vous donne une vue claire de la manière dont votre environnement se mesure à chaque catégorie, avec des conseils pratiques pour l'améliorer.

Aikido vous aide à gérer les risques mis en évidence par le Top 10 OWASP 2025, vous offrant le contexte sur ce qui compte et l'automatisation pour y remédier.

Établir un programme AppSec moderne

Pour établir une base AppSec solide, l'OWASP recommande d'adopter une approche basée sur les risques pour votre portefeuille logiciel, de créer des contrôles et des politiques de sécurité réutilisables, d'intégrer la sécurité à chaque phase du SDLC, d'investir dans la formation des développeurs et de suivre les progrès avec des métriques. Ensemble, ces étapes bâtissent une culture où le développement sécurisé fait partie de la pratique quotidienne plutôt qu'un processus distinct.

Pourquoi le Top 10 OWASP 2025 est toujours pertinent

Le Top 10 OWASP reste l'une des ressources les plus précieuses pour les équipes de développement et de sécurité. Ce n'est pas seulement une liste de contrôle, mais un reflet des risques émergents dans le monde réel. En alignant vos processus de sécurité sur celui-ci, vous pouvez renforcer votre chaîne d'approvisionnement logicielle, améliorer la qualité du code et faire de la sécurité une partie naturelle du développement. Pour les organisations qui souhaitent une norme mesurable et testable, l'OWASP recommande d'associer le Top 10 à l'Application Security Verification Standard (ASVS), qui transforme la sensibilisation en pratiques de sécurité vérifiables. Aikido facilite cela en cartographiant automatiquement votre couverture OWASP, en détectant les vulnérabilités critiques et en vous aidant à les corriger plus rapidement.

Scannez votre environnement avec Aikido Security dès aujourd'hui pour voir comment votre stack se mesure par rapport au Top 10 OWASP 2025 et où concentrer vos efforts ensuite.

Dernière mise à jour le :
7 janvier 2026
Partager :

https://www.aikido.dev/blog/owasp-top-10-2025-changes-for-developers

Abonnez-vous pour les actualités sur les menaces.

Articles similaires
Voir tout
Voir tout
20 février 2026
« • »
Guides et bonnes pratiques

Qu'est-ce que le « slopsquatting » ? L'attaque par hallucination des paquets IA déjà en cours

Les modèles d'IA hallucinent les noms des paquets npm. Les pirates les enregistrent en premier. Voici ce qu'est le slopsquatting, comment il se propage grâce aux compétences des agents et comment vous protéger.

#
Vulnérabilités
#
Dépendances
#
NPM
17 février 2026
« • »
Guides et bonnes pratiques

Les 6 meilleures alternatives à Wiz

Vous recherchez des alternatives à Wiz ? Comparez 6 outils en termes de SAST, DAST, SCA, prix et expérience développeur afin de trouver la meilleure AppSec pour 2026.

#
SAST
#
Qualité du code
4 février 2026
« • »
Guides et bonnes pratiques

Qu'est-ce que le pentest continu ?

Le pentest continu teste automatiquement les chemins d'attaque réels à chaque modification logicielle, validant et corrigeant les problèmes dans le cadre du cycle de vie du développement. Découvrez comment il se compare au pentest IA et manuel.

#
Tests d'intrusion IA

Sécurisez votre environnement dès maintenant.

Sécurisez votre code, votre cloud et votre environnement d’exécution dans un système centralisé unique.
Détectez et corrigez les vulnérabilités rapidement et automatiquement.

Lancer l’analyse
Sans carte bancaire
Planifiez une démo
Aucune carte de crédit requise | Résultats en 32 secondes.