OWASP ASVS

TL;DR

OWASP ASVS est une liste de contrôle détaillée, pilotée par la communauté, pour vérifier la sécurité des applications web – utilisée par les développeurs, les testeurs et les architectes.

Couvre des domaines tels que l'AuthN, l'AuthZ, la cryptographie, la sécurité des API, répartis en niveaux L1 (basique) à L3 (applications critiques).

Pas une certification, mais idéal pour établir des bases de sécurité, guider les tests d'intrusion ou construire des applications sécurisées dès le départ.

Résumé du tableau de bord OWASP ASVS :

• Effort du développeur : Modéré à Élevé (Nécessite la compréhension de contrôles de sécurité détaillés dans de nombreux domaines et leur mise en œuvre correcte pendant le développement ; utilisé comme référence lors des tests).
• Coût des outils : Faible à modéré (le standard lui-même est gratuit ; les coûts sont liés aux outils utilisés pour les tests par rapport aux exigences de l'ASVS – outils SAST, DAST, IAST, de pentest).
• Impact sur le marché : Élevé (Norme industrielle largement respectée pour la vérification de la sécurité des applications web ; souvent utilisée comme base pour définir les exigences de sécurité et les périmètres de test).
• Flexibilité : Élevée (Les niveaux permettent une adaptation basée sur le risque ; les exigences spécifiques peuvent être considérées comme non applicables).
• Intensité de l'audit : N/A (pas une norme d'audit formelle pour la certification, mais utilisé lors d'évaluations/tests de sécurité qui peuvent être intenses).

Qu'est-ce que l'OWASP ASVS ?

L'OWASP Application Security Verification Standard (ASVS) est un projet open source qui fournit un cadre d'exigences et de contrôles de sécurité spécifiquement destiné à vérifier la sécurité des applications web. Il sert deux objectifs principaux :

1. Pour les développeurs : Fournit une liste détaillée des exigences de sécurité pour guider les pratiques de développement sécurisé.
2. Pour les testeurs : Fournit une base pour tester les contrôles de sécurité techniques des applications web lors des évaluations de sécurité, des tests d'intrusion ou des revues de code sécurisé.

L'OWASP ASVS est structuré en chapitres couvrant les principaux domaines de sécurité :

• V1: Architecture, Conception et Modélisation des Menaces
• V2: Authentification
• V3: Gestion des Sessions
• V4: Contrôle d'Accès
• V5: Validation, Assainissement et Encodage
• V6: Cryptographie Stockée
• V7: Gestion des Erreurs et Journalisation
• V8: Protection des Données
• V9: Sécurité des Communications
• V10: Code Malveillant
• V11: Logique Métier
• V12: Fichiers et Ressources
• V13: API et Services Web
• V14: Configuration

Dans chaque chapitre, des exigences de vérification spécifiques (contrôles) sont listées. De manière cruciale, l'OWASP ASVS définit trois niveaux de vérification de la sécurité (niveaux ASVS), indiquant des niveaux croissants de profondeur et de rigueur :

• Niveau 1 (Faible assurance) : Destiné aux applications à faible risque ou comme première étape. Il se concentre sur les vulnérabilités facilement détectables et les contrôles qui peuvent souvent être vérifiés automatiquement (par exemple, des tests d'intrusion de base). Chaque application devrait viser au moins le Niveau 1.
• Niveau 2 (Assurance Standard): Recommandé pour la plupart des applications, en particulier celles qui gèrent des données sensibles ou effectuent des transactions importantes. Nécessite des vérifications plus approfondies couvrant la protection contre les risques de sécurité courants des applications (comme le Top 10 OWASP). Nécessite des tests automatisés et manuels, y compris des éléments de design/code review.
• Niveau 3 (Haute Assurance) : Pour les applications critiques traitant des données très sensibles (ex. : financières, de santé, gouvernementales). Nécessite une vérification de sécurité complète, incluant un examen approfondi de la conception, une code review et des tests rigoureux pour résister aux attaquants expérimentés.

Le niveau requis détermine quelles exigences de vérification spécifiques au sein de chaque chapitre doivent être satisfaites.

Pourquoi est-ce important ?

L'OWASP ASVS est une pierre angulaire de la sécurité moderne des applications web car :

• Assure la standardisation : Offre un standard cohérent et reproductible pour définir ce qui constitue une application web sécurisée, allant au-delà des tests ad hoc.
• Conseils exploitables : Fournit aux développeurs des exigences concrètes et aux testeurs des éléments spécifiques à vérifier, comblant le fossé entre les principes de haut niveau et l'implémentation.
• Approche basée sur les risques : Le système de niveaux permet aux organisations d'adapter les efforts de vérification en fonction du profil de risque de l'application.
• Complète le Top 10 OWASP : Alors que le Top 10 énumère les risques courants, l'ASVS fournit les contrôles détaillés nécessaires pour atténuer ces risques (et bien d'autres).
• Reconnaissance de l'industrie : Largement respecté et utilisé mondialement par les développeurs, les professionnels de la sécurité et les organisations qui acquièrent des logiciels.
• Prend en charge un SDLC sécurisé : Peut être intégré tout au long du SDLC – en définissant les exigences, en guidant la conception/le codage et en constituant la base des tests de vérification.
• Open Source et piloté par la communauté : Disponible gratuitement et constamment mis à jour par une communauté mondiale d'experts en sécurité.

L'utilisation d'OWASP ASVS permet de garantir que les tests de sécurité sont exhaustifs, cohérents et axés sur les contrôles qui comptent réellement pour la protection des applications web.

Quoi et comment implémenter (Technique et Politique)

La mise en œuvre de OWASP ASVS ne vise pas la certification ; il s'agit d'utiliser la norme pour construire et vérifier des applications sécurisées :

1. Déterminer le niveau requis : En fonction de la sensibilité des données de l'application, de sa criticité métier et des exigences réglementaires, choisir le niveau ASVS cible (1, 2 ou 3).
2. Intégrer aux exigences (Phase de conception) : Utilisez les exigences ASVS pour le niveau choisi (et les chapitres pertinents) comme entrée pour les exigences de sécurité pendant les phases de conception et de planification.
   
   • Exemple (Contrôle d'accès V4) : Si vous développez une application nécessitant différents rôles utilisateur, examinez les exigences du chapitre V4 de l'ASVS telles que V4.1.1 (« Vérifier que l'application applique les règles de contrôle d'accès sur une couche de service de confiance... ») et concevez le système en conséquence.
3. Guider le développement (Phase de codage) : Les développeurs utilisent les exigences ASVS comme une checklist pour s'assurer que les pratiques de codage sécurisé sont respectées.
   
   • Exemple (Validation des entrées V5) : Lors de la création de formulaires de saisie, référez-vous aux exigences V5 telles que V5.1.1 (« Vérifier que l'application dispose de défenses contre la pollution des paramètres HTTP... ») et V5.2.1 (« Vérifier que les données structurées sont fortement typées... »). Implémentez des bibliothèques et des routines de validation des entrées qui répondent à ces exigences.
4. Tests de sécurité informatifs (Phase de vérification) : Les testeurs de sécurité (testeurs d'intrusion, réviseurs de code) utilisent la checklist ASVS pour le niveau cible afin de structurer leur évaluation. Ils vérifient si chaque exigence applicable a été satisfaite.
   
   • Exemple (Authentification V2) : Un testeur vérifiant le Niveau 2 contrôlerait des exigences telles que V2.2.1 (« Vérifier que la longueur minimale du mot de passe est de 12 caractères... »), V2.1.1 (« Vérifier que les identifiants ne sont jamais stockés sous une forme récupérable... ») et V2.4.1 (« Vérifier qu'il existe un mécanisme de verrouillage de compte... »).
5. Intégration des outils :
   
   • Outils SAST/DAST : Configurez les scanners pour vérifier les violations liées aux exigences de l'ASVS (par exemple, la détection de potentielles failles d’injection liées à V5).
   • Gestion des listes de contrôle : Utilisez des feuilles de calcul ou des outils comme SecurityRAT pour gérer les exigences ASVS, suivre l'applicabilité et enregistrer les résultats de vérification.
6. Documentation : Documenter comment les exigences ASVS ont été satisfaites (ou pourquoi elles ont été jugées non applicables) dans les documents de conception, les commentaires de code et les rapports de test.

La mise en œuvre consiste à utiliser activement la liste ASVS tout au long du SDLC – comme guide pour construire de manière sécurisée et comme liste de contrôle pour vérifier la sécurité.

Erreurs courantes à éviter

Lors de l'utilisation d'OWASP ASVS, soyez attentif à ces erreurs courantes :

1. Choisir le mauvais niveau : Sélectionner le Niveau 1 pour une application à haut risque, ou viser le Niveau 3 alors que les ressources ne permettent qu'une vérification de Niveau 2, ce qui conduit à des évaluations inadéquates ou incomplètes.
2. Le considérer comme une simple liste de contrôle de Pentest : L'ASVS va au-delà du simple pentesting ; les niveaux 2 et 3 exigent des aspects de conception et de code review. Se fier uniquement à l'analyse dynamique manque des vulnérabilités cruciales.
3. Ignorer l'applicabilité : Tenter aveuglément d'appliquer chaque exigence sans considérer si elle est pertinente pour l'architecture, la pile technologique ou les fonctionnalités spécifiques de l'application.
4. Manque de formation des développeurs : Attendre des développeurs qu'ils répondent aux exigences de l'ASVS sans les former aux concepts de sécurité sous-jacents et aux pratiques de codage sécurisé nécessaires.
5. Application incohérente : Appliquer l'ASVS rigoureusement lors d'un test mais superficiellement lors du suivant, ce qui entraîne une posture de sécurité incohérente.
6. Intégration tardive: Utiliser l'ASVS uniquement à la toute fin pour les tests, plutôt que de l'utiliser pour éclairer la conception et le développement sécurisés dès le départ (ce qui est bien plus efficace).
7. Mauvaise interprétation des exigences : Ne pas comprendre la nuance ou l'intention derrière les exigences spécifiques de vérification ASVS.

Ce que les auditeurs/testeurs demanderont (Axé sur les développeurs)

Les testeurs de sécurité utilisant OWASP ASVS demanderont essentiellement aux développeurs (directement ou via une revue de code/conception) de démontrer comment des exigences spécifiques sont satisfaites :

• (V1) "Pouvez-vous me montrer le modèle de menace pour cette application ?" (1.1.1 - L2+)
• (V2) "Comment les mots de passe des utilisateurs sont-ils stockés ? Pouvez-vous montrer l'implémentation du hachage ?" (2.2.2 - L1+)
• (V3) "Comment les jetons de session sont-ils générés et protégés contre le détournement ?" (3.1.1, 3.3.1 - L1+)
• (V4) "Démontrez comment l'application empêche un utilisateur standard d'accéder aux fonctionnalités d'administration." (4.1.1, 4.1.2 - L1+)
• (V5) "Montrez-moi les routines de validation des entrées utilisées pour ce point de terminaison API critique." (5.1.3, 5.2.1 - L1+)
• (V6) "Où et comment les clés cryptographiques sont-elles gérées au sein de l'application ?" (6.2.1 - L2+)
• (V7) "Comment l'application gère-t-elle les erreurs sans divulguer d'informations sensibles ?" (7.1.1 - L1+)
• (V8) "Comment les données sensibles sont-elles protégées lorsqu'elles sont stockées dans la base de données (chiffrement, masquage) ?" (8.1.1 - L2+)
• (V13) "Comment l'authentification et l'autorisation sont-elles gérées pour les requêtes API ?" (13.1.1, 13.2.1 - L1+)

Ils rechercheront des preuves concrètes dans le code, la configuration, les documents de conception ou l'application en cours d'exécution afin de vérifier la conformité avec chaque exigence ASVS pertinente pour le niveau cible.

Gains rapides pour les équipes de développement

Les développeurs peuvent facilement commencer à intégrer les principes de l'OWASP ASVS :

1. Concentration sur les bases de niveau 1 : Commencez par examiner et mettre en œuvre les exigences de niveau 1 dans des domaines clés comme l'authentification (V2), le contrôle d'accès (V4) et la validation des entrées (V5). Celles-ci couvrent de nombreuses failles courantes.
2. Utiliser les paramètres par défaut sécurisés du framework : Tirez parti des fonctionnalités de sécurité intégrées de votre framework web (par exemple, pour la gestion des sessions, la protection CSRF, l'encodage des sorties) qui sont souvent conformes à l'ASVS.
3. Valider et encoder : Validez systématiquement toutes les entrées et encodez toutes les sorties destinées aux navigateurs, API ou bases de données. (Cœur de la V5)
4. Mettre en œuvre une journalisation de base : Assurez-vous que les événements de sécurité clés (connexions, échecs, transactions importantes) sont journalisés. (Cœur de V7)
5. Passez en revue le Top 10 OWASP : Comprenez les 10 principaux risques et comment les contrôles ASVS contribuent à les atténuer.
6. Utilisez des outils SAST : Configurez les outils SAST pour signaler les violations liées aux exigences courantes de l'ASVS (par exemple, la gestion non sécurisée des mots de passe, les points d'injection potentiels).

Ignorez ceci et... (Conséquences de la non-conformité)

Ignorer les principes et les exigences décrits dans l'OWASP ASVS signifie négliger les contrôles fondamentaux de sécurité des applications web. Les conséquences sont directes :

• Probabilité accrue de violations : Les applications seront plus vulnérables aux attaques courantes comme le XSS, l'injection SQL, l'authentification défaillante, le contrôle d’accès défaillant, etc. (directement lié aux chapitres de l'ASVS).
• Perte/Vol de données : Les vulnérabilités permettent aux attaquants de voler des données utilisateur sensibles, entraînant des violations de la vie privée et des amendes réglementaires (par exemple, le RGPD).
• Interruption de service : Les attaques peuvent rendre les applications indisponibles, entraînant une perturbation des activités et une perte de revenus.
• Atteinte à la réputation : Les incidents de sécurité érodent la confiance des clients et nuisent à l'image de marque de l'entreprise.
• Audits de sécurité/Pentests échoués : Si les clients ou partenaires exigent des tests de sécurité, une application non conçue selon les principes de l'ASVS échouera probablement, bloquant potentiellement des accords ou des déploiements.
• Coûts de remédiation accrus : Identifier et corriger les vulnérabilités tard dans le cycle ou après une violation est bien plus coûteux que d'intégrer la sécurité en utilisant l'ASVS comme guide.

Essentiellement, ne pas adhérer à OWASP ASVS signifie construire des applications web intrinsèquement non sécurisées.

FAQ

L'OWASP ASVS est-il une norme de conformité comme SOC 2 ou ISO 27001 ?

Non. L'OWASP ASVS est un standard de vérification, essentiellement une checklist détaillée pour tester la sécurité des applications web. Il n'implique pas d'audits formels ou de certifications comme SOC 2 ou ISO 27001, qui couvrent des systèmes de gestion plus larges. Cependant, le respect des niveaux ASVS peut aider à satisfaire les exigences de contrôle technique au sein de ces cadres plus larges.

Quelle est la différence entre l'OWASP ASVS et le Top 10 OWASP ?

Le Top 10 OWASP liste les dix risques de sécurité des applications web les plus critiques, basés sur le consensus de la communauté et les données. L'OWASP ASVS fournit les contrôles de sécurité et les exigences de vérification détaillés nécessaires pour prévenir et tester ces risques (et bien d'autres). Le Top 10 vous dit quels sont les problèmes majeurs ; l'ASVS vous dit comment vérifier vos défenses contre eux.

Quel niveau ASVS devrions-nous viser ?

Cela dépend du risque. Le niveau 1 représente la base minimale pour toutes les applications. Le niveau 2 est recommandé pour la plupart des applications traitant des données ou des transactions sensibles. Le niveau 3 est destiné aux applications hautement critiques dont la défaillance aurait des conséquences graves (par exemple, données financières ou de santé).

Devons-nous satisfaire à 100 % des exigences pour un niveau spécifique ?

Généralement, oui, pour toutes les exigences applicables. La norme permet de marquer des exigences comme « Non applicable » si elles ne s'appliquent réellement pas à la technologie ou à la fonctionnalité de l'application, mais cela nécessite une justification. Des contrôles compensatoires peuvent parfois être acceptés si une exigence spécifique ne peut pas être satisfaite directement.

L'ASVS est-il uniquement destiné aux tests d'intrusion ?

Non. Bien que largement utilisé dans les tests d'intrusion (en particulier au niveau 1), les niveaux 2 et 3 de l'ASVS exigent explicitement une vérification au-delà des tests dynamiques, incluant des revues d'architecture, de conception et de code source. Il est destiné à une vérification holistique de la sécurité des applications.

À quelle fréquence devrions-nous vérifier la conformité à l'ASVS ?

La vérification devrait être intégrée au SDLC. Cela peut impliquer la vérification des exigences pertinentes lors des revues de code, l'exécution de tests automatisés alignés sur l'ASVS en CI/CD, et la réalisation d'évaluations ASVS complètes (au niveau cible) avant les versions majeures ou périodiquement (par exemple, annuellement) pour les applications critiques.

L'ASVS peut-il être utilisé pour les API et les applications mobiles ?

Le chapitre V13 de l'OWASP ASVS aborde spécifiquement la vérification des API et des services web. Bien que principalement axé sur les applications web, de nombreux principes s'appliquent de manière générale. Pour les spécificités mobiles, l'OWASP propose également le Mobile Application Security Verification Standard (MASVS).