Qu'est-ce qu'une solution OWASP ?

L' Open Worldwide Application Security Project (OWASP) est une fondation à but non lucratif dédiée à l'amélioration de la sécurité des logiciels. Initialement connue sous le nom d'Open Web Application Security Project, l'OWASP a été fondée en 2001 avec pour mission « d'être la communauté ouverte mondiale qui soutient les logiciels sécurisés grâce à l'éducation, aux outils et à la collaboration ». En 2024, la fondation de l'OWASP compte plus de 250 sections locales dans le monde entier, notamment en Afrique, en Asie, dans les Caraïbes, en Amérique centrale, en Europe, en Amérique du Nord, en Océanie et en Amérique du Sud. 

L'OWASP coordonne un ensemble de projets logiciels et de conférences de pointe à des fins d'éducation et de formation, le tout open source et mené par la communauté. Les projets, outils, documents, forums et chapitres de l'organisation sont gratuits et accessibles à toute personne souhaitant améliorer la sécurité des applications.

Les 10 principaux risques identifiés par l'OWASP correspondent à une liste des risques de sécurité les plus critiques pour les applications Web, déterminés par un large consensus d'experts en sécurité du monde entier. Les 10 principaux risques identifiés par l'OWASP servent de guide aux entreprises, aux équipes DevOps, aux régulateurs et aux autres parties prenantes chargés de garantir la sécurité des applications Web et de modifier la culture du développement logiciel pour produire un code plus sécurisé.

La liste des 10 principales menaces de sécurité de l'OWASP repose sur l'expérience et l'expertise d'une communauté ouverte de contributeurs et le consensus entre les experts en sécurité du monde entier. Les risques sont classés en fonction de plusieurs facteurs, notamment la fréquence à laquelle chaque vulnérabilité de sécurité se produit et la gravité et l'ampleur de son impact potentiel.

Téléchargez le livre blanc Akamai des 10 principaux risques identifiés par l'OWASP.

1. A01 : 2021 – Les contrôles d'accès défaillants permettent aux attaquants d'accéder aux comptes utilisateur et d'agir en tant qu'utilisateurs ou administrateurs. Ils peuvent également permettre aux utilisateurs réguliers d'accéder à des fonctions privilégiées de manière involontaire.
2. A02 : 2021 – Les défaillances cryptographiques se produisent lorsque des données importantes ou sensibles sont compromises lors de leur stockage ou de leur transmission.
3. A03 : 2021 – Les attaques par injection de code telles que l'injection SQL se produisent lorsque des données non valides ou un code malveillant sont envoyés par un attaquant à une application Web pour que l'application effectue une action qu'elle n'est pas censée faire.
4. A04 : 2021 – Les défauts de conception non sécurisés se produisent lorsqu'une application est développée autour de processus qui ne sont pas sécurisés, comme une application avec des processus d'authentification inadéquats ou un site Web qui n'est pas conçu pour empêcher les bots.
5. A05 : 2021 – La configuration inadéquate de la sécurité inclut la configuration incorrecte des autorisations de service cloud, l'utilisation de mots de passe d'administrateur par défaut ou l'installation de fonctionnalités qui ne sont pas requises.
6. A06 : 2021 – Les composants vulnérables et obsolètes sont une vulnérabilité causée par des logiciels ou des composants internes non pris en charge ou obsolètes.
7. A07 : 2021 – Les échecs d'identification et d'authentification se produisent lorsque les applications ne peuvent pas confirmer et vérifier correctement les identités des utilisateurs ou assurer une gestion sécurisée des sessions.
8. A08 : 2021 – Le manque d'intégrité des données et du logiciel se produit lorsque le code et l'infrastructure d'une application ne peuvent pas protéger entièrement l'intégrité des logiciels ou des données.
9. A09 : 2021 – Les carences des systèmes de contrôle et de journalisation sont des faiblesses dans la capacité d'une application à détecter les risques de sécurité et à y répondre.
10. A10 : 2021 – La falsification de requête côté serveur se produit lorsqu'une application Web extrait des données d'une ressource distante en fonction d'une URL spécifiée par l'utilisateur, sans valider l'URL.

En plus de classer les 10 principaux risques de sécurité des applications Web,l'OWASP identifie les 10 principaux risques de sécurité des API, une liste des problèmes de sécurité et vulnérabilités les plus dangereux pour les interfaces de programmation d'applications (API). La liste a été initialement produite en 2019 et a été mise à jour en 2023.

Vous souhaitez en savoir plus ? Lisez les précédents articles de blog d'Akamai sur ce sujet :

• Ce que les nouveaux changements apportés à la liste des 10 principaux risques pour la sécurité des API de l'OWASP impliquent pour vous

• Liste des 10 principaux risques pour la sécurité des API de l'OWASP : l'édition 2023 a enfin été publiée

• Akamai vous protège contre les 10 principaux risques liés à la sécurité des API identifiés par l'OWASP

1. API1 : 2023 – L'autorisation brisée au niveau de l'objet se produit en cas d'absence de contrôles d'accès appropriés sur les points de terminaison API, ce qui entraîne une exposition des données sensibles et permet aux utilisateurs non autorisés d'y accéder et de les modifier.
2. API2 : 2023 – La violation d'authentification se produit lorsque les mécanismes d'authentification sont mis en œuvre de manière incorrecte, ce qui permet aux attaquants de compromettre les jetons d'authentification ou d'exploiter les défauts de mise en œuvre pour usurper l'identité d'autres utilisateurs.
3. API3 : 2023 – L'autorisation brisée au niveau de la propriété de l'objet se produit lorsque les API ne valident pas correctement l'autorisation au niveau de la propriété de l'objet.
4. API4 : 2023 – La consommation illimitée des ressources implique des requêtes qui utilisent des volumes élevés de bande passante réseau, de processeur, de mémoire et de stockage, ce qui peut entraîner un déni de service ou une augmentation des coûts.
5. API5 : 2023 – L'autorisation brisée au niveau de la fonction est causée par des failles d'autorisation provenant de règles de contrôle d'accès trop complexes avec des hiérarchies, des groupes et des rôles différents, ainsi que d'une séparation floue entre les fonctions administratives et régulières.
6. API6 : 2023 – L'accès illimité aux flux d'activité sensibles se produit lorsque les API exposent un flux métier sans le restreindre ou compenser le risque possible que la fonction puisse être utilisée de manière excessive et automatisée.
7. API7 : 2023 – La falsification de requête côté serveur se produit lorsqu'une API récupère une ressource distante sans valider l'URI fournie par l'utilisateur, ce qui permet aux attaquants de forcer l'application à envoyer une requête élaborée vers une destination inattendue.
8. API8 : 2023 – La configuration inadéquate de la sécurité se produit lorsque les ingénieurs logiciels et DevOps ne parviennent pas à configurer correctement les API et les systèmes qui les prennent en charge.
9. API9 : 2023 – La mauvaise gestion des stocks se produit lorsque les administrateurs informatiques ne parviennent pas à documenter et à mettre à jour correctement un inventaire des hôtes et des versions d'API déployées.
10. API10 : 2023 – La consommation d'API non sécurisée se produit lorsque les développeurs accordent la confiance à des API tierces sans les vérifier, ce qui affaiblit la stratégie de sécurité.

L'OWASP coordonne et supervise un certain nombre de projets de grande envergure.

• Dependency-Track est une plateforme intelligente d'analyse des composants qui aide les entreprises à identifier et à réduire les risques dans la chaîne d'approvisionnement des logiciels. Dependency-Track surveille l'utilisation des composants dans chaque version d'une application afin d'identifier de manière proactive les risques dans l'ensemble de l'entreprise.
• Juice Shop est une application Web très peu sécurisée conçue pour être utilisée dans les formations à la sécurité, les démonstrations de sensibilisation et les concours de prise de drapeau, et en tant cobaye pour les outils de sécurité. Juice Shop est écrite avec toutes les vulnérabilités figurant dans la liste des 10 principaux risques de sécurité de l'OWASP, et avec de nombreuses failles de sécurité supplémentaires fréquemment trouvées dans les applications du monde réel.
• Le projet de sécurité des applications pour mobile de l'OWASP est une norme de sécurité pour les applications pour mobile et un guide de test complet. Il couvre les processus, les techniques et les outils utilisés dans les tests de sécurité des applications pour mobile et fournit un ensemble complet de cas d'essai qui aident les testeurs à produire des résultats cohérents et complets.
• L'ensemble de règles de base ModSecurity de l'OWASP est un ensemble de règles génériques de détection des attaques à utiliser avec ModSecurity ou les pare-feux d'application Web compatibles.
• Le Software Assurance Maturity Model offre un moyen efficace et mesurable d'analyser et d'améliorer les cycles de vie de développement sécurisés.
• Le Web Security Testing Guide Project est la première ressource de test de cybersécurité pour les développeurs d'applications Web et les professionnels de la sécurité.

Les entreprises et leurs équipes de sécurité peuvent obtenir des informations exploitables à partir des listes des 10 principaux risques de l'OWASP. Elles constituent une liste de contrôle importante pour les équipes de sécurité, et une norme de sécurité pour les équipes DevOps. Les auditeurs utilisent les listes pour évaluer si les entreprises respectent les meilleures pratiques et les normes de développement pour la protection des API et la sécurité des applications Web.