OWASP Top 10 2025 – Évolutions et enjeux

Ce qui change dans le Top 10 2025

Nouveautés et fusions

« Software Supply Chain Failures » remplace « Vulnerable and Outdated Components » : élargit la portée aux outils de build, pipelines, registres de paquets, etc. (toute la chaîne de production logicielle).
- « Mishandling of Exceptional Conditions » : nouvelle catégorie mettant en avant les failles liées à la gestion des erreurs, exceptions et cas imprévus.

Catégorie	Évolution	Justification
Broken Access Control	Reste en tête (1ᵉʳ rang)	Cause principale de brèches graves (3,73 % des applications testées concernées par ses 40 CWEs).
Security Misconfiguration	Passe du 5ᵉ au 2ᵉ rang (2021 → 2025)	Recrudescence des failles liées à des configurations incorrectes ou trop permissives.
Injection	Descend à la 5ᵉ place	Meilleure maturité des défenses (pratiques de développement et détection améliorées).

Focalisation sur les origines

Au lieu de traiter les symptômes (ex : « exposition de données sensibles »), le Top 10 2025 cible les causes profondes :
- Chiffrement mal configuré.
- Absence de gestion des accès.
- Mauvaise conception architecturale.

Données analysées :

589 CWEs examinées (vs ~30 en 2017, ~400 en 2021) → reflète la complexité croissante des environnements modernes.

Évolution des chaînes logicielles :
- Applications modernes = centaines de dépendances, micro-services, conteneurs, CI/CD, etc. → risques accrus dans la chaîne d’approvisionnement.
Complexité des architectures :
- Cloud, APIs externes, intégrations tierces → multiplication des surfaces d’attaque.
Maturité des défenses traditionnelles :
- Les failles classiques (injections, cryptographie) sont mieux anticipées → leur poids relatif diminue.
Besoin de standards actualisés :
- Utiliser une ancienne version du Top 10 = ignorer des risques récents (ex : chaîne logicielle).

Public	Actions recommandées
Développeurs	Intégrer la sécurité dès la conception : contrôles d’accès, gestion des erreurs, vérification des dépendances.
Équipes DevSecOps/SRE	Prioriser les audits, tests d’intrusion, revues de code autour des nouvelles catégories.
Architectes logiciels	Concevoir des architectures résilientes (surveillance, journalisation, mises à jour faciles).
Décideurs IT	Utiliser le Top 10 comme référentiel pour les politiques de sécurité, exigences contractuelles, etc.

À noter : Le Top 10 est un outil d’éducation et de gouvernance, pas une checklist figée.

Données incomplètes : Certaines catégories (ex : chaîne logicielle, intégrité des données) sont difficiles à mesurer → sous-représentées dans les statistiques.
Outils automatiques insuffisants : Les analyseurs statiques détectent moins de 60 % des vulnérabilités dans des projets réels.
Le Top 10 est un minimum : Doit être complété par des pratiques élargies : revues de code, tests dynamiques, surveillance continue, etc.

Le Top 10 2025 reflète :

L’évolution des menaces (chaîne logicielle, complexité architecturale).
La nécessité d’une sécurité intégrée dès l’architecture (et non en fin de cycle).
Un référentiel moderne pour analyser les risques et adopter les bonnes pratiques en développement, déploiement et maintenance.

→ Pour rester pertinent en 2026, toute organisation devrait adopter cette version comme base de sa stratégie sécurité.