Voici les 10 principaux risques de sécurité applicative en 2025
L’organisation OWASP vient de dévoiler son premier classement des risques applicatifs depuis 2021. Basé sur des données réelles et une enquête auprès d’experts, le top 10 confirme la prédominance des failles de contrôle d’accès, tandis que les mauvaises configurations et les risques de supply chain gagnent en importance.
L’Open Worldwide Application Security Project (OWASP) a listé les dix principaux risques liés aux applications en 2025. Au total, l’organisation a évalué 12 catégories à partir des données fournies et a complété son analyse par une enquête menée auprès de professionnels de la sécurité applicative.
Le podium des risques de sécurité applicative
En première position du classement figure la catégorie Broken Access Control, autrement dit les failles dans le contrôle d’accès. Cette catégorie conserve sa place depuis le précédent classement de 2021. Nouveauté cette année: elle inclut désormais les attaques de Server-Side Request Forgery (SSRF), dans lesquelles des personnes non autorisées parviennent à accéder à des informations qui ne devraient pas leur être accessibles. Cela inclut notamment la mise à disposition accidentelle de documents classifiés à des personnes non autorisées ou le contournement des contrôles d’accès via des modifications d’URL.
À la deuxième place se trouvent les mauvaises configurations de sécurité, qui n’occupaient que le cinquième rang en 2021. Selon les auteurs de l’étude, cette progression n’est pas surprenante, car les tendances du développement logiciel montrent que la sécurité repose de plus en plus sur la configuration.
La troisième place est occupée par les vulnérabilités de la chaîne d’approvisionnement logicielle(Software Supply Chain). Cette catégorie a été intégrée au classement à la suite de l’enquête. Bien que peu de cas aient été répertoriés dans les données, cette catégorie présente les valeurs moyennes d’exploitation et d’impact CVE les plus élevées. Il est également possible que le faible nombre de cas recensés soit dû à des difficultés de mesure. Les erreurs de chaîne d’approvisionnement surviennent souvent en raison de failles ou de modifications malveillantes dans des composants tiers dont dépend un système.
Autres risques
Au 4ᵉ rang figurent les erreurs cryptographiques, qui reculent depuis la 2ᵉ place occupée en 2021. Des cryptographies trop faibles ou mal implémentées sont à l’origine de ces problèmes. La 5ᵉ place revient aux injections de code, catégorie ayant enregistré le plus grand nombre de CVE. Selon l’OWASP, les attaques par injection permettent à des cybercriminels d’exécuter des commandes via les champs de saisie des applications.
En 6ᵉ position se trouve la catégorie Insecure Design, suivie à la 7ᵉ place des failles d’authentification. Pour cette dernière, l’usage croissant de frameworks standardisés pour l’authentification a toutefois conduit à des améliorations. Parmi les erreurs d’authentification figurent notamment les mots de passe faibles ou des systèmes laissant passer des attaques par force brute.
La 8ᵉ position est occupée par les problèmes d’intégrité du logiciel ou des données, c’est-à-dire le non-respect des frontières de confiance ainsi que l’intégrité du logiciel, du code et des artefacts, à un niveau inférieur à celui des erreurs de chaîne d’approvisionnement logicielle. Le 9ᵉ rang revient aux erreurs de journalisation et d’alerte, une catégorie également introduite sur la base de l’enquête.
Enfin, une nouvelle catégorie occupe la 10ᵉ place: la mauvaise gestion des circonstances exceptionnelles ou des situations anormales. Selon le rapport, cette catégorie inclut les mauvaises gestions d’erreurs, les erreurs logiques, l’ouverture de connexions ou d’autres situations inhabituelles ou imprévisibles pouvant entraîner des crashs, des comportements inattendus ou des vulnérabilités.
