Résumé exécutif
L'OWASP Top 10 sert de classement définitif de l'industrie des risques de sécurité des applications web. Le 6 novembre 2025, l'OWASP a publié l'édition 2025 — la première mise à jour majeure depuis 2021. Il ne s'agit pas seulement d'une révision incrémentielle ; elle reflète des changements fondamentaux dans le paysage des menaces et dans notre façon de penser la sécurité applicative.
Deux nouvelles catégories figurent en tête de la mise à jour : Échecs de la chaîne d'approvisionnement logicielle (A03) traite de la menace croissante de dépendances compromises, paquets malveillants et pipelines de compilation altérés. Mauvaise gestion des conditions exceptionnelles (A10) reconnaît que la manière dont les applications échouent est aussi importante que la manière dont elles réussissent. Pendant ce temps, Broken Access Control conserve sa position au n°1, tandis que Security Misconfiguration est passée du n°5 au n°2.
Au-delà des classements, l'édition 2025 représente un basculement philosophique des symptômes vers les causes racines. Là où les versions précédentes pouvaient signaler « Sensitive Data Exposure », le nouveau cadre identifie « Cryptographic Failures » — la faiblesse sous-jacente qui permet l'exposition. Ce rapport analyse chaque catégorie, explique les changements de classement et fournit des conseils exploitables pour les programmes de sécurité s'adaptant au nouveau cadre.
2021 vs 2025 : comparaison complète des classements
La mise à jour 2025 réorganise plusieurs catégories et introduit deux nouvelles entrées. Comprendre ces changements aide à prioriser les investissements en sécurité.
| Rang 2025 | Catégorie | Rang 2021 | Changement | CWE |
|---|---|---|---|---|
| A01 | Broken Access Control | n°1 | Stable (SSRF fusionné) | 40 |
| A02 | Security Misconfiguration | n°5 | +3 positions | 16 |
| A03 | Software Supply Chain Failures | NOUVEAU | Priorité communautaire n°1 | 5 |
| A04 | Cryptographic Failures | n°2 | -2 positions | 32 |
| A05 | Injection | n°3 | -2 positions | 38 |
| A06 | Insecure Design | n°4 | -2 positions | — |
| A07 | Authentication Failures | n°7 | Stable | 36 |
| A08 | Software/Data Integrity Failures | n°8 | Stable | — |
| A09 | Logging & Alerting Failures | n°9 | Stable (renommée) | 5 |
| A10 | Mishandling of Exceptional Conditions | NOUVEAU | 24 CWE consolidés | 24 |
A01:2025 — Broken Access Control
Conservant sa position au n°1 pour la deuxième édition consécutive, Broken Access Control reste le risque de sécurité le plus critique des applications web. En 2025, SSRF a été fusionnée dans cette catégorie.
Prévalence : 3,73 %
Parmi toutes les applications testées, 3,73 % présentaient des vulnérabilités de contrôle d'accès défaillant. Avec plus de 318 000 occurrences, elle a le taux d'occurrence le plus élevé.
40 CWE couverts
La plus grande catégorie inclut CWE-200 (Divulgation d'informations sensibles), CWE-352 (CSRF) et désormais CWE-918 (SSRF).
94 % de couverture de tests
Presque toutes les applications (94 %) ont été testées pour le contrôle d'accès défaillant, démontrant une prise de conscience à l'échelle de l'industrie.
SSRF désormais incluse
Server-Side Request Forgery, précédemment A10:2021, a été fusionnée dans Broken Access Control.
A02:2025 — Security Misconfiguration (en hausse depuis le n°5)
Le changement de classement le plus dramatique en 2025 voit Security Misconfiguration bondir de la cinquième à la deuxième place. Cela reflète une reconnaissance croissante que de nombreux incidents de sécurité proviennent non d'exploits sophistiqués, mais d'erreurs de configuration basiques qui créent des conditions exploitables.
Cette catégorie englobe les configurations par défaut laissées inchangées, les fonctionnalités inutiles activées, les messages d'erreur verbeux qui divulguent des informations, les en-têtes de sécurité manquants, les logiciels obsolètes et les autorisations de stockage cloud non sécurisées. La montée au n°2 envoie un message clair : les organisations doivent traiter la gestion de configuration comme une fonction critique de sécurité.
Avec 16 CWE affectant 3,00 % des applications testées, les mauvaises configurations représentent souvent des fruits faciles à cueillir pour les attaquants. Elles ne nécessitent ni outils spécialisés ni exploits zero-day — juste la patience de sonder les faiblesses courantes.
La préoccupation n°1 de la communauté devient une catégorie officielle. Les attaques sur la chaîne d'approvisionnement exploitent la confiance dans les dépendances, les systèmes de compilation et les canaux de distribution. Les incidents notables incluent SolarWinds (2020), Log4j (2021) et XZ Utils (2024). Bien que cette catégorie ait le moins d'occurrences de données (5 CWE), elle présente les scores moyens d'exploit et d'impact les plus élevés — rendant les attaques réussies catastrophiquement dommageables. Les organisations doivent vérifier l'intégrité des composants, surveiller les mises à jour de dépendances et mettre en œuvre l'analyse de composition logicielle.
Le déclin d'Injection : du n°1 au n°5
Les vulnérabilités d'injection, autrefois le roi incontesté des risques d'applications web, sont tombées du n°1 (2017) au n°3 (2021) puis au n°5 (2025). Ce déclin reflète de véritables améliorations de sécurité.
Adoption de frameworks
Les frameworks modernes avec requêtes paramétrées, instructions préparées et couches ORM ont rendu l'injection SQL structurellement plus difficile à introduire.
Analyse statique
Les outils SAST détectent efficacement les schémas d'injection pendant le développement, attrapant les vulnérabilités avant la production.
Formation des développeurs
Deux décennies de campagnes de sensibilisation ont fait de la prévention de l'injection une compétence fondamentale enseignée dans chaque formation à la sécurité.
A04:2025 — Cryptographic Failures (en baisse depuis le n°2)
Cryptographic Failures a chuté de deux positions au n°4, bien que cela n'indique pas une importance réduite. Au contraire, la montée des préoccupations de mauvaise configuration et de chaîne d'approvisionnement l'a relativement déplacée. Avec 32 CWE et un taux de prévalence de 3,80 %, les faiblesses cryptographiques restent significatives.
Cette catégorie traite des échecs dans la protection des données au repos et en transit : algorithmes faibles, mauvaise gestion des clés, entropie insuffisante, protocoles obsolètes et contournements de validation de certificat. L'accent mis sur les « failures » plutôt que sur l'« exposure » reflète le basculement de l'OWASP vers les causes racines.
A10:2025 — Mauvaise gestion des conditions exceptionnelles (NOUVEAU)
La deuxième nouvelle catégorie reconnaît que la manière dont les applications échouent importe autant que la manière dont elles réussissent.
Cette catégorie contient 24 CWE axés sur la gestion incorrecte des erreurs, les erreurs logiques, la défaillance ouverte, les conditions de course et d'autres scénarios provenant de conditions anormales. Lorsque les systèmes rencontrent des entrées ou des états inattendus, leur mode de défaillance détermine si un attaquant obtient l'accès.
Les systèmes sécurisés « échouent fermés » — lorsque quelque chose tourne mal, ils refusent l'accès. Les systèmes non sécurisés « échouent ouverts » — les erreurs entraînent le contournement des contrôles. Un exemple classique : un système de connexion qui accorde l'accès lorsque la base de données d'authentification est inaccessible.
Les messages d'erreur verbeux révèlent les traces de pile, les schémas de base de données, les chemins de fichiers et la logique interne. Les attaquants utilisent ces informations pour affiner les attaques. Les systèmes de production devraient afficher des erreurs génériques tout en consignant les détails côté serveur.
Les vulnérabilités time-of-check to time-of-use (TOCTOU) permettent aux attaquants d'exploiter l'écart entre le moment où une condition est vérifiée et celui où elle est traitée. Ces erreurs logiques peuvent contourner l'authentification, l'autorisation et les contrôles financiers.
Ces faiblesses étaient auparavant regroupées sous « mauvaise qualité de code », mais leur impact sur la sécurité justifie une attention dédiée. À mesure que les applications deviennent plus complexes avec des architectures distribuées, le nombre de conditions exceptionnelles — et d'occasions de mauvaise gestion — a explosé.
L'édition 2025 priorise explicitement les causes racines plutôt que les symptômes. Les versions précédentes les mélangeaient parfois — « Sensitive Data Exposure » décrit ce qui s'est passé, pas pourquoi. Le cadre 2025 demande : quelle faiblesse sous-jacente a permis le résultat ? Cela déplace les conversations sur la sécurité de la réponse à incident (« les données ont été exposées ») vers la prévention (« la cryptographie était mal configurée »). Pour les praticiens, cela signifie traiter les catégories à leur source plutôt que les manifestations individuelles.
Ce que cela signifie pour votre programme de sécurité
Mettre en œuvre l'analyse de composition logicielle
Avec les échecs de chaîne d'approvisionnement désormais en A03, vous avez besoin d'une visibilité continue sur les dépendances. Déployez des outils SCA qui identifient les composants vulnérables, détectent les paquets malveillants et alertent sur les violations d'intégrité.
Prioriser la gestion de configuration
Le bond de Security Misconfiguration au n°2 exige de l'attention. Mettez en œuvre des références de configuration, automatisez la vérification de conformité et traitez la dérive de configuration comme un incident de sécurité.
Renforcer les tests de contrôle d'accès
Broken Access Control au n°1 avec plus de 318 000 occurrences signifie que votre modèle de contrôle d'accès nécessite des tests rigoureux. Mettez en œuvre des tests d'autorisation automatisés et vérifiez chaque point de terminaison.
Examiner les schémas de gestion d'erreur
La nouvelle catégorie Conditions exceptionnelles nécessite d'examiner comment vos applications échouent. Auditez la gestion des erreurs pour les fuites d'informations, vérifiez le comportement « échec fermé » et testez les conditions de course.
Mettre à jour les supports de formation
Si votre formation développeur souligne toujours l'injection comme risque n°1, mettez-la à jour. Concentrez la formation sur le contrôle d'accès, la configuration et les nouvelles catégories.
Aligner les règles WAAP avec les catégories 2025
Assurez-vous que l'ensemble de règles de votre WAAP traite toutes les catégories 2025. Les ensembles de règles hérités optimisés pour l'injection peuvent sous-pondérer la détection du contrôle d'accès et de la mauvaise configuration.
Protection TR7 à travers l'OWASP Top 10 : 2025
Broken Access Control
Politiques de contrôle d'accès granulaires, détection BOLA/IDOR, prévention SSRF et protection CSRF défendent contre le risque n°1.
Security Misconfiguration
Conseils de durcissement de la sécurité, alertes de configuration par défaut et application d'en-têtes aident à prévenir le risque n°2.
Défense contre l'injection
Les règles WAAP avancées détectent les tentatives d'injection SQL, NoSQL, OS command et LDAP avec analyse comportementale.
Application cryptographique
Terminaison SSL/TLS avec suites de chiffrement modernes, gestion des certificats et application de protocoles.
Protection de la gestion d'erreur
Pages d'erreur personnalisées, suppression de traces de pile et détection d'anomalies pour les attaques basées sur les erreurs.
Surveillance en temps réel
Journalisation, alertes et analyses complètes assurent la conformité A09 tout en fournissant une visibilité sur toutes les catégories d'attaque.
Références et sources
OWASP Top 10 : 2025 RC1 — Source principale pour les définitions de catégories, statistiques et changements méthodologiques. https://owasp.org/Top10/2025/0x00_2025-Introduction/
Page officielle du projet avec les versions historiques et les supports supplémentaires. https://owasp.org/www-project-top-ten/
Analyse centrée sur les développeurs des changements 2025. https://www.aikido.dev/blog/owasp-top-10-2025-changes-for-developers
Perspective sectorielle sur ce qui a changé et ce qu'il faut savoir. https://www.fastly.com/blog/new-2025-owasp-top-10-list-what-changed-what-you-need-to-know
Plongée approfondie dans la nouvelle catégorie chaîne d'approvisionnement. https://eclypsium.com/blog/owasp-top-10-2025-software-supply-chain-risk/
Alignez votre sécurité avec OWASP 2025
L'OWASP Top 10 : 2025 redessine la façon dont nous priorisons la sécurité des applications web. La plateforme de sécurité intégrée de TR7 fournit une défense en profondeur contre les dix catégories.
Découvrir la protection WAAP