Qu'est-ce que le Top 10 de l'OWASP ?
Réponse courte
Le Top 10 de l'OWASP est un document de sensibilisation piloté par la communauté qui classe les risques de sécurité des applications web les plus critiques, actualisé tous les quelques années à partir de données réelles. Ce n'est ni une liste de contrôle ni une norme, mais un point de départ — les entrées récentes incluent le contrôle d'accès défaillant (n°1), les échecs cryptographiques, l'injection et la conception non sécurisée.
Le Top 10 de l'OWASP existe pour donner à toute l'industrie un vocabulaire partagé et hiérarchisé du risque des applications web. Avant lui, chaque équipe débattait de ce qui comptait le plus. L'OWASP — l'Open Worldwide Application Security Project — agrège périodiquement des données de vulnérabilités provenant de scanners, de programmes de bug bounty et d'entreprises contributrices, puis classe les catégories de risque qui apparaissent le plus souvent et causent le plus de dommages.
Ce que c'est réellement
C'est un document de sensibilisation, ni une norme ni une liste de contrôle. Chaque entrée est une catégorie de faiblesse, pas un bug isolé. La liste est rafraîchie environ tous les trois à quatre ans car le paysage des menaces évolue — par exemple, les dernières révisions ont promu le contrôle d'accès défaillant à la n°1 car les failles d'autorisation sont omniprésentes et à fort impact, et ont ajouté la conception non sécurisée pour pousser les équipes vers la modélisation des menaces plutôt que le simple correctif.
Quelques-unes des catégories
- Contrôle d'accès défaillant — des utilisateurs agissant au-delà de leurs permissions prévues (IDOR, vérifications manquantes au niveau des fonctions).
- Échecs cryptographiques — des données sensibles exposées par un chiffrement faible ou absent.
- Injection — une entrée non fiable modifiant le sens d'une requête ou d'une commande (SQLi, injection de commandes, XSS).
- Mauvaise configuration de sécurité — identifiants par défaut, erreurs verbeuses, fonctionnalités inutiles laissées activées.
Pourquoi c'est important
Le Top 10 est un plancher, pas un plafond. Le respecter ne rend pas une application sécurisée ; cela signifie que vous avez traité les manières les plus courantes dont les applications sont compromises. Pour une assurance plus poussée, l'OWASP oriente les équipes vers l'ASVS (Application Security Verification Standard).
Les recruteurs veulent voir que vous le traitez comme une aide à la priorisation et un vocabulaire du risque — et que vous savez qu'il est piloté par les données et évolue. Nommer quelques catégories actuelles avec une explication d'une ligne chacune signale une vraie familiarité plutôt qu'une liste mémorisée.
Questions de suivi probables
- Quelle catégorie occupe la n°1 dans la dernière liste et pourquoi a-t-elle progressé ?
- Pourquoi le Top 10 est-il une base de référence plutôt qu'un programme de sécurité complet ?
- Quelle est la différence entre le Top 10 et l'ASVS de l'OWASP ?