L'OWASP Top 10 est LE référentiel de sécurité des applications web, mis à jour par la communauté depuis 2003. Il classe les 10 catégories de vulnérabilités les plus fréquentes et les plus dangereuses auxquelles votre site est exposé.
OWASP (Open Web Application Security Project) est une fondation internationale à but non lucratif dédiée à la sécurité des applications web. Créée en 2001, elle regroupe des milliers de chercheurs, développeurs et professionnels de la cybersécurité qui contribuent bénévolement à des projets open source.
Le Top 10 OWASP est leur publication phare. Il recense les 10 catégories de risques de sécurité les plus critiques pour les applications web, classées selon leur fréquence et leur impact réel. Chaque édition est basée sur l'analyse de centaines de milliers de tests réalisés sur des applications en production dans le monde entier. Consultez la liste officielle OWASP Top 10 pour le détail de chaque catégorie.
La version actuelle date de 2021. La version 2025 est actuellement en cours de préparation par la communauté. Depuis sa première publication en 2003, le Top 10 a évolué pour refléter les nouvelles menaces : les injections SQL dominaient en 2010, les contrôles d'accès défaillants sont passés en tête en 2021.
Le Top 10 OWASP est utilisé comme référence de conformité par de nombreux standards et régulateurs : PCI-DSS l'exige pour les sites traitant des paiements par carte, la directive européenne NIS2 le cite comme cadre de bonnes pratiques, et de nombreux donneurs d'ordres l'imposent dans leurs cahiers des charges sécurité. Les vulnérabilités sont recensées dans la base CVE du MITRE et enrichies avec les scores CVSS par le NVD du NIST.
Chaque catégorie regroupe des dizaines de failles spécifiques. Voici ce qu'elles signifient concrètement pour votre site web, et comment notre audit les détecte.
Un utilisateur peut accéder à des ressources ou effectuer des actions qui ne lui sont pas autorisées. C'est la vulnérabilité n°1 du classement OWASP 2021, présente dans 94 % des applications testées.
/compte/1234 → /compte/5678) et accède aux données d'un autre utilisateur. Ou un panneau d'administration accessible sans authentification.Les données sensibles (mots de passe, numéros de carte, données personnelles) sont transmises ou stockées sans chiffrement adéquat. Cela inclut les certificats SSL/TLS mal configurés et les algorithmes de hachage obsolètes.
Secure.Des données non fiables sont envoyées à un interpréteur (SQL, LDAP, OS, XSS) sans validation ni échappement. L'injection SQL reste la faille la plus exploitée au monde ; le Cross-Site Scripting (XSS) est désormais classé dans cette catégorie.
' OR 1=1 -- et d'extraire l'intégralité de la base de données. Un champ de commentaire non filtré permet d'injecter du JavaScript malveillant (XSS).L'architecture de l'application n'intègre pas de mécanismes de sécurité dès la conception. Nouvelle catégorie en 2021, elle cible les défauts structurels : absence de rate limiting, flux métier non protégés, manque de séparation des privilèges.
Le serveur, le framework ou l'application est mal configuré : headers de sécurité manquants, mode debug activé en production, permissions trop larges, pages d'erreur révélant des informations techniques.
wp-config.php.bak accessible publiquement. Le header X-Frame-Options est absent, rendant le site vulnérable au clickjacking. Le mode debug de PrestaShop est activé et expose les requêtes SQL.L'application utilise des composants (CMS, plugins, bibliothèques) avec des vulnérabilités connues. 77 % des applications web contiennent au moins un composant obsolète. C'est la porte d'entrée favorite des attaquants automatisés.
Les mécanismes d'authentification sont faibles ou mal implémentés : mots de passe par défaut, absence de protection anti-brute force, tokens de session prévisibles, absence de double authentification sur les accès sensibles.
admin/admin. L'endpoint XML-RPC de WordPress est exposé et permet de tester des milliers de mots de passe par requête. Les sessions ne sont pas invalidées après déconnexion.L'application utilise des ressources externes (CDN, bibliothèques JavaScript) ou des pipelines CI/CD sans vérifier leur intégrité. La désérialisation non sécurisée entre également dans cette catégorie.
integrity (SRI). Si le CDN est compromis, du code malveillant est exécuté sur tous les navigateurs des visiteurs. Un cookie sérialisé est accepté sans vérification de signature.L'application ne journalise pas les événements importants (tentatives de connexion, erreurs, actions administratives) ou ne dispose pas de système d'alerte. Le temps moyen de détection d'une intrusion est de 287 jours sans surveillance active.
L'application peut être forcée à envoyer des requêtes vers des ressources internes (réseau privé, services cloud, metadata AWS) au nom de l'attaquant. Nouvelle catégorie en 2021, la SSRF est une menace croissante avec l'adoption du cloud.
169.254.169.254) et récupère les clés d'accès du serveur.Notre audit à 99 € HT couvre directement 7 des 10 catégories OWASP Top 10 grâce à la combinaison de 5 moteurs d'analyse.
| Catégorie | Nom | Statut | Outils |
|---|---|---|---|
| A01 | Contrôle d'accès défaillant | ✓ Couvert | ZAP, Nuclei |
| A02 | Défaillances cryptographiques | ✓ Couvert | SSL/TLS, Headers |
| A03 | Injection (SQL, XSS) | ✓ Couvert | ZAP, Nuclei |
| A04 | Conception non sécurisée | ≈ Partiel | Headers, ZAP |
| A05 | Mauvaise configuration | ✓ Couvert | ZAP, Nuclei, CMS |
| A06 | Composants vulnérables | ✓ Couvert | WPScan, Nuclei, NVD |
| A07 | Authentification défaillante | ✓ Couvert | ZAP, WPScan |
| A08 | Intégrité logicielle | ≈ Partiel | Headers SRI |
| A09 | Journalisation et surveillance | ⓘ Recommandations | Rapport |
| A10 | SSRF | ✓ Couvert | Nuclei, ZAP |
Notre audit automatisé combine 5 outils professionnels pour scanner votre site contre les 10 catégories OWASP. Résultat livré en moins de 2 heures.
Saisissez l'adresse de votre site web. Notre plateforme détecte automatiquement le CMS utilisé (WordPress, PrestaShop, Joomla, Drupal...) et adapte les tests.
OWASP ZAP teste les injections et contrôles d'accès (A01, A03, A05, A07). Nuclei vérifie les CVE et misconfigs (A05, A06, A10). WPScan et CMSeeK analysent les composants (A06).
Chaque vulnérabilité est classée par catégorie OWASP Top 10 et sévérité CVSS. Le rapport inclut un score global, des recommandations priorisées et les actions correctives à mener.