Glossaire

Top 10 de l'OWASP

En quoi consiste l'OWASP Top 10 ?

Tous les trois ans, l'OWASP (Open Web Application Security Project) se base sur les données du secteur et des recherches indépendantes approfondies pour publier la liste OWASP Top 10 qui recense les failles de sécurité. Cette liste contient les failles de sécurité les plus courantes et les plus exploitées. Les listes du Top 10 sont très utiles aux développeurs et aux entreprises qui développent ou déploient des applications Web. Elles permettent en effet de prendre en compte les principales catégories de vulnérabilités au cours du développement ou du déploiement.

L'OWASP est une organisation à but non lucratif qui vise à améliorer la sécurité des logiciels. Sa principale mission consiste à garantir que la sécurité du logiciel est visible et à fournir les informations et outils qui permettent d'améliorer la sécurité des applications dans son ensemble.

Les listes OWASP Top 10 sont créées pour différentes catégories. La liste OWASP Top 10 la plus utilisée est celle dédiée à la sécurité des applications Web. La liste Top 10 actuelle est celle de 2017. Elle comprend les vulnérabilités de sites Web suivantes :

  • A1. Injection
  • A2. Défaillance de l'authentification
  • A3. Exposition des données sensibles
  • A4. Entités externes XML (XXE)
  • A5. Défaillance du contrôle d'accès
  • A6. Configuration incorrecte de la sécurité
  • A7. Cross-Site Scripting (XSS)
  • A8. Désérialisation non sécurisée
  • A9. Utilisation de composants qui ont des vulnérabilités connues
  • A10. Insuffisance des journaux et de la surveillance

Il est important de comprendre que la liste OWASP Top 10 n'est pas exhaustive et ne contient pas toutes les vulnérabilités actuelles. Elle répertorie les vulnérabilités découvertes les plus courantes. Il convient donc de se montrer prudent en utilisant la liste de l'OWASP pour planifier un développement ou un test de déploiement.

Ce que vous pouvez faire

Pour éviter les 10 principales vulnérabilités, il est en premier lieu nécessaire de les comprendre parfaitement et d'éviter les techniques de codage ainsi que les outils qui exposent votre entreprise à ces menaces. Une bonne pratique consiste à utiliser des modèles de codage qui intègrent une protection contre les vulnérabilités courantes.

Cependant, même si vous avez utilisé les pratiques de codage les plus précautionneuses, vous pouvez être confronté à des vulnérabilités en raison d'erreurs humaines, de modifications du code, d'utilisation d'un logiciel tiers et de menaces évolutives. C'est pourquoi il est essentiel d'automatiser la protection de votre site Web à l'aide d'un pare-feu pour les applications Web (Web Application Firewall ou WAF).

Découvrez comment Barracuda peut vous aider

Barracuda propose un gestionnaire de vulnérabilités gratuit qui recherchera automatiquement des centaines de vulnérabilités connues, notamment celles de la liste OWASP Top 10 sur votre site Web. Cet outil gratuit fournit un rapport qui répertorie les problèmes détectés et les actions correctives à mettre en œuvre pour chaque point. Il est possible d'importer ce rapport dans la solution Barracuda Web  Application  Firewall afin de créer des politiques qui permettront de corriger automatiquement la plupart des problèmes.

L'application Barracuda Web Application Firewall offre une protection permanente au site Web afin de pouvoir lutter conter les menaces les plus récentes. Elle utilise des technologies antivirus puissantes basées sur le cloud pour inspecter vos applications en ligne, qu'elles soient déjà en production ou toujours en cours de développement. Elle identifie et corrige automatiquement toute vulnérabilité non encore traitée, notamment celles de la liste OWASP Top 10, mais également nombre d'autres telles que les attaques par déni de service (DOS) et les menaces zero-day.

La solution Barracuda Web Application Firewall garantit la sécurité de vos applications en ligne en empêchant qu'elles ne soient exploitées comme des vecteurs de menace dans votre réseau. En outre, l'automatisation d'une partie critique de chaque processus de développement d'application permet d'accélérer le cycle DevOps dans son ensemble. Vous pouvez ainsi déployer des applications sécurisées sans attendre la fin du long processus manuel traditionnel d'audit de sécurité, qui fournit parfois des résultats peu fiables.

En savoir plus

Contactez-nous pour en savoir plus sur la façon de protéger votre entreprise contre les menaces de la liste OWASP Top 10 et des centaines d'autres. Vous pouvez également essayer gratuitement la solution Barracuda Web Application Firewall et lancer une analyse gratuite des vulnérabilités de votre site Web.