Table des matières
Que signifie OWASP ?
Qu’est-ce que l’OWASP et la Fondation OWASP ?
La Fondation OWASP, Inc. est une organisation américaine à but non lucratif de type 501(c)3. Elle est dirigée par un conseil d’administration mondial et administrée par son directeur exécutif, son personnel et ses sous-traitants. Fondée en 2004, elle est l’organe directeur de l’OWASP, qui comprend l’infrastructure, la communauté et les projets. La Fondation veille à ce que les projets et les activités de la communauté soient durables et conformes à sa mission.
L’OWASP a été fondée en 2001 sous le nom de « Open Web Application Security Project », avec pour objectif de donner plus de visibilité aux informations concernant la sécurité des applications afin que les organisations puissent prendre des décisions éclairées sur les risques liés à la sécurité des applications. Au départ, cette initiative visait à pallier le manque d’informations complètes et neutres disponibles en matière de sécurité des applications web. L’OWASP a publié la première édition de son Top 10 en 2003. Ce document identifie les dix risques les plus critiques en matière de sécurité des applications web et fournit des recommandations sur la manière de les atténuer. D’autres organisations comme MITRE et la Federal Trade Commission (FTC) des États-Unis ont rapidement reconnu ce document comme une norme industrielle.
Parmi les autres réalisations de l'OWASP, citons son guide de développement, qui fournit des conseils sur les pratiques de codage sécurisées, et son guide de test, qui offre un cadre complet pour les tests d'intrusion. De 2006 à 2015, l'OWASP a continué à publier des versions actualisées de ces guides et a ajouté de nouveaux projets tels que Enterprise Security API (ESAPI), Application Security Verification Standard (ASVS), Open Software Assurance Maturity Model (SAMM), Mobile Security Project, etc.
Depuis 2016, l’OWASP a publié d’autres listes Top 10, notamment la liste Mobile Top 10 et la liste API Security Top 10. Le travail s’est poursuivi sur des projets antérieurs et l’organisation a intensifié ses efforts pour recruter de nouveaux membres et multiplier les événements mondiaux.
À l’origine, OWASP était l’acronyme de « Open Web Application Security Project ». Début 2023, le conseil d’administration a voté en faveur du remplacement du mot « Web » par « Worldwide » afin de refléter l’expansion de l’organisation dans d’autres champs d’action.
Que fait l’OWASP ?
Malgré son vaste portefeuille de projets, les activités de l’OWASP se limitent à quatre principales fonctions :
- Éducation et sensibilisation : l’OWASP fournit des ressources éducatives et organise des sessions de formation et des ateliers pour sensibiliser les utilisateurs à la sécurité des applications. La communauté publie également des recherches et des documents pour aider les développeurs et les professionnels de la sécurité à suivre les meilleures pratiques et à éviter les vulnérabilités les plus courantes.
- Développement d’outils : les outils open source développés par l’OWASP, tels que Dependency-Check, Zed Attack Proxy (ZAP) et WebGoat, aident les entreprises à identifier et à prévenir les vulnérabilités des applications.
- Création d’une communauté : les conférences mondiales et les sections locales permettent aux membres de partager leurs connaissances, de réfléchir de façon collective et de collaborer sur des projets ou d’autres travaux.
- Normes et bonnes pratiques : l'OWASP crée et promeut des normes de sécurité, des cadres de référence, des lignes directrices et des politiques pour aider les entreprises à sécuriser pleinement leurs ressources.
Projets de l'OWASP
Les projets sont des initiatives collectives visant à améliorer la sécurité des logiciels selon une approche spécifique. L'OWASP classe les projets en plusieurs catégories, notamment les projets phares, les outils, la documentation, etc. Vous trouverez ci-dessous quelques projets phares de l'OWASP qui ont démontré une valeur stratégique en matière de sécurité des applications :
- Top 10 de l'OWASP : il s'agit d'un rapport régulièrement mis à jour qui présente les dix principaux risques concernant la sécurité des applications web
- OWASP Zed Attack Proxy (ZAP) : un outil open source pour analyser la sécurité des applications web
- OWASP Security Knowledge Framework (SKF) : un outil qui aide les développeurs à comprendre et à mettre en œuvre des pratiques de codage sécurisées
- Série de fiches pratiques OWASP : une collection de guides concis sur divers sujets liés à la sécurité des applications
Les projets de production sont prêts à être mis en œuvre, mais n’ont pas atteint le même niveau de maturité ou d’adoption que les projets phares. En voici quelques exemples :
- OWASP API Security Project : ce projet est similaire au Top 10 de l'OWASP, mais concerne la sécurité des API plutôt que celle des applications
- OWASP CSRFGuard : une bibliothèque conçue pour réduire le risque d'attaques de type Cross-Site Request Forgery (CSRF)
- OWASP ModSecurity : le moteur WAF (web application firewall) open source standard
Les projets de l’OWASP sont bien trop nombreux pour être énumérés sur cette page. La Fondation OWASP fournit les ressources et l’infrastructure nécessaires à la réussite des projets de l’OWASP.
Qui utilise les produits de l’OWASP ?
Audience :
|
Produit OWASP
|
Description
|
Développeurs
|
Top 10 d'OWASP
|
Il fournit aux développeurs une liste des principaux risques de sécurité et les aide ainsi à écrire un code plus sécurisé
|
Série de fiches pratiques OWASP
|
Elle propose de bonnes pratiques et des conseils concis et applicables en matière de sécurité que les développeurs peuvent aisément intégrer dans leurs flux de travail
|
|
OWASP ZAP (Zed Attack Proxy)
|
Un outil facile à utiliser permettant aux développeurs de tester la sécurité de leurs applications pendant le cycle de développement
|
|
Professionnels de la sécurité
|
Top 10 d'OWASP
|
Cette liste sert de référence pour les évaluations de sécurité et la gestion des vulnérabilités
|
OWASP ASVS (Application Security Verification Standard)
|
Un cadre pour les tests de sécurité, fournissant aux professionnels de la sécurité une liste de contrôle exhaustive pour évaluer la sécurité des applications
|
|
OWASP Dependency-Check
|
Cet outil aide les professionnels de la sécurité à identifier les vulnérabilités dans les bibliothèques et les composants tiers
|
|
Organisations/entreprises
|
OWASP SAMM (Software Assurance Maturity Model)
|
Fournit un cadre permettant aux organisations d'évaluer et d'améliorer leurs pratiques en matière de sécurité des logiciels
|
Top 10 d'OWASP
|
Fréquemment utilisé par les organisations afin d'établir des politiques et des normes de sécurité pour leurs équipes de développement
|
|
OWASP Risk Rating Methodology
|
Une méthodologie d'évaluation des risques qui aide les organisations à évaluer la gravité des vulnérabilités et à hiérarchiser leurs efforts de remédiation
|
|
Établissements d'enseignement
|
Top 10 d'OWASP
|
Utilisé dans les programmes scolaires pour enseigner aux étudiants les vulnérabilités les plus courantes en matière de sécurité et les stratégies pour les atténuer
|
OWASP WebGoat
|
Un outil pédagogique qui permet aux étudiants de se familiariser avec la sécurité web en exploitant et en corrigeant des vulnérabilités dans un environnement contrôlé
|
|
OWASP Juice Shop
|
Un autre projet éducatif qui fournit une application web vulnérable pour que les étudiants puissent mettre en pratique leurs compétences en matière de sécurité
|
|
Réglementation/Conformité
|
Top 10 d'OWASP
|
Il est utilisé dans un grand nombre de normes réglementaires et de cadres de conformité en tant que ligne directrice de référence pour la sécurité des applications web
|
OWASP ASVS
|
Fournit des exigences de sécurité détaillées qui permettent d'assurer la conformité vis-à-vis de diverses réglementations
|
En savoir plus sur l’OWASP
Termes associés
- Top 10 d'OWASP
- Sécurité des API
- Cross-site scripting (XSS)
- Cross Site Request Forgery (CSRF)
- Attaques DDoS
- Injection SQL
- Sécurité des applications Web
- Protection des applications et API Web (WAAP)
Lectures complémentaires
- Threat Spotlight : comment les pirates ciblent vos applications Web en ce moment
- Threat Spotlight : les applications web sont activement menacées par des bugs Shellshock et des scripts de minage vieux de 10 ans
- Threat Spotlight : l’évolution du trafic de bots malveillants
- Ombres, zombies et l'API grande ouverte de Twilio
- Blog de Barracuda dédié aux projets de sécurité de l’OWASP
- Dell : 49 millions de dossiers clients dévoilés lors d'une attaque automatique
- Site de l’OWASP
Découvrez comment Barracuda peut vous aider
Barracuda propose une protection complète des applications et la plateforme de cybersécurité la plus complète du secteur, qui défend tous les vecteurs d'attaque grâce à une veille sur les menaces et à une réponse aux incidents en temps réel. Rentables, riches en fonctionnalités et complètes, les solutions proposées par Barracuda protègent votre entreprise contre un large éventail de menaces et s'accompagnent d'un service client exceptionnel. Travailler avec un seul fournisseur permet de réduire la complexité, d'accroître l'efficacité et de diminuer le coût total de possession. Des centaines de milliers de clients dans le monde font confiance à Barracuda pour protéger leurs emails, leurs réseaux, leurs applications et leurs données.