OWASP

L’OWASP (Open Worldwide Application Security Project) est une organisation mondiale à but non lucratif qui œuvre pour améliorer la sécurité des logiciels. L’OWASP est une communauté ouverte qui compte plus de 250 sections locales et des dizaines de milliers de membres dans le monde entier.

La Fondation OWASP, Inc. est une organisation américaine à but non lucratif de type 501(c)3. Elle est dirigée par un conseil d’administration mondial et administrée par son directeur exécutif, son personnel et ses sous-traitants. Fondée en 2004, elle est l’organe directeur de l’OWASP, qui comprend l’infrastructure, la communauté et les projets. La Fondation veille à ce que les projets et les activités de la communauté soient durables et conformes à sa mission. 

L’OWASP a été fondée en 2001 sous le nom de « Open Web Application Security Project », avec pour objectif de donner plus de visibilité aux informations concernant la sécurité des applications afin que les organisations puissent prendre des décisions éclairées sur les risques liés à la sécurité des applications. Au départ, cette initiative visait à pallier le manque d’informations complètes et neutres disponibles en matière de sécurité des applications web. L’OWASP a publié la première édition de son Top 10 en 2003. Ce document identifie les dix risques les plus critiques en matière de sécurité des applications web et fournit des recommandations sur la manière de les atténuer. D’autres organisations comme MITRE et la Federal Trade Commission (FTC) des États-Unis ont rapidement reconnu ce document comme une norme industrielle. 

Parmi les autres réalisations de l'OWASP, citons son guide de développement, qui fournit des conseils sur les pratiques de codage sécurisées, et son guide de test, qui offre un cadre complet pour les tests d'intrusion. De 2006 à 2015, l'OWASP a continué à publier des versions actualisées de ces guides et a ajouté de nouveaux projets tels que Enterprise Security API (ESAPI), Application Security Verification Standard (ASVS), Open Software Assurance Maturity Model (SAMM), Mobile Security Project, etc.

Depuis 2016, l’OWASP a publié d’autres listes Top 10, notamment la liste Mobile Top 10 et la liste API Security Top 10. Le travail s’est poursuivi sur des projets antérieurs et l’organisation a intensifié ses efforts pour recruter de nouveaux membres et multiplier les événements mondiaux. 

À l’origine, OWASP était l’acronyme de « Open Web Application Security Project ». Début 2023, le conseil d’administration a voté en faveur du remplacement du mot « Web » par « Worldwide » afin de refléter l’expansion de l’organisation dans d’autres champs d’action.

Malgré son vaste portefeuille de projets, les activités de l’OWASP se limitent à quatre principales fonctions :

• Éducation et sensibilisation : l’OWASP fournit des ressources éducatives et organise des sessions de formation et des ateliers pour sensibiliser les utilisateurs à la sécurité des applications. La communauté publie également des recherches et des documents pour aider les développeurs et les professionnels de la sécurité à suivre les meilleures pratiques et à éviter les vulnérabilités les plus courantes.
• Développement d’outils : les outils open source développés par l’OWASP, tels que Dependency-Check, Zed Attack Proxy (ZAP) et WebGoat, aident les entreprises à identifier et à prévenir les vulnérabilités des applications.
• Création d’une communauté : les conférences mondiales et les sections locales permettent aux membres de partager leurs connaissances, de réfléchir de façon collective et de collaborer sur des projets ou d’autres travaux.
• Normes et bonnes pratiques : l'OWASP crée et promeut des normes de sécurité, des cadres de référence, des lignes directrices et des politiques pour aider les entreprises à sécuriser pleinement leurs ressources.

Les projets sont des initiatives collectives visant à améliorer la sécurité des logiciels selon une approche spécifique. L'OWASP classe les projets en plusieurs catégories, notamment les projets phares, les outils, la documentation, etc. Vous trouverez ci-dessous quelques projets phares de l'OWASP qui ont démontré une valeur stratégique en matière de sécurité des applications :

• Top 10 de l'OWASP : il s'agit d'un rapport régulièrement mis à jour qui présente les dix principaux risques concernant la sécurité des applications web
• OWASP Zed Attack Proxy (ZAP) : un outil open source pour analyser la sécurité des applications web
• OWASP Security Knowledge Framework (SKF) : un outil qui aide les développeurs à comprendre et à mettre en œuvre des pratiques de codage sécurisées
• Série de fiches pratiques OWASP : une collection de guides concis sur divers sujets liés à la sécurité des applications

Les projets de production sont prêts à être mis en œuvre, mais n’ont pas atteint le même niveau de maturité ou d’adoption que les projets phares. En voici quelques exemples :

• OWASP API Security Project : ce projet est similaire au Top 10 de l'OWASP, mais concerne la sécurité des API plutôt que celle des applications
• OWASP CSRFGuard : une bibliothèque conçue pour réduire le risque d'attaques de type Cross-Site Request Forgery (CSRF)
• OWASP ModSecurity : le moteur WAF (web application firewall) open source standard

Les projets de l’OWASP sont bien trop nombreux pour être énumérés sur cette page. La Fondation OWASP fournit les ressources et l’infrastructure nécessaires à la réussite des projets de l’OWASP.

Les projets de l’OWASP donnent naissance à des produits tels que des outils logiciels, des normes industrielles, des cadres de référence, des études en matière de sécurité, etc. Ces produits s’adressent à plusieurs publics avec des besoins différents. Le tableau suivant montre comment les produits de l’OWASP sont utilisés par différents types de professionnels :

L’OWASP s’est imposée comme la pierre angulaire de la sécurité des applications, en fournissant des ressources précieuses et en rassemblant une communauté mondiale dédiée à l’amélioration de la sécurité des logiciels. Comprendre l’OWASP et les ressources qu’elle propose peut aider les particuliers et les entreprises à améliorer leurs pratiques de sécurité.

Termes associés

• Top 10 d'OWASP
• Sécurité des API
• Cross-site scripting (XSS)
• Cross Site Request Forgery (CSRF)
• Attaques DDoS
• Injection SQL
• Sécurité des applications Web
• Protection des applications et API Web (WAAP)

Lectures complémentaires

• Threat Spotlight : comment les pirates ciblent vos applications Web en ce moment
• Threat Spotlight : les applications web sont activement menacées par des bugs Shellshock et des scripts de minage vieux de 10 ans
• Threat Spotlight : l’évolution du trafic de bots malveillants
• Ombres, zombies et l'API grande ouverte de Twilio
• Blog de Barracuda dédié aux projets de sécurité de l’OWASP
• Dell : 49 millions de dossiers clients dévoilés lors d'une attaque automatique
• Site de l’OWASP

Découvrez comment Barracuda peut vous aider

Barracuda propose une protection complète des applications et la plateforme de cybersécurité la plus complète du secteur, qui défend tous les vecteurs d'attaque grâce à une veille sur les menaces et à une réponse aux incidents en temps réel. Rentables, riches en fonctionnalités et complètes, les solutions proposées par Barracuda protègent votre entreprise contre un large éventail de menaces et s'accompagnent d'un service client exceptionnel. Travailler avec un seul fournisseur permet de réduire la complexité, d'accroître l'efficacité et de diminuer le coût total de possession. Des centaines de milliers de clients dans le monde font confiance à Barracuda pour protéger leurs emails, leurs réseaux, leurs applications et leurs données.