Top 10 OWASP 2025 : les nouveaux risques de la sécurité applicative

Le Top 10 OWASP 2025, entièrement remanié, met en lumière la montée des défauts de configuration, l’extension des risques supply chain et la persistance des défaillances de contrôle d’accès.

L’édition 2025 du classement OWASP s’impose comme un miroir fidèle des transformations profondes du développement logiciel. Loin d’un simple inventaire de vulnérabilités isolées, le document éclaire une dynamique plus structurante : celle d’applications devenues trop complexes pour être appréhendées uniquement par le prisme des bugs classiques. Cette remise à jour, présentée dans la publication disponible sur OWASP, acte l’importance des vulnérabilités issues d’architectures distribuées, de chaînes d’approvisionnement opaques et d’une dépendance croissante aux configurations.

Un classement dominé par les défaillances structurelles

La première tendance marquante de cette édition réside dans le maintien de la catégorie « Broken Access Control » en tête du classement. Les tests menés sur des millions d’applications indiquent que les failles liées au contrôle d’accès demeurent omniprésentes, qu’il s’agisse de pages sensibles accessibles via simple manipulation d’URL, d’API dépourvues de vérifications élémentaires ou encore de violations évidentes du principe de moindre privilège. Cette persistance illustre une réalité récurrente : dans des environnements de plus en plus intégrés, l’absence de garde-fous élémentaires suffit encore à compromettre l’intégrité de systèmes entiers.

En parallèle, la catégorie « Security Misconfiguration » gagne plusieurs places, passant de la cinquième position en 2021 à la seconde en 2025. Les analyses montrent que trois pour cent des applications testées présentent au moins une faiblesse dans ce domaine. Selon les constats relayés par The Register, cette progression s’explique en grande partie par un changement de paradigme : le comportement d’une application dépend désormais davantage de configurations que de code, amplifiant les risques en cas d’erreur ou d’inattention. Dans un monde où les architectures se composent de centaines de microdécisions techniques, chaque paramètre mal maîtrisé peut devenir une porte d’entrée.

La troisième catégorie mise en avant, « Software Supply Chain Failures », reflète une évolution majeure déjà amorcée lors de l’édition précédente : l’extension du périmètre d’analyse au-delà des composants obsolètes pour englober l’ensemble de l’écosystème logiciel. Cette nouvelle approche n’intègre que cinq types de failles, mais celles-ci présentent les scores d’impact et d’exploitabilité les plus élevés. Les analyses détaillées proposées par Dark Reading rappellent qu’un dysfonctionnement au sein d’un pipeline de construction, d’un dépôt de packages ou d’un mécanisme de distribution peut se propager silencieusement depuis les phases amont du développement jusqu’aux environnements de production.

Cette révision du classement montre également un glissement de plusieurs catégories historiques. Les failles cryptographiques, auparavant en deuxième position, reculent à la quatrième place, tandis que les vulnérabilités d’injection, longtemps considérées comme un risque central, se retrouvent en cinquième position malgré leur fréquence élevée. Ces évolutions témoignent d’une amélioration concrète des pratiques de développement, notamment en matière de gestion des bibliothèques cryptographiques et de standardisation des processus d’entrée-sortie. Les progrès réalisés dans ces domaines contrastent avec les difficultés persistantes liées à des aspects plus systémiques, comme la complexité des chaînes logicielles ou la diversité croissante des environnements d’exécution.

Un écosystème en mutation : de la vulnérabilité isolée au risque systémique

La nouvelle grille de lecture proposée par l’édition 2025 rompt clairement avec une logique centrée sur les défauts ponctuels pour adopter une vision élargie du risque. Plusieurs éléments issus des contributions de la communauté rappellent que certaines tendances émergentes restent encore difficilement détectables par les outils automatisés. Les équipes en charge de ce classement soulignent qu’un cycle technologique complet s’écoule avant qu’une méthode de test ne soit suffisamment mûre pour être intégrée à grande échelle.

Cette inertie technique explique pourquoi deux des dix catégories ne reposent pas exclusivement sur les données collectées, mais s’appuient sur les retours directs des praticiens. Cette démarche permet d’inclure des vulnérabilités encore sous-représentées dans les jeux d’essais mais déjà bien connues des professionnels. L’une d’entre elles, la catégorie « Mishandling of Exceptional Conditions », illustre parfaitement ce phénomène. Les erreurs de traitement d’états transitoires, les conditions de compétition ou encore la divulgation accidentelle d’informations dans des messages d’erreur ne constituent pas les vulnérabilités les plus fréquentes, mais leur impact potentiel justifie leur présence dans le classement.

Un autre exemple se trouve dans la consolidation des catégories liées aux erreurs de conception. Introduite en 2021, la notion d’« Insecure Design » reflète l’importance grandissante de la modélisation des menaces en amont des projets. La baisse de cette catégorie dans le classement ne signifie pas une réduction de son importance stratégique ; elle révèle plutôt l’amélioration progressive des pratiques de conception sécurisée. Pourtant, comme indiqué dans les analyses de Dark Reading, une partie significative des risques modernes demeure intimement liée à des architectures trop complexes ou à des dépendances difficiles à maîtriser.

L’évolution du classement met également en lumière la montée en importance de l’observabilité et de la capacité d’alerte. Les « Logging and Alerting Failures » restent à la neuvième place, confirmant que le problème n’est pas tant la collecte d’informations que leur transformation en signaux exploitables. Une journalisation sans mécanisme d’alerte opérationnel n’apporte qu’une valeur minimale dans la détection rapide des incidents. Cette stagnation rappelle que l’industrie peine encore à passer d’une logique passive d’enregistrement à une approche active fondée sur la réaction et l’orchestration.

Ce panorama élargi place également en exergue les difficultés liées aux environnements distribués. Les catégories touchant à l’intégrité logicielle et à la sécurité des artefacts révèlent combien les systèmes modernes interagissent en continu avec des éléments situés en dehors du périmètre direct des organisations. Dans ce contexte, la distinction entre code interne, dépendances externes et chaîne DevOps devient de plus en plus ténue, augmentant le risque d’introduire des failles par inadvertance dans les processus critiques.

Vers une maturité accrue : un classement qui souligne autant les progrès que les angles morts

Au fil des éditions, le Top 10 OWASP est devenu un observatoire des évolutions du secteur. L’édition 2025 montre un paysage contrasté, mêlant gains de maturité et défis persistants. Les progrès dans la gestion des cryptographies et des mécanismes d’injection indiquent une meilleure compréhension des risques techniques traditionnels, mais les défis liés aux chaînes d’approvisionnement, aux configurations et aux conditions exceptionnelles rappellent que la complexité des systèmes modernes crée des angles morts difficiles à effacer.

Cette nouvelle édition invite à reconsidérer la sécurité non plus comme une problématique centrée sur les failles individuelles, mais comme un tissu d’interdépendances où chaque faiblesse structurelle peut se répercuter sur l’ensemble de l’écosystème logiciel. L’attention portée à la cohérence des configurations, à l’intégrité des pipelines et à la gestion rigoureuse des conditions anormales traduit une compréhension élargie du risque. Elle reflète aussi un déplacement du point de gravité de la sécurité : du code vers l’ingénierie globale des systèmes.