L’OWASP (Open Web Application Security Project) est une organisation internationale à but non lucratif dédiée à l’amélioration de la sécurité des logiciels. Fondée aux États-Unis en 2001, elle regroupe des experts en cybersécurité du monde entier et fonctionne comme une communauté ouverte, permettant la collaboration entre chercheurs, développeurs et entreprises pour améliorer la sécurité des applications web. Elle publie des recherches, des outils et des formations pour aider les développeurs et les experts en cybersécurité à identifier et corriger les vulnérabilités des applications web.

Qu’est-ce que le Top 10 OWASP ?

Son initiative la plus connue est le Top 10 OWASP, un classement des failles les plus critiques touchant les applications web.

Le Top 10 OWASP est un classement des vulnérabilités les plus critiques affectant les applications web. Publié périodiquement, il sert de référence aux développeurs, architectes logiciels et experts en cybersécurité pour prioriser la correction des failles  et renforcer la sécurité des systèmes.

L’édition 2025 apportera des évolutions significatives en réponse aux nouvelles menaces et aux évolutions du paysage technologique.

Top 10 OWASP 2025 : les prévisions par rapport à l’édition 2021

Le Top 10 OWASP 2021 mettait l’accent sur des concepts généraux, comme la gestion des identités, l’exposition excessive des données ou encore les failles de conception. En 2025, plusieurs évolutions majeures conduiront à des ajustements et à l’introduction de nouvelles catégories.

Cette liste constitue une analyse prédictive des tendances en cybersécurité et ne représente pas encore la version officielle du Top 10 OWASP 2025. Elle repose sur une analyse des tendances en cybersécurité et des contributions d’experts et sur une comparaison par rapport aux menaces mises en avant en 2021. Pour chaque menace : un constat et les mesures de protection envisagées…  L’essentiel pour se faire une idée de l’évolution du paysage de la cybersécurité.

Attaques basées sur l’intelligence artificielle et le machine learning

Une nouvelle menace apparaît depuis 2021.

• Avec la montée en puissance des modèles d’IA, les attaquants exploitent les faiblesses des algorithmes pour manipuler les prédictions ou injecter des biais.
• Mesures de protection envisagées : renforcement des mécanismes de validation des entrées pour les modèles d’IA.

Exploitation des API et des microservices

Une évolution de l’item « Insecure APIs » de 2021…

• La prolifération des API et des architectures en microservices multiplie les points d’entrée potentiels.
• Protection : authentification forte, limitation des permissions et surveillance des appels API.

Manipulation des données dans les modèles LLM (Large Language Models)

Une autre nouveauté liée aux avancées de l’IA.

• Les attaques contre les modèles de langage génératif peuvent mener à des fuites de données confidentielles.
• Mesures de protection : implémentation de filtres stricts sur les prompts et sécurisation des flux de communication IA.

Automatisation des attaques et exploitation des bots

Une autre catégorie de risque en plein essor.

• Les bots malveillants sont plus sophistiqués, ciblant le scraping de données et les attaques de credential stuffing.
• Protection envisagée : mettre en place des mécanismes de détection avancée notamment basés sur le comportement utilisateurs : EDR/XDR, SIEM, authentification adaptative et solutions anti-bots..

Failles de sécurité dans les infrastructures Cloud

Une évolution du point « Security Misconfiguration » de 2021.

• Mauvaises configurations, autorisations excessives et mauvaise gestion des identités.
• Mesures de protection nécessaires : audits réguliers, segmentation des accès et implémentation du Zero Trust.

Attaques contre la chaîne d’approvisionnement logicielle

Un renforcement de la tendance précédemment observée.

• L’attaque de dépendances vulnérables est une menace en forte progression.
• Protection envisagées : vérification des composants open-source et signatures numériques pour les mises à jour.

Dérives et abus d’autorisation

Un remaniement nécessaire de « Broken Access Control ».

• Mauvaise gestion des permissions, attaques par élévation de privilèges.
• Protection : politiques de moindre privilège et journalisation stricte des accès.

Attaques contre les identités numériques et MFA bypass

L’évolution de « Identification and Authentication Failures » évoquée en 2021.

• Les attaquants trouvent de nouvelles façons de contourner les systèmes de double authentification.
• Mesures de protection : renforcement des MFA avec des solutions biométriques et authentification adaptative.

Injection de code et exécution à distance

Une mise à jour du point « injection ».

• Menaces toujours présentes avec l’évolution des langages et frameworks web.
• Préconisation de protection : utilisation de requêtes préparées, filtrage des entrées et exécution sandboxée.

Exposition des données sensibles et fuites involontaires

Un renforcement du point « Cryptographic Failures » de 2021

• Constat : l’exploitation des mauvaises implémentations de chiffrement reste un problème critique.
• Protection à mettre en oeuvre : implémentation de standards forts et surveillance des accès aux données.

Le Top 10 OWASP 2025 reflètera l’évolution des menaces, avec – évidemment- un accent marqué sur l’IA, les API, le Cloud et l’automatisation des attaques. Pour les entreprises comme pour les développeurs, il est essentiel d’adopter une approche proactive en matière de cybersécurité  en intégrant ces nouvelles préoccupations dans leur cycle de développement.

Les solutions de sécurité informatique doivent s’adapter aux nouvelles réalités du numérique. Une surveillance continue ainsi que des audits réguliers  restent indispensables pour anticiper les vulnérabilités émergentes.