{"id":10304,"date":"2021-10-13T14:06:33","date_gmt":"2021-10-13T12:06:33","guid":{"rendered":"https:\/\/jimber.io\/blog\/le-top-10-2021-de-lowasp\/"},"modified":"2025-09-12T15:53:31","modified_gmt":"2025-09-12T13:53:31","slug":"le-top-10-2021-de-lowasp","status":"publish","type":"post","link":"https:\/\/jimber.io\/fr\/blog\/le-top-10-2021-de-lowasp\/","title":{"rendered":"Le top 10 2021 de l&rsquo;OWASP"},"content":{"rendered":"<h2 id=\"\">Qu&rsquo;est-ce que l&rsquo;OWASP ?<\/h2>\n<p>L&rsquo;OWASP (Open Web Application Security Project) est une organisation \u00e0 but non lucratif dont l&rsquo;objectif est d&rsquo;am\u00e9liorer la s\u00e9curit\u00e9 des sites web. Elle fournit des programmes de d\u00e9veloppement de logiciels libres, des projets, des bo\u00eetes \u00e0 outils, des chapitres locaux, des conf\u00e9rences, des articles, des vid\u00e9os, des forums, des m\u00e9thodologies, de la documentation et des technologies \u00e0 sa communaut\u00e9. L&rsquo;un de leurs projets les plus importants est le top 10 de l&rsquo;OWASP. Avant l&rsquo;OWASP, il n&rsquo;y avait pas beaucoup d&rsquo;outils ou de connaissances disponibles sur la cybers\u00e9curit\u00e9. Avec l&rsquo;OWASP, la communaut\u00e9 a commenc\u00e9 \u00e0 apprendre comment prot\u00e9ger son code contre les vuln\u00e9rabilit\u00e9s, renforcer le cryptage des logiciels et r\u00e9duire le nombre de bogues dans son code.   <\/p>\n<figure class=\"w-richtext-figure-type-image w-richtext-align-center\" data-rt-type=\"image\" data-rt-align=\"center\">\n<div><img decoding=\"async\" src=\"https:\/\/jimber.io\/wp-content\/uploads\/2025\/04\/owasp-web-applications-300x188.jpeg\" alt=\"applications web owasp\" id=\"\" width=\"auto\" height=\"auto\" loading=\"auto\" title=\"\"><\/div>\n<\/figure>\n<h2 id=\"\">Qu&rsquo;est-ce que le top 10 de l&rsquo;OWASP ?<\/h2>\n<p>Le top 10 de l&rsquo;OWASP est un document qui r\u00e9pertorie les dix vuln\u00e9rabilit\u00e9s les plus critiques en mati\u00e8re de s\u00e9curit\u00e9 des sites web. Il indique les risques, les impacts et les contre-mesures. Cette liste est \u00e9tablie par des experts en s\u00e9curit\u00e9 des sites web du monde entier. L&rsquo;OWASP recommande \u00e0 toutes les entreprises d&rsquo;int\u00e9grer les conclusions du rapport et les recommandations de l&rsquo;OWASP dans leurs processus de s\u00e9curit\u00e9 des sites web afin de minimiser les risques de s\u00e9curit\u00e9. Le top 10 de l&rsquo;OWASP est mis \u00e0 jour tous les trois ou quatre ans. Le dernier top 10 de l&rsquo;OWASP a \u00e9t\u00e9 publi\u00e9 en 2017, et l&rsquo;OWASP a \u00e9galement publi\u00e9 r\u00e9cemment un projet de top 10 2021. Il y a trois nouvelles cat\u00e9gories. Quatre cat\u00e9gories ont chang\u00e9 de nom ou de port\u00e9e et certaines sont maintenant combin\u00e9es.Les vuln\u00e9rabilit\u00e9s du top dix 2021 de l&rsquo;OWASP sont :       <\/p>\n<ul id=\"\">\n<li id=\"\"><strong id=\"\">Contr\u00f4le d&rsquo;acc\u00e8s d\u00e9faillant<\/strong><\/li>\n<li id=\"\"><strong id=\"\">D\u00e9faillances cryptographiques<\/strong> (anciennement : Exposition de donn\u00e9es sensibles)<\/li>\n<li id=\"\"><strong id=\"\">Injection<\/strong><\/li>\n<li id=\"\"><strong id=\"\">Insecure Design<\/strong> (Nouveau)<\/li>\n<li id=\"\"><strong id=\"\">Mauvaise configuration de la s\u00e9curit\u00e9<\/strong><\/li>\n<li id=\"\"><strong id=\"\">Composants vuln\u00e9rables et obsol\u00e8tes<\/strong> (anciennement : Utilisation de composants dont les vuln\u00e9rabilit\u00e9s sont connues)<\/li>\n<li id=\"\"><strong id=\"\">D\u00e9fauts d&rsquo;identification et d&rsquo;authentification<\/strong> (anciennement : Authentification d\u00e9faillante)<\/li>\n<li id=\"\"><strong id=\"\">D\u00e9fauts d&rsquo;int\u00e9grit\u00e9 des logiciels et des donn\u00e9es<\/strong> (Nouveau)  <\/li>\n<li id=\"\"><strong id=\"\">D\u00e9faillances en mati\u00e8re de journalisation et de surveillance de la s\u00e9curit\u00e9<\/strong> (anciennement : Journalisation et surveillance insuffisantes)<\/li>\n<li id=\"\"><strong id=\"\">Falsification des requ\u00eates c\u00f4t\u00e9 serveur<\/strong> (SSRF) (Nouveau)<\/li>\n<\/ul>\n<p>Chaque vuln\u00e9rabilit\u00e9 est expliqu\u00e9e \u00e0 l&rsquo;aide d&rsquo;un exemple et des recommandations de l&rsquo;OWASP.<\/p>\n<figure class=\"w-richtext-figure-type-image w-richtext-align-center\" data-rt-type=\"image\" data-rt-align=\"center\">\n<div><img decoding=\"async\" src=\"https:\/\/jimber.io\/wp-content\/uploads\/2025\/04\/owasp-vulnerabilities-300x183.jpeg\" alt=\"vuln\u00e9rabilit\u00e9s owasp\" id=\"\" width=\"auto\" height=\"auto\" loading=\"auto\" title=\"\"><\/div>\n<\/figure>\n<h2 id=\"\">Les dix principales vuln\u00e9rabilit\u00e9s de l&rsquo;OWASP pour 2021<\/h2>\n<h3 id=\"\">D\u00e9faillances cryptographiques<\/h3>\n<h4 id=\"\">Qu&rsquo;est-ce que c&rsquo;est ?<\/h4>\n<p>Les d\u00e9faillances cryptographiques sont des donn\u00e9es compromises qui auraient d\u00fb \u00eatre prot\u00e9g\u00e9es. Ce probl\u00e8me concerne surtout les donn\u00e9es qui rel\u00e8vent de la l\u00e9gislation sur la protection de la vie priv\u00e9e. <\/p>\n<h4 id=\"\">Exemples :<\/h4>\n<ul id=\"\">\n<li id=\"\">Mots de passe<\/li>\n<li id=\"\">Num\u00e9ros de cartes de cr\u00e9dit<\/li>\n<li id=\"\">Informations m\u00e9dicales<\/li>\n<li id=\"\">Titres de comp\u00e9tences<\/li>\n<li id=\"\">Num\u00e9ros de s\u00e9curit\u00e9 sociale<\/li>\n<li id=\"\">Informations personnelles identifiables<\/li>\n<li id=\"\">Autres informations personnelles<\/li>\n<li id=\"\">Secrets d&rsquo;affaires<\/li>\n<\/ul>\n<h4 id=\"\">Recommandations de l&rsquo;OWASP :<\/h4>\n<ul id=\"\">\n<li id=\"\">Classer les donn\u00e9es utilis\u00e9es par une application et identifier les donn\u00e9es sensibles.<\/li>\n<li id=\"\">Ne stockez pas inutilement des donn\u00e9es sensibles.<\/li>\n<li id=\"\">Cryptez toutes les donn\u00e9es sensibles au repos. Cryptez toutes les donn\u00e9es en transit \u00e0 l&rsquo;aide de protocoles s\u00e9curis\u00e9s. Utilisez un chiffrement authentifi\u00e9.  <\/li>\n<li id=\"\">Utilisez une gestion appropri\u00e9e des cl\u00e9s. G\u00e9n\u00e9rez des cl\u00e9s cryptographiquement al\u00e9atoires et stock\u00e9es en m\u00e9moire sous forme de tableaux d&rsquo;octets. <\/li>\n<li id=\"\">D\u00e9sactivez la mise en cache des r\u00e9ponses contenant des donn\u00e9es sensibles.<\/li>\n<li id=\"\">Appliquer les contr\u00f4les de s\u00e9curit\u00e9 requis en fonction de la classification des donn\u00e9es.<\/li>\n<li id=\"\">N&rsquo;utilisez pas les protocoles traditionnels tels que FTP et SMTP pour les donn\u00e9es sensibles.<\/li>\n<li id=\"\">Utilisez des fonctions de hachage adaptatives et sal\u00e9es fortes avec un facteur de travail pour stocker les mots de passe.<\/li>\n<li id=\"\">Choisissez les vecteurs d&rsquo;initialisation pour le mode de fonctionnement appropri\u00e9.<\/li>\n<li id=\"\">Utilisez l&rsquo;al\u00e9a cryptographique le cas \u00e9ch\u00e9ant, de mani\u00e8re non pr\u00e9visible et avec une faible entropie.<\/li>\n<li id=\"\">\u00c9vitez les fonctions cryptographiques et les sch\u00e9mas de remplissage obsol\u00e8tes.<\/li>\n<li id=\"\">V\u00e9rifier l&rsquo;efficacit\u00e9 de la configuration et des param\u00e8tres de mani\u00e8re ind\u00e9pendante.<\/li>\n<\/ul>\n<figure class=\"w-richtext-figure-type-image w-richtext-align-center\" data-rt-type=\"image\" data-rt-align=\"center\">\n<div><img decoding=\"async\" src=\"https:\/\/jimber.io\/wp-content\/uploads\/2025\/04\/cryptographic-failures-300x143.jpeg\" alt=\"les d\u00e9faillances cryptographiques\" id=\"\" width=\"auto\" height=\"auto\" loading=\"auto\" title=\"\"><\/div>\n<\/figure>\n<h3 id=\"\">Injection<\/h3>\n<h4 id=\"\">Qu&rsquo;est-ce que c&rsquo;est ?<\/h4>\n<p>Cette vuln\u00e9rabilit\u00e9 survient lorsqu&rsquo;une application web re\u00e7oit des donn\u00e9es non valides de la part d&rsquo;un pirate qui lui fait faire quelque chose pour lequel elle n&rsquo;est pas programm\u00e9e.  <\/p>\n<h4 id=\"\">Exemple :<\/h4>\n<p>L&rsquo;injection SQL est l&rsquo;une des failles d&rsquo;injection les plus courantes. L&rsquo;injection SQL est caus\u00e9e par l&rsquo;utilisation de donn\u00e9es non fiables lors de la construction d&rsquo;un appel SQL vuln\u00e9rable. L&rsquo;absence de validation et d&rsquo;assainissement des donn\u00e9es utilis\u00e9es par les applications web fait que les donn\u00e9es ne sont pas fiables. Cela signifie \u00e9galement que la vuln\u00e9rabilit\u00e9 de l&rsquo;injection de code peut \u00eatre pr\u00e9sente sur presque tous les types de technologies li\u00e9es aux sites web.  <\/p>\n<h4 id=\"\">Recommandations de l&rsquo;OWASP :<\/h4>\n<ul id=\"\">\n<li id=\"\">S\u00e9parer les donn\u00e9es des commandes et des requ\u00eates.  <\/li>\n<li>  L&rsquo;utilisation d&rsquo;un API s\u00fbr est l&rsquo;option pr\u00e9f\u00e9r\u00e9e.  <\/li>\n<li id=\"\">Utilisez une validation positive ou \u00ab\u00a0liste blanche\u00a0\u00bb des entr\u00e9es c\u00f4t\u00e9 serveur.<\/li>\n<li> \t<\/li>\n<li id=\"\">\u00c9chapper aux caract\u00e8res sp\u00e9ciaux \u00e0 l&rsquo;aide d&rsquo;une syntaxe d&rsquo;\u00e9chappement sp\u00e9cifique.<\/li>\n<li> \t<\/li>\n<li id=\"\">Utiliser LIMIT et d&rsquo;autres contr\u00f4les SQL dans les requ\u00eates.<\/li>\n<\/ul>\n<figure class=\"w-richtext-figure-type-image w-richtext-align-center\" data-rt-type=\"image\" data-rt-align=\"center\">\n<div><img decoding=\"async\" src=\"https:\/\/jimber.io\/wp-content\/uploads\/2025\/04\/code-injection-300x169.jpeg\" alt=\"injection de code\" id=\"\" width=\"auto\" height=\"auto\" loading=\"auto\" title=\"\"><\/div>\n<\/figure>\n<h3 id=\"\">Insecure Design (Nouveau)<\/h3>\n<h4 id=\"\">Qu&rsquo;est-ce que c&rsquo;est ?<\/h4>\n<p>Une conception non s\u00e9curis\u00e9e est une conception de contr\u00f4le manquante ou inefficace. Une conception non s\u00e9curis\u00e9e et une mise en \u0153uvre non s\u00e9curis\u00e9e ne sont pas la m\u00eame chose. Elles ont des causes profondes et des rem\u00e8des diff\u00e9rents.  <\/p>\n<h4 id=\"\">Exemple :<\/h4>\n<p>L&rsquo;incapacit\u00e9 \u00e0 d\u00e9terminer le niveau de s\u00e9curit\u00e9 requis.<\/p>\n<h4 id=\"\">Recommandations de l&rsquo;OWASP :<\/h4>\n<ul id=\"\">\n<li id=\"\">Mettre en \u0153uvre la gestion des exigences et des ressources, une conception s\u00e9curis\u00e9e et un cycle de d\u00e9veloppement s\u00e9curis\u00e9.<\/li>\n<li>  Mettre en \u0153uvre un cycle de d\u00e9veloppement s\u00e9curis\u00e9 pour aider \u00e0 \u00e9tablir des contr\u00f4les de s\u00e9curit\u00e9 et de respect de la vie priv\u00e9e.  <\/li>\n<li id=\"\">Utilisez une biblioth\u00e8que de mod\u00e8les de conception s\u00e9curis\u00e9s ou des composants pr\u00eats \u00e0 l&#8217;emploi.<\/li>\n<li> \t<\/li>\n<li id=\"\">Utilisez la mod\u00e9lisation des menaces pour l&rsquo;authentification critique, la logique d&rsquo;entreprise, le contr\u00f4le d&rsquo;acc\u00e8s et les flux de cl\u00e9s.<\/li>\n<li> \t<\/li>\n<li id=\"\">Int\u00e9grer le langage et les contr\u00f4les de s\u00e9curit\u00e9 dans les r\u00e9cits des utilisateurs.  <\/li>\n<li> \t<\/li>\n<li id=\"\">Int\u00e9grez des contr\u00f4les de plausibilit\u00e9 \u00e0 chaque niveau de votre application.  <\/li>\n<li> \t<\/li>\n<li id=\"\">R\u00e9digez des tests unitaires et d&rsquo;int\u00e9gration pour valider que tous les flux critiques sont r\u00e9sistants au mod\u00e8le de menace. \u00c9tablissez des cas d&rsquo;utilisation et de mauvaise utilisation.   <\/li>\n<li> \t<\/li>\n<li id=\"\">S\u00e9parer les couches de niveau sur les couches syst\u00e8me et r\u00e9seau. S\u00e9parez les locataires de mani\u00e8re robuste par la conception \u00e0 travers tous les niveaux. <\/li>\n<li> \t<\/li>\n<li id=\"\">Limiter la consommation de ressources par utilisateur ou par service.<\/li>\n<\/ul>\n<h3 id=\"\">Mauvaise configuration de la s\u00e9curit\u00e9<\/h3>\n<h4 id=\"\">Qu&rsquo;est-ce que c&rsquo;est ?<\/h4>\n<p>La vuln\u00e9rabilit\u00e9 de mauvaise configuration de la s\u00e9curit\u00e9 se produit lorsqu&rsquo;une application ne dispose pas d&rsquo;un processus de configuration de la s\u00e9curit\u00e9 concert\u00e9 et reproductible. Elle peut \u00eatre attaqu\u00e9e en essayant autant de combinaisons que possible. <\/p>\n<h4 id=\"\">Exemple :<\/h4>\n<p>L&rsquo;une des failles de s\u00e9curit\u00e9 les plus courantes des sites web consiste \u00e0 conserver les configurations par d\u00e9faut du CMS.<\/p>\n<h4 id=\"\">Recommandations de l&rsquo;OWASP :<\/h4>\n<ul id=\"\">\n<li id=\"\">Mettre en \u0153uvre des processus d&rsquo;installation s\u00e9curis\u00e9s :<\/li>\n<li>  Automatiser un processus de durcissement.  <\/li>\n<li id=\"\">D\u00e9ployez un autre environnement correctement verrouill\u00e9.<\/li>\n<li> \t<\/li>\n<li id=\"\">Supprimez les cadres et les fonctionnalit\u00e9s inutilis\u00e9s.  <\/li>\n<li> \t<\/li>\n<li id=\"\">Examinez et mettez \u00e0 jour les configurations en fonction de toutes les mises \u00e0 jour, notes de s\u00e9curit\u00e9 et correctifs.  <\/li>\n<li> \t<\/li>\n<li id=\"\">Passez en revue les autorisations de stockage dans le nuage.<\/li>\n<li> \t<\/li>\n<li id=\"\">Mettez en \u0153uvre une architecture d&rsquo;application segment\u00e9e, avec la conteneurisation, la segmentation ou les groupes de s\u00e9curit\u00e9 en nuage.<\/li>\n<li> \t<\/li>\n<li id=\"\">Envoyer des directives de s\u00e9curit\u00e9 aux clients.<\/li>\n<li> \t<\/li>\n<li id=\"\">Mettre en \u0153uvre un processus automatis\u00e9 pour v\u00e9rifier l&rsquo;efficacit\u00e9 des param\u00e8tres et des configurations dans tous les environnements.<\/li>\n<\/ul>\n<figure class=\"w-richtext-figure-type-image w-richtext-align-center\" data-rt-type=\"image\" data-rt-align=\"center\">\n<div><img decoding=\"async\" src=\"https:\/\/jimber.io\/wp-content\/uploads\/2025\/04\/security-misconfiguration.jpeg\" alt=\"mauvaise configuration de la s\u00e9curit\u00e9\" id=\"\" width=\"auto\" height=\"auto\" loading=\"auto\" title=\"\"><\/div>\n<\/figure>\n<h3 id=\"\">Composants vuln\u00e9rables et obsol\u00e8tes<\/h3>\n<h4 id=\"\">Qu&rsquo;est-ce que c&rsquo;est ?<\/h4>\n<p>De nos jours, m\u00eame les sites web les plus simples pr\u00e9sentent de nombreuses vuln\u00e9rabilit\u00e9s. Si vous ne mettez pas \u00e0 jour tous les logiciels d&rsquo;un site web, vous vous exposez t\u00f4t ou tard \u00e0 des risques pour la s\u00e9curit\u00e9 de votre site. <\/p>\n<h4 id=\"\">Recommandations de l&rsquo;OWASP :<\/h4>\n<ul id=\"\">\n<li id=\"\">Mettez en \u0153uvre un processus de gestion des correctifs :<\/li>\n<li>  Supprimez les d\u00e9pendances inutilis\u00e9es.  <\/li>\n<li id=\"\">Faites l&rsquo;inventaire des composants c\u00f4t\u00e9 serveur et c\u00f4t\u00e9 client et de leurs d\u00e9pendances.  <\/li>\n<li> \t<\/li>\n<li id=\"\">Surveillez les sources courantes d&rsquo;information sur les vuln\u00e9rabilit\u00e9s.  <\/li>\n<li> \t<\/li>\n<li id=\"\">N&rsquo;obtenez des composants que de sources officielles.  <\/li>\n<li> \t<\/li>\n<li id=\"\">Surveillez les composants et les biblioth\u00e8ques qui ne sont pas maintenus ou qui ne cr\u00e9ent pas de correctifs de s\u00e9curit\u00e9 pour les anciennes versions.<\/li>\n<li id=\"\">Assurez un plan permanent de triage, de surveillance et d&rsquo;application des changements de configuration ou des mises \u00e0 jour pendant toute la dur\u00e9e de vie de l&rsquo;application.<\/li>\n<\/ul>\n<h3 id=\"\">D\u00e9fauts d&rsquo;identification et d&rsquo;authentification<\/h3>\n<h4 id=\"\">Qu&rsquo;est-ce que c&rsquo;est ?<\/h4>\n<p>Une vuln\u00e9rabilit\u00e9 d&rsquo;authentification bris\u00e9e peut \u00eatre attaqu\u00e9e \u00e0 l&rsquo;aide de m\u00e9thodes automatiques ou manuelles. De cette mani\u00e8re, un attaquant peut prendre le contr\u00f4le de n&rsquo;importe quel compte qu&rsquo;il souhaite ou m\u00eame de l&rsquo;ensemble du syst\u00e8me. <\/p>\n<h4 id=\"\">Exemples :<\/h4>\n<ul id=\"\">\n<li id=\"\">Validation incorrecte d&rsquo;un certificat avec incompatibilit\u00e9 d&rsquo;h\u00f4te<\/li>\n<li id=\"\">Authentification incorrecte<\/li>\n<li id=\"\">Fixation de la session<\/li>\n<\/ul>\n<h4 id=\"\">Recommandations de l&rsquo;OWASP :<\/h4>\n<ul id=\"\">\n<li id=\"\">Mettez en \u0153uvre l&rsquo;authentification multifactorielle dans la mesure du possible.<\/li>\n<li id=\"\">Ne d\u00e9ployez pas et ne livrez pas avec des informations d&rsquo;identification par d\u00e9faut.<\/li>\n<li id=\"\">Alignez les politiques de complexit\u00e9, de longueur et de rotation des mots de passe sur des politiques de mots de passe fond\u00e9es sur des donn\u00e9es probantes.<\/li>\n<li id=\"\">Utilisez les m\u00eames messages pour tous les r\u00e9sultats afin de garantir que vos voies d&rsquo;enregistrement, de r\u00e9cup\u00e9ration des informations d&rsquo;identification et d&rsquo;API sont prot\u00e9g\u00e9es contre les attaques par \u00e9num\u00e9ration de comptes.<\/li>\n<\/ul>\n<figure class=\"w-richtext-figure-type-image w-richtext-align-center\" data-rt-type=\"image\" data-rt-align=\"center\">\n<div><img decoding=\"async\" src=\"https:\/\/jimber.io\/wp-content\/uploads\/2025\/04\/identification-and-authentication-failures-300x225.jpeg\" alt=\"les \u00e9checs d&#039;identification et d&#039;authentification\" id=\"\" width=\"auto\" height=\"auto\" loading=\"auto\" title=\"\"><\/div>\n<\/figure>\n<h3 id=\"\">D\u00e9fauts d&rsquo;int\u00e9grit\u00e9 des logiciels et des donn\u00e9es (Nouveau)<\/h3>\n<h4 id=\"\">Qu&rsquo;est-ce que c&rsquo;est ?<\/h4>\n<p>Les failles dans l&rsquo;int\u00e9grit\u00e9 des logiciels et des donn\u00e9es sont des vuln\u00e9rabilit\u00e9s li\u00e9es au code et \u00e0 l&rsquo;infrastructure qui ne sont pas prot\u00e9g\u00e9s contre les violations de l&rsquo;int\u00e9grit\u00e9.<\/p>\n<h4 id=\"\">Exemples :<\/h4>\n<ul id=\"\">\n<li id=\"\">Lorsque des plugins, des biblioth\u00e8ques, des modules provenant de d\u00e9p\u00f4ts, de sources non fiables ou de r\u00e9seaux de diffusion de contenu sont utilis\u00e9s dans l&rsquo;application.  <\/li>\n<li id=\"\">L&rsquo;existence d&rsquo;une canalisation non s\u00e9curis\u00e9e peut entra\u00eener l&rsquo;apparition de codes malveillants, la compromission du syst\u00e8me ou un acc\u00e8s non autoris\u00e9.<\/li>\n<li id=\"\">Les mises \u00e0 jour sont t\u00e9l\u00e9charg\u00e9es sans v\u00e9rification suffisante de l&rsquo;int\u00e9grit\u00e9 et sont appliqu\u00e9es \u00e0 l&rsquo;application pr\u00e9c\u00e9demment approuv\u00e9e.<\/li>\n<li id=\"\">&#8230;<\/li>\n<\/ul>\n<h4 id=\"\">Recommandations de l&rsquo;OWASP :<\/h4>\n<ul id=\"\">\n<li id=\"\">Utilisez des signatures num\u00e9riques ou des m\u00e9canismes similaires.<\/li>\n<li id=\"\">Assurez-vous que les d\u00e9pendances et les biblioth\u00e8ques consomment des d\u00e9p\u00f4ts fiables.<\/li>\n<li id=\"\">V\u00e9rifiez que les composants ne contiennent pas de vuln\u00e9rabilit\u00e9s connues en vous assurant qu&rsquo;un outil de s\u00e9curit\u00e9 de la cha\u00eene d&rsquo;approvisionnement des logiciels est utilis\u00e9.<\/li>\n<li id=\"\">Veillez \u00e0 ce qu&rsquo;il existe un processus d&rsquo;examen des changements de configuration et de code afin de minimiser le risque de code malveillant.<\/li>\n<li id=\"\">Veillez \u00e0 ce que le pipeline dispose d&rsquo;une configuration, d&rsquo;une s\u00e9paration et d&rsquo;un contr\u00f4le d&rsquo;acc\u00e8s ad\u00e9quats pour garantir l&rsquo;int\u00e9grit\u00e9 du code.<\/li>\n<\/ul>\n<figure class=\"w-richtext-figure-type-image w-richtext-align-center\" data-rt-type=\"image\" data-rt-align=\"center\">\n<div><img decoding=\"async\" src=\"https:\/\/jimber.io\/wp-content\/uploads\/2025\/04\/software-and-data-integrity-failures-300x163.jpeg\" alt=\"les d\u00e9faillances du logiciel et de l&#039;int\u00e9grit\u00e9 des donn\u00e9es\" id=\"\" width=\"auto\" height=\"auto\" loading=\"auto\" title=\"\"><\/div>\n<\/figure>\n<h3 id=\"\">D\u00e9faillances dans l&rsquo;enregistrement et la surveillance de la s\u00e9curit\u00e9<\/h3>\n<h4 id=\"\">Qu&rsquo;est-ce que c&rsquo;est ?<\/h4>\n<p>Les d\u00e9faillances en mati\u00e8re de journalisation et de surveillance de la s\u00e9curit\u00e9 surviennent lorsque la journalisation, la d\u00e9tection et la surveillance sont insuffisantes. En l&rsquo;absence d&rsquo;une journalisation et d&rsquo;une surveillance suffisantes, les violations ne peuvent pas \u00eatre d\u00e9tect\u00e9es. <\/p>\n<h4 id=\"\">Exemples :<\/h4>\n<ul id=\"\">\n<li id=\"\">Les \u00e9v\u00e9nements v\u00e9rifiables ne sont pas enregistr\u00e9s.<\/li>\n<li id=\"\">Les avertissements et les erreurs g\u00e9n\u00e8rent des messages peu clairs ou pas du tout.<\/li>\n<li id=\"\">Les journaux des applications et des API ne sont pas contr\u00f4l\u00e9s.<\/li>\n<li id=\"\">Les journaux ne sont stock\u00e9s que localement.<\/li>\n<li id=\"\">Pas de seuil d&rsquo;alerte appropri\u00e9 ni de processus d&rsquo;escalade de la r\u00e9ponse en place<\/li>\n<li id=\"\">Les tests de p\u00e9n\u00e9tration et les analyses effectu\u00e9es par des outils de test dynamique de la s\u00e9curit\u00e9 des applications ne d\u00e9clenchent pas d&rsquo;alertes.<\/li>\n<li id=\"\">L&rsquo;application ne peut pas d\u00e9tecter les attaques actives en temps r\u00e9el.<\/li>\n<\/ul>\n<h4 id=\"\">Recommandations de l&rsquo;OWASP :<\/h4>\n<ul id=\"\">\n<li id=\"\">Veillez \u00e0 ce que tous les \u00e9checs de contr\u00f4le d&rsquo;acc\u00e8s, de connexion et de validation des entr\u00e9es c\u00f4t\u00e9 serveur puissent \u00eatre enregistr\u00e9s avec un contexte utilisateur suffisant.<\/li>\n<li id=\"\">Assurez-vous que les journaux sont g\u00e9n\u00e9r\u00e9s dans un format que les solutions de gestion des journaux peuvent facilement exploiter.<\/li>\n<li id=\"\">Pr\u00e9venez les attaques contre les syst\u00e8mes d&rsquo;enregistrement ou de surveillance en codant correctement les donn\u00e9es d&rsquo;enregistrement.<\/li>\n<li id=\"\">Emp\u00eachez la falsification ou la suppression en veillant \u00e0 ce que les transactions de grande valeur disposent d&rsquo;une piste d&rsquo;audit avec des contr\u00f4les d&rsquo;int\u00e9grit\u00e9.<\/li>\n<li id=\"\">Mettre en place un syst\u00e8me de surveillance et d&rsquo;alerte efficace.<\/li>\n<li id=\"\">\u00c9tablir un plan de r\u00e9ponse et de r\u00e9cup\u00e9ration en cas d&rsquo;incident.<\/li>\n<\/ul>\n<figure class=\"w-richtext-figure-type-image w-richtext-align-center\" data-rt-type=\"image\" data-rt-align=\"center\">\n<div><img decoding=\"async\" src=\"https:\/\/jimber.io\/wp-content\/uploads\/2025\/04\/security-logging-and-monitoring-failures-300x162.jpeg\" alt=\"les d\u00e9faillances en mati\u00e8re de journalisation et de surveillance de la s\u00e9curit\u00e9\" id=\"\" width=\"auto\" height=\"auto\" loading=\"auto\" title=\"\"><\/div>\n<\/figure>\n<h3 id=\"\">Falsification de requ\u00eate c\u00f4t\u00e9 serveur (SSRF) (Nouveau)<\/h3>\n<h4 id=\"\">Qu&rsquo;est-ce que c&rsquo;est ?<\/h4>\n<p>Un attaquant peut envoyer une requ\u00eate \u00e9labor\u00e9e avec l&rsquo;application lorsqu&rsquo;une application web r\u00e9cup\u00e8re une ressource distante sans valider l&rsquo;URL fournie par l&rsquo;utilisateur.<\/p>\n<h4 id=\"\">Recommandations de l&rsquo;OWASP :<\/h4>\n<ul id=\"\">\n<li id=\"\">R\u00e9duire l&rsquo;impact du SSRF. Segmenter la fonctionnalit\u00e9 d&rsquo;acc\u00e8s aux ressources distantes dans des r\u00e9seaux distincts. <\/li>\n<li id=\"\">Appliquer des politiques de pare-feu ou des r\u00e8gles de contr\u00f4le d&rsquo;acc\u00e8s au r\u00e9seau \u00ab\u00a0refus\u00e9es par d\u00e9faut\u00a0\u00bb. Bloquez tout le trafic sauf celui qui est essentiel. <\/li>\n<li id=\"\">Assainissez et validez toutes les donn\u00e9es d&rsquo;entr\u00e9e fournies par le client. Utilisez une liste positive d&rsquo;autorisations pour appliquer le sch\u00e9ma d&rsquo;URL, le port et la destination. N&rsquo;envoyez pas de r\u00e9ponses brutes aux clients. D\u00e9sactivez les redirections HTTP. Veillez \u00e0 la coh\u00e9rence de l&rsquo;URL.    <\/li>\n<li id=\"\">Ne d\u00e9ployez pas d&rsquo;autres services li\u00e9s \u00e0 la s\u00e9curit\u00e9 sur les syst\u00e8mes frontaux.  <\/li>\n<li id=\"\">Utilisez le cryptage r\u00e9seau sur des syst\u00e8mes ind\u00e9pendants pour les frontaux avec des groupes d&rsquo;utilisateurs d\u00e9di\u00e9s et g\u00e9rables.<\/li>\n<\/ul>\n<h2 id=\"\">D\u00e9couvrez l&rsquo;isolation des applications web Jimber<\/h2>\n<p>Le Jimber Web Application Isolation prot\u00e8ge vos applications d&rsquo;entreprise \u00e0 l&rsquo;aide d&rsquo;un conteneur. Vos donn\u00e9es sont interpr\u00e9t\u00e9es dans le conteneur et seule la visualisation graphique de ces donn\u00e9es parvient \u00e0 l&rsquo;utilisateur final. Les attaquants ne peuvent interagir qu&rsquo;avec la couche Jimber, mais plus directement avec les API de l&rsquo;application. L&rsquo;isolation des applications web Jimber r\u00e9pond aux exigences les plus \u00e9lev\u00e9es et garantit la s\u00e9curit\u00e9 des sites web. L&rsquo;isolation des applications web Jimber att\u00e9nue de nombreuses vuln\u00e9rabilit\u00e9s du top 10 2021 de l&rsquo;OWASP, en n&rsquo;exposant pas directement les API. Certaines vuln\u00e9rabilit\u00e9s peuvent \u00eatre expliqu\u00e9es plus en d\u00e9tail. Gardez \u00e0 l&rsquo;esprit que Jimber Web Application Isolation fonctionne en plus de vos mesures de s\u00e9curit\u00e9 actuelles. Il ne peut pas emp\u00eacher toutes les vuln\u00e9rabilit\u00e9s possibles \u00e0 lui seul. Cependant, il renforcera toutes les mesures de s\u00e9curit\u00e9 existantes et fournira une solide couche de protection suppl\u00e9mentaire.      <\/p>\n<figure class=\"w-richtext-figure-type-image w-richtext-align-center\" data-rt-type=\"image\" data-rt-align=\"center\">\n<div><img decoding=\"async\" src=\"https:\/\/jimber.io\/wp-content\/uploads\/2025\/04\/owasp-website-security.jpeg\" alt=\"s\u00e9curit\u00e9 des sites web owasp\" id=\"\" width=\"auto\" height=\"auto\" loading=\"auto\" title=\"\"><\/div>\n<\/figure>\n<h2 id=\"\">Contr\u00f4le d&rsquo;acc\u00e8s d\u00e9faillant<\/h2>\n<p>\u00c9tant donn\u00e9 que l&rsquo;isolation des applications n&rsquo;intervient pas dans l&rsquo;application elle-m\u00eame, il n&rsquo;est pas possible d&#8217;emp\u00eacher l&rsquo;interruption du contr\u00f4le d&rsquo;acc\u00e8s. Cependant, l&rsquo;enregistrement de l&rsquo;\u00e9cran peut montrer qui a utilis\u00e9 le contr\u00f4le d&rsquo;acc\u00e8s. <\/p>\n<h2 id=\"\">D\u00e9faillances cryptographiques<\/h2>\n<p>L&rsquo;isolation de nos applications ne peut pas prot\u00e9ger contre les fuites de donn\u00e9es sensibles. Cependant, l&rsquo;utilisation de l&rsquo;enregistrement d&rsquo;\u00e9cran permet d&rsquo;avoir une trace des donn\u00e9es auxquelles l&rsquo;utilisateur a acc\u00e9d\u00e9. <\/p>\n<h2 id=\"\">Injection<\/h2>\n<p>En emp\u00eachant l&rsquo;utilisateur d&rsquo;acc\u00e9der directement aux API, l&rsquo;isolation de notre application web emp\u00eachera la plupart des possibilit\u00e9s d&rsquo;injection. Elle emp\u00eachera \u00e9galement les attaques par d\u00e9bordement de m\u00e9moire tampon. La protection du frontend \/ la v\u00e9rification des entr\u00e9es est maintenant une s\u00e9curit\u00e9. Nous ne pouvons pas emp\u00eacher totalement les XSS. Nous pouvons cependant emp\u00eacher les XSS d&rsquo;acc\u00e9der \u00e0 des ressources externes, et donc pr\u00e9venir les fuites de donn\u00e9es. Nous pouvons \u00e9galement d\u00e9tecter les anomalies dans le trafic de donn\u00e9es. En outre, nous analysons les URL \u00e0 la recherche de scripts.     <\/p>\n<h2 id=\"\">Mauvaise configuration de la s\u00e9curit\u00e9<\/h2>\n<p>En n&rsquo;autorisant pas l&rsquo;envoi direct de XML au service dorsal, XXE est virtuellement impossible. La surface pour les erreurs de configuration de la s\u00e9curit\u00e9 devient beaucoup plus petite, puisque la s\u00e9curit\u00e9 optique est la s\u00e9curit\u00e9.<\/p>\n<h2 id=\"\">Composants vuln\u00e9rables et obsol\u00e8tes<\/h2>\n<p>De nombreux composants vuln\u00e9rables et obsol\u00e8tes sont exploit\u00e9s en acc\u00e9dant directement aux API. Cet angle d&rsquo;attaque sp\u00e9cifique des composants vuln\u00e9rables et obsol\u00e8tes devient impossible avec Jimber Web Application Isolation. <\/p>\n<h2 id=\"\">D\u00e9fauts d&rsquo;identification et d&rsquo;authentification<\/h2>\n<p>En mettant en \u0153uvre oAuth ou l&rsquo;authentification par cl\u00e9 publique\/priv\u00e9e sur votre application SaaS ou votre intranet, nous pouvons prot\u00e9ger l&rsquo;authentification avec la plus grande s\u00e9curit\u00e9 possible.<\/p>\n<h2 id=\"\">D\u00e9faillances dans l&rsquo;enregistrement et la surveillance de la s\u00e9curit\u00e9<\/h2>\n<p>En plus de l&rsquo;enregistrement et de la surveillance de votre logiciel ou service, nous pouvons ajouter l&rsquo;enregistrement vid\u00e9o, l&rsquo;enregistrement des actions du clavier et de la souris ainsi que la d\u00e9tection d&rsquo;anomalies ici. D\u00e9couvrez l&rsquo;isolation des applications Web Jimber \u00e0 l&rsquo;adresse <a href=\"https:\/\/jimber.io\/fr\/composants\/isolation-des-applications-web\/\" target=\"_blank\" id=\"\">https:\/\/jimber.io\/web-application-security\/Read<\/a>. Pour en savoir plus sur le top 10 de 2021 de l&rsquo;OWASP, rendez-vous sur leur site web <a href=\"https:\/\/owasp.org\/Top10\/\" target=\"_blank\" id=\"\" rel=\"noopener\">: https:\/\/owasp.org\/Top10\/<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Qu&rsquo;est-ce que l&rsquo;OWASP ? L&rsquo;OWASP (Open Web Application Security Project) est une organisation \u00e0 but non lucratif dont l&rsquo;objectif est d&rsquo;am\u00e9liorer la s\u00e9curit\u00e9 des sites web. Elle fournit des programmes de d\u00e9veloppement de logiciels libres, des projets, des bo\u00eetes \u00e0 outils, des chapitres locaux, des conf\u00e9rences, des articles, des vid\u00e9os, des forums, des m\u00e9thodologies, de [&hellip;]<\/p>\n","protected":false},"author":10,"featured_media":7210,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"inline_featured_image":false,"footnotes":""},"categories":[9],"tags":[],"class_list":["post-10304","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-non-categorise"],"acf":[],"_links":{"self":[{"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/posts\/10304","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/comments?post=10304"}],"version-history":[{"count":1,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/posts\/10304\/revisions"}],"predecessor-version":[{"id":10575,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/posts\/10304\/revisions\/10575"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/media\/7210"}],"wp:attachment":[{"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/media?parent=10304"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/categories?post=10304"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/jimber.io\/fr\/wp-json\/wp\/v2\/tags?post=10304"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}