Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

A propos de l'OWASP Copyright et License Copyright © 2003 – 2010 The OWASP Foun

A propos de l'OWASP Copyright et License Copyright © 2003 – 2010 The OWASP Foundation Ce document est publié sous licence Creative Commons Attribution ShareAlike 3.0. Pour toute réutilisation ou distribution, vous devez expliquer les conditions contractuelles de la licence de ce travail. Avant-propos Les logiciels peu sûrs portent déjà atteinte à nos infrastructures critiques tant financières, que médicales, défense, énergie ou autre. Notre infrastructure numérique devenant de plus en plus complexe et interconnectée, la difficulté de parvenir à une sécurité applicative augmente exponentiellement. Nous ne pouvons plus nous permettre de tolérer les problèmes de sécurité pourtant relativement simples tels ceux présentés dans le Top 10 de l'OWASP. L'objectif du Top 10 est de promouvoir la sensibilisation relative à la sécurité applicative en identifiant certains des risques les plus critiques rencontrés par les entreprises. Le Top 10 est référencé par de nombreuses normes, livres, outils, et organismes, y compris le MITRE, PCI DSS, DISA, FTC et beaucoup d'autres. Cette version du Top 10 de l'OWASP marque la 8e année de ce projet de sensibilisation à propos de l'importance des risques sécurité applicatifs. Le Top 10 de l'OWASP dont c'est la version 2010, a initialement été publié en 2003, des mises à jour mineures ayant été faites en 2004 et 2007. Nous vous encourageons à utiliser le Top 10 afin de permettre à votre entreprise d’initier une démarche relative à la sécurité applicative. Les développeurs peuvent apprendre des erreurs d’autres entreprises. Les dirigeants devraient commencer à réfléchir sur la façon de gérer le risque que les applications logicielles créent dans leur entreprise. Mais le Top 10 n'est pas un programme de sécurité applicatif. L'OWASP recommande que les organismes établissent une base solide de formation, de normes et d'outils qui rend la programmation sécurisée possible. Sur cette base, les entreprises doivent intégrer la sécurité tant dans leur processus de développement, que dans la vérification et les processus de maintenance. La direction peut utiliser les données générées par ces activités pour gérer les coûts et les risques associés à la sécurité des applications. Nous espérons le Top 10 utile à vos efforts de sécurisation des applications. N'hésitez pas à contacter l'OWASP pour toutes questions, commentaires et idées, que ce soit publiquement à OWASP-TopTen@lists.owasp.org ou en privé à dave.wichers@owasp.org. http://www.owasp.org/index.php/Top_10 A propos de l'OWASP L'Open Web Application Security Project (OWASP) est une communauté ouverte dédiée à aider les entreprises à développer, acquérir et maintenir des applications de confiance. À l'OWASP, vous trouverez (en accès libre et gratuit)... • Outils et normes de sécurité applicatifs • Livres entiers consacrés aux tests de sécurité applicatifs, programmation sécurisée et à l'audit de code • Contrôles de sécurité standard et bibliothèques • Chapitres locaux dans le monde • Recherche de pointe • Grandes conférences dans le monde entier • Mailing lists • Et beaucoup plus… sur www.owasp.org Tous les outils, documents, forums, et Chapitres de l'OWASP sont gratuits et ouverts à toute personne intéressée par la sécurité des applications. Nous préconisons l'approche de la sécurité des applications en tant que problème global incluant tant l'individu, les processus que la technologie, les approches les plus efficaces pour la sécurité des applications nécessitant des améliorations dans tous ces domaines. L'OWASP est une entreprise d'un nouveau type. Notre totale liberté et indépendance de pressions commerciales nous permet de fournir des informations impartiales, pratiques et rentables au sujet de la sécurité des applications. L'OWASP n'est affilié à aucune entreprise de technologie, bien que nous soutenions l'utilisation éclairée de technologies commerciales de sécurité. Tout comme de nombreux projets de logiciels open-source, l'OWASP produit de nombreux types de supports dans un esprit collaboratif et ouvert. La Fondation OWASP est une entité à but non lucratif qui s'assure de la réussite à long terme du projet. Pratiquement toute personne associée à l'OWASP est bénévole, y compris le Conseil de l'OWASP, les Comités mondiaux, les Leaders de Chapitres, les chefs de projet, et les membres du projet. Nous soutenons la recherche innovante en sécurité grâce à des subventions et des infrastructures. Rejoignez-nous! O Bienvenue Cette mise à jour importante présente une liste plus concise orientée Risque des Dix Risques de Sécurité Applicatifs Web les Plus Critiques. Le Top 10 de l'OWASP a toujours été orienté risque, mais cette mise à jour rend ceci beaucoup plus clair par rapport aux éditions précédentes. Il fournit également des informations supplémentaires sur la façon d'évaluer ces risques pour vos applications. Pour chaque item du Top 10, cette version présente la probabilité globale ainsi que les facteurs de conséquence utilisés pour classer la gravité spécifique du risque. Il présente ensuite des indications sur la façon de vérifier si vous avez des problèmes dans le domaine, comment les éviter, quelques exemples de failles, ainsi que des pointeurs pour plus d'informations. L'objectif principal du Top 10 de l'OWASP est d'éduquer les développeurs, concepteurs, architectes, managers, et les entreprises au sujet des conséquences des faiblesses les plus importantes inhérentes à la sécurité des applications web. Le Top 10 fournit des techniques de base pour se protéger contre ces domaines problématiques à haut risque - et fournit également des conseils sur la direction à suivre. Avertissements Ne vous arrêtez pas à 10. Il y a des centaines de problèmes qui pourraient influer sur la sécurité globale d'une application web comme indiqué dans le Guide du développeur de l'OWASP. C'est une lecture essentielle pour quiconque développe des applications web aujourd'hui. Des conseils sur la manière de trouver des vulnérabilités dans les applications web sont fournis dans le Guide de Test et le Guide d'audit de Code, tous deux considérablement mis à jour depuis la version précédente du Top 10 de l'OWASP. Changement constant. Ce Top 10 évoluera dans le temps. Même sans modifier une seule ligne de code de votre application, vous pouvez être déjà vulnérable à quelque chose dont personne n'a jamais pensé auparavant. Veuillez prendre connaissance des conseils à la fin du Top 10 dans les sections relatives aux développeurs, vérificateurs et organismes pour plus d'informations. Pensez positif. Quand vous serez prêt à arrêter de chasser les vulnérabilités et à vous concentrer sur l'établissement de solides contrôles de sécurité des applications, l'OWASP vient d'élaborer le Standard de Vérification de Sécurité Applicative (SPVS) comme guide pour les entreprises et les auditeurs d'application sur ce qu'il faut vérifier. Utilisez les outils sagement. Les failles de sécurité peuvent être complexes et enfouies sous des montagnes de code. Dans la plupart des cas, l'approche la plus rentable pour trouver et éliminer ces faiblesses reste l’humain armé de bons outils. Allez plus loin. La sécurisation d'applications web est possible seulement quand un cycle de vie de développement sécurisé de logiciel est employé. Pour des conseils sur l'implémentation d’un SDLC sécurisé, nous avons récemment publié le Open Software Assurance Maturity Model (SAMM), qui est une mise à jour importante du Projet CLASP. Remerciements Nos remerciements à Aspect Security pour avoir initié, piloté, et mis à jour le Top 10 de l’OWASP depuis sa création en 2003, et à ses principaux auteurs: Jeff Williams et Dave Wichers. Nous voudrions remercier les entreprises qui ont contribué à supporter la mise à jour 2010 en fournissant leur données sur la fréquence de vulnérabilité: Aspect Security MITRE – CVE Softtek WhiteHat Security Inc. – Statistics Nous voudrions aussi remercier ceux ayant contribué par leur contenu significatif ou la relecture de cet update du Top 10: Mike Boberski (Booz Allen Hamilton) Juan Carlos Calderon (Softtek) Michael Coates (Aspect Security) Jeremiah Grossman (WhiteHat Security Inc.) Jim Manico (for all the Top 10 podcasts) Paul Petefish (Solutionary Inc.) Eric Sheridan (Aspect Security) Neil Smithline (OneStopAppSecurity.com) Andrew van der Stock Colin Watson (Watson Hall, Ltd.) OWASP Denmark Chapter (Led by Ulf Munkedal) OWASP Sweden Chapter (Led by John Wilander) Introduction I Quels sont les changements de 2007 à 2010? Le paysage des menaces sur les applications Internet est en perpétuel changement. Les facteurs clefs dans cette évolution sont les progrès effectués par les attaquants, l’essor de nouvelles technologies, tout comme le déploiement de systèmes de plus en plus complexes. Pour suivre les évolutions, L’OWASP Top10 est constamment mis à jour. Dans cette version 2010, nous avons effectué trois changements significatifs : 1) Pour clarifier les choses, le Top10 devient le Top10 des risques, et non pas le Top10 des vulnérabilités les plus communes. Voire les détails concernant les « Risques de Sécurité des Applications » en page suivante. 2) Nous avons changé la méthodologie de classement pour estimer le risque, plutôt que de se baser seulement sur la fréquence de la vulnérabilité associée. Cela affecte le classement du Top10, comme vous pouvez le voir dans le tableau ci-dessous. 3) Nous avons remplacé deux éléments de la liste précédente par deux nouveaux risques : + AJOUT: A6 – Mauvaise configuration sécurité. Cet élément était présent dans le Top10 2004 en position A10 :Gestion de configuration non sécurisée , mais avait été retiré en 2007, car il n’était pas considéré comme un problème logiciel. Néanmoins, d’un point de vue risque au sein d’une organisation et du nombre de cas, il uploads/Management/ owasp-top-10-2010-french.pdf