ITespresso.fr : Quels sont les dangers relevés dans le référentiel 2010 ? Quelles conclusions en tirer ?
Sébastien Gioria : Cette année, nous avons réorganiser le Top 10 pour expliquer que nous parlons de risques et non plus uniquement de vulnérabilités. Donner des priorités sur des vulnérabilités sans prendre en compte leur contexte n’a pas de sens. Nous avons observé en premier lieu que les injections sont toujours présentes et en première position. Le Cross Site Scripting qui a récemment fait tomber Apache est lui aussi présent. La conclusion, c’est que l’approche (risques !) et le document veulent toucher plus de gens : développeurs, architectes, chefs de projet, manager, assistance à maîtrise d’ouvrage. Vous ne pouvez prendre les bonnes décisions métier sans comprendre les menaces et l’impact sur votre métier.
ITespresso.fr : Quels sont les conseils des experts en sécurité pour les développeurs ?
S. Gioria : Sécuriser un code « juste une fois » ne suffit pas. Une démarche de programmation sécurisée doit composer avec toutes les étapes du cycle de vie d’un programme. L’approche de sécurisation d’une application par liste noire (tenter de corriger ou de stopper les failles) est morte, il faut appliquer les concepts de sécurité dans le cycle de développement (Secure Software Development Life Cycle ou SDLC en anglais). Les programmes sont à sécuriser par conception, pendant le développement et par défaut. Il existe à ce jour au moins plusieurs centaines de problèmes affectant l’ensemble de la sécurité d’une application web. Ces problèmes sont détaillés dans les différents Guides (Top10, ASVS, Guide de l’auditeur, Guide de conception de l’OWASP)… de la lecture essentielle et indispensable à toute personne développant des applications web.
Applications web : classement des 10 premiers risques de sécurité
(traduction libre, source OWASP)
| 1 | Injections serveurs |
| 2 | Injections clients (Cross Site Scripting, CSS – XSS) |
| 3 | Mauvaise gestion de l’authentification et des sessions (broken authentication and session management) |
| 4 | Références à des objets non sécurisée (insecure direct object references) |
| 5 | Cross-Site Request Forgery (CSRF, difficile à traduire :-) |
| 6 | Mauvaise configuration (Security Misconfiguration) |
| 7 | Stockage de données cryptographiques non sécurisé (insecure cryptographic storage) |
| 8 | Contrôle d’accès aux URL défaillant (failure to restrict URL access) |
| 9 | Communications non sécurisées (insufficient transport layer protection) |
| 10 | Redirection et transferts non sécurisés (unvalidated redirects and forwards) |
Page: 1 2
Les offres d'intelligence artificielle générative (GenAI) "prêtes à l'emploi" sont nombreuses et proposent une variété…
OpenAI, l'inventeur de ChatGPT, lance un nouveau modèle text-to-vidéo qui impressionne par sa qualité. Appelé…
Google a officialisé le lancement de Gemini, le nouveau nom de son outil de GenAI.…
Windows Server 2025 est attendu...cette année. Au delà du modèle de paiement à l’usage, via…
Microsoft Teams tient un rôle central dans la communication interne et externe de beacuoup d'entreprises.…
L'accès à Copilot s'ouvre aux licences Microsoft 365 Business Standard et Business Premium (« pour…