Par Equipe GitLab

OWASP Top 10 2025 : ce qui a change et pourquoi les developpeurs doivent s'y interesser

Une analyse de la mise a jour majeure de l'OWASP Top 10 publiee en novembre 2025, avec deux nouvelles categories et une reorganisation qui reflete l'evolution des menaces modernes.

Cybersécurité
OWASP Top 10 2025 : ce qui a change et pourquoi les developpeurs doivent s'y interesser

Cet article est tire de l'article original "OWASP Top 10 2025: What's Changed and Why Developers Should Care" sur le site about.gitlab.com/blog

L'OWASP Foundation a publie la huitieme edition de sa liste Top 10 des risques de securite applicatifs en novembre 2025. Cette mise a jour introduit deux nouvelles categories et une consolidation, sur la base de l'analyse de plus de 175 000 enregistrements CVE et des retours de praticiens de la securite a l'echelle mondiale.

Le changement le plus significatif est l'entree de A03:2025 - Software Supply Chain Failures. Cette categorie elargit la precedente A06:2021 (Composants vulnerables et obsoletes) pour couvrir l'ensemble des compromissions possibles dans l'ecosysteme des dependances logicielles : packages malveillants, mainteneurs compromis, processus de build ou de distribution alteres.

La deuxieme nouvelle entree est A10:2025 - Mishandling of Exceptional Conditions. Cette categorie, absente des editions precedentes, se concentre sur la maniere dont les applications echouent. Une gestion negligente des exceptions peut exposer des donnees sensibles (traces de pile, cles), contourner des controles d'acces (logique fail-open) ou provoquer des interruptions de service.

Security Misconfiguration monte de la 5eme a la 2eme place, avec 3% des applications testees presentant au moins un probleme de ce type. Cette progression reflete la complexite croissante des configurations cloud, des pipelines CI/CD et des environnements conteneurises.

Broken Access Control reste en premiere position pour le quatrieme cycle consecutif. Injection descend de la 3eme a la 5eme place, ce qui peut indiquer une meilleure sensibilisation generale, mais pas une disparition du risque.

Pour les developpeurs web, cet article est une lecture essentielle. Les injections SQL et XSS restent dans le top 5. Les Supply Chain Failures concernent directement la gestion des dependances npm ou Composer. Et les Misconfigurations sont souvent le resultat de parametres par defaut laisse en place. Connaitre cette liste, c'est savoir sur quoi concentrer ses efforts de securite en priorite.