Les 10 principales menaces OWASP en 2025 : Failles dans la chaîne d'approvisionnement logicielle

Avec l'arrivée tant attendue du Top 10 OWASP 2025, les entreprises doivent désormais faire face à deux nouvelles menaces auxquelles elles doivent prêter une attention particulière, dont l'une figure en tête de liste. Les failles dans la chaîne d'approvisionnement logicielle, qui font leur apparition dans une nouvelle catégorie, mais qui ne sont pas tout à fait nouvelles, occupent la troisième place dans la liste quadriennale de l'Open Web Application Security Project des risques les plus graves pour la sécurité des applications web. Il s'agit d'un risque que les entreprises doivent prendre très au sérieux, si ce n'est déjà le cas.

Les défaillances de la chaîne d'approvisionnement logicielle ont été retirées d'une catégorie de la liste précédente à partir de 2021, Composants vulnérables et obsolètes, et incluent désormais un éventail plus large de compromissions dans l'ensemble de l'écosystème des dépendances logicielles, des systèmes de construction et de l'infrastructure de distribution. Leur apparition dans la liste ne devrait pas nous surprendre outre mesure, compte tenu des dommages causés par les attaques les plus notoires contre la chaîne d'approvisionnement, telles que SolarWinds en 2019, le piratage de Bybit au début de cette année et l'actuelle campagne Shai-Hulud, un ver npm particulièrement nuisible et auto-réplicatif qui cause des ravages dans les environnements de développement exposés.

En général, le Top Ten de l'OWASP est resté stable, ce qui correspond à une liste publiée tous les quatre ans, bien qu'avec des mises à jour intermédiaires. En général, il y a quelques changements dans la liste : Injection, présent depuis longtemps, passe de la troisième à la cinquième place, par exemple, et Insecure Design recule de deux places pour se classer sixième, tandis que Security Misconfiguration passe de la cinquième à la deuxième place. Le contrôle d'accès défaillant occupe toujours la première place. L'édition 2025 compte deux nouveaux participants, les défaillances de la chaîne logistique logicielle et la mauvaise gestion des conditions exceptionnelles, déjà mentionnées, qui entrent dans la liste à la 10e place. Nous analysons ci-dessous en détail la nouvelle entrée concernant les vulnérabilités de la chaîne logistique.

[VOIR LA VIDÉO]

Les vulnérabilités peuvent apparaître presque partout.

Les défaillances dans la chaîne d'approvisionnement logicielle constituent une catégorie quelque peu inhabituelle dans la liste, car, parmi les 10 entrées, c'est celle qui compte le moins de cas dans les données de recherche de l'OWASP, mais qui obtient également la note moyenne la plus élevée en termes d'exploits et d'impacts résultant des cinq énumérations de vulnérabilités courantes (CWE) de la catégorie. L'OWASP a indiqué qu'elle soupçonnait que la présence limitée de cette catégorie était due aux difficultés actuelles pour la tester, ce qui pourrait s'améliorer avec le temps. Quoi qu'il en soit, les personnes interrogées ont massivement mentionné que les défaillances de la chaîne d'approvisionnement logicielle constituaient l'une de leurs principales préoccupations.

La plupart des vulnérabilités de la chaîne d'approvisionnement découlent de la nature interconnectée des activités commerciales, qui impliquent des partenaires en amont et en aval ainsi que des tiers. Chaque interaction implique des logiciels dont les composants (également appelés dépendances ou bibliothèques) peuvent être vulnérables. Une entreprise peut être exposée si elle ne suit pas toutes les versions de ses propres composants (côté client, côté serveur ou imbriqués), ainsi que les dépendances transitives (d'autres bibliothèques), en s'assurant qu'ils ne sont pas vulnérables, incompatibles ou obsolètes. Les composants ont généralement les mêmes privilèges que l'application, de sorte que les composants compromis, y compris ceux provenant de tiers ou de référentiels open source, peuvent avoir un impact considérable. Il est essentiel d'appliquer les correctifs et les mises à jour en temps opportun ; même les programmes de correctifs mensuels ou trimestriels réguliers peuvent exposer une entreprise pendant des jours ou des mois.

De même, l'absence d'un processus de gestion des changements dans votre chaîne d'approvisionnement peut créer des vulnérabilités si vous ne suivez pas les environnements de développement intégrés (IDE) ou les changements dans votre référentiel de code, vos référentiels d'images et bibliothèques ou d'autres parties de la chaîne d'approvisionnement. Une organisation doit renforcer sa chaîne d'approvisionnement en appliquant des politiques de contrôle d'accès et de privilèges minimaux, en veillant à ce que personne ne puisse créer du code et le mettre en production sans supervision, et à ce que personne ne puisse télécharger des composants provenant de sources non fiables.

Les attaques contre la chaîne d'approvisionnement peuvent prendre de nombreuses formes. La célèbre attaque contre SolarWinds a commencé lorsque des pirates russes ont injecté un logiciel malveillant dans une mise à jour du célèbre logiciel de gestion de réseau de l'entreprise. Elle a touché environ 18 000 clients. Si le nombre d'entreprises réellement touchées avoisinait la centaine, cette liste comprenait les principales entreprises et agences gouvernementales. Le piratage de Bybit, qui a coûté 1,5 milliard de dollars et qui remonte à la Corée du Nord, impliquait des applications de cryptomonnaie compromises. La récente attaque de la chaîne d'approvisionnement par le ver Crystal impliquait un code invisible et auto-réplicatif qui a infecté l'Open VSX Marketplace.

Prévention des vulnérabilités dans la chaîne d'approvisionnement

Étant donné que les attaques contre la chaîne d'approvisionnement impliquent l'interdépendance des systèmes, leur défense nécessite une approche globale. L'OWASP fournit des conseils pour prévenir les attaques, notamment la mise en œuvre de processus de gestion des correctifs pour :

• Veuillez vous familiariser avec votre liste des composants logiciels (SBOM) pour tous les logiciels et gérer la SBOM de manière centralisée. Il est préférable de générer les SBOM lors de la compilation, plutôt que de le faire ultérieurement, en utilisant des formats standard tels que SPDX ou CyclonedX, et de publier au moins une SBOM lisible par machine par version.
• Veuillez assurer le suivi de toutes vos dépendances, y compris les dépendances transitives, en supprimant les dépendances inutilisées ainsi que les fonctions, composants, fichiers et documentation superflus.
• Veuillez effectuer un inventaire continu des composants côté client et côté serveur ainsi que de leurs dépendances à l'aide d'outils tels que OWASP Dependency Check ou retire.js.
• Veuillez vous tenir informé des vulnérabilités et surveiller en permanence les sources telles que les vulnérabilités et expositions courantes (CVE) et le site Web National Vulnerability Database (NVD). Nous vous recommandons également de vous abonner aux alertes par e-mail concernant les vulnérabilités de sécurité liées aux composants que vous utilisez.
• Veuillez utiliser des composants provenant uniquement de sources fiables via des liens sécurisés. Un fournisseur fiable, par exemple, serait disposé à collaborer avec un chercheur afin de divulguer un CVE que ce dernier aurait découvert dans un composant.
• Veuillez choisir avec soin la version d'une dépendance que vous utiliserez et ne la mettez à jour que lorsque cela est nécessaire. Travaillez avec des bibliothèques tierces dont les vulnérabilités ont été publiées dans une source reconnue, telle que NVD.
• Veuillez surveiller les bibliothèques et les composants non maintenus ou non compatibles. Si l'application de correctifs n'est pas possible, envisagez la mise en œuvre d'un correctif virtuel afin de surveiller, détecter ou protéger contre le problème identifié.
• Veuillez mettre à jour régulièrement les outils destinés aux développeurs.
• Veuillez traiter les composants de votre pipeline CI/CD dans le cadre de ce processus, en les renforçant et en les surveillant tout en documentant les modifications.

La gestion des changements ou un processus de suivi devrait également s'appliquer à la configuration CI/CD, aux référentiels de code, aux environnements de test, aux environnements de développement intégrés (IDE), aux outils SBOM, aux artefacts créés, aux systèmes d'enregistrement et aux journaux, aux intégrations tierces telles que SaaS, au référentiel d'artefacts et au registre des conteneurs. Il est également nécessaire de renforcer les systèmes, depuis les postes de travail des développeurs jusqu'aux processus CI/CD. Veillez également à activer l'authentification multifactorielle tout en appliquant des politiques solides de gestion des identités et des accès.

La protection contre les défaillances de la chaîne logistique logicielle est un effort continu et multiforme dans notre monde hautement interconnecté. Les organisations doivent mettre en place des mesures défensives solides tout au long du cycle de vie de leurs applications et composants afin de se prémunir contre cette menace moderne et en constante évolution.

Remarque àl'attention des utilisateursde SCW Trust Score™ :

Au fur et à mesure que nous mettons à jour le contenu de notre plateforme d'apprentissage afin de l'aligner sur la norme OWASP Top 10 2025, il est possible que vous observiez de légers ajustements dans la note de confiance de vos développeurs Full Stack. Veuillez contacter votre représentant Customer Success si vous avez des questions ou si vous avez besoin d'aide.