OWASP Top 10 2025 : Défaillances de la chaîne logistique logicielle

Avec l'arrivéetant attendue de l'année 2025, les entreprises doivent être particulièrement attentives à plusieurs nouvelles menaces, notamment celles qui se cachent en haut de la liste. Les failles dans la chaîne logistique des logiciels, qui figurent désormais dans la liste des risques les plus graves pour la sécurité des applications web établie tous les quatre ans par l'Open Web Application Security Project, ne constituent pas une catégorie entièrement nouvelle. Même si les entreprises ne les prennent pas encore au sérieux, elles doivent les considérer comme extrêmement graves.

Les incidents liés à la chaîne logistique logicielle ont été retirés de la liste précédente en 2021. Ils comprenaient des composants vulnérables et obsolètes, etenglobent désormaisun large éventail de violations à travers l'ensemble de l'écosystème logiciel, notamment les dépendances, les systèmes de compilation et les infrastructures de distribution. Compte tenu des dommages causés par les attaques très médiatisées visant la chaîne logistique, il n'est pas surprenant qu'elles figurent sur la liste. SolarWinds en 2019, le piratage de Bybit au début de cette année, et l'opération Shai-Floodactuellement en cours, un ver npm particulièrement nuisible et auto-réplicatif qui sème le chaos dans les environnements de développement publics.

Le Top 10 de l'OWASP est généralement cohérent et, bien qu'il fasse l'objet de mises à jour, il convient de publier la liste tous les quatre ans. En général, la liste subit quelques changements. Par exemple, l'injection, qui figure depuis longtemps dans le classement, passe de la troisième à la cinquième place, la conception non sécurisée recule de deux places pour se classer sixième, tandis que la mauvaise configuration de la sécurité grimpe de la cinquième à la deuxième place.Le contrôle d'accès défaillant conserve sa première place. Dans l'édition 2025, deux nouveaux éléments ont été ajoutés : « Défaillance de la chaîne logistique logicielle » et « Gestion inadéquate des conditions exceptionnelles », qui se classent respectivement en 10e et 11e position. Nous allons maintenant examiner en détail la nouvelle entrée concernant la vulnérabilité de la chaîne logistique.

[Regarder la vidéo]

Les vulnérabilités peuvent survenir pratiquement partout.

Les incidents liés à la chaîne logistique logicielle constituent une catégorie quelque peu inhabituelle dans la liste, car ils représentent le nombre le plus faible d'incidents recensés dans les données d'enquête de l'OWASP parmi les 10 entrées. Cependant, en raison des cinq vulnérabilités communes (CWE) répertoriées dans cette catégorie, les scores moyens d'exploitation et d'impact étaient également les plus élevés.OWASP soupçonne que la présence limitée de cette catégorie est due aux difficultés actuelles rencontrées lors des tests et qu'elle pourrait finalement s'améliorer. Quoi qu'il en soit, la grande majorité des répondants à l'enquête ont cité les défaillances de la chaîne logistique logicielle comme leur principale préoccupation.

La vulnérabilité de la chaîne d'approvisionnement est particulièrement importante. Il est essentiel de se développer en s'éloignant des activités commerciales interdépendantes impliquant des partenaires en amont et en aval ainsi que des tiers. Toutes les interactions impliquent des composants (également appelés dépendances ou bibliothèques) de logiciels non protégés.Les entreprises peuvent devenir vulnérables si elles ne sont pas en mesure de vérifier que leurs composants (côté client, côté serveur ou imbriqués) ne sont pas vulnérables, non pris en charge ou obsolètes, en ne suivant pas toutes les versions et les dépendances transitoires (provenant d'autres bibliothèques).En général, les composants disposent des mêmes privilèges que les applications. Par conséquent, les composants compromis, y compris ceux fournis par des tiers ou provenant de référentiels open source, peuvent avoir un impact considérable. Il est essentiel d'appliquer les correctifs et les mises à jour en temps opportun. Même avec un calendrier de correctifs mensuel ou trimestriel, les entreprises peuvent être exposées à des risques pendant plusieurs jours, voire plusieurs mois.

De même, si l'environnement de développement intégré (IDE), les référentiels de code, les référentiels d'images et de bibliothèques, ou les modifications apportées à d'autres parties de la chaîne d'approvisionnement, l'absence de processus de gestion des changements dans la chaîne d'approvisionnement peut créer des vulnérabilités. Les organisations doivent renforcer leur chaîne d'approvisionnement en appliquant des contrôles d'accès et des politiques de privilèges minimaux. Cela permet d'empêcher les individus de créer du code et de le déployer dans l'environnement de production sans supervision, ou de télécharger des composants provenant de sources non fiables.

Les attaques contre la chaîne d'approvisionnement peuvent prendre différentes formes. La célèbre attaque SolarWinds a débuté lorsque des pirates russes ont injecté un logiciel malveillant dans la mise à jour du célèbre logiciel de gestion de réseau de l'entreprise.Environ 18 000 clients ont été touchés. Près de 100 entreprises ont été réellement affectées, parmi lesquelles figuraient de grandes entreprises et des agences gouvernementales. Le piratage de Bybit, qui a coûté 1,5 milliard de dollars et dont l'origine remonte à la Corée du Nord, concernait une application de cryptomonnaie compromise. La récente attaque de la chaîne d'approvisionnement Glassworm comprenait un code auto-réplicatif invisible qui a infecté Open VSX Marketplace.

Prévention des attaques visant la chaîne d'approvisionnement

Les attaques visant la chaîne logistique impliquent une interdépendance des systèmes, ce qui nécessite une approche globale pour s'en prémunir. L'OWASP fournit des conseils pour prévenir ces attaques, notamment en mettant en place un processus de gestion des correctifs.

• Il est recommandé de connaître la liste des composants logiciels (SBOM) de tous les logiciels et de centraliser la gestion de ces SBOM. Plutôt que de générer les SBOM ultérieurement à l'aide de formats standard tels que SPDX ou CycloneDX, il est préférable de les générer pendant la compilation et de publier au moins une SBOM lisible par machine pour chaque version.
• Nous assurons le suivi de toutes les dépendances, y compris les dépendances transitoires, supprimons les dépendances inutilisées et éliminons les fonctionnalités, composants, fichiers et documents superflus.
• Nous utilisons les outils suivants pour inventorier en continu les composants côté client et côté serveur ainsi que leurs dépendances : OWASP Dependency Check ou retire.js.
• Veuillez surveiller en permanence les causes suivantes afin d'obtenir les dernières informations relatives aux vulnérabilités. Abonnez-vous aux alertes par e-mail concernant les vulnérabilités de sécurité liées aux composants que vous utilisez, en utilisant le site Web Common Vulnerabilities and Exposures (CVE) et la National Vulnerability Database (NVD).
• Veuillez utiliser uniquement des composants provenant de sources fiables via des liens sécurisés. Par exemple, un fournisseur fiable coopérera avec les chercheurs et souhaitera divulguer les CVE découverts dans les composants.
• Veuillez sélectionner intentionnellement la version des dépendances utilisées et procéder à une mise à niveau uniquement lorsque cela est nécessaire. Il est recommandé de travailler avec des bibliothèques tierces dont les vulnérabilités sont publiées par des sources reconnues telles que NVD.
• Veuillez surveiller les bibliothèques et composants qui ne sont pas maintenus ou pris en charge. Si l'application de correctifs n'est pas possible, envisagez l'introduction de correctifs virtuels pour surveiller, détecter ou protéger les problèmes identifiés.
• Nous mettons régulièrement à jour les outils de développement.
• Nous traitons les composants du pipeline CI/CD comme faisant partie intégrante de ce processus, en documentant les modifications tout en les renforçant et en les surveillant.

Les processus de gestion des modifications et de suivi doivent également s'appliquer aux intégrations tierces telles que les configurations CI/CD, les référentiels de code, les sandbox, les environnements de développement intégrés (IDE), les outils SBOM, les artefacts créés, les systèmes de journalisation et les journaux, les SaaS, les référentiels d'artefacts et les registres de conteneurs.Il est également nécessaire de renforcer le système, depuis les postes de travail des développeurs jusqu'aux pipelines CI/CD. Veuillez également mettre en œuvre une authentification multifactorielle tout en appliquant des politiques rigoureuses de gestion des identités et des accès.

La protection contre les menaces pesant sur la chaîne logistique des logiciels est une initiative multiforme et continue dans un monde hautement interconnecté. Les organisations doivent mettre en place des mesures de défense robustes tout au long du cycle de vie des applications et des composants afin de se protéger contre ces menaces modernes en constante évolution.

Remarque concernant le SCW Trust Score™ Utilisateur :

Dans le cadre de la mise à jour du contenu de la plateforme d'apprentissage conformément aux critères OWASP Top 10 2025, il est possible que le score de confiance des développeurs full stack subisse quelques ajustements. Si vous avez des questions ou avez besoin d'assistance, veuillez contacter votre responsable de la réussite client.