Minute RGPD : Top 10 OWASP 2023

Minute RGPD : Top 10 OWASP 2023
Minute RGPD Vidéo

L’Open Web Application Security Project, ou OWASP, est une organisation internationale à but non lucratif qui se consacre à la sécurité des applications web. Aujourd’hui, nous allons explorer les dix principales menaces qu’elle a identifiées en 2023 pour la cybersécurité.

  1. Défaillance de l’autorisation au niveau de l’objet :

En termes simples, cette défaillance concerne les autorisations d’entités spécifiques – par exemples celles des utilisateurs, des fichiers ou des transactions. Les API (Interfaces de Programmation Applicatives) peuvent présenter des faiblesses qui rendent possible, pour des attaquants, de modifier les identifiants d’objets.

  1. Défaillance de l’authentification :

C’est une mauvaise mise en œuvre de l’authentification, laissant les attaquants compromettre les jetons d’authentification et usurper les identités des utilisateurs.

  1. Défaillance de l’autorisation au niveau de la propriété de l’objet :

C’est une validation insuffisante de l’autorisation au niveau des propriétés d’objets qui peut conduire à l’exposition ou à la manipulation d’informations par des tiers non autorisés.

  1. Consommation de ressources illimitée :

Cela concerne les attaques réussies entraînant un déni de service ou des coûts opérationnels élevés en raison de la consommation non restreinte de ressources.

  1. Défaillance de l’autorisation au niveau de la fonction :

Des politiques de contrôle d’accès complexes peuvent entrainer des erreurs d’autorisation, permettant aux attaquants d’accéder aux ressources d’autres utilisateurs.

  1. Accès illimité aux flux d’activité sensibles :

L’exposition de flux métier sans protection est potentiellement nuisible à l’entreprise si son utilisation est excessive et de manière automatisée.

  1. Vulnérabilité côté serveur de type SSRF :

la SSRF (Server-Side Request Forgery) est une vulnérabilité qui permet à un attaquant de convaincre un serveur de faire des requêtes vers des emplacements spécifiques, souvent externes au réseau sécurisé.

  1. Mauvaise configuration de la sécurité :

Des configurations complexes, mal gérées ouvrent la porte à différents types d’attaques.

  1. Mauvaise gestion des actifs :

Le manque de documentation adéquate sur les API expose un risque supplémentaire lié à la divulgation involontaire d’informations sensibles à travers des points finaux de débogage dans le code source.

  1. Utilisation non sécurisée des API :

Une confiance excessive dans les données d’API tierces, expose les API à des attaques ciblant les services tiers intégrés.

Ce Top 10 de l’OWASP constitue une référence et comprendre ces risques est essentiel pour renforcer la sécurité de vos applications et protéger vos données. Former le personnel sur les bonnes pratiques de sécurité, ainsi que la réalisation de tests de sécurité réguliers, sont des mesures cruciales pour assurer une amélioration continue de la sécurité de vos applications.

Restons en contact pour plus d’informations !

Pour d’autres formations : cliquez-ici

Partager l'article

Articles similaires

Le principe de l’anonymisation
Minute RGPD Vidéo

Le principe de l’anonymisation

Lire la suite
Meta, encore sanctionné pour violation de la protection des données
Article RGPD Minute RGPD

Meta, encore sanctionné pour violation de la protection des données

Le groupe Meta se retrouve une nouvelle fois dans la ligne de mire des autorités pour une affaire datant de 2019. Vendredi 27 septembre, le géant américain a écopé d’une nouvelle amende de 91 millions d’euros, infligée par la Commission irlandaise de protection des données (DPC), l’équivalent de la CNIL en Irlande.
Lire la suite