En premier, il faut savoir que Le Top 10 est un document de sensibilisation qui explique les principaux risques applicatifs, c’est parfait pour l’éducation, l’auto-évaluation rapide et les « quick wins ».
De l’autre côté, L’ASVS est un cadre de travail exhaustif d’exigences , pour bâtir, tester et valider des applications de façon systématique.
Ce qu’est le OWASP Top 10
Le OWASP Top 10 est une liste des dix vulnérabilités de sécurité web les plus courantes, destiné à sensibiliser les développeurs et les organisations aux risques les plus prioritaires à corriger ou surveiller.
Voici les 10 plus grands risques associés à une application web pour la version 2021. (une nouvelle version devrait être publiée en 2025.)
- A01 — Contrôles d’accès défaillants
- A02 — Cryptographie et protection des données inadéquates
- A03 — Injection
- A04 — Conception non sécurisée
- A05 — Vulnérabilités de sécurité liées aux composants
- A06 — Mauvaises configurations de sécurité
- A07 — Identification et authentification faibles
- A08 — Gestion des erreurs et journalisations insuffisantes
- A09 — Contrôle d’intégrité des données
- A10 — Sécurité côté client
Son but est sensibilisé et aider la formation des gens sur les risques des applications Web.
Ce qu’est l’OWASP ASVS
L’Application Security Verification Standard (ASVS) fournit une liste détaillée d’exigences techniques pour concevoir, développer et vérifier la sécurité des applications et services web.
Vous pouvez libre mon billet d’introduction ici: https://medium.com/@btk667/owasp-asvs-cest-quoi-9ffd3cb06ad9
C’est un cadre structuré, pensé pour des tests et une intégration dans le SDLC. La version stable actuelle est ASVS 5.0.0.
Chaque exigence est identifiable et formulée de façon vérifiable — pratique pour l’acceptation lors des revues de code, les tests ou un audit externe.
ASVS est organisé par chapitres couvrant tous les aspects de développement web. Autant l’architecture, la conception, authentification et gestion des identifiants, sessions, contrôle d’accès, validation/encodage, cryptographie, journalisation et gestion des erreurs, protection des données, communications, intégrité du code, logique d’affaires, fichiers/ressources, API et configuration.
L’organisation OWASP offre même des Cheat Sheet pour mieux comprendre et gérer les contrôles dans les opérations courantes.
Quand utiliser l’un ou l’autre
Le Top 10 c’est pour démarrer ou débuter dans la construction d’une culture sécurité en formant les équipes de développeurs, créer des listes de vérification et obtenir des victoires rapides à court terme.
Mais si on veut construire plus sérieusement et surtout valider notre travail de manière méthodique, il faut intégrer l’ASVS au SDLC, on commence par le premier niveau, puis on progresse à mesure que notre maturité augmente. Notre maturité augmente en même temps que la qualité de nos outils, de nos procédures et que ceux-ci sont répétable rapidement.
Effort et coûts
Top 10
Faible coût pour formation, liste, corrections ciblées.
Impact rapide sur l’hygiène de base, mais attention : couverture partielle des risques et peu de traçabilité fine.
ASVS
Investissement plus important avec des sélection d’exigences, adaptation au SDLC, ajout de tests (automatisés et manuels), collecte de preuves.
Impact réduction du risque résiduel et meilleure démonstration de conformité pour vos clients et fournisseurs.
Je vous invite à cliquer sur “Follow” pour continuer d’en apprendre plus sur les sujets liés à la sécurité de l’information et à la vie privée.
