Zeroday Cyber Academy

OWASP & AppSec

Qu'est-ce que l'OWASP Top 10 ? Rôle et portée

OWASP Top 10 2025 : définition, méthodologie, 6 projets Top 10 (Web, API, Mobile, LLM, CI/CD, LCNC), écosystème OWASP ASVS MASTG WSTG SAMM, usage industrie.

Naim Aouaichia
15 min de lecture
  • OWASP
  • Top 10
  • AppSec
  • OWASP ASVS
  • OWASP MASTG
  • OWASP WSTG
  • Méthodologie
  • Sécurité Web
  • Sécurité API
  • Sécurité LLM

L'OWASP Top 10 est la liste consensuelle des 10 vulnérabilités applicatives les plus critiques, produite par la fondation Open Worldwide Application Security Project (OWASP, organisation à but non lucratif créée en 2001). Publié pour la première fois en 2003, révisé tous les 3-4 ans, il constitue le référentiel de fait de l'AppSec mondiale depuis plus de deux décennies. Contrairement à un standard normatif (type ISO 27001), le Top 10 est une liste éducative et prescriptive — il identifie les risques les plus fréquents et les plus graves sans prétendre à l'exhaustivité. En 2026, six projets Top 10 distincts coexistent : Top 10 Web (2021, révision 2025 en finalisation), API Security Top 10 (2023), Mobile Top 10 (2024), Top 10 for LLM Applications v2 (2025), Top 10 CI/CD Security Risks (2022), Low-Code/No-Code Top 10 (2022). La méthodologie de production combine data call public auprès de 40+ organisations partenaires couvrant 500 000+ applications analysées, calcul d'incidence par CWE (Common Weakness Enumeration), enquête d'experts pour menaces émergentes, et regroupement en 10 catégories consolidées. L'OWASP Top 10 est référencé explicitement dans PCI-DSS v4.0 (chapitre 6.2), implicitement dans NIS 2 (octobre 2024), DORA (janvier 2025), SOC 2 Type II, ISO 27001 Annexe A.14. Il est complémentaire — pas redondant — avec l'OWASP ASVS v4.0.3 (280+ exigences en 14 chapitres sur 3 niveaux de conformité) qui sert de checklist exhaustive pour audit et conception. Cet article détaille la définition, l'origine et l'histoire depuis 2003, la méthodologie de production en 4 étapes, les 6 projets Top 10 distincts, la place dans l'écosystème OWASP (ASVS, MASTG, WSTG, SAMM, Cheat Sheets), l'usage dans l'industrie, les limites documentées et notre bilan factuel.

1. Définition et rôle du Top 10

Définition opérationnelle : l'OWASP Top 10 est une liste éducative des 10 vulnérabilités applicatives les plus critiques, produite tous les 3-4 ans par la communauté OWASP. Il a trois fonctions principales :

  1. Sensibilisation : communiquer aux développeurs, managers, clients les risques AppSec prioritaires de manière accessible.
  2. Baseline contractuelle : référence dans RFP et contrats (« couverture OWASP Top 10 minimum »).
  3. Socle pédagogique : point d'entrée standard pour la formation AppSec, certifications, bootcamps.

Le Top 10 n'est pas :

  • Une checklist exhaustive (utiliser ASVS).
  • Un standard normatif opposable juridiquement.
  • Un outil de pentest (utiliser WSTG — Web Security Testing Guide).
  • Un référentiel de conception (utiliser SAMM — Software Assurance Maturity Model).

2. Origine et histoire depuis 2003

VersionAnnéeVulnérabilité N°1Contexte
OWASP Top 10 v12003Unvalidated InputÉpoque CGI, PHP, premiers sites web dynamiques
v22004Unvalidated InputConsolidation, adoption industrie
v32007Cross-Site Scripting (XSS)Explosion Web 2.0, AJAX, réseaux sociaux
v42010InjectionMontée SQL injection, prises de conscience
v52013InjectionStabilisation méthodologie
v62017InjectionAjout XML External Entities (XXE)
v72021Broken Access ControlReformulation catégories, intégration SSRF via community survey
v8 (prévue)2025-2026En finalisationIntégration menaces émergentes LLM-backed web apps, API modernes

Évolution méthodologique : les premières versions étaient produites par un petit groupe d'experts. Depuis 2013, la méthodologie s'est industrialisée avec data call public, analyse CWE-based quantitative, et transparence complète des données.

Impact historique : le Top 10 est l'un des rares documents cybersécurité mondiaux cité simultanément par développeurs juniors, RSSI de grands groupes, régulateurs (PCI Council, NIST, ENISA), éditeurs (SAST, DAST, WAF) et universitaires. Sa simplicité (10 items, deux pages résumées) est sa force — mais aussi sa limite.

3. Méthodologie de production en 4 étapes

Étape 1 — Data call public

OWASP lance un appel aux contributions publiques auprès de 40+ organisations partenaires : vendors SAST/DAST (Veracode, Checkmarx, Synopsys, Snyk, GitHub), cabinets de pentest (Bishop Fox, NCC Group), plateformes bug bounty (HackerOne, Bugcrowd), grandes organisations d'entreprise avec programmes AppSec matures. Pour la version 2021, les contributions couvrent plus de 500 000 applications analysées avec mapping CWE.

Étape 2 — Calcul d'incidence par CWE

Pour chaque CWE (Common Weakness Enumeration, référentiel MITRE de 600+ classes de faiblesses), calcul du pourcentage d'applications présentant au moins une instance. Les CWE les plus fréquents sont candidats au Top 10.

Étape 3 — Enquête community survey

Complément qualitatif pour capturer les menaces émergentes non encore matérialisées en données. Exemple 2021 : SSRF (Server-Side Request Forgery, CWE-918) est entré dans le Top 10 via community survey car les attaques Capital One 2019 ont sensibilisé, mais la fréquence dans les données quantitatives restait modérée à l'époque du data call.

Étape 4 — Consolidation en 10 catégories

Regroupement des CWEs proches en catégories lisibles avec titre, description, scénarios, facteurs de risque, recommandations. La version 2021 contient 8 catégories basées data plus 2 basées community survey (SSRF et cryptographic failures).

Transparence : les data, scripts d'analyse et raw findings sont publiés en open data sur le dépôt GitHub OWASP Top 10. Toute organisation peut auditer la méthodologie.

4. Les six projets OWASP Top 10 distincts

ProjetVersion actuellePérimètrePublication
OWASP Top 10 Web2021 (v8 en finalisation 2025)Applications web (HTTPS, formulaires, sessions)Révision 3-4 ans
OWASP API Security Top 102023APIs REST, GraphQL, SOAPRemplace 2019
OWASP Mobile Top 102024iOS, Android, API backend mobileRemplace 2016
OWASP Top 10 for LLM Applicationsv2 (2025)Applications intégrant des LLM (chatbots, agents, RAG)Première version 2023, révisé rapidement
OWASP Top 10 CI/CD Security Risks2022Pipelines build, supply chain, chaînes DevSecOpsRécent
OWASP Low-Code/No-Code Top 102022Plateformes Power Platform, Zapier, Airtable, BubbleÉmergent

Un AppSec engineer moderne en 2026 doit maîtriser a minima les 4 premiers (Web, API, Mobile, LLM) selon le périmètre de l'organisation. Les entités avec pipelines matures ajoutent CI/CD ; les entités avec usage intensif de low-code ajoutent LCNC.

Top 10 LLM v2 en bref : OWASP a publié en 2023 la première version et la v2 révisée en 2025 pour tenir compte de l'évolution rapide du marché. Les 10 catégories 2025 incluent LLM01 Prompt Injection, LLM02 Sensitive Information Disclosure, LLM03 Supply Chain, LLM04 Data and Model Poisoning, LLM05 Improper Output Handling, LLM06 Excessive Agency, LLM07 System Prompt Leakage, LLM08 Vector and Embedding Weaknesses, LLM09 Misinformation, LLM10 Unbounded Consumption.

5. OWASP Top 10 Web 2021 — listing synthétique

IDCatégorieCWE principaux mappésIncidence approximative
A01:2021Broken Access ControlCWE-284, CWE-285, CWE-63994 % des apps testées
A02:2021Cryptographic FailuresCWE-327, CWE-331, CWE-31979 %
A03:2021InjectionCWE-79, CWE-89, CWE-56494 %
A04:2021Insecure DesignCatégorie nouvelle, CWE-209, CWE-256
A05:2021Security MisconfigurationCWE-16, CWE-611, CWE-61490 %
A06:2021Vulnerable and Outdated ComponentsCWE-1104, CWE-937Haute
A07:2021Identification and Authentication FailuresCWE-287, CWE-384Moyenne-haute
A08:2021Software and Data Integrity FailuresCWE-829, CWE-502Catégorie nouvelle
A09:2021Security Logging and Monitoring FailuresCWE-778, CWE-117Élevée
A10:2021Server-Side Request Forgery (SSRF)CWE-918Basée community survey

Pour une analyse détaillée de chaque catégorie avec scénarios d'exploitation et remédiations, voir OWASP Top 10 Web : introduction et vue d'ensemble.

Exemple concret de mapping vulnérable → sécurisé pour A03 Injection (SQL Injection, CWE-89) en Python — démonstration de l'usage prescriptif du Top 10 :

# owasp-a03-injection-example.py
# Exemple pedagogique OWASP Top 10 A03:2021 Injection.
# CWE-89 SQL Injection - code vulnerable versus code securise.
 
import sqlite3
from typing import Optional
 
# ===== VERSION VULNERABLE (anti-pattern, NE PAS UTILISER) =====
 
def get_user_vulnerable(db_path: str, username: str) -> Optional[dict]:
    """
    Requete SQL vulnerable a l'injection via concatenation de chaines.
    Un utilisateur malveillant peut passer :
      username = "admin' OR '1'='1"
    ce qui transforme la requete en :
      SELECT * FROM users WHERE username = 'admin' OR '1'='1'
    et retourne toutes les lignes de la table users.
    """
    conn = sqlite3.connect(db_path)
    cursor = conn.cursor()
 
    # ANTI-PATTERN : concatenation directe
    query = f"SELECT id, username, email, role FROM users WHERE username = '{username}'"
    cursor.execute(query)
    row = cursor.fetchone()
 
    conn.close()
 
    if row:
        return {"id": row[0], "username": row[1], "email": row[2], "role": row[3]}
    return None
 
 
# ===== VERSION SECURISEE (pattern recommande OWASP) =====
 
def get_user_secure(db_path: str, username: str) -> Optional[dict]:
    """
    Requete SQL securisee via requetes parametrees (prepared statements).
    La valeur username est transmise en parametre separe, jamais concatenee
    au code SQL. Le driver SQLite escape automatiquement les caracteres
    dangereux. Aucun payload malveillant ne peut modifier la structure
    de la requete.
    Conforme OWASP Top 10 A03:2021 et CWE-89 mitigation.
    Reference : OWASP SQL Injection Prevention Cheat Sheet.
    """
    conn = sqlite3.connect(db_path)
    cursor = conn.cursor()
 
    # PATTERN RECOMMANDE : requete parametree
    query = "SELECT id, username, email, role FROM users WHERE username = ?"
    cursor.execute(query, (username,))
    row = cursor.fetchone()
 
    conn.close()
 
    if row:
        return {"id": row[0], "username": row[1], "email": row[2], "role": row[3]}
    return None
 
 
# ===== TEST DE DEMONSTRATION =====
 
def demo_injection_attempt():
    """
    Demonstration qui compare les deux versions avec un payload d'injection.
    Payload : username = "admin' OR '1'='1"
    - Version vulnerable : retourne la premiere ligne de la table (exploit reussi)
    - Version securisee : retourne None car aucun utilisateur ne porte ce nom litteral
    """
    db_path = "/tmp/demo-owasp-a03.db"
    payload = "admin' OR '1'='1"
 
    result_vulnerable = get_user_vulnerable(db_path, payload)
    result_secure = get_user_secure(db_path, payload)
 
    print(f"Version vulnerable : {result_vulnerable}")
    print(f"Version securisee  : {result_secure}")
 
 
# ===== CHECKLIST OWASP A03:2021 =====
#
# 1. Utiliser requetes parametrees (prepared statements) systematiquement.
# 2. Proscrire la concatenation de strings pour construire des requetes SQL.
# 3. Valider et normaliser les entrees utilisateur (allowlist).
# 4. Utiliser un ORM avec binding parametres (SQLAlchemy, Django ORM, Prisma).
# 5. Appliquer principe least privilege sur le compte DB applicatif.
# 6. Logger les tentatives d'injection pour detection SOC.
# 7. Tester avec SAST (Semgrep rules OWASP) et DAST (ZAP, Burp).

Cet exemple illustre comment le Top 10 sert de cadre prescriptif : catégorie A03 → CWE-89 → recommandation « requêtes paramétrées » → implémentation concrète. Un développeur qui connaît le Top 10 peut mapper une vulnérabilité découverte à sa remédiation standard en quelques secondes.

6. Place dans l'écosystème OWASP

L'OWASP produit bien au-delà du Top 10 — une vingtaine de projets majeurs structurent l'écosystème AppSec mondial.

Projet OWASPRôleRelation au Top 10
OWASP Top 10 (Web, API, Mobile, LLM, CI/CD, LCNC)Sensibilisation, baseline contractuelleRéférence grand public
OWASP ASVS (Application Security Verification Standard) v4.0.3Checklist exhaustive 280+ exigences, 14 chapitres, 3 niveauxComplément exhaustif du Top 10
OWASP WSTG (Web Security Testing Guide) v4.2Guide méthodologique pour pentester webOpérationnalise le Top 10 en tests
OWASP MASTG (Mobile Application Security Testing Guide)Guide pentest mobileOpérationnalise le Mobile Top 10
OWASP MASVS (Mobile Application Security Verification Standard)Exigences mobileComplément Mobile Top 10
OWASP SAMM (Software Assurance Maturity Model) v2.0Modèle maturité AppSec organisationnelleCadre structurel au-dessus du Top 10
OWASP Cheat Sheet Series90+ fiches pratiques par sujet (SQLi, XSS, JWT, OAuth, etc.)Remédiations détaillées du Top 10
OWASP ZAP (Zed Attack Proxy)Outil DAST open-sourceDétecte vulnérabilités Top 10
OWASP Dependency-Check / Dependency-TrackOutils SCA open-sourceCouvre A06 Vulnerable Components
OWASP CSRF GuardLibrairie protection CSRFMitigation CWE-352
OWASP Threat DragonOutil threat modelingSupport méthodologie STRIDE

Hiérarchie d'usage recommandée

  1. Sensibilisation développeurs juniors : Top 10 Web plus Mobile plus API selon contexte.
  2. Checklist de conception et audit : ASVS v4.0.3 niveau 2 (standard) ou niveau 3 (advanced pour critique).
  3. Tests de pentest web : WSTG v4.2 pour méthodologie complète.
  4. Modèle de maturité organisationnelle : SAMM v2.0 pour plan cyber AppSec long terme.
  5. Remédiations détaillées : Cheat Sheet Series pour chaque sujet spécifique.

7. Usage dans l'industrie en 2026

Cadre réglementaire et contractuel

CadreRéférence au Top 10
PCI-DSS v4.0 (Payment Card Industry)Explicite au chapitre 6.2.4 — Top 10 Web et API
NIS 2 (directive UE 2022/2555, transposée octobre 2024)Implicite via principe de diligence et référentiels OWASP recommandés
DORA (règlement UE 2022/2554, applicable janvier 2025)Idem NIS 2 pour tests de résilience opérationnelle
SOC 2 Type IIRéférence dans le trust service criteria Security
ISO 27001:2022 Annexe AContrôles A.14 Acquisition système — référence OWASP implicite
CIS Controls v8Contrôle 16 Application Software Security — référence OWASP
ANSSI Guide développement sécuriséRéférence OWASP Top 10 et ASVS

Usage RFP et contrats B2B

Les appels d'offres B2B mentionnent couramment :

  • « L'application doit couvrir l'OWASP Top 10 minimum »
  • « Audit AppSec annuel avec mapping OWASP Top 10 »
  • « Conformité ASVS niveau 2 requise »
  • « Tests de pentest selon méthodologie OWASP WSTG »

Un produit qui ne peut pas démontrer explicitement sa couverture OWASP Top 10 se retrouve désavantagé en B2B en 2026.

Formation et certifications

  • Bootcamps AppSec (Zeroday Cyber Academy, SANS, OffSec) : Top 10 comme module de base obligatoire.
  • Certifications incluant OWASP : CSSLP (ISC)², CEH, OSWE OffSec, Burp Suite Certified Practitioner.
  • Formations éditeurs : Veracode Academy, Snyk Learn, Checkmarx Codebashing, GitHub AppSec learning paths.

8. Les cinq limites du Top 10

LimiteImplication pratiqueContre-mesure
Non-exhaustivitéCouvre ≈ 10 catégories consolidées sur 600+ CWEsCompléter avec ASVS v4.0.3 pour couverture exhaustive
TemporalitéRévisé tous les 3-4 ans, rate les menaces émergentesVeille CVE plus sources CTI complémentaires
Biais contributeursDonnées majoritairement nord-américaines et européennesAjouter sources régionales si contexte Asie/Afrique
Mélange incidence et gravitéUn CWE fréquent peu critique entre, un CWE rare catastrophique peut manquerPondérer par impact business spécifique
Applicabilité sectorielle variableTop 10 générique moins adapté à IoT, OT/ICS, blockchainUtiliser référentiels sectoriels (ENISA IoT, NIST SP 800-82 OT)

9. Pour aller plus loin

10. Points clés à retenir

  • Top 10 = liste consensuelle des 10 vulnérabilités applicatives les plus critiques, produite par OWASP depuis 2003, révisée tous les 3-4 ans.
  • 6 projets Top 10 distincts en 2026 : Web (2021, v8 2025 en finalisation), API (2023), Mobile (2024), LLM v2 (2025), CI/CD (2022), LCNC (2022).
  • Méthodologie en 4 étapes : data call 40+ orgs, calcul incidence CWE, community survey, consolidation 10 catégories.
  • Top 10 Web 2021 : A01 Broken Access Control (94 % apps), A02 Cryptographic Failures, A03 Injection (94 %), A04 Insecure Design, A05 Security Misconfiguration, A06 Vulnerable Components, A07 Auth Failures, A08 Software/Data Integrity, A09 Logging Failures, A10 SSRF.
  • Top 10 LLM v2 2025 : LLM01 Prompt Injection, LLM02 Sensitive Info Disclosure, LLM03 Supply Chain, LLM04 Data/Model Poisoning, LLM05 Improper Output Handling, LLM06 Excessive Agency, LLM07 System Prompt Leakage, LLM08 Vector/Embedding, LLM09 Misinformation, LLM10 Unbounded Consumption.
  • Écosystème OWASP : Top 10 (sensibilisation) plus ASVS (checklist exhaustive) plus WSTG (pentest) plus SAMM (maturité) plus Cheat Sheets (remédiations).
  • Référencement réglementaire : PCI-DSS v4.0 explicite, NIS 2 et DORA implicites, SOC 2, ISO 27001 Annexe A.14, CIS Controls v8.
  • Baseline B2B minimum en 2026 — un produit sans couverture Top 10 explicite est désavantagé.
  • 5 limites documentées : non-exhaustivité, temporalité, biais contributeurs, mélange incidence/gravité, applicabilité sectorielle variable.
  • Conforme Top 10 ne signifie pas application sécurisée — utiliser ASVS v4.0.3 niveau 2+ pour couverture professionnelle réelle.

La formation OWASP Web Security Zeroday Cyber Academy couvre en profondeur les 10 catégories du Top 10 Web 2021 avec scénarios d'exploitation, exemples de code vulnérable versus sécurisé par langage (Python, Node.js, Java, Go), mapping CWE-CVSS, intégration dans pipelines DevSecOps et préparation aux certifications Burp Suite Certified Practitioner plus CSSLP.

Questions fréquentes

  • Qu'est-ce que l'OWASP Top 10 exactement ?
    L'OWASP Top 10 est une liste consensuelle des 10 vulnérabilités applicatives les plus critiques, produite par la fondation Open Worldwide Application Security Project (OWASP, organisation à but non lucratif créée en 2001). Publié pour la première fois en 2003, révisé tous les 3-4 ans, il constitue le référentiel de fait de l'AppSec mondiale. Contrairement à un standard normatif (type ISO 27001), le Top 10 est une liste éducative et prescriptive — il identifie les risques les plus fréquents et les plus graves, sans prétendre à l'exhaustivité. Méthodologie de production : data call public auprès de 40+ organisations avec des millions d'applications auditées, calcul d'incidence par CWE (Common Weakness Enumeration), enquête d'experts sur les menaces émergentes, mapping vers les scénarios d'exploitation et remédiations. La version OWASP Top 10 Web actuelle est la 2021, avec une révision 2025 en finalisation.
  • Combien existe-t-il de projets OWASP Top 10 distincts ?
    Six projets Top 10 majeurs coexistent en 2026, couvrant différentes surfaces applicatives. 1) OWASP Top 10 Web (2021, révision 2025) : applications web traditionnelles, le plus connu. 2) OWASP API Security Top 10 (2023) : APIs REST/GraphQL, remplace la version 2019. 3) OWASP Mobile Top 10 (2024) : applications iOS et Android. 4) OWASP Top 10 for Large Language Model Applications (v2 publié 2025) : applications intégrant des LLM, émergent depuis 2023. 5) OWASP Top 10 CI/CD Security Risks (2022) : pipelines, chaînes build, supply chain. 6) OWASP Low-Code/No-Code Top 10 (2022) : plateformes Power Platform, Zapier, etc. Chaque projet a ses auteurs, sa méthodologie et son cycle de mise à jour distincts. Un AppSec engineer moderne en 2026 doit a minima maîtriser les 4 premiers (Web, API, Mobile, LLM) selon le périmètre de l'organisation.
  • Quelle différence entre OWASP Top 10 et OWASP ASVS ?
    Deux projets OWASP distincts aux usages complémentaires. L'OWASP Top 10 est une liste éducative des 10 vulnérabilités les plus critiques — format court, facile à communiquer, utilisé en sensibilisation dev, RFP et contrats. L'OWASP ASVS (Application Security Verification Standard, v4.0.3 actuelle) est un référentiel exhaustif de 280+ exigences de sécurité applicative organisées en 14 chapitres, avec 3 niveaux de conformité (AASVS L1 opportunistic, L2 standard, L3 advanced). L'ASVS sert de checklist de couverture pour audit AppSec professionnel, pentest whitebox, ou certification produit. Le Top 10 répond à « quelles sont les vulnérabilités les plus fréquentes » ; l'ASVS répond à « quelles exigences mon application doit-elle respecter pour être sécurisée ». Les deux sont complémentaires : le Top 10 sensibilise, l'ASVS cadre la conception et l'audit.
  • Comment est produit l'OWASP Top 10 concrètement ?
    Méthodologie formalisée en 4 étapes. 1) Data call public : OWASP collecte des données de vulnérabilités auprès de 40+ organisations partenaires (vendors SAST/DAST, cabinets de pentest, bug bounty platforms). La version 2021 couvre plus de 500 000 applications analysées. 2) Calcul d'incidence par CWE (Common Weakness Enumeration) : pourcentage d'applications présentant au moins une instance d'un CWE donné sur la période. 3) Enquête d'experts : complément qualitatif pour capturer les menaces émergentes non encore matérialisées en data (ex : injection SSRF avant 2021). 4) Regroupement en 10 catégories consolidées mappées aux CWEs. Chaque entrée est ensuite enrichie avec description, scénarios d'exploitation, recommandations de prévention, facteurs de risque. Le processus est transparent — data, scripts et raw findings sont publiés en open data. Le Top 10 2021 repose par exemple sur le top 8 par incidence plus 2 par community survey (SSRF et cryptographic failures).
  • Quelles sont les limites du OWASP Top 10 ?
    Cinq limites documentées par OWASP elle-même. 1) Non-exhaustivité : le Top 10 n'est pas une checklist complète — une application conforme au Top 10 n'est pas nécessairement sécurisée. Pour couverture exhaustive, utiliser OWASP ASVS. 2) Temporalité : mis à jour tous les 3-4 ans, ne capture pas les menaces émergentes rapidement. 3) Biais des contributeurs : les organisations partenaires sont majoritairement nord-américaines et européennes, moins de données d'Asie et d'Afrique. 4) Mélange incidence et gravité : un CWE fréquent mais peu critique peut entrer dans le Top 10, un CWE rare mais catastrophique peut ne pas y entrer. 5) Applicabilité variable par secteur : un Top 10 générique s'applique mal aux secteurs avec risques spécifiques (IoT, OT/ICS industriel, blockchain). Les AppSec engineers matures utilisent donc le Top 10 comme socle éducatif et ASVS comme référentiel opérationnel. Les ajustements sectoriels (aviation, santé, finance) utilisent des référentiels complémentaires spécialisés.
  • L'OWASP Top 10 est-il obligatoire en France et UE en 2026 ?
    Pas directement obligatoire au sens strict, mais référencé explicitement dans plusieurs cadres réglementaires et contractuels. PCI-DSS v4.0 (Payment Card Industry Data Security Standard) : référence explicite le Top 10 Web et API au chapitre 6.2 (développement sécurisé). NIS 2 (directive UE 2022/2555, transposée octobre 2024) : recommande les référentiels OWASP sans les citer nommément (principe de diligence). DORA (règlement UE 2022/2554, applicable janvier 2025) : idem pour les tests de résilience. Nombreux appels d'offres publics et privés mentionnent explicitement « couverture OWASP Top 10 » comme critère minimum. Les certifications SOC 2 Type II, ISO 27001 ajout de l'annexe A.14 (acquisition système), contrôles CIS Controls v8 (IG2 et IG3) référencent OWASP en contrôle attendu. En pratique, le Top 10 est la baseline minimum attendue de toute application web ou API professionnelle en France en 2026 — un produit qui ne le couvre pas explicitement est difficile à vendre en B2B.
Découvrir la formation OWASP Web Security

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

À lire également