L’OWASP est une fondation à but non lucratif qui œuvre à l’amélioration de la sécurité des logiciels.
L’OWASP (Open Worldwide Application Security Project) est une communauté ouverte qui se consacre à donner les moyens aux entreprises de concevoir, de développer, d’acquérir, d’exploiter et de maintenir des logiciels pour des applications sécurisées de confiance. Ses programmes comprennent des projets de logiciels libres menés par la population civile ainsi que des conférences locales et mondiales, et impliquent des centaines de groupes dans le monde entier et plusieurs dizaines de milliers de membres.
L’OWASP joue un rôle crucial dans la sensibilisation aux risques de sécurité des applications web et fournit des ressources, des outils, de la documentation et des bonnes pratiques très utiles pour relever les défis croissants de la sécurité des applications web. L’OWASP aide les développeurs, les professionnels de la sécurité et les entreprises à comprendre les menaces potentielles et à adopter les meilleures pratiques de sécurité.
L’OWASP tient à jour une liste des dix risques de sécurité les plus critiques pour les applications web, ainsi que des processus, procédures et contrôles efficaces pour atténuer ces risques. L’OWASP communique également la liste des dix principaux risques de sécurité pour les API pour informer les personnes impliquées dans le développement et la maintenance des API et les sensibiliser aux faiblesses de sécurité courantes des API.
La communauté de l’OWASP encourage individus et entreprises à contribuer à ses projets et ressources. Cette approche collaborative et axée sur des enquêtes permet à la communauté d’exploiter les connaissances et l’expertise collective de ses membres, ce qui se traduit par des ressources complètes et à jour.
Il existe des risques de sécurité communs aux applications et aux API qui doivent être pris en compte lors de la mise en œuvre de solutions de sécurité. Par exemple :
Le Top 10 de l’OWASP est une liste largement reconnue qui recense les risques de sécurité les plus critiques pour les applications web. Cette liste sert de guide aux développeurs, aux professionnels de la sécurité et aux entreprises qui cherchent à hiérarchiser leurs efforts pour identifier et atténuer les risques critiques pour la sécurité des applications web.
La présence d’un risque sur la liste Top 10 de l’OWASP n’indique pas nécessairement sa prévalence ou sa gravité dans toutes les applications web, et le Top 10 n’est pas classé dans un ordre particulier ou par priorité.
Pour 2021, le Top 10 de l’OWASP pour les risques de sécurité des applications web est le suivant :
Contrôles d’accès défaillants. Cette vulnérabilité se produit lorsque l’application de contrôles d’accès et d’autorisations insuffisants permet aux attaquants d’accéder à des fonctionnalités ou à des données non autorisées. Cela peut être causé par des références d’objet directes non sécurisées (IDOR), qui peuvent survenir lorsqu’une application ne parvient pas à valider ou à autoriser une entrée utilisateur utilisée comme référence directe à un objet interne. Cela peut également se produire en raison de contrôles d’accès manquants au niveau des fonctions, lorsque l’application ne valide les contrôles d’accès qu’à l’étape d’authentification ou d’autorisation initiale, mais n’applique pas systématiquement ces contrôles tout au long des fonctions ou des opérations de l’application. Un pare-feu d’application web (WAF) peut protéger contre ces attaques en surveillant et en appliquant des contrôles d’accès qui empêchent tout accès non autorisé à des objets ou des ressources sensibles.
Le Top 10 de l’OWASP de 2021 reflète quelques nouvelles catégories et changements de dénomination par rapport au Top 10 de l’OWASP de 2017. Ces changements comprennent l’intégration de la menace XML External Entities (XXE) de 2017 dans la catégorie Mauvaise configuration de la sécurité de 2021 et l’ajout de la menace Cross-Site Scripting (XSS) de 2017 à la catégorie Injection de 2021. La catégorie Désérialisation non sécurisée des risques de 2017 fait désormais partie de la catégorie Défaillances des logiciels et de l’intégrité des données de 2021.
L’OWASP parraine actuellement 293 projets, dont les 16 projets phares suivants de l’OWASP qui apportent une valeur stratégique à l’OWASP et à la sécurité des applications dans son ensemble.
Avec sa quête continue d’amélioration de la sécurité des logiciels, l’OWASP joue un rôle essentiel en sensibilisant les développeurs, les professionnels de la sécurité et les entreprises aux risques liés à la sécurité des applications web et en préconisant les bonnes pratiques à adopter. En tant que projet reposant sur la communauté, l’OWASP rassemble des experts et des passionnés et les fait collaborer à l’amélioration de la sécurité des applications web, contribuant à créer une culture de la sécurité avant tout qui promeut des pratiques de codage et des méthodologies de développement sécurisées.
En outre, l’OWASP propose une multitude d’outils, de documents et de ressources gratuits et open source qui permettent aux entreprises d’améliorer leur posture de sécurité, notamment le Top 10 de l’OWASP, l’API Security Top 10 de l’OWASP et le projet Automated Threats to web Applications. Les autres initiatives de l’OWASP sont les suivantes :
Participez en devenant membre de l’OWASP ou en assistant à une réunion de section locale. Ces réunions sont gratuites et ouvertes aux membres et aux non-membres. En outre, l’OWASP organise chaque année près d’une douzaine d’événements mondiaux et régionaux. Ce sont d’excellentes occasions d’améliorer vos compétences professionnelles, de renforcer votre réseau professionnel et de vous familiariser avec les nouvelles tendances de l’industrie.
F5 soutient la Fondation de l’OWASP et son engagement à améliorer la sécurité des logiciels et à sensibiliser aux risques et aux vulnérabilités de sécurité des applications web. Les solutions F5 web Application Firewall bloquent et atténuent un large éventail de risques découlant du Top 10 de l’OWASP.
Les solutions F5 WAF combinent des protections par signature et par comportement, avec des renseignements sur les menaces fournis par F5 Labs et une sécurité basée sur l’apprentissage automatique, pour suivre le rythme des menaces émergentes. Elles allègent la charge et la complexité liée à une sécurisation cohérente des applications dans les environnements cloud, sur site et en périphérie, tout en simplifiant la gestion par le biais d’une infrastructure SaaS centralisée. F5 WAF rationalise également la sécurité des applications en intégrant des protections dans les cadres de développement et les pipelines CI/CD avec des fonctionnalités de sécurité fondamentales, une orchestration centralisée et une supervision via un tableau de bord unique avec une vue à 360° sur les performances et les événements de sécurité des applications distribuées.
F5 aborde également les risques identifiés dans le API Security Top 10 de l’OWASP avec des solutions qui protègent la surface d’attaque en pleine croissance contre les menaces émergentes à mesure que les applications évoluent et que les déploiements d’API augmentent. Les solutions F5 web Application and API Protection (WAAP) défendent l’intégralité de la surface d’attaque des applications modernes avec des protections complètes qui incluent les WAF, API Security, l’atténuation des DDoS L3-L7 et Bot Defense contre les menaces automatisées et la fraude. La plateforme distribuée facilite le déploiement de politiques cohérentes et la mise à l’échelle de la sécurité sur l’ensemble de votre parc d’applications et d’API, quel que soit l’endroit où elles sont hébergées, et intègre la sécurité dans le cycle de vie des API et des écosystèmes plus larges.
F5 propose des solutions pour faire face aux risques décrits dans le projet de l’OWASP relatif aux menaces automatisées pour les applications web. F5 Distributed Cloud Bot Defense prévient les fraudes et les abus capables de contourner les solutions existantes de gestion des robots et fournit une surveillance et des renseignements en temps réel ainsi qu’une analyse rétrospective basée sur l’apprentissage automatique pour protéger les entreprises contre les attaques automatisées, sans créer de frictions pour les utilisateurs ni perturber l’expérience client. Distributed Cloud Bot Defense maintient son efficacité quelle que soit la façon dont les attaquants se réoutillent, que les attaques passent des applications web aux API ou tentent de contourner les défenses anti-automatisation en usurpant la télémétrie ou en utilisant des humains pour résoudre les CAPTCHA.
F5 offre également une protection DDoS à plusieurs niveaux, pour une sécurité en ligne avancée, en tant que service d’atténuation géré en cloud qui détecte et atténue les attaques à grande échelle ciblant le réseau, le protocole et les applications en temps réel ; les mêmes protections sont également disponibles que pour le matériel, les logiciels et les solutions hybrides sur site. F5 Distributed Cloud DDoS Mitigation protège contre les attaques volumétriques et spécifiques aux applications de couche 3 et 4 et de couche 7 avancée avant qu’elles n’atteignent votre infrastructure réseau et vos applications.
PRÉSENTATION DE LA SOLUTION
F5 BIG-IP Advanced WAF – Protection pour toutes les applications, partout ›