Les grands référentiels internationaux de la sécurité applicative

La sécurité applicative est aujourd’hui au cœur des enjeux numériques. Les applications web et mobiles sont devenues les principales cibles des cyberattaques car elles concentrent les données sensibles et constituent la porte d’entrée vers les systèmes d’information. Pour mieux comprendre, classifier et prioriser les vulnérabilités, la communauté internationale a mis en place plusieurs référentiels. Ces cadres méthodologiques permettent aux développeurs, auditeurs et responsables sécurité de parler un langage commun, d’évaluer les risques et de mettre en place des stratégies de correction adaptées.

Parmi les plus importants, on retrouve l’OWASP Top 10, les CVE (Common Vulnerabilities and Exposures), les CWE (Common Weakness Enumeration) et le CVSS (Common Vulnerability Scoring System). Chacun joue un rôle complémentaire: certains recensent les failles, d’autres les classifient et d’autres encore les évaluent en termes de gravité.

OWASP Top 10: le référentiel incontournable de la sécurité applicative

L’OWASP Top 10 est sans doute le référentiel le plus reconnu dans le domaine de la sécurité applicative. Publié périodiquement par l’Open Web Application Security Project, il dresse la liste des dix menaces les plus critiques auxquelles les applications web sont exposées. Ce document de référence ne se limite pas à une simple énumération: il fournit des explications claires, des exemples concrets et des recommandations pratiques pour aider les développeurs et les auditeurs à comprendre la nature des failles et à mettre en place des contre‑mesures efficaces.

L'objectif principal d'OWASP Top 10 est de sensibiliser les acteurs du développement et de l’audit aux menaces les plus fréquentes et les plus dangereuses. Parmi les vulnérabilités récurrentes figurent les injections SQL, les failles de type Cross‑Site Scripting (XSS), la mauvaise gestion des sessions et des identités, ou encore les vulnérabilités liées à la chaîne d’approvisionnement logicielle. Ces risques, largement documentés, représentent une part importante des attaques observées dans le monde réel.

Je vous invite à découvrir la liste exhaustive des vulnérabilité d'OWASP TOP 10 publiée en 2025.

En pratique, l’OWASP Top 10 joue le rôle de guide pédagogique et opérationnel. Il permet aux équipes de concentrer leurs efforts sur les failles les plus répandues, plutôt que de se disperser sur l’ensemble des vulnérabilités possibles. Par exemple, une application vulnérable à l’injection SQL est directement concernée par ce référentiel et doit être corrigée en priorité, car ce type de faille peut compromettre la confidentialité des données, l’intégrité des systèmes et la disponibilité des services.

CVE de MITRE: un langage universel pour les vulnérabilités

Le CVE (Common Vulnerabilities and Exposures), géré par l’organisation américaine MITRE, est un référentiel international qui recense et attribue un identifiant unique à chaque vulnérabilité informatique connue.

Créé pour uniformiser le langage entre chercheurs, éditeurs de logiciels et équipes de sécurité, le système CVE permet de référencer les failles de manière standardisée et de faciliter leur suivi. Chaque vulnérabilité documentée reçoit un code CVE (par exemple: CVE‑2021‑44228), accompagné d’une description technique et d’informations sur son impact. Ce système est devenu indispensable pour coordonner les efforts de correction et garantir que tous les acteurs parlent de la même faille avec la même référence.

Un exemple marquant est la vulnérabilité Log4Shell (CVE‑2021‑44228), découverte en 2021 dans la bibliothèque Java Log4j. Cette faille critique permettait à un attaquant d’exécuter du code à distance sur des serveurs vulnérables, compromettant ainsi la confidentialité, l’intégrité et la disponibilité des systèmes.

Grâce à son identifiant CVE, la vulnérabilité Log4Shell a pu être rapidement partagée et suivie à l’échelle mondiale, ce qui a facilité la mise en place de correctifs et la sensibilisation des entreprises. Ainsi, le CVE joue un rôle central dans la gestion des menaces, en offrant une base commune pour identifier, communiquer et traiter les failles de sécurité.

CVSS de FIRST: mesurer la gravité des vulnérabilités

Le CVSS (Common Vulnerability Scoring System), maintenu par l’organisation internationale FIRST (Forum of Incident Response and Security Teams), est un référentiel international qui permet de mesurer la gravité d’une vulnérabilité à l’aide d’un score standardisé allant de 0 à 10. Ce système, largement adopté par les éditeurs de logiciels et les équipes de sécurité, repose sur plusieurs critères: la facilité d’exploitation de la faille, l’impact potentiel sur la confidentialité, l’intégrité et la disponibilité des systèmes, ainsi que des facteurs contextuels comme l’environnement ou la temporalité. Grâce à cette notation, les organisations peuvent prioriser leurs correctifs en fonction du risque réel, plutôt que de traiter toutes les vulnérabilités de manière uniforme.

Par exemple, la vulnérabilité Log4Shell (CVE‑2021‑44228) a obtenu un score CVSS de 9.8/10, ce qui la classe dans la catégorie des failles critiques. Ce score reflète le fait qu’elle était facilement exploitable à distance et qu’elle pouvait entraîner une compromission totale des systèmes affectés.

Face à une telle évaluation, les entreprises ont été contraintes de réagir immédiatement, en appliquant des correctifs et en renforçant leurs mécanismes de surveillance. Ainsi, le CVSS joue un rôle essentiel car il transforme une faille technique en un indicateur de risque clair et prioritaire, compréhensible aussi bien par les experts que par les décideurs.

CWE de MITRE: classification des faiblesses de conception

Le CWE (Common Weakness Enumeration), développé et maintenu par la MITRE Corporation, est un référentiel international qui recense et catégorise les faiblesses de conception et de programmation pouvant conduire à des vulnérabilités dans les logiciels.

Contrairement au CVE, qui attribue un identifiant unique à chaque vulnérabilité découverte, le CWE s’intéresse aux causes profondes: erreurs de logique, mauvaises pratiques de codage ou défauts d’architecture. Chaque faiblesse est décrite et numérotée (par exemple: CWE‑79 pour le Cross‑Site Scripting, ou CWE‑89 pour l’injection SQL).

Le catalogue CWE est utilisé par les développeurs, les auditeurs et les chercheurs pour comprendre comment et pourquoi une vulnérabilité peut apparaître, et ainsi améliorer la qualité du code dès la phase de conception.

A titre d'exemple, une faille d’injection SQL identifiée dans une application sera référencée comme CVE si elle est découverte et publiée, mais sa cause profonde sera décrite dans le CWE‑89. Cela permet de relier la vulnérabilité spécifique (CVE) à une faiblesse générique (CWE), et donc de mettre en place des pratiques de développement qui évitent que ce type de faille ne se reproduise.