Sommaire

Comprendre les risques selon l’OWASP

L’OWASP et son top 10 que nous avons présentés lors du chapitre précédent (cf. Panorama de la sécurité web - Les guides et bonnes pratiques), vont être étudiés plus en détail dans cette section. Pour rappel, le top 10 est un document abordant les dix risques les plus rencontrés lors d’une attaque cybercriminelle. Pour arriver à ce résultat, l’OWASP réalise une enquête auprès des organisations ayant des statistiques sur les attaques rencontrées et regroupe le tout pour établir un classement des risques. Les éléments de classification sont :

Agents de menace

Correspondant à la description de l’attaquant (qui ?)

Vecteur d’attaque (exploitabilité)

Exploitabilité de la vulnérabilité (facile, moyenne, difficile)

Prévalence

La vulnérabilité est-elle courante (commune, répandue, très répandue) ?

Détectabilité

Est-il facile de détecter la vulnérabilité (facile, moyenne, difficile) ?

Impact technique

Quelles sont les conséquences et la finalité de l’exploitation de la vulnérabilité ?

Impact métier

Quel est l’impact (en termes de réputation, commercial, légal, juridique, etc.) ?

Il est important de comprendre que l’étude d’une vulnérabilité n’a pas vraiment ...