Il existe trois nouvelles catégories, quatre catégories avec des changements de nom et de portée, et une certaine consolidation dans le Top 10 pour 2021.
A01 : 2021 – Le contrôle d’accès cassé passe de la cinquième position ; 94 % des applications ont été testées pour détecter une forme de contrôle d’accès défectueux. Les 34 énumérations de faiblesses communes (CWE) mappées au contrôle d’accès brisé présentaient plus d’occurrences dans les applications que dans toute autre catégorie.
A02 : 2021 – Les échecs cryptographiques remontent d’une position au numéro 2, auparavant connu sous le nom d’exposition aux données sensibles, qui était un symptôme général plutôt qu’une cause profonde. L’attention renouvelée ici est portée sur les défaillances liées à la cryptographie, qui conduisent souvent à l’exposition de données sensibles ou à une compromission du système.
A03 : 2021 – L’injection glisse jusqu’à la troisième position. 94 % des applications ont été testées pour une forme d’injection, et les 33 CWE cartographiés dans cette catégorie ont le deuxième plus grand nombre d’occurrences dans les applications. Le Cross-site Scripting fait désormais partie de cette catégorie dans cette édition.
A04 : 2021 – Conception non sécurisée est une nouvelle catégorie pour 2021, axée sur les risques liés aux défauts de conception. Si nous voulons véritablement « aller à gauche » en tant qu’industrie, cela nécessite un recours accru à la modélisation des menaces, aux modèles et principes de conception sécurisés et aux architectures de référence.
A05 : 2021 – Une mauvaise configuration de sécurité passe du numéro 6 dans l’édition précédente ; 90 % des applications ont été testées pour détecter une forme de mauvaise configuration. Avec l’évolution croissante vers des logiciels hautement configurables, il n’est pas surprenant de voir cette catégorie progresser. L’ancienne catégorie des entités externes XML (XXE) fait désormais partie de cette catégorie.
A06 : 2021 – Composants vulnérables et obsolètes était auparavant intitulé Utilisation de composants avec des vulnérabilités connues et se classe n°2 dans l’enquête communautaire du Top 10, mais disposait également de suffisamment de données pour figurer dans le Top 10 via l’analyse des données. Cette catégorie passe de la 9e place en 2017 et constitue un problème connu pour lequel nous avons du mal à tester et à évaluer les risques. Il s’agit de la seule catégorie à ne pas avoir de vulnérabilités et d’expositions communes (CVE) mappées aux CWE inclus, donc un exploit par défaut et des pondérations d’impact de 5,0 sont pris en compte dans leurs scores.
A07 : 2021 – Les échecs d’identification et d’authentification étaient auparavant une authentification interrompue et glissent de la deuxième position, et incluent désormais les CWE qui sont davantage liés aux échecs d’identification. Cette catégorie fait toujours partie intégrante du Top 10, mais la disponibilité accrue de cadres standardisés semble y contribuer.
A08 : 2021 – Les défaillances d’intégrité des logiciels et des données sont une nouvelle catégorie pour 2021, qui se concentre sur l’élaboration d’hypothèses liées aux mises à jour logicielles, aux données critiques et aux pipelines CI/CD sans vérifier l’intégrité. L’un des impacts les plus pondérés des données CVE/CVSS (Common Vulnerability and Exposures/Common Vulnerability Scoring System) mappées sur les 10 CWE de cette catégorie. La désérialisation non sécurisée de 2017 fait désormais partie de cette catégorie plus large.
A09 : 2021 – Les échecs de journalisation et de surveillance de la sécurité étaient auparavant insuffisants en matière de journalisation et de surveillance et sont ajoutés à partir de l’enquête de l’industrie (#3), passant du #10 précédemment. Cette catégorie est élargie pour inclure davantage de types de pannes, est difficile à tester et n’est pas bien représentée dans les données CVE/CVSS. Cependant, les défaillances de cette catégorie peuvent avoir un impact direct sur la visibilité, les alertes d’incident et les analyses judiciaires.
A10 : 2021-Server-Side Request Forgery est ajouté à partir de l’enquête communautaire Top 10 (#1). Les données montrent un taux d’incidence relativement faible avec une couverture de tests supérieure à la moyenne, ainsi que des notes supérieures à la moyenne pour le potentiel d’exploitation et d’impact. Cette catégorie représente le scénario dans lequel les membres de la communauté de la sécurité nous disent que c’est important, même si cela n’est pas illustré dans les données pour le moment.
Laisser un commentaire