Accueil › Veille Technologique

Cybersécurité OWASP 1ère année BTS

Veille — Cybersécurité

Étude menée en 1ère année de BTS SIO SLAM sur les cybermenaces actuelles, les bonnes pratiques de sécurisation du web et le référentiel OWASP Top 10 — avec applications concrètes au développement PHP.

OWASP
Référentiel mondial des 10 risques critiques
+38%
Augmentation des cyberattaques en 2023 (ANSSI)
RGPD
Réglementation européenne sur les données personnelles
0-day
Vulnérabilités inconnues exploitées avant correction
Introduction

Qu'est-ce que la cybersécurité ?

La cybersécurité désigne l'ensemble des pratiques, outils et technologies visant à protéger les systèmes informatiques, les réseaux et les données contre les attaques, les accès non autorisés et les dommages.

Dans le contexte du développement web, elle couvre la protection des applications contre les injections SQL, les attaques XSS, le vol de session, les accès non autorisés et la fuite de données personnelles réglementée par le RGPD.

"La sécurité n'est pas un état final mais un processus continu — chaque ligne de code est une surface d'attaque potentielle."

Injection SQL XSS CSRF RGPD Pentest
OWASP Top 10

Les 10 risques critiques

Le référentiel OWASP (Open Web Application Security Project) liste chaque année les 10 vulnérabilités web les plus répandues.

A01
Broken Access ControlContrôles d'accès insuffisants permettant des accès non autorisés aux ressources.
A02
Cryptographic FailuresMauvaise gestion de la cryptographie — données sensibles en clair, algorithmes obsolètes.
A03
Injection (SQL, XSS…)Données non validées interprétées comme des commandes. Ex : '; DROP TABLE users;--
A04
Insecure DesignAbsence de modélisation des menaces et de principes de sécurité dès la conception.
A05
Security MisconfigurationConfigurations par défaut non modifiées, serveurs exposés, messages d'erreur trop verbeux.
A06
Vulnerable ComponentsBibliothèques et dépendances non mises à jour contenant des vulnérabilités connues.
A07
Auth FailuresAuthentification fragile — mots de passe faibles, sessions non invalidées, brute force possible.
A08
Integrity FailuresDésérialisation non sécurisée, pipelines CI/CD non protégés, mises à jour non vérifiées.
A09
Logging FailuresAbsence de journalisation — impossibilité de détecter les intrusions ou d'en analyser les causes.
A10
Server-Side Request ForgeryL'application envoie des requêtes vers des ressources internes à la demande d'un attaquant.
Principales menaces

Types d'attaques

Injection SQL

Insertion de code SQL malveillant dans des formulaires pour lire, modifier ou supprimer des données en base.

✓ Prévention : requêtes préparées PDO

Cross-Site Scripting (XSS)

Injection de scripts JavaScript dans des pages web pour voler des cookies de session ou rediriger l'utilisateur.

✓ Prévention : htmlspecialchars(), CSP

CSRF

Forcer le navigateur d'un utilisateur authentifié à effectuer des actions non voulues sur une application.

✓ Prévention : tokens CSRF, SameSite

Phishing

Usurpation d'identité par e-mail ou site frauduleux pour obtenir des identifiants ou informations bancaires.

✓ Prévention : sensibilisation, SPF/DKIM

Ransomware

Chiffrement des données d'une organisation avec demande de rançon pour en retrouver l'accès.

✓ Prévention : sauvegardes, MFA

DDoS

Saturation d'un serveur par un déluge de requêtes pour le rendre inaccessible aux utilisateurs légitimes.

✓ Prévention : WAF, rate limiting

Avantages / Limites

Bonne pratique & réalité

Bonnes pratiques
  • Requêtes préparées (PDO/MySQLi) contre les injections
  • Encodage systématique des sorties HTML (XSS)
  • HTTPS obligatoire — chiffrement des échanges
  • Principe du moindre privilège pour les comptes
  • Mise à jour régulière des dépendances
  • Authentification multi-facteurs (MFA)
Défis & limites
  • Sécurité vs ergonomie — arbitrages constants
  • Zero-day : menaces inconnues non anticipables
  • Ingénierie sociale : le facteur humain reste le maillon faible
  • Coût des audits de sécurité pour les petites structures
  • Obsolescence rapide des recommandations
Méthodologie

Outils de veille

Organisation de la veille avec des outils complémentaires : agrégation de flux, alertes officielles et lecture approfondie.

Feedly

Agrégateur de flux RSS — abonnement aux flux CERT-FR, ANSSI, OWASP, Krebs on Security. Lecture quotidienne classée par importance.

  • Flux RSS CERT-FR
  • Flux ANSSI actualités
  • Feed Krebs on Security
  • Feed OWASP Blog
ANSSI & CERT-FR

Sources officielles françaises — alertes de sécurité, bulletins CVE critiques et rapports annuels sur l'état de la cybermenace.

  • Bulletins d'alertes CERT-FR
  • Panorama de la cybermenace
  • Guides de bonnes pratiques
  • Alertes vulnérabilités critiques
OWASP Foundation

Référentiel mondial de sécurité applicative — lecture du Top 10, Cheat Sheets et guides de tests pour intégrer la sécurité au développement.

  • OWASP Top 10 (2021)
  • OWASP Cheat Sheet Series
  • OWASP Testing Guide v4
  • OWASP Application Security
Sources

Articles consultés

Sélection d'articles et de rapports ayant alimenté cette veille sur la cybersécurité.

Panorama de la cybermenace 2023 ANSSI Jan. 2024

Bilan annuel de l'ANSSI sur les cybermenaces pesant sur la France : hausse des ransomwares, ciblage des collectivités et des hôpitaux, évolution des techniques d'attaque.

OWASP Top 10 — 2021 Edition OWASP 2021

Publication officielle du classement révisé des 10 risques les plus critiques pour la sécurité des applications web — intégration de l'Insecure Design (A04) et des Software Integrity Failures (A08).

Vulnérabilité critique Log4Shell (CVE-2021-44228) CERT-FR Déc. 2021

Bulletin d'alerte du CERT-FR sur la vulnérabilité Log4Shell permettant l'exécution de code arbitraire à distance — l'une des failles les plus critiques de la décennie, affectant des millions de systèmes.

Ransomware-as-a-Service : la professionnalisation du cybercrime Krebs on Security 2023

Analyse des modèles économiques des groupes de ransomware (LockBit, ALPHV) : affiliation, partage des revenus, support client aux victimes — la cybercriminalité comme véritable industrie structurée.

RGPD et développement web : obligations pratiques CNIL 2022

Guide pratique de la CNIL à destination des développeurs : collecte minimale, durées de conservation, droits des utilisateurs, sécurisation des données personnelles et gestion des cookies.

Injection SQL : comprendre et prévenir avec PHP et PDO OWASP Cheat Sheet 2023

Fiche technique OWASP détaillant les mécanismes d'injection SQL, les variantes (blind, time-based, UNION), et les contre-mesures à appliquer — requêtes préparées, validation des entrées, principe du moindre privilège.

Compétences BTS SIO validées

A3.3 Cybersécurité : veille sur les menaces et vulnérabilités
B3.2 Participer à la sécurisation d'un système informatique
A3.1 Protection des données à caractère personnel (RGPD)
A1.6 Organisation de son développement professionnel (veille)
Voir les compétences
Veille suivante
Snyk