Ce classement reflète ce que nous observons le plus souvent en pentest et audit de sécurité applicatif - pas une liste académique, mais un repère pour arbitrer vos sprints.

1. Contrôles d'accès défaillants

Les scénarios IDOR et élévation de privilèges restent en tête : l'API répond, mais sans vérifier systématiquement la propriété de la ressource.

2. Injections (SQL, NoSQL, commandes)

Même avec des ORM, des zones de requêtes brutes ou d'import/export rouvrent la porte à des exécutions non prévues.

Un correctif de base côté application : paramétrer les requêtes plutôt que d'assembler des chaînes avec des entrées utilisateur.

Exemple - requête SQL paramétrée (Python / psycopg2)

def fetch_user_row(conn, user_id: int):
    """Lecture par identifiant : le moteur sépare données et SQL."""
    with conn.cursor() as cur:
        cur.execute(
            "SELECT id, email, role FROM app_users WHERE id = %s",
            (user_id,),
        )
        return cur.fetchone()

3. XSS stocké et réfléchi

Les politiques de contenu manquent encore de déploiement homogène, surtout sur des backends legacy.

Prioriser sans saturer le backlog

Combinez criticité technique et impact métier : une XSS sur un back-office interne n'a pas la même urgence qu'une fuite de jeton sur un parcours client.

4. Gestion de session fragile

Jetons prévisibles, absence de rotation, déconnexion incomplète - des sujets classiques mais toujours rentables pour un attaquant.

5. CSRF sur actions sensibles

Souvent négligé dès lors que l'authentification repose sur des cookies de session sans jetons anti-CSRF cohérents.

6. Upload et traitement de fichiers

Extensions, double extensions, MIME types : la surface revient avec les portails clients et outils RH.

7. API mal documentées côté sécurité

Les endpoints « cachés » du mobile ou de l'admin restent exposés sans les mêmes garde-fous que le web public.

8. Dépendances vulnérables

La supply chain applicative impose un SCA sérieux - et une politique de mise à jour réaliste.

9. Journalisation insuffisante

Indispensable pour détecter l'exploitation : sans logs utiles, pas de réponse incident crédible.

10. Mauvaise séparation des environnements

Données de production dans des bac à sable, clés partagées : le risque opérationnel dépasse souvent le risque purement « web ».

Besoin d'une validation concrète sur votre périmètre ? Un pentest web permet de vérifier ce qui est réellement exploitable dans votre contexte - y compris à Toulouse et en France.