Les applications web sont la surface d'attaque la plus exposée de toute organisation. Elles sont accessibles depuis internet, souvent développées rapidement sous contrainte de délais, et connectées à des bases de données contenant des informations sensibles.
Selon le Verizon DBIR 2024, les attaques applicatives représentent plus de 60 % des violations de données. Une injection SQL non corrigée peut exposer l'intégralité d'une base clients. Un XSS stocké peut compromettre tous les comptes administrateurs. Le coût d'un correctif en développement est 100 fois inférieur à celui d'un correctif en production après incident.