1. Injections (SQL, NoSQL, commandes) : toute entrée utilisateur intégrée sans validation dans une requête. Solution : requêtes paramétrées, validation stricte.
2. Phishing et ingénierie sociale : 91 % des cyberattaques débutent par un email. Solution : formation cybersécurité régulière et simulations.
3. Mots de passe faibles ou réutilisés : la première cause de compromission de comptes. Solution : gestionnaire de mots de passe, MFA, politique de complexité.
4. Logiciels non patchés : les CVE critiques sont exploitées en moyenne 15 jours après leur publication. Solution : patch management automatisé, inventaire des actifs.
5. Misconfiguration cloud : buckets S3 publics, règles de sécurité permissives, droits IAM trop larges. Solution : CIS Benchmarks, revue régulière de la sécurité cloud.
6. Authentification multifacteur absente : un compte sans MFA peut être compromis par credential stuffing en quelques heures. Solution : MFA sur tous les accès critiques, sans exception.
7. Cross-Site Scripting (XSS) : injection de scripts malveillants dans des pages web. Solution : échappement des sorties, Content Security Policy.
8. Secrets exposés : clés API, mots de passe et tokens dans les dépôts Git publics. Solution : secret scanning dans le pipeline CI/CD, rotation immédiate en cas d'exposition.