En cas de problème de cybersécurité au sein d'une entreprise ou d'une organisation, il est crucial d'en informer aussitôt le responsable de la sécurité.
Les systèmes informatiques ne sont jamais entièrement sûrs, et les failles de sécurité font partie du quotidien. Il arrive régulièrement que des chercheurs en sécurité, le NCSC, des collaborateurs de l’entreprise ou de l’organisation concernée ou le grand public repèrent ces failles, auquel cas ils doivent joindre le responsable de la sécurité au plus vite.
La plupart du temps, les informations permettant d’atteindre cette personne sont cachées, ou elles ne sont pas disponibles. Sur les sites Internet, on trouve rarement plus qu’un numéro de téléphone central ou une adresse électronique impersonnelle. Par conséquent, la personne qui remarque la faille doit souvent passer par plusieurs interlocuteurs et réexpliquer le problème pour retrouver le responsable de la sécurité, ce qui lui fait perdre un temps précieux. On ne parvient parfois que trop tard à atteindre la personne responsable. Il arrive aussi que les signalements ne soient pas traités et que, somme toute, le responsable de la sécurité ne prenne pas connaissance de la faille de sécurité.
La norme «security.txt» permet de retrouver rapidement ce dernier sur le site Internet d’une organisation ou d’une entreprise. Grâce à cette norme, il est possible d’enregistrer un fichier texte appelé «security.txt» dans l’index prédéfini «/.well-known» du site Internet en question. Le fichier contient au moins les informations nécessaires pour joindre le responsable de la sécurité au sein de l’entreprise ou de l’organisation. D’autres données relatives à la cybersécurité peuvent également s’y trouver. Le NCSC a élaboré un guide à l’intention des entreprises et des organisations qui décrit précisément la procédure à suivre et qui fournit des informations complémentaires.
La norme «security.txt» peut être mise en place en toute simplicité par une équipe de soutien informatique afin d’améliorer considérablement la gestion de la sécurité.
Source: NCSC