Le contact de sécurité doit être repérable
En cas d'incident de sécurité, il est important de trouver rapidement et sans délai la personne de contact informatique responsable de l'entreprise. Souvent, ces contacts ne sont même pas enregistrés. La norme "security.txt" doit résoudre ce problème.
La sécurité à 100 % des systèmes informatiques n'existe pas et les points faibles font partie du quotidien. Mais souvent, ces contacts ne sont pas faciles à trouver sur les sites web ou ne sont même pas enregistrés. Avec le standard "security.txt", il existe une possibilité de publier de manière uniforme le contact de sécurité d'une organisation ou d'une entreprise et de le trouver ainsi plus rapidement.
La norme prévoit de sauvegarder un fichier texte nommé "security.txt" dans le répertoire prédéfini "/.well-known" sur le site web de l'entreprise ou de l'organisation. Ce fichier contient au moins les données de contact permettant de contacter le contact de sécurité compétent d'une entreprise ou d'une organisation. D'autres informations relatives à la sécurité peuvent également y être enregistrées.
Selon le Centre national pour la cybersécurité (NCSC), la norme "security.txt" peut être facilement mise en œuvre sur le plan technique par le support informatique de l'entreprise ou de l'organisation et contribue considérablement à améliorer la gestion de la sécurité. Une enquête du NCSC aurait montré que quelques milliers de sites web en Suisse ont déjà mis en œuvre la norme "security.txt". Par rapport au nombre total de sites web en Suisse, qui s'élève à plusieurs millions, il y aurait toutefois encore "de la marge".
Le NCSC a un Guide pour les organisations et les entreprises, qui décrit la procédure exacte et fournit des informations complémentaires.
Source : NCSC
