Comme le relève le chercheur en cybersécurté Brian Krebs, cela arrive tout le temps : Des organisations se font pirater parce qu’il n’existe pas de moyen évident pour les chercheurs en sécurité de les informer des failles de sécurité ou des fuites de données. Ou peut-être n’est-il pas évident de savoir qui doit recevoir une annonce lorsque l’accès à distance au réseau interne d’une organisation est vendu dans le milieu de la cybercriminalité.
Afin de minimiser ces scénarios, un nombre croissant de grandes entreprises adoptent le « Security.txt », une nouvelle norme Internet proposée qui aide les organisations à décrire leurs pratiques et préférences en matière de divulgation des vulnérabilités.
L’idée derrière Security.txt est simple : L’organisation place un fichier appelé security.txt à un endroit prévisible – comme exemple.com/security.txt. Le contenu du fichier security.txt varie quelque peu, mais la plupart comprennent des liens vers des informations sur les politiques de divulgation des vulnérabilités de l’entité et une adresse électronique de contact.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Pour créer votre fichier standardisé security.txt, voici le lien pour la page de génération
et pour rechercher la présence d’éventuelles références de contact sécurité sur un site:
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
