Votre organisation dispose-t-elle d’un fichier Security.txt ?

In Failles / vulnérabilités

Photo by Andrea Piacquadio on Pexels.com

Déroulez ici

Comme le relève le chercheur en cybersécurté Brian Krebs, cela arrive tout le temps : Des organisations se font pirater parce qu’il n’existe pas de moyen évident pour les chercheurs en sécurité de les informer des failles de sécurité ou des fuites de données. Ou peut-être n’est-il pas évident de savoir qui doit recevoir une annonce lorsque l’accès à distance au réseau interne d’une organisation est vendu dans le milieu de la cybercriminalité.

Afin de minimiser ces scénarios, un nombre croissant de grandes entreprises adoptent le « Security.txt », une nouvelle norme Internet proposée qui aide les organisations à décrire leurs pratiques et préférences en matière de divulgation des vulnérabilités.

L’idée derrière Security.txt est simple : L’organisation place un fichier appelé security.txt à un endroit prévisible – comme exemple.com/security.txt. Le contenu du fichier security.txt varie quelque peu, mais la plupart comprennent des liens vers des informations sur les politiques de divulgation des vulnérabilités de l’entité et une adresse électronique de contact.

Does Your Organization Have a Security.txt File?

It happens all the time: Organizations get hacked because there isn’t an obvious way for security researchers to let them know about security vulnerabilities or data leaks. Or maybe it isn’t entirely clear who should get the report when remote access to an organization’s internal network is being sold in the cybercrime underground.

Pour créer votre fichier standardisé security.txt, voici le lien pour la page de génération

security.txt

What is the main purpose of security.txt? The main purpose of security.txt is to help make things easier for companies and security researchers when trying to secure platforms. Thanks to security.txt, security researchers can easily get in touch with companies about security issues. security.txt is currently an Internet draft that has been submitted for RFC review.

et pour rechercher la présence d’éventuelles références de contact sécurité sur un site:

gotsecuritytxt.com – query

See whether top websites have a security.txt file, or query any website to see if it has a security.txt file and whether it parses correctly.

La newsletter