En cas de problème de cybersécurité au sein d'une entreprise ou d'une organisation, il est crucial d'en informer aussitôt le responsable de la sécurité. Or, il est généralement difficile, voire impossible, de retrouver ce dernier sur les sites Internet. La norme «security.txt» sert à indiquer de manière uniforme le responsable de la sécurité d'une entreprise ou d'une organisation, ce qui permet de prendre contact avec lui plus rapidement.
Les systèmes informatiques ne sont jamais entièrement sûrs, et les failles de sécurité font partie du quotidien. Il arrive régulièrement que des chercheurs en sécurité, l'OFCS, des collaborateurs de l'entreprise ou de l'organisation concernée ou le grand public repèrent ces failles, auquel cas ils doivent joindre le responsable de la sécurité au plus vite.
La plupart du temps, les informations permettant d'atteindre cette personne sont cachées, ou elles ne sont pas disponibles. Sur les sites Internet, on trouve rarement plus qu'un numéro de téléphone central ou une adresse électronique impersonnelle. Par conséquent, la personne qui remarque la faille doit souvent passer par plusieurs interlocuteurs et réexpliquer le problème pour retrouver le responsable de la sécurité, ce qui lui fait perdre un temps précieux. On ne parvient parfois que trop tard à atteindre la personne responsable. Il arrive aussi que les signalements ne soient pas traités et que, somme toute, le responsable de la sécurité ne prenne pas connaissance de la faille de sécurité.
La norme «security.txt» permet de retrouver rapidement ce dernier sur le site Internet d'une organisation ou d'une entreprise. Grâce à cette norme, il est possible d'enregistrer un fichier texte appelé «security.txt» dans l'index prédéfini «/.well-known» du site Internet en question. Le fichier contient au moins les informations nécessaires pour joindre le responsable de la sécurité au sein de l'entreprise ou de l'organisation. D'autres données relatives à la cybersécurité peuvent également s'y trouver. L'OFCS a élaboré un guide à l'intention des entreprises et des organisations qui décrit précisément la procédure à suivre et qui fournit des informations complémentaires.
La norme «security.txt» peut être mise en place en toute simplicité par une équipe de soutien informatique afin d'améliorer considérablement la gestion de la sécurité.
Une enquête de l'OFCS montre que plusieurs milliers de sites Web en Suisse recourent actuellement à cette norme. Compte tenu des millions de sites Internet hébergés dans le pays, force est de constater que la norme ne s'est pas encore largement répandue. L'OFCS encourage les entreprises, les organisations et les administrations situées en Suisse à appliquer cette norme pour renforcer leur cybersécurité.
L'administration fédérale est également en train d'implémenter cette norme. Entre autres, un security.txt est déjà disponible sur le site www.admin.ch: https://www.admin.ch/.well-known/security.txt.
D'autres sites Internet de l'administration fédérale suivront.
