Guide de divulgation

Guide security.txt — Divulgation responsable des vulnérabilités

Un guide pratique pour publier un fichier security.txt fiable, router les signalements de sécurité vers les bonnes personnes et transformer la divulgation en processus opérationnel plutôt qu'en loterie de boîte mail.

Pourquoi un fichier security.txt est important

Lorsqu'un chercheur, un client, un partenaire ou un système automatisé détecte une vulnérabilité potentielle sur votre site web, la difficulté n'est souvent pas le bug lui-même. C'est de savoir où le signaler sans perdre des jours dans des boîtes mail génériques de support ou des publications sur les réseaux sociaux. security.txt résout ce problème de découverte avec un point d'entrée simple et standardisé.

Pour les PME, il ne s'agit pas seulement de paraître mature. Il s'agit de réduire la friction de divulgation. Plus vite les signaleurs légitimes peuvent atteindre le bon contact, plus vous avez de chances de résoudre les problèmes en privé, de documenter les décisions et d'éviter un traitement chaotique lorsque la découverte est réelle.

Un point d'entrée de divulgation public signale également quelque chose d'important en interne : les signalements de sécurité sont attendus, triés et pris en charge. Cet état d'esprit est plus sain que de prétendre que les signalements n'arriveront jamais ou que le support peut improviser un processus sécurisé sous pression.

Ce que doit contenir un security.txt minimal

Le fichier est intentionnellement simple. Publiez-le à l'adresse /.well-known/security.txt et gardez le contenu lisible pour les humains et les machines. Vous n'avez pas besoin d'un vaste programme de bug bounty pour en bénéficier. Vous avez besoin d'informations de contact claires, d'attentes sur le périmètre et d'un processus maintenu en arrière-plan.

  • Contact : une adresse email surveillée ou un canal de signalement sécurisé détenu par des personnes capables de router rapidement les découvertes de sécurité.
  • Expires : une date prouvant que le fichier est maintenu et non abandonné.
  • Policy : une page décrivant comment vous traitez les signalements, les délais de réponse attendus et le langage de safe harbor de base si vous en fournissez un.
  • Preferred-Languages : optionnel, utile lorsque votre équipe opérationnelle travaille principalement en français ou en anglais.
  • Acknowledgments ou Hiring : optionnel, uniquement si cela reflète un processus réel et maintenu.

Comment opérationnaliser le traitement des divulgations

Publier le fichier est la partie facile. Le vrai travail est de s'assurer que les signalements ne disparaissent pas dans une boîte mail. Quelqu'un doit gérer l'intake, valider la sévérité, demander les étapes de reproduction, assigner la remédiation et boucler la boucle avec le rapporteur le cas échéant.

C'est là que de nombreuses entreprises échouent. Elles ajoutent un fichier security.txt pour l'image, mais l'adresse renvoie vers une boîte partagée que personne ne surveille, ou vers une équipe juridique qui ne sait pas quoi faire des rapports techniques. Si vous ne pouvez pas répondre de manière responsable, gardez le périmètre simple et documentez des attentes de réponse réalistes.

Rattachez le traitement des divulgations à votre processus existant de gestion des incidents et des vulnérabilités. Même une petite équipe peut exécuter un workflow léger : intake, triage, assignation, correction, validation et archivage des preuves. La posture fiabilité-d'abord de WarDek s'intègre bien ici car le produit est construit autour de la preuve, du contexte de remédiation et de la prise de décision auditable plutôt que d'alertes vagues.

Étapes de mise en œuvre pour un site web en production

D'abord, publiez le fichier sur votre domaine canonique et confirmez qu'il est accessible sans redirections ni surprises de content-type. Ensuite, répliquez la même politique de divulgation sur une page lisible par un humain si vous souhaitez expliquer les attentes de réponse plus en détail.

Ensuite, testez le workflow de contact de bout en bout. Envoyez un rapport échantillon, confirmez que les bonnes personnes le reçoivent et définissez qui décide si une découverte est valide, dupliquée, hors périmètre ou urgente. security.txt n'est utile que si le chemin opérationnel derrière fonctionne.

Enfin, maintenez-le. Un fichier expiré ou une boîte mail morte est pire qu'aucun fichier car cela crée une fausse confiance. Placez les contrôles de renouvellement et de propriété sur la même cadence que les autres surfaces de confiance comme le TLS, les pages de confidentialité et les documents de conformité.

Erreurs qui affaiblissent la confiance

Ne publiez pas un contact de divulgation qui envoie des réponses automatiques et rien d'autre. Ne promettez pas un bug bounty si aucun n'existe. Ne copiez pas une déclaration de safe harbor d'une grande plateforme si vos équipes juridique et technique ne se sont jamais mises d'accord sur la façon dont les tests externes doivent être gérés.

Évitez également de traiter security.txt comme une case à cocher de conformité. Sa valeur est pratique : il raccourcit le chemin entre la découverte et le traitement responsable. Lorsqu'il est relié à un vrai processus, il renforce la confiance avec les chercheurs, les clients et les opérateurs internes.

Questions fréquentes

Où faut-il publier security.txt ?

Publiez-le à l'adresse /.well-known/security.txt sur votre site web public afin que les outils automatisés et les chercheurs puissent le découvrir de manière prévisible.

Ai-je besoin d'un programme de bug bounty pour utiliser security.txt ?

Non. security.txt est utile même sans récompenses financières. Il fournit un canal clair pour la divulgation responsable et définit les attentes de communication.

À quelle fréquence faut-il mettre à jour le fichier ?

Révisez-le à chaque changement de propriétaire, de canaux de signalement ou de pages de politique, et rafraîchissez la date d'expiration selon un calendrier régulier pour que le fichier reste crédible.

Les équipes juridiques doivent-elles réviser la politique de divulgation ?

Oui. Les responsables juridiques, produit et techniques doivent s'aligner sur les attentes de réponse, le langage de safe harbor et les limites de périmètre avant publication.

Auditez les surfaces de confiance publiques autour de votre flux de divulgation

WarDek vous aide à vérifier les signaux de votre site web qui façonnent les premières impressions de confiance : HTTPS, en-têtes, fichiers exposés et autres contrôles publics autour de votre posture de divulgation.