Qu'est-ce que WarDek ?

WarDek est une suite de conformite complete qui combine un scanner de vulnerabilites OWASP avec des modules de conformite NIS2, AI Act et RGPD, specialement concue pour les PME europeennes.

Mon entreprise est-elle soumise a NIS2 ?

La directive NIS2 s'applique aux entites essentielles et importantes dans des secteurs comme l'energie, la sante, les transports, le numerique, etc. Utilisez notre simulateur gratuit pour verifier.

Comment utiliser les rapports WarDek dans un audit ?

Les rapports WarDek fournissent une base de travail exploitable pour vos equipes, votre CAC ou votre preparateur audit. Ils n'equivalent pas a une certification officielle ni a un avis juridique.

Combien de temps prend un scan ?

Un scan OWASP complet prend generalement entre 2 et 5 minutes selon la complexite de votre site web.

Mes donnees sont-elles securisees ?

Absolument. Nous ne stockons jamais vos identifiants. Les rapports sont chiffres et vous pouvez les supprimer a tout moment. Nous sommes heberges en France.

Puis-je essayer avant d'acheter ?

Oui ! Le plan Gratuit vous permet de tester WarDek avec 3 scans par mois, sans carte bancaire requise.

Ou faut-il publier security.txt ?

Publiez-le a l'adresse /.well-known/security.txt sur votre site web public afin que les outils automatises et les chercheurs puissent le decouvrir de maniere previsible.

Ai-je besoin d'un programme de bug bounty pour utiliser security.txt ?

Non. security.txt est utile meme sans recompenses financieres. Il fournit un canal clair pour la divulgation responsable et definit les attentes de communication.

A quelle frequence faut-il mettre a jour le fichier ?

Revisez-le a chaque changement de proprietaire, de canaux de signalement ou de pages de politique, et rafraichissez la date d'expiration selon un calendrier regulier pour que le fichier reste credible.

Les equipes juridiques doivent-elles reviser la politique de divulgation ?

Oui. Les responsables juridiques, produit et techniques doivent s'aligner sur les attentes de reponse, le langage de safe harbor et les limites de perimetre avant publication.

Guide security.txt — Divulgation responsable des vulnerabilites

Pourquoi un fichier security.txt est important

Lorsqu'un chercheur, un client, un partenaire ou un systeme automatise detecte une vulnerabilite potentielle sur votre site web, la difficulte n'est souvent pas le bug lui-meme. C'est de savoir ou le signaler sans perdre des jours dans des boites mail generiques de support ou des publications sur les reseaux sociaux. security.txt resout ce probleme de decouverte avec un point d'entree simple et standardise.

Pour les PME, il ne s'agit pas seulement de paraitre mature. Il s'agit de reduire la friction de divulgation. Plus vite les signaleurs legitimes peuvent atteindre le bon contact, plus vous avez de chances de resoudre les problemes en prive, de documenter les decisions et d'eviter un traitement chaotique lorsque la decouverte est reelle.

Un point d'entree de divulgation public signale egalement quelque chose d'important en interne : les signalements de securite sont attendus, tries et pris en charge. Cet etat d'esprit est plus sain que de pretendre que les signalements n'arriveront jamais ou que le support peut improviser un processus securise sous pression.

Ce que doit contenir un security.txt minimal

Le fichier est intentionnellement simple. Publiez-le a l'adresse /.well-known/security.txt et gardez le contenu lisible pour les humains et les machines. Vous n'avez pas besoin d'un vaste programme de bug bounty pour en beneficier. Vous avez besoin d'informations de contact claires, d'attentes sur le perimetre et d'un processus maintenu en arriere-plan.

Contact : une adresse email surveillee ou un canal de signalement securise detenu par des personnes capables de router rapidement les decouvertes de securite.
Expires : une date prouvant que le fichier est maintenu et non abandonne.
Policy : une page decrivant comment vous traitez les signalements, les delais de reponse attendus et le langage de safe harbor de base si vous en fournissez un.
Preferred-Languages : optionnel, utile lorsque votre equipe operationnelle travaille principalement en francais ou en anglais.
Acknowledgments ou Hiring : optionnel, uniquement si cela reflete un processus reel et maintenu.

Comment operationnaliser le traitement des divulgations

Publier le fichier est la partie facile. Le vrai travail est de s'assurer que les signalements ne disparaissent pas dans une boite mail. Quelqu'un doit gerer l'intake, valider la severite, demander les etapes de reproduction, assigner la remediation et boucler la boucle avec le rapporteur le cas echeant.

C'est la que de nombreuses entreprises echouent. Elles ajoutent un fichier security.txt pour l'image, mais l'adresse renvoie vers une boite partagee que personne ne surveille, ou vers une equipe juridique qui ne sait pas quoi faire des rapports techniques. Si vous ne pouvez pas repondre de maniere responsable, gardez le perimetre simple et documentez des attentes de reponse realistes.

Rattachez le traitement des divulgations a votre processus existant de gestion des incidents et des vulnerabilites. Meme une petite equipe peut executer un workflow leger : intake, triage, assignation, correction, validation et archivage des preuves. La posture fiabilite-d'abord de WarDek s'integre bien ici car le produit est construit autour de la preuve, du contexte de remediation et de la prise de decision auditable plutot que d'alertes vagues.

Etapes de mise en oeuvre pour un site web en production

D'abord, publiez le fichier sur votre domaine canonique et confirmez qu'il est accessible sans redirections ni surprises de content-type. Ensuite, repliquez la meme politique de divulgation sur une page lisible par un humain si vous souhaitez expliquer les attentes de reponse plus en detail.

Ensuite, testez le workflow de contact de bout en bout. Envoyez un rapport echantillon, confirmez que les bonnes personnes le recoivent et definissez qui decide si une decouverte est valide, dupliquee, hors perimetre ou urgente. security.txt n'est utile que si le chemin operationnel derriere fonctionne.

Enfin, maintenez-le. Un fichier expire ou une boite mail morte est pire qu'aucun fichier car cela cree une fausse confiance. Placez les controles de renouvellement et de propriete sur la meme cadence que les autres surfaces de confiance comme le TLS, les pages de confidentialite et les documents de conformite.

Erreurs qui affaiblissent la confiance

Ne publiez pas un contact de divulgation qui envoie des reponses automatiques et rien d'autre. Ne promettez pas un bug bounty si aucun n'existe. Ne copiez pas une declaration de safe harbor d'une grande plateforme si vos equipes juridique et technique ne se sont jamais mises d'accord sur la facon dont les tests externes doivent etre geres.

Evitez egalement de traiter security.txt comme une case a cocher de conformite. Sa valeur est pratique : il raccourcit le chemin entre la decouverte et le traitement responsable. Lorsqu'il est relie a un vrai processus, il renforce la confiance avec les chercheurs, les clients et les operateurs internes.