Configurer security.txt pour la Conformité CRA : Un Guide de 10 Minutes

Le CRA exige un point de contact public pour les signalements de vulnérabilités. La façon la plus simple de se conformer ? Un fichier security.txt.

Ce guide de 10 minutes vous fait passer de zéro à conforme.

Qu'est-ce que security.txt ?

security.txt est une norme RFC (RFC 9116) qui fournit un moyen lisible par machine et par l'homme de publier des informations de contact sécurité.

Pourquoi c'est important pour le CRA :

• Le CRA exige des points de contact pour le signalement des vulnérabilités
• security.txt est la méthode standard de l'industrie
• Les outils automatisés et les chercheurs le vérifient
• Montre aux régulateurs que vous avez implémenté des canaux de divulgation appropriés

Le security.txt Minimum Viable

Voici le fichier conforme le plus simple :

Contact: mailto:security@votreentreprise.com
Expires: 2027-12-31T23:59:59.000Z

C'est tout. Deux lignes. Vous êtes techniquement conforme.

Mais faisons mieux.

Le security.txt Recommandé

Un security.txt complet et professionnel :

# Informations de Contact Sécurité pour [Votre Entreprise]
# https://www.votreentreprise.com/.well-known/security.txt

Contact: mailto:security@votreentreprise.com
Contact: https://votreentreprise.com/securite/signaler
Expires: 2027-01-01T00:00:00.000Z
Encryption: https://votreentreprise.com/.well-known/pgp-key.txt
Preferred-Languages: fr, en, de
Canonical: https://votreentreprise.com/.well-known/security.txt
Policy: https://votreentreprise.com/securite/politique-divulgation
Hiring: https://votreentreprise.com/carrieres/securite
Acknowledgments: https://votreentreprise.com/securite/remerciements

Explication Champ par Champ

Contact (Obligatoire)

Comment les chercheurs doivent vous joindre.

Contact: mailto:security@votreentreprise.com
Contact: https://votreentreprise.com/securite/signaler

Bonnes pratiques :

• Incluez email ET formulaire web
• Utilisez un alias d'équipe, pas un email personnel
• Les formulaires web permettent une collecte structurée
• Plusieurs lignes Contact sont autorisées

Expires (Obligatoire)

Quand ce fichier doit être considéré comme périmé.

Expires: 2027-01-01T00:00:00.000Z

Bonnes pratiques :

• Fixez 6-12 mois dans le futur
• Utilisez le format ISO 8601 avec fuseau horaire
• Mettez un rappel calendrier pour mettre à jour avant expiration
• Les fichiers périmés font paraître non maintenu

Encryption (Recommandé)

Clé PGP pour les rapports chiffrés.

Encryption: https://votreentreprise.com/.well-known/pgp-key.txt

Bonnes pratiques :

• Hébergez votre clé publique à l'URL spécifiée
• Utilisez une clé d'équipe, pas individuelle
• Incluez l'empreinte de clé dans les commentaires
• Gardez la clé privée sécurisée (HSM si possible)

Preferred-Languages (Recommandé)

Langues dans lesquelles votre équipe peut traiter les signalements.

Preferred-Languages: fr, en, de

Bonnes pratiques :

• Listez les langues que votre équipe sécurité parle vraiment
• L'anglais devrait généralement être inclus
• Ordonnez par préférence
• Ne listez pas des langues dans lesquelles vous ne pouvez pas répondre

Canonical (Recommandé)

L'emplacement faisant autorité de ce fichier.

Canonical: https://votreentreprise.com/.well-known/security.txt

Pourquoi c'est important :

• Empêche l'usurpation
• Clarifie si le fichier est dupliqué
• Aide les chercheurs à vérifier l'authenticité

Policy (Recommandé)

Lien vers votre politique complète de divulgation des vulnérabilités.

Policy: https://votreentreprise.com/securite/politique-divulgation

Bonnes pratiques :

• Liez vers votre politique CVD complète
• Assurez-vous que la page existe et est accessible
• Gardez la politique et security.txt synchronisés

Acknowledgments (Optionnel)

Lien vers votre Hall of Fame sécurité.

Acknowledgments: https://votreentreprise.com/securite/remerciements

Pourquoi l'inclure :

• Montre que vous valorisez les chercheurs
• Encourage les signalements (la reconnaissance motive)
• Démontre un programme de sécurité mature

Hiring (Optionnel)

Lien vers les offres d'emploi sécurité.

Hiring: https://votreentreprise.com/carrieres/securite

Pourquoi l'inclure :

• Les chercheurs font souvent de bonnes recrues
• Montre l'investissement en sécurité
• Bienveillance communautaire

Configuration Étape par Étape

Étape 1 : Créer le Fichier

Créez un fichier texte simple avec vos informations :

# Créer le fichier
cat > security.txt << 'EOF'
# Informations de Contact Sécurité pour VotreEntreprise
# Dernière mise à jour : 2026-01-15

Contact: mailto:security@votreentreprise.com
Contact: https://votreentreprise.com/securite/signaler
Expires: 2027-01-15T00:00:00.000Z
Preferred-Languages: fr, en
Canonical: https://votreentreprise.com/.well-known/security.txt
Policy: https://votreentreprise.com/securite/politique
EOF

Étape 2 : Choisir l'Emplacement d'Hébergement

Le fichier doit être à /.well-known/security.txt

Pour les sites web :

https://votreentreprise.com/.well-known/security.txt

Pour les produits avec interfaces web :

https://produit.local/.well-known/security.txt
https://192.168.1.1/.well-known/security.txt

Étape 3 : Configurer Votre Serveur Web

Nginx :

location /.well-known/security.txt {
    alias /var/www/security.txt;
    default_type text/plain;
}

Apache :

Alias /.well-known/security.txt /var/www/security.txt
<Files "security.txt">
    ForceType text/plain
</Files>

Express.js :

const express = require('express');
const app = express();

app.get('/.well-known/security.txt', (req, res) => {
    res.type('text/plain');
    res.sendFile(__dirname + '/security.txt');
});

Hébergement statique (S3, GitHub Pages, etc.) : Placez simplement le fichier dans le répertoire .well-known.

Étape 4 : Vérifier

Vérifiez que votre fichier est accessible :

curl https://votreentreprise.com/.well-known/security.txt

Utilisez un validateur en ligne :

• https://securitytxt.org/

Étape 5 : Signer (Optionnel mais Recommandé)

Signez numériquement votre security.txt pour l'authenticité :

# Signer avec GPG
gpg --clearsign security.txt

# Cela crée security.txt.asc
# Renommez et déployez
mv security.txt.asc security.txt

Le fichier signé ressemble à :

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Contact: mailto:security@votreentreprise.com
Expires: 2027-01-01T00:00:00.000Z
...

-----BEGIN PGP SIGNATURE-----
[données de signature]
-----END PGP SIGNATURE-----

Pour les Produits Sans Interfaces Web

Tous les produits n'ont pas de serveurs web. Voici comment gérer security.txt :

Appareils Embarqués

Option 1 : Si l'appareil a une interface web (page de config, page de statut) :

• Hébergez security.txt sur cette interface
• http://ip-appareil/.well-known/security.txt

Option 2 : Si pas d'interface web :

• Incluez l'URL dans la documentation produit
• Référencez votre security.txt d'entreprise
• Ajoutez au Guide de Démarrage : "Signalez les problèmes de sécurité à : https://entreprise.com/securite"

Logiciels de Bureau

• Incluez le contact sécurité dans Aide > À propos
• Ajoutez au README/documentation
• Référencez l'URL security.txt d'entreprise

Applications Mobiles

• Incluez dans Paramètres > À propos > Sécurité
• Liez vers security.txt d'entreprise
• Ajoutez à la description de l'app store

Référence Documentation

Ajoutez à votre documentation produit :

## Signalement de Vulnérabilités de Sécurité

Pour signaler des vulnérabilités de sécurité dans ce produit :

- Email : security@votreentreprise.com
- Web : https://votreentreprise.com/securite/signaler
- Politique : https://votreentreprise.com/securite/politique

Notre fichier security.txt : https://votreentreprise.com/.well-known/security.txt

Erreurs Courantes

Fichier Expiré

Problème : La date Expires est dans le passé.

Expires: 2024-01-01T00:00:00.000Z  # EXPIRÉ !

Correction : Fixez une date future. Ajoutez un rappel calendrier.

Mauvais Emplacement

Problème : Fichier au mauvais chemin.

/security.txt           # Faux
/security/security.txt  # Faux
/.well-known/security.txt  # Correct

Correction : Utilisez l'emplacement standard.

Format Invalide

Problème : Mauvais format de date, champs manquants.

Expires: 1er janvier 2027  # Mauvais format
Contact: équipe sécurité    # Pas une URI valide

Correction : Utilisez des dates ISO 8601, URIs mailto: ou https:.

Liens Morts

Problème : Les URLs Policy ou Acknowledgments retournent 404.

Correction : Vérifiez que tous les liens fonctionnent. Vérifiez après les déploiements.

Email Personnel

Problème : Utiliser l'email d'un individu au lieu d'un alias d'équipe.

Contact: mailto:jean.dupont@votreentreprise.com  # Mauvais

Correction : Utilisez un alias d'équipe qui survit aux changements de personnel.

Pas de HTTPS

Problème : Utiliser HTTP au lieu de HTTPS pour les liens Canonical/Policy.

Correction : Toujours utiliser HTTPS pour les URLs liées à la sécurité.

Liste de Contrôle de Validation

LISTE DE CONTRÔLE DE VALIDATION SECURITY.TXT

CHAMPS OBLIGATOIRES :
[ ] Champ Contact présent (mailto: ou https:)
[ ] Champ Expires présent (date future, ISO 8601)

CHAMPS RECOMMANDÉS :
[ ] Preferred-Languages inclus
[ ] URL Canonical correspond à l'emplacement réel
[ ] Lien Policy fonctionne et pointe vers la politique CVD
[ ] Lien clé Encryption fonctionne (si inclus)

HÉBERGEMENT :
[ ] Fichier à /.well-known/security.txt
[ ] Accessible en HTTPS
[ ] Content-Type: text/plain
[ ] Pas d'authentification requise

VÉRIFICATION :
[ ] Test curl réussi
[ ] Validateur en ligne passe
[ ] Tous les liens résolvent (pas de 404)
[ ] Signature PGP valide (si signé)

MAINTENANCE :
[ ] Rappel calendrier défini avant date Expires
[ ] Processus de mise à jour documenté
[ ] Surveillance de l'accessibilité

Calendrier de Maintenance

Intégration avec la Conformité CRA

Votre security.txt soutient la conformité CRA en :

1. Fournissant un contact découvrable : Régulateurs et chercheurs peuvent vous trouver
2. Démontrant un processus : Montre que vous avez une gestion des vulnérabilités
3. Permettant CVD : Lie vers votre politique de divulgation
4. Supportant la documentation : Référence dans le dossier technique

Incluez dans votre documentation technique :

Points de Contact pour Signalement de Vulnérabilités :
- security.txt : https://entreprise.com/.well-known/security.txt
- Email : security@entreprise.com
- Formulaire Web : https://entreprise.com/securite/signaler
- Politique : https://entreprise.com/securite/politique

Exemple Complet

Voici un security.txt prêt pour la production :

# ============================================================
# SECURITY.TXT pour AcmeTech Products
# https://acmetech.eu/.well-known/security.txt
# ============================================================
#
# Si vous avez trouvé une vulnérabilité de sécurité dans un
# produit AcmeTech, veuillez la signaler en utilisant les
# méthodes de contact ci-dessous.
#
# Nous apprécions la divulgation responsable et reconnaîtrons
# votre contribution si souhaité.
#
# ============================================================

# Méthodes de contact principales (ordre de préférence)
Contact: https://acmetech.eu/security/report
Contact: mailto:security@acmetech.eu

# Ce fichier expire (mettre à jour avant cette date)
Expires: 2027-06-01T00:00:00.000Z

# Pour communications chiffrées
Encryption: https://acmetech.eu/.well-known/pgp-key.txt

# Langues gérées par notre équipe sécurité
Preferred-Languages: en, de, fr

# Emplacement faisant autorité de ce fichier
Canonical: https://acmetech.eu/.well-known/security.txt

# Notre politique de divulgation des vulnérabilités
Policy: https://acmetech.eu/security/disclosure-policy

# Chercheurs en sécurité qui nous ont aidés
Acknowledgments: https://acmetech.eu/security/hall-of-fame

# Rejoignez notre équipe sécurité
Hiring: https://acmetech.eu/careers#security

# ============================================================
# Dernière mise à jour : 2026-01-15
# Contactez security@acmetech.eu pour des questions sur ce fichier
# ============================================================

Conseil : La configuration de security.txt prend 10 minutes et satisfait une exigence clé du CRA pour le contact de vulnérabilité publié. Faites-le aujourd'hui.

Important : Votre security.txt doit inclure une méthode de contact, une langue préférée et une date d'expiration. Il doit se trouver à /.well-known/security.txt sur votre domaine.

Guides Connexes

• Divulgation Coordonnée des Vulnérabilités sous le CRA : Modèle de Politique
• Signalement des Vulnérabilités à l'ENISA : L'Exigence de 24 Heures
• Guide du Dossier Technique CRA (Annexe VII)

Comment CRA Evidence Aide

CRA Evidence peut :

• Générer security.txt : Pré-rempli avec les détails de votre organisation
• Surveiller l'expiration : Alerter avant que votre fichier expire
• Valider le format : Vérifier les erreurs courantes
• Suivre les mises à jour : Piste d'audit des changements

Configurez votre security.txt avec app.craevidence.com.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des conseils de conformité spécifiques, consultez un conseiller juridique qualifié.