Voilà déjà un mois que le Département du commerce des États-Unis a rendu sa décision finale concernant la vente et l’utilisation de produits Kaspersky par des ressortissants américains. Si vous ne le saviez pas, le Département a essentiellement décidé d’interdire la commercialisation des produits Kaspersky, à quelques exceptions près pour les produits et les services d’information et d’éducation. Les conséquences de cette décision sont les suivantes : les utilisateurs américains ne peuvent plus accéder aux logiciels de cybersécurité choisis pour leur qualité et leur efficacité.
Tout au long de ses 27 années d’existence, notre entreprise n’a cessé d’être reconnue pour sa capacité à offrir la meilleure protection du marché contre tous les types de cybermenaces, peu importe leur origine. Voici quelques exemples : plus tôt cette année, nos produits ont encore une fois reçu le prix Produit de l’année de la part d’un laboratoire de tests indépendants réputé ; d’année en année, nos solutions ont démontré une protection totale contre la menace la plus importante, à savoir les ransomwares ; et c’est l’équipe de recherche sur les menaces de Kaspersky, respectée à la fois par la communauté InfoSec internationale et par nos utilisateurs, qui découvre, analyse et révèle surtout au monde entier les campagnes d’espionnage public les plus importantes et les plus sophistiquées.
Alors, à quoi pourrait être due l’interdiction de solutions de cybersécurité de premier ordre, auxquelles des millions de personnes font confiance ? Le problème a-t-il été défini de manière claire et objective ? Avez-vous déjà trouvé des preuves des risques évoqués par le gouvernement américain depuis des années ? Nous non plus.
Tout en faisant face aux conséquences d’un protectionnisme croissant (et à ses effets dévastateurs), comme les allégations de mauvaise conduite sans preuve et les accusations fondées uniquement sur des risques théoriques, nous n’avons eu de cesse de développer une méthodologie universelle pour l’évaluation des produits de cybersécurité, sans jamais perdre de vue notre principe clé, qui est de faire preuve d’une transparence et d’une honnêteté maximales quant à la manière dont nous travaillons.
Nous sommes et nous restons la première et la seule grande entreprise de cybersécurité à permettre à des tiers d’accéder à notre code source, et nous offrons également à nos parties prenantes et à nos partenaires de confiance la possibilité de vérifier nos règles de détection des menaces et nos mises à jour logicielles, dans un effort de transparence inégalé. Il y a plusieurs années déjà, nous avons mis en place notre Initiative mondiale pour la transparence, qui est unique par sa portée et sa valeur pratique, et qui reflète une fois de plus notre attitude coopérative et notre volonté de répondre à toutes les inquiétudes éventuelles liées au fonctionnement de nos solutions. Malgré cette initiative, nous avons continué à faire face à des doutes concernant la fiabilité de nos produits, généralement dus à des facteurs extérieurs, comme des conjectures géopolitiques, et nous sommes donc allés plus loin en proposant un cadre encore plus détaillé, qui évaluerait l’intégrité de nos solutions de sécurité tout au long de leur cycle de vie.
Ce que je vais vous présenter ci-après correspond au cadre que nous avons partagé de manière proactive avec les parties exprimant des inquiétudes liées à la fiabilité des solutions de Kaspersky, y compris au sein du gouvernement des États-Unis. Nous pensons que ce cadre est suffisamment détaillé pour répondre aux préoccupations les plus fréquemment exprimées, et qu’il est à même de permettre la création d’une chaîne de confiance fiable.
Les principaux piliers de la méthodologie d’évaluation de la cybersécurité présentée (qui, d’après nous, a par ailleurs le potentiel de servir de base à une méthodologie à l’échelle de l’industrie) incluent : (i) la localisation du traitement des données, (ii) l’examen des données reçues, et (iii) l’examen des informations et des mises à jour livrées sur les machines des utilisateurs (dans le cadre des mises à jour des logiciels et des bases de données sur les menaces). Tout comme dans le cadre de notre Initiative mondiale pour la transparence, l’objectif principal de cette stratégie est de désigner un évaluateur externe pour vérifier les processus et les solutions de l’entreprise. La nouveauté de cette méthodologie réside toutefois dans la portée et la minutie de ces examens. Entrons donc dans les détails…
Localisation du traitement des données
La question du traitement et du stockage des données est l’une des plus sensibles, non seulement pour Kaspersky, mais également pour l’ensemble de l’industrie de la cybersécurité. Nous recevons régulièrement des questions légitimes sur les données que nos produits peuvent traiter, sur la manière dont ces données sont stockées et, plus fondamentalement, sur la raison pour laquelle nous avons besoin de ces données. Pour Kaspersky, l’objectif premier du traitement des données est d’offrir à ses utilisateurs et à ses clients les meilleures solutions de cybersécurité : en collectant des données sur les fichiers malveillants et suspects que nous détectons sur les machines des utilisateurs, nous pouvons former nos algorithmes et leur apprendre à détecter les nouvelles menaces et à limiter leur propagation.
Le cadre que nous présentons implique également une meilleure localisation des infrastructures de traitement des données, ainsi que la mise en place de contrôles techniques et administratifs restreignant l’accès à ces infrastructures pour les employés situés en dehors d’un pays ou d’une région en particulier. Nous mettons déjà en œuvre une telle approche dans la fourniture de notre service Managed Detection and Response (MDR) en Arabie saoudite, et les mêmes méthodes ont été suggérées dans le cadre de nos discussions avec les autorités américaines afin d’apaiser leurs inquiétudes. Ces mesures permettraient de veiller à ce que les données locales soient à la fois stockées et traitées dans un environnement physique où le contrôle final des données est exercé par des personnes relevant de la juridiction locale, ou de celle d’un pays étroitement lié si lesdites personnes le jugent approprié. Tout comme pour les étapes mentionnées précédemment, un validateur tiers indépendant pourrait être invité à évaluer l’efficacité des mesures mises en œuvre.
Le traitement local des données nécessite une analyse locale des menaces, ainsi que le développement de signatures locales pour la détection des programmes malveillants, et notre méthodologie répond précisément à ces besoins. La localisation du traitement des données nécessite une expansion des ressources humaines pour prendre en charge l’infrastructure locale, et nous sommes donc prêts à renforcer nos équipes régionales R&D et informatiques dans les pays concernés. Ces équipes seraient exclusivement responsables de la prise en charge du traitement des données nationales, de la gestion du logiciel du centre de données local et de l’analyse des programmes malveillants en vue d’identifier de nouvelles APT propres à une région donnée. Cette mesure permettrait également de garantir la participation d’un plus grand nombre d’experts internationaux au développement des futures gammes de produits Kaspersky, ce qui décentraliserait davantage notre R&D.
Examen du processus de récupération des données
Nous protégeons les données que nous collectons contre d’éventuels risques en adoptant des stratégies, des pratiques et des contrôles internes rigoureux ; ainsi, nous n’attribuons jamais les données collectées à une personne ou à une entreprise en particulier, nous les rendons anonymes dans la mesure du possible, nous limitons l’accès à ces données au sein de l’entreprise, et nous traitons 99 % de celles-ci de manière automatique.
Pour atténuer encore les éventuels risques pour les données de nos clients, nous suggérons d’engager un évaluateur tiers autorisé afin de vérifier périodiquement notre processus de récupération des données. Cet évaluateur en temps réel évaluerait périodiquement les données que nous recevons à l’aide d’outils d’analyse de données et de plateformes de traitement des données, afin de s’assurer qu’aucune information personnellement identifiable ou autre donnée protégée n’est transférée à Kaspersky et afin de confirmer que les données récupérées sont utilisées uniquement à des fins de détection et de protection contre les menaces, et qu’elles sont traitées de manière appropriée.
Examen des mises à jour et des données livrées sur les machines des utilisateurs
L’étape suivante, du côté des produits, consisterait à fournir un cadre d’atténuation pour l’examen régulier par un tiers des mises à jour de nos bases de données sur les menaces et du développement du code logiciel lié aux produits afin d’atténuer les risques pour la chaîne d’approvisionnement de nos clients. Il est important de noter que le tiers serait une organisation indépendante qui rendrait directement compte à une autorité de régulation locale. Cette mesure s’ajouterait au processus de développement logiciel rigoureux et sécurisé de Kaspersky, qui met l’accent sur l’atténuation des risques (y compris dans le cas d’une intrusion au sein du système) afin de garantir que personne ne puisse ajouter de code non autorisé à nos produits ou à nos bases de données antivirus.
Cependant, pour renforcer encore nos garanties de sécurité, il est prévu de faire appel à un évaluateur externe en temps réel pour évaluer la sécurité du code développé par les ingénieurs de Kaspersky, suggérer des améliorations, identifier les risques et déterminer les solutions appropriées.
L’un des scénarios possibles pour organiser une telle vérification des mises à jour des bases de données sur les menaces est présenté ci-dessous :
Il est important de souligner que l’examen par un tiers peut être de nature bloquante ou non bloquante, être effectué de manière régulière ou une fois qu’un volume important de mises à jour ou de modules à examiner est atteint, et s’appliquer à l’ensemble ou à une partie des modules seulement. L’option d’examen la plus avancée proposée implique un blocage en temps réel, permettant aux évaluateurs de contrôler totalement le code livré sur les machines des utilisateurs. Un examen de nature bloquante empêcherait tout code en cours d’examen d’être intégré à un produit ou à des mises à jour, et donc d’être transmis aux clients de Kaspersky.
Ce processus d’examen complet pourrait être encore amélioré en exigeant la signature de l’évaluateur sur toutes les mises à jour livrées sur les machines des utilisateurs après que le code sous-jacent a été confirmé et créé. Cela permettrait de s’assurer que le code n’a pas été altéré après avoir été examiné en temps réel.
L’examen proposé permet non seulement de vérifier en temps réel la sécurité du code nouvellement développé, mais également d’accéder à l’ensemble du code source, y compris son historique. Cela permet à l’évaluateur d’évaluer pleinement le code nouvellement développé, de comprendre les changements apportés à celui-ci au fil du temps, et de voir comment il interagit avec les autres modules du produit.
Cet examen absolu du code serait également accompagné d’un accès à une copie de l’environnement de création du logiciel de l’entreprise, qui reflète celui utilisé par Kaspersky et qui comprend les instructions et les scripts de compilation, la documentation de conception détaillée et les descriptions techniques des processus et de l’infrastructure. Ainsi, l’évaluateur en temps réel pourrait développer/compiler le code de manière indépendante et comparer les binaires et/ou les objets de développement intermédiaires aux versions livrées. L’évaluateur serait également en mesure de vérifier les changements apportés à l’infrastructure et aux logiciels de développement.
De plus, un tiers indépendant de confiance pourrait avoir accès aux pratiques de développement de logiciels de l’entreprise. Cette analyse indépendante aurait pour objectif de fournir des garanties supplémentaires que les mesures et les processus appliqués par Kaspersky correspondent aux pratiques de pointe de l’industrie. L’accès accordé couvrirait toute la documentation pertinente en matière de sécurité, y compris (mais sans s’y limiter) la formulation des exigences de sécurité, la modélisation des menaces, l’examen du code, la vérification du code statique et dynamique, les tests d’intrusion, etc.
En définitive, nous estimons que la stratégie présentée précédemment peut permettre de gérer de manière efficace et vérifiable la plupart des risques liés à la chaîne d’approvisionnement des TIC en ce qui concerne le développement et la distribution des produits. Et comme je l’ai indiqué plus haut, il s’agit en fait des mesures d’atténuation que nous avons soumises au Département du commerce des États-Unis dans le cadre d’une proposition de discussion, ce qui confirme une fois de plus notre ouverture au dialogue et notre volonté d’offrir le plus grand nombre de garanties en matière de sécurité. Cependant, notre proposition a été tout bonnement ignorée. Cela m’amène à penser que des décisions ont été prises en fonction des idées reçues du Département. Il semblerait que notre proposition n’a pas été considérée sous l’angle de sa capacité à répondre aux risques, mais plutôt sous celui d’une excuse pour la rejeter.
Si nous devons bien admettre que nous sommes une fois de plus confrontés à un acte de protectionnisme numérique, je sais pertinemment que le monde a grand besoin d’une stratégie globale de gestion des risques en matière de cybersécurité. Il est essentiel de pouvoir faire face efficacement à l’évolution du paysage des menaces et de garantir une approche unifiée de la gestion des risques en matière de cybersécurité dans les divers domaines de la sécurité informatique. Cette approche pourrait également permettre d’éviter les décisions hâtives qui privent des millions d’utilisateurs de leur liberté de choix en matière de protection de cybersécurité fiable, ainsi que la mise en place de restrictions artificielles liées à l’échange de données entre professionnels de la cybersécurité. Laissons ces experts se concentrer sur leur travail important sans leur faire porter le poids de la géopolitique, dont les effets ne profitent qu’aux cybercriminels.
Dans un monde interconnecté où les cybermenaces dépassent les frontières, une stratégie globale est essentielle pour renforcer les défenses en matière de cybersécurité, améliorer la confiance, et promouvoir un écosystème numérique plus sûr. Notre cadre ouvre la porte, au sein de l’industrie, à une discussion sur ce à quoi devrait ressembler une évaluation de cybersécurité de la chaîne d’approvisionnement universelle, dans le but ultime de créer un bouclier de confiance fiable et, par conséquent, un monde plus sûr.