Nous vous avions annoncé en octobre 2017 le lancement de la Global Transparency Initiative. L’objectif ? Montrer au monde entier que nous n’avons rien à cacher, et que nos clients peuvent nous faire confiance. Nous voulons vous le démontrer, et pas seulement vous demander de croire ce que nous disons.
Cet article sera régulièrement mis à jour, au fur et à mesure du développement de ce projet.
Mise à jour du 17 novembre 2020
La relocalisation du traitement et du stockage des données annoncée en novembre 2018 est terminée. En plus des pays qui se trouvent en Europe, des États-Unis et du Canada, Kaspersky a aussi relocalisé l’hébergement et le traitement des données de certains pays d’Asie-Pacifique dont l’Australie, la Nouvelle-Zélande, le Japon, le Bangladesh, le Brunei, le Cambodge, l’Inde, l’Indonésie, la Corée du Sud, le Laos, la Malaisie, le Népal, le Pakistan, les Philippines, Singapour, le Sri Lanka, la Thaïlande et le Vietnam.
Les données relatives aux menaces pour les clients, partagées par les utilisateurs de ces pays sont désormais traitées dans les deux centres de données qui se trouvent à Zurich (Suisse). Ces données incluent des fichiers malveillants suspects ou jusqu’alors inconnus que nos produits envoient à Kaspersky Security Network (KSN) pour une analyse malware automatique.
Nous annonçons l‘ouverture de notre premier centre de transparence en Amérique du Nord (North American Transparency Center) en partenariat avec l’association CyberNB, une organisation à but non lucratif qui se trouve à New Brunswick (Canada). Cette installation sera mise en service début 2021. Ce cinquième centre de l’entreprise offre aux associés de Kaspersky la possibilité d’auditer notre code source et d’en savoir plus sur nos méthodes d’ingénierie et de gestion des données ainsi que sur notre catalogue de produits.
Plus tôt en 2020, les centres de transparence de São Paulo et de Kuala Lumpur sont devenus pleinement opérationnels. Kaspersky a aussi relancé son premier centre de données à Zurich après son déménagement au centre de données Interxion.
À cause des mesures de restriction actuelles en matière de déplacements et de visites, les clients et les associés peuvent auditer le code source à distance. Cliquez ici pour demander l’accès à distance aux centres de transparence de Kaspersky.
Nous avons lancé le programme Cyber Capacity Building Program annoncé en mai 2020, aux côtés des autorités vietnamiennes de la sécurité des informations (AI) avec notamment le CERT et le National Cyber Security Centre (NCSC) du pays. Le programme inclut désormais une section supplémentaire sur le fuzzing du code, réalisée avec l’équipe CERT ICS de Kaspersky. En 2021, le programme sera disponible aux entreprises partenaires et aux autres entreprises pour qu’elles améliorent leurs capacités et évaluent la résistance de leurs systèmes et de leurs réseaux face aux risques de la chaîne d’approvisionnement. Suivez ce lien pour solliciter l’accès.
Nous avons élargi la gamme de produits concernés par notre programme de Bug Bounty. Les chercheurs peuvent désormais envoyer des rapports de vulnérabilité sur Kaspersky VPN Secure Connection, y compris sur les modules de logiciels tiers qui font partie de la solution VPN. Depuis mars 2018, notre programme a permis de résoudre 76 bugs, de récompenser 37 rapports et le montant total des primes s’élève à 57 750 dollars.
Mise à jour du 13 février 2020
Le développement de notre Global Transparency Initiative continue à progresser. Dans le cadre de ce processus, TÜV AUSTRIA nous a attribué l’ ISO/IEC 27001:2013. Cette norme internationale confirme que les systèmes de sécurité de l’information de notre entreprise, y compris Kaspersky Security Network, sont conformes aux meilleurs pratiques de l’industrie.
Pour obtenir cette certification, nous avons dû prouver que nous respectons les normes de mise en place, de surveillance et de maintenance, et que nous cherchons continuellement à améliorer nos systèmes de management de la sécurité de l’information (SMSI).
Pour réaliser cette évaluation, l’organisme de certification indépendant TÜV AUSTRIA a pris en compte les systèmes de gestion pour le partage de fichiers malveillants et suspects sur l’infrastructure de Kaspersky Security Network (KSN), le stockage et l’accès à ces fichiers via notre Distributed File System (KLDFS), et les centres de données que nous avons à Zurich (Suisse), Francfort (Allemagne), Toronto (Canada) et Moscou (Russie).
Cette certification est disponible sur le répertoire des certifications de TÜV AUSTRIA (TÜV AUSTRIA’s Certificate Directory) et sur notre site Internet. L’audit réalisé pour l’ISO 27001 assure à nos partenaires et clients que nos produits et services sont les meilleurs lorsqu’il s’agit de les protéger des cybermenaces, mais aussi que nous traitons leurs données dans le plus grand respect et avec attention.
Mise à jour du 13 novembre 2019
Aujourd’hui nous vous présentons notre quatrième centre de transparence qui devrait ouvrir ses portes à São Paulo, au Brésil, en janvier 2020. Ce sera le premier en Amérique latine, suite à l’inauguration de nos centres de transparence européens à Madrid et Zurich, mais aussi en Asie-Pacifique à Cyberjaya, en Malaisie. Ce nouveau centre reflète notre engagement et cherche à démontrer que nous sommes transparents et que nous pouvons gérer rapidement et efficacement n’importe quel problème de sécurité.
La relocalisation de l’infrastructure chargée du traitement et du stockage des données est en cours. Après avoir transféré les données de nos clients européens en Suisse, nous avons commencé à faire de même avec les données des clients qui se trouvent aux États-Unis et au Canada. Les données sont volontairement partagées avec Kaspersky Security Networkv (KSN), notre système avancé et basé sur le Cloud qui traite automatiquement les données relatives aux cybermenaces. Nous pensons finaliser cette étape de migration vers fin 2020 et nous ajouterons régulièrement d’autres régions.
Ayant été une des premières entreprises à répondre à l’Appel de Paris pour la confiance et la sécurité dans le cyberespace, ce fut un honneur de présenter ces mesures lors du Paris Peace Forum 2019.
Les visiteurs de notre centre de transparence ont la chance d’en savoir plus sur notre ingénierie et les méthodes utilisées pour le traitement des données afin de compiler, avec l’aide de nos experts, le logiciel de Kaspersky à partir du code source, et de le comparer avec les codes accessibles au public. Nous utilisons aussi le centre pour présenter notre portefeuille ainsi que notre ingénierie et les méthodes que nous utilisons pour le traitement des données.
Mise à jour du 15 août 2019
Nous avons le plaisir de vous annoncer que notre troisième centre de transparence ouvrira ses portes en 2020 à Cyberjaya en Malaisie. Comme ceux que nous avons ouverts précédemment à Zurich et à Madrid, ce centre de transparence servira d’installation de confiance pour nos partenaires et acteurs gouvernementaux, un endroit où ils peuvent vérifier le code source de nos produits. CyberSecurity Malaysia, l’agence de cybersécurité du pays, l’accueillera.
Notre directeur général Eugene Kaspersky souligne que ce centre de transparence, le premier dans la zone Asie-Pacifique, montre que notre innovante Global Transparency Initiative, dont le but est de s’occuper de la demande croissante de nos partenaires et acteurs gouvernementaux pour plus d’informations sur le fonctionnement nos produits et technologies, restent sur la bonne voie.
Mise à jour du 11 juillet 2019
Nous avons inauguré notre second centre de transparence à Madrid en juin et il se dirige aux clients et associés de Kaspersky. Nous envisageons d’avoir au moins trois centres de transparence dans le monde d’ici 2020.
Ce n’est pas tout puisqu’une autre partie importante de notre Global Transparency Initiative vient d’être achevée. Il s’agit de l’analyse réalisée par le tiers Service Organization Controls (SOC2 Type 1) des contrôles de gestion des risques en cybersécurité de Kaspersky. Un des experts comptables des Big Four a examiné nos contrôles de mises à jour automatiques régulières des bases de données antivirus des produits disponibles sous Windows et sur les serveurs Unix. Il en a conclu que le développement et le lancement de ces bases de données sont protégés contre les modifications non autorisées. Ce résultat confirme à nouveau que nos produits sont sûrs et que vous pouvez leur faire confiance. Selon les termes du contrat, nous pouvons partager sur demande ce rapport avec nos clients et nos régulateurs.
Nos actions ne s’arrêtent pas là puisque nous avons aussi étendu notre programme Bug Bounty et avons récemment rejoint le mouvement Disclose.io. Cela signifie que nous offrons désormais une sphère de sécurité (Safe Harbor) aux chercheurs qui analysent nos produits pour trouver des vulnérabilités et nous leur garantissons qu’aucune action juridique ne sera engagée. Vous pouvez obtenir plus de renseignements sur Disclose.io en lisant l’article publié sur notre blog.
Mise à jour du 2 avril 2019
Notre Global Transparency Initiative avance bien, et nous avons le plaisir de vous annoncer l’ouverture de notre second centre de transparence. Il sera à Madrid, en Espagne, et cherche à fournir plus d’informations sur le fonctionnement des produits et technologies de Kaspersk. En plus de cela, ce nouveau centre sera également utilisé comme centre d’instructions où les visiteurs pourront en savoir plus sur notre portefeuille de produits, notre ingénierie, et les méthodes que nous utilisons pour le traitement des données. Nous attendons les premiers visiteurs de ce centre en juin. Nos autres plans n’ont pas changé puisque nous envisageons encore d’ouvrir des Centres de Transparence en Asie et en Amérique du Nord d’ici 2020.
Le transfert de notre infrastructure qui s’occupe du traitement des données est aussi en bonne voie. Nous avons déjà déménagé l’infrastructure de réception en Suisse, et nous pensons finir le transfert de la partie de stockage d’ici la fin du second trimestre. La relocalisation du traitement des données des clients européens devrait être entièrement complétée avant la fin de cette année.
De plus, nous avons publié les résultats d’un examen juridique indépendant et volontaire des textes législatifs de la Russie et de leur application à Kaspersky. Cette évaluation a été réalisée par Dr. Kaj Hober, professeur d’investissement international et droit commercial à l’université d’Uppsala en Suisse et expert du système juridique russe. Voici les résultats clés :
- Le Service fédéral de sécurité de la fédération de Russie (FSB) pourrait demander à Kaspersky de coopérer avec lui, mais l’entreprise n’est pas obligée de le faire.
- Les lois qui obligent les vendeurs à aider le FSB dans leurs activités opérationnelles d’enquête ne s’appliquent qu’aux entreprises qui fournissent des services de communication électronique, et ce n’est pas le cas de Kaspersky.
- Les lois qui exigent aux entreprises de conserver leurs données en Russie, et à les fournir au FSB avec les clés de chiffrement nécessaires pour les déchiffrer, ne s’appliquent qu’aux prestataires de services de télécommunications, et Kaspersky n’en est pas un.
Dernier point, mais non des moindres, nous avons amélioré notre programme Bug Bounty en ajoutant Kaspersky Password Manager et Kaspersky Endpoint Security for Linux, ainsi que d’autres produits, parmi les logiciels disponibles pour être révisés. Jusqu’à présent, plus de 50 bugs ont été découverts et signalés grâce à ce programme, et les chercheurs ont reçu des primes de plus de 17 000 dollars pour leur travail.
Mise à jour du 13 novembre 2018
Nous avons officiellement inauguré notre premier centre de transparence, permettant ainsi à nos associés agréés d’accéder aux analyses des codes de l’entreprise, aux mises à jour des logiciels, et aux règles relatives à la détection des menaces.
À partir d’aujourd’hui, nous allons également traiter, dans nos deux centres de données de classe mondiale qui se trouvent à Zurich, tous les fichiers malveillants et suspects que les utilisateurs européens des produits Kaspersky partagent avec nous.
Comme promis, Kaspersky a aussi passé un contrat avec un des Big Four, un des quatre plus grands groupes de services professionnels, pour qu’il mène un audit, dans le respect de la norme SSAE 18, des pratiques d’ingénierie de l’entreprise en matière de création, et de distribution des bases de données relatives aux principes de détection des menaces. L’objectif est de confirmer, de façon indépendante, que ces actions soient conformes aux meilleures pratiques du secteur en matière de sécurité.
Mise à jour du 29 août 2018
Nous avons bien progressé, puisque nous avons déjà mis en place un changement majeur : la récompense que nous attribuons aux chasseurs de bugs s’élève désormais à 100 000 $. Nous espérons que cette mesure va rendre nos produits plus sûrs, et plus fiables. Nous venons d’entamer une autre partie de notre projet Global Transparency Initiative ; nous avons commencé à installer le matériel nécessaire pour transférer le traitement des données de nos utilisateurs en Europe.
Kaspersky a également signé un contrat avec deux fournisseurs européens, Interxion et NTS. Afin de répondre aux inquiétudes des responsables des secteurs privés et publics en matière d’accès non autorisé aux données clients, ces centres de données disposeront d’une nouvelle infrastructure nécessaire pour recueillir, traiter et stocker les données à Zurich, en Suisse, à partir de fin 2018. Le traitement et le stockage des données des clients européens vont être relocalisés, puis nous feront de même avec d’autres pays. Nous envisageons d’avoir terminé cette restructuration concernant les pays européens avant le dernier trimestre de 2019.
Pourquoi la Suisse ?
Nous avons choisi ce pays pour plusieurs raisons. D’une part, la Suisse se trouve au cœur de l’Europe. D’autre part, ce pays ne fait pas partie de l’UE, ce qui le rend indépendant et libre de prendre ses propres décisions. C’est aussi très symbolique puisqu’un de nos principes fondamentaux de la Global Transparency Initiative a toujours été de montrer que nous sommes indépendants ; la Suisse est donc le pays idéal pour le lancement de ce projet.
La Suisse est aussi connue pour son environnement informatique hautement innovant et avancé, et pour sa règlementation stricte lorsqu’il s’agit de traiter les demandes de données envoyées par les autorités. Par conséquent, les données de nos clients seront stockées et traitées dans un des endroits les plus sûrs du monde.
Étapes de la Global Transparency Initiative
Nous développons aussi d’autres aspects de notre Global Transparency Initiative.
Nous envisageons d’ouvrir notre premier centre de transparence en Suisse. Nous sommes en train de le mettre en place, et nous procèderons à son ouverture dès que nous serons prêts à traiter les données dans nos centres de données qui se trouvent à Zurich. Cette inauguration est prévue pour plus tard cette année.
MISE À JOUR : Nous avons ouvert quatre centres de transparence à Zurich (Suisse), à Madrid (Espagne), à Cyberjaya (Malaisie) et à São Paulo (Brésil). Nous sommes sur le point d’en ouvrir un autre à New Brunswick (Canada).
Nous souhaitons également relocaliser les infrastructures chargées du traitement des données clients d’autres pays. Ce processus est assez complexe. Nous avons décidé de suivre une approche progressive afin de minimiser tout bouleversement possible en matière de protection de nos clients. Nous reprendrons cette partie du projet lorsque nous aurons fini de relocaliser, en Suisse, les infrastructures s’occupant du traitement des données des citoyens européens.
MISE À JOUR : La relocalisation du traitement et du stockage des données est terminée. En plus des pays d’Europe, des États-Unis et du Canada, Kaspersky a aussi relocalisé le traitement et le stockage des données d’un certain nombre de pays d’Asie-Pacifique.
Nous avons prévu de revoir les codes et processus tiers lorsque la relocalisation sera terminée, puisque nous sommes actuellement à la recherche du partenaire idéal.
MISE À JOUR : Un des experts comptables des Big Four a utilisé le cadre de la procédure SOC 2 Type 1 pour terminer son audit.
Nous envisageons également de transférer en Suisse le processus de montage des bases de données qui s’occupent des règles de détection des menaces et des programmes. Cependant, il était plus urgent de répondre aux préoccupations relatives à l’accès non autorisé aux donnés des utilisateurs, et c’est pourquoi ce changement aura lieu dès que nous aurons commencé le processus de relocalisation des données.
La mise en place de la Global Transparency Initiative est un processus particulièrement important pour nous. Il ne fait aucun doute qu’il est nécessaire de consacrer du temps, et des efforts, à ce projet de longue durée, pour démontrer que Kaspersky est une entreprise entièrement transparente, indépendante, et que vous pouvez lui faire confiance. Lorsque nous aurons plus d’informations sur les processus en cours de notre Global Transparency Initiative, nous mettrons ce blog, et le site Internet de notre Centre de Transparence, à jour, pour que tout le monde puisse trouver au même endroit des renseignements sur ces activités liées à ce projet de transparence.