La transparence chez Kaspersky

L’évolution de notre Initiative Globale de Transparence.

La transparence chez Kaspersky

En 2017, nous avons lancé notre Initiative Globale de Transparence (GTI). Dans le cadre de ce projet, nous avons déménagé une partie de notre infrastructure de données en Suisse et nous avons ouvert des centres de transparence pour que nos associés et nos clients puissent consulter le code source de nos produits. Nos services de données et nos pratiques d’ingénierie ont également été évalués par des organisations tierces et indépendantes accréditées. De plus, nous partageons régulièrement les informations relatives aux demandes que les organismes publics adressent à Kaspersky dans le cadre d’une enquête cybercriminelle pour obtenir des données ou pour faire appel à nos compétences techniques. Aujourd’hui, nous souhaitons vous faire part des avancées de cette initiative.

Ce que nous avons fait dans le cadre de notre Initiative Globale de Transparence

Depuis le lancement de ce programme, il y a cinq ans de cela, nous avons ouvert quatre centres de transparence. Ainsi, nos clients et nos associés peuvent consulter le code source de nos produits et les mises à jour de nos programmes pour vérifier qu’il n’y a aucune fonctionnalité cachée ou une quelconque fonction qui ne serait pas mentionnée. De plus, nous partageons nos pratiques d’ingénierie et de gestion des données pour qu’elles soient examinées en externe. Les centres de transparence Kaspersky opèrent en Europe, en Amérique latine et en Asie. Nous proposons des visites en ligne de nos centres aux personnes qui ne peuvent pas se rendre sur place.

En tant qu’entreprise technologique et de cybersécurité, nous traitons les données que nos produits utilisent pour améliorer l’efficacité de la protection informatique fournie aux utilisateurs. Ces données comprennent des informations sur les menaces informatiques, comme les fichiers suspects et malveillants que nos produits envoient, si l’utilisateur a donné son accord, pour qu’ils soient automatiquement analysés sur le Cloud et pour rechercher un éventuel malware. Ces données nous aident à identifier les nouvelles menaces inconnues, à améliorer constamment nos solutions et à proposer aux utilisateurs de meilleures méthodes de protection.

Depuis novembre 2018, toutes les données sur les menaces informatiques d’utilisateurs européens sont stockées et traitées dans nos centres de données en Suisse. Un peu plus tard, c’est aussi en Suisse que nous avons transféré le traitement et le stockage des données des utilisateurs qui se trouvent en Amérique du Nord, en Amérique latine, au Moyen-Orient et dans certains pays de la région Asie-Pacifique.

L’organisme de certification indépendant TÜV AUSTRIA a indiqué que nous sommes conformes à la norme ISO 27001, ce qui confirme que le système de gestion de sécurité de l’information de notre entreprise est efficace. Nos utilisateurs peuvent être certains que Kaspersky traite leurs données en ayant le plus haut niveau de protection.

D’autre part, nous avons créé la formation Cyber Capacity Building Program pour les entreprises, les organismes publics et les institutions académiques afin de les aider à développer les compétences nécessaires pour protéger leurs systèmes informatiques. Plus récemment, nous avons élargi les possibilités en proposant une formation en ligne désormais accessible aux entreprises et aux particuliers.

De nouvelles avancées pour plus de transparence

Kaspersky a accompli beaucoup de choses pour garantir plus de transparence mais nous n’allons pas nous arrêter là. Nous avons récemment pris de nouvelles mesures dans le cadre de notre Initiative Globale de Transparence (GTI).

L’expansion du centre de données à Zurich

Depuis début 2022, nous avons augmenté de façon significative la capacité de nos centres de données à Zurich où nous traitons désormais les fichiers malveillants et suspects des utilisateurs qui se trouvent en Amérique latine et au Moyen-Orient. Nous avons aussi déplacé le traitement et le stockage des données sur les menaces informatiques de certains pays d’Amérique du Nord qui n’étaient pas inclus auparavant : le Mexique, le Panama, la Jamaïque et d’autres pays insulaires.
La Suisse a été choisie pour une bonne raison : les lois de ce pays relatives à la protection des données figurent parmi les plus strictes. Nos deux centres de données à Zurich opèrent avec du matériel de classe mondiale et répondent aux plus hauts standards de l’industrie.

Le renouvellement de la certification ISO 27001

Les systèmes de données de Kaspersky ont à nouveau été certifiés par TÜV AUSTRIA conformément aux exigences de la norme ISO 27001. Il ne s’agit pas d’un simple renouvellement du certificat. L’étendue de l’audit était beaucoup plus importante cette fois. Le certificat couvre désormais les systèmes de données pour le traitement des données relatives aux menaces informatiques (Kaspersky Distributed File System, KLDFS) et les statistiques (base de données KSNBuffer).

TÜV AUSTRIA est un organisme de certification indépendant. Nous sommes fiers de voir que l’approche de Kaspersky en matière de sécurité des données a à nouveau été reconnue.

Répondre aux demandes adressées par les organismes publics et les forces de l’ordre

Très bien. Vous vous dites sûrement que les données utilisateur sont en lieu sûr, mais qu’en est-il des demandes de renseignements faites par les organismes publics ? En réalité, Kaspersky partage régulièrement son approche lorsque l’entreprise doit répondre à de telles demande et, depuis l’année dernière, nous publions des rapports sur les demandes faites par les organismes publics et les forces de l’ordre. De plus, nous avons récemment publié le rapport du second semestre de 2021. Voici quelques chiffres-clés :

  • Nos experts ont reçu 109 requêtes de la part d’organismes publics et de forces de l’ordre de 12 pays.
  • 92 voulaient une expertise technique alors que 17 demandaient l’autorisation d’accéder aux données utilisateur.
  • Nous avons rejeté les 17 demandes d’accès aux données utilisateur. Certaines ne respectaient pas les exigences légales, alors que d’autres demandaient des données que nous n’avions pas.

Les utilisateurs aussi nous ont demandé où et comment leurs données personnelles sont stockées. Certains ont demandé à les télécharger et à les supprimer. En 2021, nous avons géré 2 252 requêtes de ce genre.

Notre programme de formation passe à la vitesse supérieure

Chez Kaspersky, nous sommes toujours disposés à partager notre expérience avec la communauté internationale. Nous avons élargi notre formation Cyber Capacity Building Program en lançant un programme similaire en ligne. Encore plus d’associés et de clients peuvent désormais suivre cette formation qui aide les professionnels et les particuliers à évaluer la sécurité des programmes qu’ils utilisent et à réduire les risques et les éventuelles conséquences d’une attaque informatique.

 

Et maintenant ?

La confiance de nos utilisateurs, de nos clients et de nos associés est notre priorité. Nous ne cessons d’affiner nos pratiques de sécurité et de développer notre Initiative Globale de Transparence, et nous espérons qu’un jour celle-ci devienne une norme internationale dans l’industrie de la cybersécurité.

Nous avons aussi de bonnes nouvelles en ce qui concerne la qualité de protection de nos solutions de sécurité. Nous avons récemment fait le résumé d’une dizaine de tests et d’analyses de nos produits réalisés par de grands laboratoires indépendants en 2021. Vous trouverez les résultats ici.

Conseils