Moscou (© 2023 Afriquinfos)- L’année 2023 marque le cinquième anniversaire de la Global Transparency Initiative (GTI) de Kaspersky, le programme phare de l’entreprise qui vise à établir une référence dans l’industrie en matière de lutte contre les risques liés à la supply chain. Alors que l’attitude à l’égard des risques associés à l’utilisation de logiciels tiers est de plus en plus répandue et que les entreprises et les autorités de régulation souhaitent de plus en plus connaître le niveau de sécurité des logiciels qu’elles utilisent, Kaspersky annonce son intention d’étendre l’initiative en développant son réseau de centres de transparence dans le monde entier et en élargissant les options d’examen du code source.
Face à la volonté croissante de souveraineté numérique et la confiance accrue qu’elle nécessite, l’émergence de réglementations telles que la proposition de loi European Cyber Resilience Act pose des jalons importants. Cette dernière a permis de soulever des questions quant aux critères de preuves sur lesquels reposent les produits numériques, ainsi que sur les mesures permettant de vérifier leur conformité, avec une demande sans précédent de normes universelles pour renforcer la confiance.
Pour mettre en évidence la fiabilité des solutions Kaspersky et promouvoir les normes de transparence dans l’ensemble du secteur de la cybersécurité, la GTI s’est développée et a pris de l’ampleur, l’investissement total de l’entreprise dans le projet s’élevant à 7,9 millions de dollars depuis son lancement. Aujourd’hui, l’Initiative Mondiale de Transparence repose sur six piliers principaux, à savoir la relocalisation des données, l’ouverture de centres de transparence dans le monde entier, des audits indépendants réguliers, un programme de gestion des vulnérabilités, un programme éducatif de renforcement des capacités cybernétiques et des rapports de transparence.
Des données d’utilisateurs relocalisées
L’une des premières actions de la GTI a été la relocalisation des données relatives aux cybermenaces reçues des utilisateurs des produits Kaspersky vers des centres de données en Suisse, connus pour leur protection robuste des données et leur neutralité. Aujourd’hui, les données des utilisateurs de Kaspersky en Europe, en Amérique du Nord et en Amérique latine, au Moyen-Orient et dans plusieurs pays de la région Asie-Pacifique sont stockées et traitées dans deux centres de données à Zurich.
« Chez Kaspersky, nous avons toujours été extrêmement sérieux quant à la façon dont nous protégeons les données des utilisateurs. Pour garantir la sécurité des données que nos clients nous confient, nous avons adopté une approche intégrée, mettant nos pratiques de gestion des données en conformité avec les principales normes de l’industrie », commente Anton Ivanov, CTO chez Kaspersky. Nous avons également invité des auditeurs tiers à le vérifier et avons choisi des installations de classe mondiale conformes aux normes de l’industrie pour le stockage et le traitement des données. Grâce à cette vision globale, nous espérons offrir aux utilisateurs des produits Kaspersky une totale tranquillité d’esprit quant à la sécurité et à la confidentialité de leurs données ».
Parallèlement au lancement de la relocalisation des données, Kaspersky a commencé à créer son réseau mondial de Centres de Transparence – des installations où les clients et les partenaires, ainsi que les régulateurs gouvernementaux responsables de la cybersécurité, peuvent vérifier l’intégrité des solutions de l’entreprise en examinant leur code source et également en apprendre davantage sur les processus internes de l’entreprise. Depuis l’ouverture du premier Centre de Transparence à Zurich en novembre 2018, Kaspersky a ouvert huit autres centres en Europe, en Amérique du Nord et en Amérique latine, mais aussi en Asie-Pacifique. À ce jour, Kaspersky a organisé des séances d’information pour près de 60 parties requérantes dans ses centres de transparence du monde entier, notamment des régulateurs nationaux et des entreprises.
Extension du réseau de centres de Transparence, et de leur portée
D’ici à la mi-2024, Kaspersky prévoit d’étendre son réseau de centres de transparence au Moyen-Orient et à l’Afrique et d’ouvrir ses premiers centres de transparence dans chaque région, ainsi que de mettre en place un nouveau centre dans la région Asie-Pacifique. Les trois nouveaux locaux serviront de centres d’information pour les parties prenantes de l’entreprise, qui pourront en savoir plus sur les pratiques internes de Kaspersky en matière d’ingénierie et de gestion des données, mais aussi sur les normes et les meilleures pratiques de l’industrie.
En outre, Kaspersky élargit la portée de l’offre d’examen du code source dans ses centres de transparence. Auparavant, Kaspersky ne proposait que l’examen du code source de ses produits phares destinés aux particuliers et aux entreprises, mais à partir de juillet 2023, la société supprime les limitations à cet égard et met le code source de toutes ses solutions sur site à la disposition de ses clients et partenaires professionnels. Cette décision fait suite à l’intérêt accru des clients pour l’inspection du code source d’autres produits Kaspersky. Une autre nouveauté dans l’offre des Centres de Transparence de Kaspersky sera les résultats de l’auto-certification des produits Kaspersky, y compris des éléments tels que les documents de conception et les modèles de menace qui se rapportent aux recommandations énoncées dans la proposition de loi European Cyber Resilience Act.
« Lorsque Kaspersky a lancé son Initiative mondiale pour la transparence, elle était pionnière dans la promotion de la confiance numérique et dans la défense de la responsabilité des fournisseurs vis-à-vis de leurs clients », commente Yuliya Shlychkova, directrice des affaires publiques chez Kaspersky. « Aujourd’hui, nous constatons que la transparence est de plus en plus demandée par les organisations du monde entier, qui adoptent une attitude plus mature vis-à-vis de leur cyberprotection et accordent plus d’attention à la fiabilité de leurs fournisseurs de logiciels. Cela prouve que Kaspersky est un visionnaire, qui anticipe les futurs domaines de développement de l’industrie et les tendances à venir. »
Les autres points forts de la GTI sont les suivants :
- Des audits tiers réguliers, qui vérifient la sécurité des solutions Kaspersky. Depuis 2019, les systèmes de gestion des données de l’entreprise font l’objet d’une certification régulière conformément à la norme ISO/ IEC 27001:2013, qui confirme que l’entreprise offre un fort niveau de sécurité de l’information et que son service de données est conforme aux meilleures pratiques de l’industrie. En outre, Kaspersky se soumet régulièrement à un audit SOC 2 réalisé par un auditeur indépendant afin d’examiner notre processus de développement et de distribution des bases de données de virus et de vérifier qu’il est sécurisé et protégé contre les changements non autorisés.
- La publication de rapports de transparence, révélant des statistiques sur le nombre de demandes d’expertise technique et de données d’utilisateurs, reçues de la part des forces de l’ordre et des agences gouvernementales. Le dernier rapport dévoile des données sur les demandes dans deux catégories – données d’utilisateur et expertise technique – reçues au cours du second semestre 2022. Au cours du second semestre 2022, Kaspersky a reçu 37 demandes de gouvernements et d’organismes chargés de l’application de la loi (LEA) de six pays. Au moins 35 % d’entre elles ont été rejetées en raison de l’absence de données ou parce qu’elles ne répondaient pas aux exigences légales de vérification.
- Le programme Bug Bounty permet à quiconque de signaler des vulnérabilités critiques ou des bogues découverts dans nos systèmes et d’obtenir une récompense. Dans le cadre de la GTI, nous avons augmenté les récompenses pour les chercheurs en sécurité, qui peuvent désormais prétendre à des primes allant jusqu’à 100 000 USD pour le signalement des vulnérabilités les plus critiques. Depuis mars 2018, nous avons reçu 55 rapports sur des vulnérabilités mineures, les avons patchés et avons versé à ce jour un total de 77 450 USD de récompenses.
- Le programme Cyber Capacity Building (CCBP) conçu pour aider les organisations à développer des mécanismes et des compétences pour les évaluations de sécurité des produits TIC. Depuis 2020, six organismes publics ont suivi le Kaspersky Cyber Capacity Building Program pour acquérir des compétences en matière d’évaluation de la fiabilité des logiciels.
Afriquinfos
