Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Kaspersky passe avec succès un audit SOC 2 indépendant

juillet 2019 par Marc Jacob

Kaspersky a passé avec succès l’audit SOC 2 (Service Organisation Control) de Type 1 pour les entreprises de services. Le rapport final, publié par l’un des quatre grands cabinets du Big Four, confirme que le développement et la diffusion des bases de règles de détection des menaces de Kaspersky (bases de données antivirales ou AV) sont protégés de toute modification non autorisée par de robustes mesures de sécurité. En outre, la société annonce de nouvelles étapes de sa Global Transparency Initiative.

Les rapports d’audit SOC constituent un cadre reconnu au niveau international pour le contrôle de la gestion des risques de cybersécurité, élaboré par l’AICPA (American Institute of Certified Public Accountants) dans le but d’informer les clients sur l’efficacité de la conception et de la mise en oeuvre de mesures de sécurité. En tant qu’entreprise responsable et transparente pour ses clients, Kaspersky a choisi de se confronter à ce standard afin de démontrer la fiabilité de ses produits et son engagement à respecter les principes et critères des services de confiance de l’AICPA : sécurité, disponibilité, intégrité du traitement, confidentialité, protection de la vie privée.

L’examen réalisé au regard du standard SSAE 18 (Statement of Standards for Attestation Engagements) comprend des contrôles internes portant sur les mises à jour automatiques régulières des bases de données antivirales, créées et diffusées par Kaspersky pour ses produits fonctionnant sur des serveurs Windows et Unix. Dans son rapport final, le cabinet d’audit indépendant a déterminé l’adéquation des mesures ci-dessus ainsi que leur bon fonctionnement à une date donnée.

En vertu du contrat, Kaspersky ne peut pas divulguer le nom du cabinet d’audit mais peut néanmoins communiquer sur demande l’essentiel des informations concernant ses engagements et obligations ci-dessus dans le rapport SOC 2 Type 1.

L’audit a été réalisé dans le cadre de la Global Transparency Initiative, annoncée par Kaspersky en 2017 dans le but d’assurer à ses partenaires et clients que ses produits et services sont non seulement les meilleurs en matière de protection contre les cybermenaces mais aussi qu’ils traitent les données des clients avec le maximum de respect et de soin. Entre autres, la société s’est engagée à transférer en Suisse le stockage et le traitement de ses données clients. À ce jour, elle a achevé la deuxième étape de son déménagement pour les utilisateurs européens et prévoit de finaliser cette transition d’ici à la fin de 2019.

En dehors de la relocalisation de ses données, Kaspersky prévoit de disposer d’au moins trois Centres de transparence en 2020. La société poursuit également son programme Bug Bounty et travaille sur plusieurs autres projets destinés à renforcer sa transparence et la confiance qu’elle inspire.

Autres étapes de la Global Transparency Initiative

Programme Bug Bounty : Kaspersky travaille continuellement au développement de son programme Bug Bounty. Récemment, la société a versé une prime de 23 000 dollars – la plus élevée à ce jour depuis le lancement du programme – à des chercheurs de l’équipe Imaginary pour la découverte dans un logiciel Kaspersky d’une faille de sécurité qui aurait pu permettre à des tiers d’exécuter à distance du code arbitraire sur le PC d’un utilisateur, en disposant de privilèges système. Le bug a été promptement corrigé. Kaspersky tient à remercier l’équipe Imaginary pour son signalement et pour l’aide qu’elle a apportée à l’amélioration des produits de la société.

Protection des chercheurs de vulnérabilités : la société apporte désormais son soutien au cadre Disclose.io qui protège les chercheurs de vulnérabilités contre les risques de poursuites pénales à la suite de leurs découvertes. Kaspersky a conscience que des experts extérieurs offrent une aide précieuse en recherchant et signalant des vulnérabilités dans ses produits. La société est ainsi prête à donner des garanties supplémentaires concernant le traitement équitable des rapports de vulnérabilités.

Centres de transparence : le Centre de transparence récemment annoncé à Madrid est officiellement ouvert aux clients et partenaires de Kaspersky, ainsi qu’à des représentants des autorités, depuis le mois de juin. A l’instar de celui de Zurich, la société y propose des examens de code source et des présentations personnalisées sur ses méthodes de traitement des données et le fonctionnement de ses produits.

Aide à la veille des menaces pour les forces de l’ordre : Kaspersky est le premier acteur de la cybersécurité à avoir annoncé un service avancé gratuit destiné aux forces de l’ordre. Cette approche exclusive et spécialement adaptée, destinée à renforcer au maximum la lutte contre la cybercriminalité sans frontières, s’articule autour de trois composantes :
• Rapports de veille des menaces
• Flux de données de menaces
• Plate-forme Kaspersky ASAP (Automated Security Awareness Platform

En proposant cette assistance gratuite aux autorités, la société entend mieux les sensibiliser au fonctionnement de ses services et au concours que ceux-ci peuvent leur apporter dans la lutte contre la cybercriminalité et les cybermenaces complexes.


Voir les articles précédents

    

Voir les articles suivants