septembre 2022 par Marc Jacob

Kaspersky a inauguré deux nouveaux centres de confiance, pour les clients et partenaires de l’entreprise, aux Pays-Bas et en Italie. Ces centres opèrent conformément à un nouveau modèle, qui permet aux clients et aux partenaires de Kaspersky d’accéder au service le plus populaire offert par ces sites : donner un aperçu des pratiques de Kaspersky en matière d’ingénierie et de traitement des données.

Cette initiative intervient alors que les entreprises désirent de plus en plus établir une relation de confiance et de transparence avec leurs fournisseurs de technologie. En effet, plus de 70% des responsables informatiques déclarent qu’il est capital d’avoir une garantie continue que les solutions IT utilisées par leur entreprise opèrent dans un environnement connu et fiable.

Ces nouveaux centres font partie intégrante de la Global Transparency Initiative (GTI) de Kaspersky, et visent à ouvrir la « boîte noire » de la technologie, pour ainsi accroître la confiance des clients vis-à-vis des solutions à l’œuvre dans l’entreprise. Avec le lancement de la GTI en 2017, Kaspersky est devenue la première entreprise de cybersécurité à ouvrir son code source pour examen externe. L’initiative a pour but de faire participer la communauté au sens large à la validation et à la vérification de la fiabilité des produits, des processus internes et des opérations commerciales de Kaspersky.

L’ouverture des nouveaux Centres de Transparence reflète l’engagement de l’entreprise dans la durée, et sa volonté d’améliorer sa transparence et sa fiabilité vis-à-vis de ses clients et de ses partenaires. Avec l’ouverture de nouveaux sites à Utrecht et à Rome qui s’ajoutent aux hubs déjà installés à Madrid et à Zurich, Kaspersky dispose désormais du plus grand réseau de centres de ce type en Europe.

Implantés directement dans les bureaux de l’entreprise, les centres de Rome et d’Utrecht sont ouverts aux partenaires et aux clients de Kaspersky, ainsi qu’aux autorités gouvernementales de cybersécurité. Ces derniers proposent exclusivement l’option “piste bleue”, qui est la plus demandée par les visiteurs des centres de transparence, depuis l’ouverture du premier dispositif en 2018. La “piste bleue” propose un aperçu général des pratiques d’ingénierie et de traitement des données de Kaspersky, de ses produits et de ses services. Au cours de leur visite, les intéressés seront accueillis par une équipe d’experts de Kaspersky, qui répondront à toutes leurs questions concernant les méthodes de traitement des données de leur entreprise et le fonctionnement des solutions de Kaspersky. De plus, une démonstration en direct d’un examen du code source leur sera proposé.

Kaspersky possède maintenant neuf centres de transparence répartis entre l’Europe, l’Asie-Pacifique, l’Amérique du Nord et l’Amérique Latine. Les centres ouverts par le passé disposent de niveaux de service supplémentaire, proposant des examens plus poussés exigeant de fait des compétences techniques plus avancées. La “piste rouge” propose d’examiner les sections les plus sensibles du code sources, pour permettre l’analyse ciblée d’une fonctionnalité particulière, tandis que la “piste noire” constitue l’examen le plus approfondi et le plus complet des éléments du code source de Kaspersky les plus essentiels.

La nouvelle édition du rapport de Transparence

En plus des centres, la GTI de Kaspersky repose aussi sur la publication de rapports de transparence, qui communiquent sur les requêtes sollicitées par les agences gouvernementales et les forces de l’ordre, et par des internautes concernant leurs données personnelles. Le dernier rapport en date couvre les six premiers mois de l’année 2022.

Au cours du S1 2022, Kaspersky a reçu un total de 89 demandes de la part de gouvernements et de forces de l’ordre de huit pays (Brésil, Chine, Italie, Japon, Jordanie, Russie, Singapour et Corée du Sud), contre 105 requêtes au S1 2021, ce qui représente une diminution de 15 % des demandes annuelles. Comme auparavant, l’écrasante majorité (89 %) des demandes reçues portaient des informations techniques non nominatives, c’est-à-dire des informations facilitant la conduite d’enquêtes sur la cybercriminalité. Il s’agit ici de données comme les indicateurs de compromission (IoC), les informations sur le modus operandi des agents malveillants, les résultats d’analyse des malwares obtenus par rétro-ingénierie, et d’autres renseignements d’analyses cyber légales. Les 11 % de demandes restantes portaient sur des données relatives à des particuliers, et toutes ont été rejetées.

La part des demandes portant sur des informations techniques non nominatives est passée de 85 % à 89 %. En outre, un plus grand nombre de ces sollicitations ont été acceptées, avec 64 % de requêtes traitées. Tous les autres recours ont été rejetés, soit par non-conformité aux obligations légales, soit en raison de l’absence des données requises.

Dans le cadre de ces rapports, Kaspersky informe aussi sur les requêtes personnelles envoyées par des utilisateurs, portant aussi bien sur le lieu de stockage de données personnelles, sur la mise à disposition ou la suppression de ces données. Kaspersky a reçu 3 285 demandes de ce type au cours des six premiers mois de 2022.