Kaspersky délocalise le traitement des données relatives aux cybermenaces en Suisse pour les utilisateurs d'Amérique latine et du Moyen-Orient, et recertifie ses services de données par TÜV AUSTRIA

Ces mesures reflètent l'engagement continu de l'entreprise à évoluer afin de garantir une plus grande transparence dans le cadre de la Global Transparency Initiative (GTI). En lançant la GTI en 2017, Kaspersky a établi une référence en matière de confiance numérique. L'entreprise est ainsi devenue le premier fournisseur de solutions de cyber-sécurité à publier son code source pour une analyse par des tiers. Véritable partenaire de confiance pour ses utilisateurs, Kaspersky reste à ce jour l'un des rares éditeurs informatiques internationaux pour lesquels la transparence est considérée comme une norme industrielle à part entière, en prenant des mesures pour assoir une plus grande responsabilité

Depuis mars 2022, Kaspersky traite et stocke les fichiers malveillants et suspects émanant des utilisateurs d'Amérique latine et du Moyen-Orient dans des centres de données situés à Zurich, en Suisse. Jusqu'à présent, ces données étaient traitées dans des installations situées en Russie. L’entreprise avait déjà depuis quelques années achevé une telle délocalisation du stockage des données données pour l'Europe, l'Amérique du Nord et un certain nombre de pays d'Asie-Pacifique. Les centres de données suisses disposent d'installations de premier ordre, qui sont conformes aux principales normes du secteur. Les utilisateurs des solutions de l'entreprise sont ainsi rassurés sur la sécurité de leurs données.

Par ailleurs, Kaspersky a renouvelé sa certification ISO 27001* qui a été délivrée par l'organisme de certification indépendant TÜV AUSTRIA. Cette norme de sécurité est reconnue au niveau international. De plus, outre l'audit qui a été réalisé en 2020, le champ d'application de la certification a cette fois été étendu afin de non seulement couvrir le système Kaspersky Security Network (KSN) dédié au stockage et à l'accès sécurisé aux malwares et aux fichiers suspects (appelé KLDFS), mais aussi les systèmes KSN de traitement des statistiques (appelé base de données KSNBuffer).

La conformité à la norme ISO/IEC 27001:2013 - qui est reconnue mondialement comme la « best practice » dans le secteur et la meilleure norme de sécurité applicable - est au cœur de l'approche de Kaspersky en matière de déploiement et de gestion de la sécurité des données. Cette certification démontre l'engagement de l'entreprise en faveur d'une sécurité des données renforcée et la conformité de son Data Service qui compte parmi les plus réputés du secteur.

Le document qui est disponible sur le site de Kaspersky, peut aussi être consulté dans le TÜV AUSTRIA Certificate Directory.

Andrey Efremov, Directeur du Développement Commercial de Kaspersky, a déclaré : "Nous avons transféré le traitement et le stockage des données liées aux cyber-menaces de plusieurs pays vers des installations basées en Suisse - un pays réputé pour sa législation stricte en matière de protection des données. Ces mesures ne constituent qu'une partie de notre initiative de transparence au niveau mondial, qui comprend également des évaluations indépendantes de l'intégrité de nos services et de notre ingénierie, ainsi que la mise à disposition du code source de nos produits. Toutes ces mesures soulignent davantage notre engagement à faire preuve de la plus grande ouverture et transparence possible sur la façon dont nous traitons les données de nos utilisateurs, et à fournir les solutions et services les plus fiables et les plus dignes de confiance à nos clients et partenaires."

Une nouvelle édition du rapport sur la Transparence

Kaspersky a instauré une politique de publication systématique d'informations sur l'approche de l'entreprise en matière de traitement des demandes de données, et publie périodiquement son rapport "Law Enforcement and Government Requests". Ce dernier, présente des données qui sont classées dans deux catégories : les données utilisateur et l'expertise technique**. Le dernier rapport concerne les données du second semestre 2021.

Au cours du second semestre 2021, Kaspersky a notamment reçu 109 requêtes émanant des gouvernements et des autorités judiciaires (LEA) de 12 pays. Au moins 36 % d'entre elles ont été rejetées face à l'absence de données ou au non-respect des exigences légales de contrôle. Au total, 92 des requêtes reçues au cours du second semestre 2021 concernaient une expertise technique.

Au total, Kaspersky a reçu 214 requêtes en 2021 (contre 160 en 2020) qui émanaient des gouvernements et des LEA de 17 pays. 181 d'entre elles concernaient une expertise technique (contre 132 en 2020). Pour plus d'informations sur les étapes du traitement de ces requêtes, cliquez ici.

Dans le même temps, le nombre de demandes d'utilisateurs souhaitant obtenir des précisions sur le type de données et le lieu de stockage, ainsi que sur leur mise à disposition ou leur suppression, a augmenté, pour atteindre 2 252 requêtes au total.

Afin de promouvoir la responsabilité et la transparence des normes de l'industrie de la cybersécurité, Kaspersky cherche à partager son expertise avec une communauté plus large. Ainsi, dans le cadre de sa Global Transparency Initiative, Kaspersky a élargi son Cyber Capacity Building Program (CCBP). Celui-ci vise à soutenir les organisations du monde entier à développer des outils et des compétences pratiques pour réaliser des bilans de sécurité grâce au "Digital Cyber Capacity Building Program". Cette formation en ligne, qui est désormais disponible pour un public encore plus large, permettra à de nombreuses organisations et individus de renforcer leur cyber-résilience, en apprenant comment réaliser des évaluations efficaces de la sécurité des produits.

Cliquez ici pour en savoir plus sur la Kaspersky Global Transparency Initiative.

* ISO/IEC 27001 est la norme relative à la sécurité des données sensibles la plus largement utilisée. Elle est élaborée et publiée par l'International Organization for Standardization (ISO), l'organisme de développement de normes internationales facultatives le plus important au monde.

**Les données utilisateur correspondent aux informations qui sont fournies à Kaspersky par les utilisateurs lorsqu'ils utilisent les produits et services de l'entreprise. Elles dépendent des services, produits et fonctionnalités que les utilisateurs exploitent et sont protégées conformément à la politique de confidentialité de Kaspersky.

Les demandes d'expertise technique comprennent des informations techniques non personnelles qui sont réalisées et fournies par les chercheurs en sécurité de Kaspersky et les algorithmes de machine learning. Il peut s'agir de hashs MD5 de malwares, d'indicateurs de compromission (IoC), d'informations sur le mode opératoire des cyberattaques, de résultats de reverse engineering de malwares, d'informations statistiques et d'autres résultats d'enquêtes et de recherches.

À propos de Kaspersky

Kaspersky est une société internationale de cybersécurité et de protection de la vie privée numérique fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky comprend la protection avancée des terminaux ainsi que des solutions et services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky aident plus de 400 millions d’utilisateurs et 240 000 entreprises à protéger ce qui compte le plus pour eux. Pour en savoir plus : www.kaspersky.fr.