Pour réaffirmer son engagement en faveur de la sécurité des données des clients et des processus de développement de logiciels sécurisés, Kaspersky a passé avec succès l'audit SOC 2 (Service Organization Control for Service Organizations) portant sur l'efficacité des contrôles mis en œuvre pour protéger le processus de développement et de publication des bases de données antivirus de Kaspersky contre les changements non autorisés. Après les audits de type 1, Kaspersky a passé avec succès l'évaluation de type 2, qui analyse les contrôles de l'entreprise sur une période de six mois.
L'entreprise passe continuellement et avec succès les audits SOC 2 depuis 2019. Le cadre SOC (Service Organization Controls) est une norme internationalement reconnue pour les systèmes de gestion des risques de cybersécurité, qui a été développée par l'American Institute of Certified Public Accountants (AICPA). Le cadre vise à aider les organisations à rassurer leurs clients sur le fait qu'elles ont mis en place des mécanismes de contrôle de sécurité efficaces. Dans un esprit de transparence, Kaspersky a choisi cette norme pour confirmer la fiabilité de ses processus et solutions et son engagement à respecter les critères de l'AICPA, à savoir la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité et la protection de la vie privée.
L'audit a été réalisé par une équipe de consultants d'un service d'audit indépendant. Au cours de l'examen, le processus utilisé par Kaspersky pour le développement et la mise en œuvre de bases de données antivirus pour les systèmes d'exploitation Windows et Unix a été vérifié, y compris les éléments suivants de l'environnement de contrôle :
- Organisation et management
- Communication
- Gestion du risque
- Suivi des contrôles
Les tests ont consisté à interroger les membres appropriés de la direction, de la supervision et du personnel, à observer les activités et les opérations de Kaspersky et à inspecter les documents et les registres de Kaspersky. Contrairement aux précédentes évaluations SOC 2 de type 1, les auditeurs ont cette fois-ci examiné non seulement la mise en œuvre des contrôles internes de l'entreprise à un moment précis, mais aussi l'efficacité opérationnelle de ces contrôles sur une période de six mois - de décembre 2022 à mai 2023. L'audit a permis de conclure que les contrôles internes de Kaspersky visant à garantir des mises à jour régulières et automatisées des bases de données antivirus sont efficaces, tandis que le processus de développement et de mise en œuvre des bases de données antivirus est protégé contre toute altération non autorisée. Le verdict complet des auditeurs se trouve dans le rapport final, qui peut être demandé en cliquant sur le lien.
"La sécurité des clients de Kaspersky est primordiale pour nous, et nous sommes ravis de recevoir une fois de plus une confirmation indépendante du fait que nos contrôles et processus de sécurité sont mis en œuvre correctement et sont conformes aux critères de sécurité de l'AICPA. Le nouvel audit SOC 2 Type 2 donne à nos clients l'assurance que des mécanismes de contrôle de la sécurité ont été mis en place de manière efficace dans nos systèmes, et atteste que nos processus internes respectent les normes les plus strictes ", a déclaré Anton Ivanov, CTO chez Kaspersky.
Les audits réguliers des procédures internes de l’entreprise sont l’un des piliers de l’Initiative Globale de Transparence de Kaspersky qui a pour objectif de construire et d’entretenir la confiance entre l’entreprise et ses clients et partenaires, et d’attester l’adhésion de Kaspersky aux principes de transparence. Pour en savoir plus sur l’audit SOC 2 et pour recevoir le nouveau rapport, rendez-vous sur le site Internet.
