Kaspersky a publié aujourd'hui un nouveau livre blanc intitulé “Protection beyond detection: Why trust and transparency decide your cybersecurity future”, basé sur une évaluation indépendante de la transparence et de la responsabilité de 14 sociétés leaders dans le secteur de la cybersécurité . Kaspersky figure parmi les entreprises évaluées les plus transparentes, surpassant systématiquement les standards du secteur en matière de gestion des données, de confiance dans la chaîne d'approvisionnement et de capacités de vérification offertes aux clients.
Le nouveau livre blanc de Kaspersky s'appuie sur une étude indépendante, intitulée Transparency Review and Accountability in Cyber Security. Cette étude a été réalisée à l’initiative de la Chambre de Commerce du Tyrol (WKO) et menée par MCI | The Entrepreneurial School®, ainsi qu’avec des experts juridiques, en collaboration avec AV-Comparatives. Elle évalue les entreprises selon divers critères de transparence et de responsabilité. L’étude souligne que si la conformité de base est généralisée, nombre de pratiques de confiance vérifiables restent rares dans l'ensemble du secteur.
L'étude souligne toutefois les atouts distinctifs de Kaspersky : c'est l'un des trois seuls fournisseurs (sur 14 évalués) à proposer des Centres de Transparence à ses clients. Ces centres permettent un examen indépendant du code source, des pratiques de gestion des données et des processus de mise à jour. Parmi ces fournisseurs, Kaspersky se distingue par l’offre la plus complète incluant également l'examen des règles de détection des menaces et une vérification qui assure que les versions compilées correspondent aux versions publiques. Dans le cadre de sa Global Transparency Initiative (GTI), Kaspersky a ouvert plus de 10 centres à travers le monde, offrant de multiples options de vérification pour les parties prenantes gouvernementales et privées.
Kaspersky fait également partie des trois seuls fournisseurs à donner accès à une nomenclature logicielle (SBOM). Il figure également dans le quatuor de tête lorsqu’il s’agit de publier régulièrement des rapports de transparence détaillant les demandes des forces de l'ordre et des agences gouvernementales. Il existe toutefois un écart important entre les engagements annoncés et la responsabilité concrète dans l'ensemble du secteur
Kaspersky se distingue sur des pratiques encore rares
Sur les 60 critères évalués, Kaspersky a atteint ou dépassé les standards du secteur dans 57 catégories, obtenant le meilleur résultat parmi les éditeurs évalués. En outre, l'entreprise fait, partie des trois seuls fournisseurs à avoir rempli l'ensemble des critères de posture de sécurité analysés. Ces critères, considérés dans le rapport comme des « indicateurs clés de la fiabilité et de la résilience à long terme », incluent notamment : le signalement des vulnérabilités, les avis de sécurité, la collaboration et l'engagement envers la déclaration "Safe Harbor", les résultats d'audit de sécurité et les processus de cycle de vie du développement logiciel (SDLC) sécurisé.
L'évaluation comprenait également une analyse technique pratique des produits de cybersécurité.Kaspersky Next EDR Optimuma démontré une collecte de données minimale lors des tests et a été salué pour sa capacité à permettre aux clients de désactiver entièrement les services de réputation basés sur le cloud et la fonctionnalité EDR.
L'étude a également révélé une grande disparité entre les acteurs de cybersécurité évalués concernant le contrôle des clients sur les mises à jour des produits. Bien que la quasi-totalité des fournisseurs rende publics les historiques de mises à jour, seuls huit proposent des déploiements échelonnés. De plus, Kaspersky est l'un des six seuls fournisseurs à permettre aux clients d'inspecter les définitions virales. Ces fonctionnalités sont cruciales pour les organisations opérant dans des environnements sensibles ou soumis à des réglementations strictes, nécessitant une vérification et une gestion rigoureuses des changements.
Eugene Kaspersky, fondateur et PDG de Kaspersky, souligne l'importance d'une transparence avérée : « Pour être crédible, la transparence doit être démontrable. Les solutions de cybersécurité s'immiscent profondément dans les systèmes de nos clients, rendant la responsabilité absolument essentielle. Lorsque des experts indépendants examinent notre travail, la transparence devient mesurable et ne peut plus être considérée comme acquise. Nous offrons aux organisations des preuves concrètes pour étayer leurs décisions lorsqu’il s’agit de choisir un partenaire de confiance, tout en promouvant des standards plus élevés pour l'ensemble du secteur de la cybersécurité. »
Les plateformes de détection et de réponse sur les postes de travail (EDR) traitent la télémétrie, gèrent les mises à jour automatisées et s'appuient sur des services cloud pour assurer une protection. Par conséquent, la transparence et la responsabilité sont désormais étroitement liées à la gouvernance, à la conformité et au risque lié à la chaîne d'approvisionnement, plutôt que d'être considérées uniquement comme des attributs techniques.
La transparence, un facteur clé
Le rapport souligne que la transparence est un critère d'évaluation essentiel pour les RSSI et les entreprises dans le choix de leurs fournisseurs de services de cybersécurité. Ceux qui conjuguent une protection robuste à une transparence bien définie (incluant une nomenclature logicielle (SBOM, des processus de mise à jour vérifiables, la publication des résultats d'audit et le contrôle des flux de données par le client) garantissent un niveau de confiance supérieur aux organisations.
Au niveau sectoriel, cette étude reflète une tendance plus large vers une gouvernance de la cybersécurité axée sur la responsabilité. La réglementation met de plus en plus l'accent sur la traçabilité, le développement sécurisé et la transparence post-commercialisation. Par conséquent, certaines pratiques encore peu courantes aujourd'hui pourraient rapidement devenir des exigences fondamentales. Ces évaluations indépendantes servent de référence tant pour les fournisseurs que pour les clients face à l'évolution de ces attentes.
Pour aider les RSSI à assurer une gestion saine des risques liés aux tiers, Kaspersky a inclus une liste de contrôle pratique dans son livre blanc, leur permettant d'évaluer la fiabilité de leurs fournisseurs de logiciels et de renforcer la résilience de leur chaîne d'approvisionnement.
Le rapport complet, est disponible en cliquant sur le lien
suivant : « Transparency
Review and Accountability in Cybersecurity
»
* "Transparency Review and Accountability in Cybersecurity," édition 2025, étude commanditée par WKO (Tyrol Chamber of Commerce) et conduite par AV-Comparatives, MCI | The Entrepreneurial School®, et Studio Legale Tremolada.
