Nos engagements : plus de transparence et plus de responsabilité

Notre premier rapport de transparence aborde les demandes faites par les forces de l’ordre et les organisations gouvernementales du monde entier.

Les technologies de l’information sont inséparables de la société moderne, ce qui renforce l’importance de la cybersécurité et souligne que la confiance est plus importante que jamais. Les clients et les partenaires des entreprises qui travaillent dans le secteur de la sécurité des informations doivent comprendre qui protège leurs données confidentielles, quelles informations ils partagent et avec qui, quels sont les principes de base, et bien d’autres aspects. C’est pour répondre à toutes ces questions que nous avons présenté, il y a quelques années de cela, notre Initiative Mondiale de Transparence (GTI).

Aujourd’hui cette initiative connaît une importante mise à jour. En tant que pionnier du marché de la cybersécurité, nous avons publié un rapport de transparence pour partager publiquement les informations relatives aux demandes faites en 2020-2021 par les forces de l’ordre et les organisations gouvernementales internationales, ainsi que par nos utilisateurs finaux. De plus, nous aimerions profiter de cette occasion pour vous en dire plus sur le traitement de ces demandes et sur les informations que nous fournissons.

Nous voulons que nos utilisateurs soient en sécurité et protégés, et aient confiance en ce cybermonde ; un monde dont l’existence est menacée par cette cybercriminalité endémique. Dans le cadre de notre lutte contre la cybercriminalité transnationale, nous travaillons régulièrement avec les forces de l’ordre du monde entier, en leur fournissant des analyses techniques des programmes malveillants et pour les aider dans leurs enquêtes. Ces organisations envoient parfois des demandes à Kaspersky pour profiter des connaissances techniques et des informations techniques non-personnelles, mais aussi pour des données utilisateur.

En tant qu’entreprise spécialisée en cybersécurité, nous ne traitons pas et ne possédons pas le contenu des données (données que les utilisateurs créent ou communiquent) que les forces de l’ordre veulent parfois utiliser comme preuve électronique. Nous ne recueillons que la quantité de données utilisateur (détails de la licence ou encore version du système d’exploitation) dont nous avons besoin pour le bon fonctionnement de nos produits. Néanmoins, nous voulons que nos utilisateurs comprennent notre approche pour garantir la sécurité et la confidentialité des données utilisateur et comment nous traitons les demandes des forces de l’ordre. C’est pourquoi nous publions notre rapport de demandes faites par les forces de l’ordre et les institutions gouvernementales (Law Enforcement and Government Requests Report) et que nous partageons nos principes fondamentaux lorsque nous répondons à ces demandes.

Notre approche pour répondre aux demandes

Tout d’abord, Kaspersky n’autorise aucune organisation judiciaire ou gouvernementale à avoir accès aux données utilisateur ou à l’infrastructure de l’entreprise. Nous fournissons les renseignements de ces données sur simple demande, mais aucune partie externe ne peut accéder directement ou indirectement à notre infrastructure et à nos données, et les employés de Kaspersky valident et traitent toutes les demandes.

Ensuite, en reconnaissance des rôles importants que les forces de l’ordre nationales, régionales et internationales jouent pour garantir la sécurité de nos utilisateurs et de nos technologies, nous partageons nos connaissances techniques et les informations techniques non-personnelles. Nos chercheurs et nos experts d’élite en cybersécurité partagent leurs connaissances, leur savoir-faire et leurs compétences avec ceux qui luttent aussi contre la cybercriminalité.

Puis chaque demande que nous recevons passe par un processus de vérification juridique afin d’assurer notre conformité avec les lois et les procédures en vigueur. Notre processus à plusieurs étapes, comme décrit ci-dessous, guide nos décisions lorsqu’il s’agit de valider, de rejeter ou de faire appel des demandes reçues.

Les différentes étapes de notre processus de réponse aux demandes faites par les forces de l'ordre et les organisations gouvernementales

Enfin, nous refusons toujours les demandes de clés de chiffrement ou d’introduction de compétences non déclarées. Nous mettons tout en œuvre pour garantir la qualité et l’intégrité de nos produits. Les évaluations indépendantes de nos pratiques d’ingénierie et les données de nos systèmes de sécurité le confirment, et les régulateurs, les partenaires et autres peuvent le vérifier dans nos centres de transparence.

Nous considérons que la publication de ces principes et de ces données sur demande joue un rôle clé dans le développement et le maintien de la confiance. C’est conformément aux meilleures pratiques du secteur informatique que nous publions aujourd’hui les données relatives à ces demandes en 2020 et pendant les six premiers mois de 2021. Nous mettrons ces informations à jour tous les six mois. Nous voulons que nos utilisateurs soient persuadés de la confidentialité de leurs données et nous souhaitons prouver notre engagement à soutenir les partenaires qui luttent contre la cybercriminalité.

Aujourd’hui nous divulguons des informations sur les demandes faites par les forces de l’ordre et les organisations gouvernementales. De plus, ce rapport contient des données sur les demandes faites par les utilisateurs à des fins multiples : pour supprimer leurs DCP, pour savoir qui stocke leurs données utilisateur et où, ou encore pour fournir ces renseignements aux utilisateurs. Vous pouvez lire la totalité de notre premier rapport de transparence ici.

Conseils