Transparence : Délocalisation de nos infrastructures vers la Suisse

Notre premier Centre de Transparence, ainsi que notre « chaîne de montage de logiciels » et le stockage des données de Kaspersky Security Network seront en Suisse.

Il y a quelques mois, nous vous avions communiqué le prochain lancement de notre Global Transparency Initiative. Nous avons progressé dans ce sens, puisqu’au début du printemps nous avons augmenté notre récompense pour les chasseurs de bugs à 100 000 $. Nous sommes désormais prêts à franchir une nouvelle étape : nous délocalisons une bonne partie de notre infrastructure à Zurich, en Suisse. Ce déménagement inclut notre « chaîne de montage de logiciels », les serveurs qui stockent et traitent les données de Kaspersky Security Network, et nous allons créer notre tout premier Centre de Transparence.

Pour aider les utilisateurs à comprendre le but et l’importance de cette initiative, nous avons récompilé les questions et réponses suivantes.

Qu’est-ce que la chaîne de montage et les données de KSN ?

Tout d’abord, la construction de nos systèmes, aussi appelée « chaîne de montage », travaille sur la compilation et la création des produits de Kaspersky Lab, mais aussi sur les mises à jour des principes de détection des menaces. Cette infrastructure se trouvera désormais à Zurich. Ainsi, notre programme sera compilé et signé en Suisse sous la supervision d’une organisation tierce, avant de le distribuer aux utilisateurs.

Ensuite, nous déplaçons les serveurs qui traitent et stockent les informations de Kaspersky Security Network de nos utilisateurs qui résident en Europe, Amérique du Nord, Australie, Japon, Corée du Sud et Singapour ; d’autre pays vont suivre. Cette routine sera également examinée de façon indépendante.

Pourquoi délocaliser la chaîne de montage et les données de KSN ?

Même si le niveau actuel de protection de nos traitements de données et de notre infrastructure de conception logicielle est extrêmement élevé, nous travaillons sans relâche pour l’améliorer. Afin d’augmenter notre transparence envers nos clients, et notre résistance aux risques dans la chaîne d’approvisionnement, nous devons nous assurer que le code source examiné dans notre Centre de Transparence soit identique au code en réalité compilé dans nos produits expédiés aux clients. C’est pourquoi nous délocalisons également l’infrastructure de compilation et signature en Suisse.

Il en est de même pour les données traitées par Kaspersky Security Network. L’héberger en Suisse, sous la supervision d’une organisation indépendante, signifie que chaque accès à ces données sera méticuleusement enregistré. Les registres peuvent être consultés à n’importe quel moment s’il y a la moindre préoccupation.

Qu’est-ce que ce Centre de Transparence ?

Il s’agit d’une infrastructure où les partenaires de confiance, et les instances publiques concernées peuvent examiner le code source de nos produits, ainsi que les outils que nous utilisons. Cette infrastructure donnera accès aux élément suivants :

  • Documentation sécurisée en matière de développement logiciel,
  • Code source de n’importe quel produit lancé publiquement (même des anciennes versions),
  • Bases de données des principes de la détection des menaces,
  • Code source des services hébergés sur le cloud responsables de recevoir et stocker les données des clients qui se trouvent en Europe, Amérique du Nord, Australie, Japon, Corée du Sud et Singapour,
  • Outils logiciels utilisés pour la création d’un produit (conception des scripts), des bases de données et des services hébergés sur le cloud.

Pourquoi faites-vous tout cela ?

L’objectif le plus important de notre Global Transparency Initiative est d’établir tous les processus examinés, pour que vous n’ayez pas à nous croire sur parole lorsqu’il s’agit de l’intégrité de nos produits, mises à jour, principes de détection, stockages des données et autres éléments similaires. Les acteurs de gouvernements ou d’organisations privées concernés, disposant de connaissances pertinentes, pourront examiner nos logiciels pour s’assurer qu’ils fonctionnent comme prévu.

Qui va s’assurer que vous respectez les règles ?

Une organisation tierce va évaluer la fiabilité de tout ce qui se passe dans nos installations qui se trouvent à Zurich. Cette organisation aura accès à autant de choses que possible. Ses fonctions incluent :

  • Superviser et enregistrer les fois où les employés de Kaspersky Lab accèdent aux métadonnées du produit reçues par Kaspersky Security Network, et stockées dans le centre de données qui se trouve en Suisse ;
  • Organiser et réaliser des examens du code source ;
  • Réaliser d’autres tâches qui sont destinées à l’évaluation et à la vérification de la fiabilité des produits de Kaspersky Lab.

Kaspersky Lab soutient la création d’une nouvelle organisation à but non lucratif qui va assumer cette responsabilité, non seulement pour notre entreprise, mais aussi pour les autres partenaires et membres qui veulent y adhérer. Le Centre de Transparence et l’organisation de supervision sont deux entités différentes et indépendantes ; cet aspect doit être mis en avant.

Pourquoi la Suisse ?

Nous avons choisi ce pays pour deux raisons. Tout d’abord, la Suisse a maintenu sa politique de neutralité depuis deux siècles. Ensuite, ce pays dispose d’une législation forte en matière de protection des données. Nous pensons que ces deux qualités font de la Suisse l’endroit parfait où installer une partie de notre infrastructure sensible.

Allez-vous ouvrir d’autres Centres de Transparence ?

Nous envisageons d’ouvrir d’autres centres en Amérique du Nord et en Asie d’ici 2020. Cependant, nous ne pouvons pas encore vous donner plus de détails.

Combien de temps cette délocalisation prendra-t-elle ?

Il nous faudra un certain temps. Le déménagement de notre chaîne de montage, qui est la partie la plus facile du processus, sera achevé fin 2018. La création d’une infrastructure traitant les données exige que plusieurs dizaines de services soient déplacés de Moscou à Zurich, et mis en œuvre. Nous commençons ce projet maintenant et nous pensons le finir fin 2019.

À notre connaissance, nous sommes la première entreprise en cybersécurité à réaliser une telle initiative. D’une certaine façon être un pionnier complique les choses, mais nous croyons fermement qu’il est grand temps de rendre le développement logiciel transparent. Par conséquent, chaque entreprise devra faire de même à un moment ou à un autre. Nous avons un avantage en étant les premiers.

Conseils