Global Transparency Initiative, mise à jour !

13 Nov 2018

Nous vous avions annoncé en octobre 2017 le lancement de la Global Transparency Initiative. L’objectif ? Montrer au monde entier que nous n’avons rien à cacher, et que nos clients peuvent nous faire confiance.  Nous voulons vous le démontrer, et pas seulement vous demander de croire ce que nous disons.

Au cours de ces dernières années, nous avons dû faire face à de nombreuses allégations infondées. Même s’il n’existe aucune preuve permettant de soutenir ces accusations, nous pensons qu’il relève de notre responsabilité de prouver que Kaspersky Lab peut, et devrait être, une entreprise en laquelle on peut avoir confiance. Il existe plusieurs éléments fondamentaux qui justifient cette confiance. C’est dans cet objectif que nous avons lancé la Global Transparency Initiative.

Cet article sera régulièrement mis à jour, au fur et à mesure du développement de ce projet.

Mise à jour du 2 avril 2019

Notre Global Transparency Initiative avance bien, et nous avons le plaisir de vous annoncer l’ouverture de notre second centre de transparence. Il sera à Madrid, en Espagne, et cherche à fournir plus d’informations sur le fonctionnement des produits et technologies de Kaspersky Lab. En plus de cela, ce nouveau centre sera également utilisé comme centre d’instructions où les visiteurs pourront en savoir plus sur notre portefeuille de produits, notre ingénierie, et les méthodes que nous utilisons pour le traitement des données. Nous attendons les premiers visiteurs de ce centre en juin. Nos autres plans n’ont pas changé puisque nous envisageons encore d’ouvrir des Centres de Transparence en Asie et en Amérique du Nord d’ici 2020.

Le transfert de notre infrastructure qui s’occupe du traitement des données est aussi en bonne voie. Nous avons déjà déménagé l’infrastructure de réception en Suisse, et nous pensons finir le transfert de la partie de stockage d’ici la fin du second trimestre. La délocalisation du traitement des données des clients européens devrait être entièrement complétée avant la fin de cette année.

De plus, nous avons publié les résultats d’un examen juridique indépendant et volontaire des textes législatifs de la Russie et de leur application à Kaspersky Lab. Cette évaluation a été réalisée par Dr. Kaj Hober, professeur d’investissement international et droit commercial à l’université d’Uppsala en Suisse et expert du système juridique russe. Voici les résultats clés :

  • Le Service fédéral de sécurité de la fédération de Russie (FSB) pourrait demander à Kaspersky Lab de coopérer avec lui, mais l’entreprise n’est pas obligée de le faire.
  • Les lois qui obligent les vendeurs à aider le FSB dans leurs activités opérationnelles d’enquête ne s’appliquent qu’aux entreprises qui fournissent des services de communication électronique, et ce n’est pas le cas de Kaspersky Lab.
  • Les lois qui exigent aux entreprises de conserver leurs données en Russie, et à les fournir au FSB avec les clés de chiffrement nécessaires pour les déchiffrer, ne s’appliquent qu’aux prestataires de services de télécommunications, et Kaspersky Lab n’en est pas un.

Dernier point, mais non des moindres, nous avons amélioré notre programme Bug Bounty en ajoutant Kaspersky Password Manager et Kaspersky Endpoint Security for Linux, ainsi que d’autres produits, parmi les logiciels disponibles pour être révisés. Jusqu’à présent, plus de 50 bugs ont été découverts et signalés grâce à ce programme, et les chercheurs ont reçu des primes de plus de 17 000 dollars pour leur travail.

Mise à jour du 13 novembre 2018

Nous avons officiellement inauguré notre premier Centre de Transparence, permettant ainsi à nos associés agréés d’accéder aux analyses des codes de l’entreprise, aux mises à jour des logiciels, et aux règles relatives à la détection des menaces.

À partir d’aujourd’hui, nous allons également traiter, dans nos deux centres de données de classe mondiale qui se trouvent à Zurich, tous les fichiers malveillants et suspects que les utilisateurs européens des produits Kaspersky Lab partagent avec nous.

Comme promis, Kaspersky Lab a aussi passé un contrat avec un des Big Four, un des quatre plus grands groupes de services professionnels, pour qu’il mène un audit, dans le respect de la norme SSAE 18, des pratiques d’ingénierie de l’entreprise en matière de création, et de distribution des bases de données relatives aux principes de détection des menaces. L’objectif est de confirmer, de façon indépendante, que ces actions soient conformes aux meilleures pratiques du secteur en matière de sécurité.

Mise à jour du 29 août 2018

Nous avons bien progressé, puisque nous avons déjà mis en place un changement majeur : la récompense que nous attribuons aux chasseurs de bugs s’élève désormais à 100 000 $. Nous espérons que cette mesure va rendre nos produits plus sûrs, et plus fiables. Nous venons d’entamer une autre partie de notre projet Global Transparency Initiative ; nous avons commencé à installer le matériel nécessaire pour transférer le traitement des données de nos utilisateurs en Europe.

Kaspersky Lab a également signé un contrat avec deux fournisseurs européens, Interxion et NTS. Afin de répondre aux inquiétudes des responsables des secteurs privés et publics en matière d’accès non autorisé aux données clients, ces centres de données disposeront d’une nouvelle infrastructure nécessaire pour recueillir, traiter et stocker les données à Zurich, en Suisse, à partir de fin 2018. Le traitement et le stockage des données des clients européens vont être délocalisés, puis nous feront de même avec d’autres pays. Nous envisageons d’avoir terminé cette restructuration concernant les pays européens avant le dernier trimestre de 2019.

Pourquoi la Suisse ?

Nous avons choisi ce pays pour plusieurs raisons. D’une part, la Suisse se trouve au cœur de l’Europe. D’autre part, ce pays ne fait pas partie de l’UE, ce qui le rend indépendant et libre de prendre ses propres décisions. C’est aussi très symbolique puisqu’un de nos principes fondamentaux de la Global Transparency Initiative a toujours été de montrer que nous sommes indépendants ; la Suisse est donc le pays idéal pour le lancement de ce projet.

La Suisse est aussi connue pour son environnement informatique hautement innovant et avancé, et pour sa règlementation stricte lorsqu’il s’agit de traiter les demandes de données envoyées par les autorités. Par conséquent, les données de nos clients seront stockées et traitées dans un des endroits les plus sûrs du monde.

Étapes de la Global Transparency Initiative

Nous développons aussi d’autres aspects de notre Global Transparency Initiative.

Nous envisageons d’ouvrir notre premier Centre de Transparence en Suisse. Nous sommes en train de le mettre en place, et nous procèderons à son ouverture dès que nous serons prêts à traiter les données dans nos centres de données qui se trouvent à Zurich. Cette inauguration est prévue pour plus tard cette année. [MISE À JOUR : Notre premier centre est désormais ouvert.]

Nous souhaitons également délocaliser les infrastructures chargées du traitement des données clients d’autres pays. Ce processus est assez complexe. Nous avons décidé de suivre une approche progressive afin de minimiser tout bouleversement possible en matière de protection de nos clients. Nous reprendrons cette partie du projet lorsque nous aurons fini de délocaliser, en Suisse, les infrastructures s’occupant du traitement des données des citoyens européens. [MISE À JOUR : Ce processus de délocalisation a commencé, et devrait s’achever en 2019 pour les citoyens européens.]

Nous avons prévu de revoir les codes et processus tiers lorsque la délocalisation sera terminée, puisque nous sommes actuellement à la recherche du partenaire idéal. [MISE À JOUR : Nous avons signé un contrat avec un associé pour cette étape.]

Nous envisageons également de transférer en Suisse le processus de montage des bases de données qui s’occupent des règles de détection des menaces et des programmes. Cependant, il était plus urgent de répondre aux préoccupations relatives à l’accès non autorisé aux donnés des utilisateurs, et c’est pourquoi ce changement aura lieu dès que nous aurons commencé le processus de délocalisation des données.

La mise en place de la Global Transparency Initiative est un processus particulièrement important pour nous. Il ne fait aucun doute qu’il est nécessaire de consacrer du temps, et des efforts, à ce projet de longue durée, pour démontrer que Kaspersky Lab est une entreprise entièrement transparente, indépendante, et que vous pouvez lui faire confiance. Lorsque nous aurons plus d’informations sur les processus en cours de notre Global Transparency Initiative, nous mettrons ce blog, et le site Internet de notre Centre de Transparence, à jour, pour que tout le monde puisse trouver au même endroit des renseignements sur ces activités liées à ce projet de transparence.