Le probl\u00e8me r\u00e9side dans le fait que presque tous les clients font confiance<\/strong> \u00e0 leurs fournisseurs pour r\u00e9pondre avec pr\u00e9cision \u00e0 ces questions, bien souvent parce qu\u2019ils n\u2019ont pas d\u2019autre choix. Une approche plus r\u00e9fl\u00e9chie au regard de la cyberr\u00e9alit\u00e9 actuelle consiste \u00e0 v\u00e9rifier<\/strong>.<\/p>\n Dans le jargon des entreprises, ce ph\u00e9nom\u00e8ne est appel\u00e9 \u00ab\u00a0confiance dans la cha\u00eene d\u2019approvisionnement\u00a0\u00bb, et tenter de r\u00e9soudre cette \u00e9nigme par vous-m\u00eame est un v\u00e9ritable casse-t\u00eate. Vous avez besoin de l\u2019aide des fournisseurs. Un fournisseur responsable est pr\u00eat \u00e0 pr\u00e9senter ce qui se cache derri\u00e8re ses solutions, \u00e0 mettre le code source de celles-ci \u00e0 la disposition de ses partenaires et clients afin qu\u2019ils puissent l\u2019examiner et, de mani\u00e8re g\u00e9n\u00e9rale, \u00e0 gagner la confiance de ces derniers non pas gr\u00e2ce \u00e0 de jolis diaporamas, mais gr\u00e2ce \u00e0 des mesures concr\u00e8tes et pratiques.<\/p>\n Alors, qui met d\u00e9j\u00e0 cela en pratique, et qui est encore bloqu\u00e9 dans le pass\u00e9\u00a0? Une \u00e9tude r\u00e9cente et approfondie<\/a> men\u00e9e par nos confr\u00e8res europ\u00e9ens r\u00e9pond \u00e0 cette question. Elle a \u00e9t\u00e9 conduite par le laboratoire de tests r\u00e9put\u00e9 AV-Comparatives, la Chambre de commerce du Tyrol (WKO<\/a>), l\u2019\u00c9cole d\u2019entrepreneuriat MCI et le cabinet d\u2019avocats Studio Legale Tremolada.<\/p>\n La principale conclusion de cette \u00e9tude est que l\u2019\u00e8re des \u00ab\u00a0bo\u00eetes noires\u00a0\u00bb dans le domaine de la cybers\u00e9curit\u00e9 est r\u00e9volue. RIP. Amen. L\u2019avenir appartient \u00e0 ceux qui ne cachent pas leur code source et leurs rapports sur les vuln\u00e9rabilit\u00e9s et qui offrent \u00e0 leurs clients le maximum de choix lors de la configuration de leurs produits. Et le rapport montre clairement qui ne se contente pas de faire des promesses, mais tient r\u00e9ellement ses engagements. Devinez de qui il s\u2019agit !\u2026<\/p>\n Quelle bonne d\u00e9duction\u00a0! Oui\u00a0: il s\u2019agit bien de nous\u00a0!<\/p>\n Nous offrons \u00e0 nos clients une chose qui reste malheureusement une esp\u00e8ce rare et en voie de disparation au sein de l\u2019industrie\u00a0: des centres de transparence, des examens du code source de nos produits, une nomenclature logicielle (SBOM<\/a>) d\u00e9taill\u00e9e, et la possibilit\u00e9 de consulter l\u2019historique des mises \u00e0 jour et de contr\u00f4ler les d\u00e9ploiements. Et bien s\u00fbr, nous fournissons \u00e9galement tout ce qui constitue d\u00e9j\u00e0 la norme de l\u2019industrie. Vous pouvez en apprendre davantage en consultant le rapport complet \u00ab\u00a0Transparency and Accountability in Cybersecurity\u00a0\u00bb (TRACS)<\/a> ou en lisant notre r\u00e9sum\u00e9. Ici, je passerai en revue quelques-uns des points les plus int\u00e9ressants.<\/p>\n Le rapport TRACS a \u00e9valu\u00e9 14 fournisseurs populaires ainsi que leurs produits EPP\/EDR, de Bitdefender \u00e0 CrowdStrike en passant parnotre solution EDR Optimum<\/a> et WithSecure. L\u2019objectif \u00e9tait de comprendre quels fournisseurs ne se contentent pas de dire \u00ab\u00a0faites-nous confiance\u00a0\u00bb, mais vous permettent r\u00e9ellement de v\u00e9rifier leurs dires. L\u2019\u00e9tude portait sur 60 crit\u00e8res, de la conformit\u00e9 au RGPD<\/a> (R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es \u2013 puisqu\u2019il s\u2019agit d\u2019une \u00e9tude europ\u00e9enne) aux audits ISO\u00a027001, en passant par la capacit\u00e9 \u00e0 traiter toutes les donn\u00e9es t\u00e9l\u00e9m\u00e9triques localement et l\u2019acc\u00e8s au code source d\u2019un produit. Cependant, les auteurs ont d\u00e9cid\u00e9 de ne pas attribuer de points pour chaque cat\u00e9gorie ni d\u2019\u00e9tablir de classement g\u00e9n\u00e9ral unique.<\/p>\n Pourquoi\u00a0? Parce que chaque entreprise est confront\u00e9e \u00e0 des mod\u00e8les de menace et des risques diff\u00e9rents. Ce qui est une fonctionnalit\u00e9 pour l\u2019une peut constituer un bug et un d\u00e9sastre pour l\u2019autre. Prenons l\u2019exemple de l\u2019installation rapide et enti\u00e8rement automatis\u00e9e des mises \u00e0 jour. Pour une petite entreprise ou une soci\u00e9t\u00e9 de vente au d\u00e9tail comptant des milliers de petites succursales ind\u00e9pendantes, il s\u2019agit d\u2019une b\u00e9n\u00e9diction, car il leur serait impossible de disposer d\u2019un personnel informatique suffisant pour g\u00e9rer toutes ces t\u00e2ches manuellement. En revanche, dans une usine o\u00f9 le convoyeur est contr\u00f4l\u00e9 par un ordinateur, cela serait totalement inacceptable. Une mise \u00e0 jour d\u00e9fectueuse est susceptible de provoquer l\u2019arr\u00eat d\u2019une cha\u00eene de production, ce qui, sur le plan commercial, pourrait avoir des cons\u00e9quences d\u00e9sastreuses (ou du moins, pires que la r\u00e9cente cyberattaque contre Jaguar Land Rover<\/a>). Dans ce cas de figure, chaque mise \u00e0 jour doit d\u2019abord \u00eatre test\u00e9e. Il en va de m\u00eame pour les donn\u00e9es t\u00e9l\u00e9m\u00e9triques. Une agence de relations publiques transmet les donn\u00e9es de ses ordinateurs au cloud de son fournisseur afin de participer \u00e0 la d\u00e9tection des cybermenaces et de b\u00e9n\u00e9ficier d\u2019une protection instantan\u00e9e. Parfait. Mais une entreprise qui traite les dossiers m\u00e9dicaux de patients ou des conceptions techniques hautement confidentielles sur ses ordinateurs\u00a0? Il conviendrait de r\u00e9examiner ses param\u00e8tres de t\u00e9l\u00e9m\u00e9trie.<\/p>\n Dans l\u2019id\u00e9al, chaque entreprise devrait attribuer une \u00ab\u00a0pond\u00e9ration\u00a0\u00bb \u00e0 chaque crit\u00e8re et calculer son propre \u00ab\u00a0indice de compatibilit\u00e9\u00a0\u00bb avec les fournisseurs EDR\/EPP. Mais une chose est s\u00fbre : celle qui offre le plus de choix \u00e0 ses clients gagne.<\/p>\n Prenons l\u2019exemple de l\u2019analyse de la r\u00e9putation des fichiers suspects. Elle peut fonctionner de deux mani\u00e8res : via le cloud commun du fournisseur, ou via un microcloud priv\u00e9 au sein d\u2019une m\u00eame organisation. De plus, il est possible de d\u00e9sactiver compl\u00e8tement cette analyse et de travailler enti\u00e8rement hors ligne. Tr\u00e8s peu de fournisseurs proposent ces trois options \u00e0 leurs clients. Par exemple, l\u2019analyse de la r\u00e9putation \u00ab\u00a0sur site\u00a0\u00bb n\u2019est disponible que chez huit fournisseurs parmi ceux \u00e9valu\u00e9s. Il va sans dire que nous en faisons partie.<\/p>\n Dans chaque cat\u00e9gorie de l\u2019\u00e9valuation, la situation est \u00e0 peu pr\u00e8s la m\u00eame que pour le service de r\u00e9putation. En parcourant attentivement les 45\u00a0pages du rapport, nous constatons que nous sommes soit en avance sur nos concurrents, soit parmi les leaders. De plus, nous pouvons affirmer avec fiert\u00e9 que, dans environ un tiers des cat\u00e9gories comparatives, nous offrons des fonctionnalit\u00e9s nettement sup\u00e9rieures \u00e0 celles de la plupart de nos concurrents. Faites-vous une id\u00e9e par vous-m\u00eame\u00a0:<\/p>\n Visiter un centre de transparence et examiner le code source\u00a0? V\u00e9rifier que les fichiers binaires du produit sont bien cr\u00e9\u00e9s \u00e0 partir de ce code source\u00a0? Seuls trois fournisseurs parmi ceux \u00e9valu\u00e9s offrent cette possibilit\u00e9. Et pour l\u2019un d\u2019entre eux, elle est r\u00e9serv\u00e9e aux clients gouvernementaux. Nos centres de transparence sont les plus nombreux et les mieux r\u00e9partis g\u00e9ographiquement et offrent aux clients le plus large \u00e9ventail d\u2019options.<\/p>\nOn ne m\u00e9lange pas les torchons et les serviettes<\/h2>\n
Mettre la barre plus haut<\/h2>\n
![\"L'ouverture](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2026\/02\/10121959\/transparency-independent-study-center.jpg\")
<\/a>