Kaspersky Transparency Center | Kaspersky

GESTION DES DONNEES, ASSEMBLAGE DE LOGICIELS, ET PLUS ENCORE.

Dans le cadre de notre Initiative Mondiale de Transparence (GTI), nous transférons nous transférons l'infrastructure de stockage et de traitement des données utilisateurs de plusieurs pays. Nous avons également ouvert plusieurs Centres de Transparence, le premier étant situé à Zurich avec nos data centers.

Centre de Transparence

Site permettant aux partenaires privilégiés et aux acteurs gouvernementaux de vérifier le code, les mises à jour logicielles et les règles de détection des menaces de l'entreprise. L'entreprise a ouvert des centres de transparence à Zurich et à Madrid. De nouveaux centres de transparence ouvriront début 2020 à Kuala Lumpur, en Malaisie, ainsi qu'à São Paulo, au Brésil.

Pourquoi la Suisse ?

- Un historique durable et fiable en matière de neutralité, à l'instar de notre politique de détection des programmes malveillants : nous détectons et stoppons toute attaque de programmes malveillants, quelle que soit son origine
- Une approche réglementaire stricte en matière de protection des données

CENTRES DE TRANSPARENCE

Les centres de transparence sont des sites qui permettent aux partenaires privilégiés, entre autres, de procéder à des audits du code source, des mises à jour logicielles et des règles de détection des menaces de l'entreprise. Ces Centres de Transparence permettent aux gouvernements et à nos partenaires d'accéder à des informations détaillées sur nos produits et leur sécurité, y compris des documents techniques à des fins d'évaluation externe, et ce dans un environnement sécurisé.

Le premier Centre de Transparence de Kaspersky a été inauguré en novembre 2018 à Zurich, en Suisse. En juin 2019, un autre centre de transparence a ouvert ses portes à Madrid. Ce dernier fait également office de centre d'informations où les acteurs privilégiés peuvent approfondir leurs connaissances sur le portefeuille, ainsi que sur les pratiques d'ingénierie et de traitement des données de l'entreprise.

Kaspersky envisage d'ouvrir d'autres centres présentant les mêmes caractéristiques à Kuala Lumpur et São Paulo. Tous les Centres de Transparence de Kaspersky permettent de compiler le logiciel de l'entreprise à partir de son code source et de le comparer avec le code accessible au public.

Aucun autre fournisseur de solutions de cybersécurité n'est allé si loin. Avec ses centres, Kaspersky fait un grand pas vers une transparence totale de ses technologies de protection, de son infrastructure et de ses pratiques de traitement des données.

Pour visiter un de nos Centres de transparence, faites parvenir votre demande à l'adresse TransparencyCenter@kaspersky.com .

La sécurité et la protection de nos clients sont notre priorité absolue. C'est la raison pour laquelle nous appliquons une politique d'accès la plus stricte possible et nous réservons le droit de refuser toute demande susceptible de générer une faille de sécurité.

Le centre de transparence accueille les visiteurs suivants :

Agences gouvernementales et organismes de réglementation responsables de la cybersécurité nationale et de la protection des systèmes d'information (ainsi identifiés par la réglementation locale en vigueur)
Partenaires professionnels et clients potentiels et existants de Kaspersky, partout dans le monde

Les acteurs universitaires, les médias et les experts en réseaux de sécurité des informations sont considérés comme de futurs invités potentiels des Centres de Transparence.

Kaspersky n'autorisera en aucun cas les agences de renseignements ou les organismes d'application de la loi mandatés et/ou habilités aux opérations de cyberattaques à accéder au Centre de Transparence. Kaspersky fournit les informations de sécurité et l'infrastructure du centre de transparence à des fins de consultation uniquement. Toute action visant à modifier le code source, les mises à jour logicielles ou les règles de détection des menaces de l'entreprise est interdite et sera bloquée par l'équipe TC Steering ; tout abus sera signalé à l'organisme local chargé de l'application de la loi.

AUDIT INDÉPENDANT

Kaspersky a passé avec succès l'audit SOC 2 (Service Organization Control) de type 1 pour les sociétés de services réalisé par l'un des quatre grands cabinets comptables ("Big Four").

Le SOC Reporting Framework est un rapport mondialement reconnu sur le contrôle de la gestion des risques en matière de cybersécurité, élaboré par l'institut AICPA (American Institute of Certified Public Accountants). Ce rapport a pour objet d'informer les clients sur l'élaboration et la mise en œuvre efficace des contrôles de sécurité. Responsable et transparente vis-à-vis de ses clients, Kaspersky a choisi cette norme pour apporter la preuve de la fiabilité de ses produits et son engagement à l'égard des principes et critères d'approbation de services de l'AICPA : Sécurité, disponibilité, intégrité du traitement, confidentialité et respect de la vie privée.

Le rapport final confirme que le développement et la mise à disposition des bases de données des règles de détection des menaces de Kaspersky (bases de données antivirus) sont protégés contre toute modification non autorisée grâce à des contrôles stricts de sécurité. Pour en savoir plus et demander le rapport SOC 2 de type 1, visitez le site Web.

PROTECTION DES DONNÉES : ÉTAPE SUIVANTE

Les pratiques existantes de Kaspersky en matière de protection des données sont mises en œuvres conformément aux normes les plus strictes du secteur et garantissent un haut niveau de sécurité pour toute information traitée par les produits et services de l'entreprise. En outre, la société n'a de cesse d'améliorer ces procédures en vue de renforcer la protection des données de ses clients.

Depuis 2018, des fichiers malveillants et suspects partagés par les utilisateurs européens de produits Kaspersky sur une base volontaire, ont commencé à être traités dans deux data centers de Zurich. Ces derniers sont équipés d'installations de pointe conformes aux normes du secteur afin de garantir les plus hauts niveaux de sécurité.

L'étape suivante consiste actuellement à transférer les données des clients résidant aux États-Unis et au Canada.

ACTUALITÉS RELATIVES À L'INITIATIVE DE TRANSPARENCE MONDIALE

Pour vous tenir informé du transfert en Suisse et des autres activités s'inscrivant dans le cadre de notre initiative de transparence mondiale, nous publierons régulièrement des bulletins d'information et des rapports d'avancement dans cette section.

⚬ Kaspersky transfère les données de ses clients résidant aux États-Unis et au Canada vers la Suisse. Cette initiative fait suite au transfert du traitement des données des utilisateurs européens. Les données des clients qui le souhaitent sont partagées avec le réseau Kaspersky Security Network (KSN). Ce système cloud avancé traite automatiquement les données relatives aux cybermenaces et analyse automatiquement les fichiers suspects ou malveillants auparavant inconnus identifiés par les produits Kaspersky. Kaspersky prévoit de finaliser le transfert d'ici la fin de l'année 2020.

⚬ Kaspersky prévoit d'ouvrir un centre de transparence à São Paulo, au Brésil, qui fera office de site de sécurité dédié aux partenaires privilégiés d'Amérique latine. Ces derniers pourront ainsi vérifier le code source de l'entreprise et en savoir plus sur les pratiques d'ingénierie et le traitement des données, ainsi que sur le portefeuille de produits. Au début de l'année, l'entreprise a ouvert un autre centre de transparence à Madrid et annoncé l'ouverture de son centre de transparence à Kuala Lumpur en Malaisie à destination des clients et partenaires de la zone APAC. Tous les Centres de Transparence de Kaspersky permettent de compiler le logiciel de l'entreprise à partir de son code source et de le comparer avec le code accessible au public. Ce transfert garantit une fiabilité inégalée des produits Kaspersky pour les laisser exécuter un processus de compilation avec l'assistance d'experts de l'entreprise.

⚬ Kaspersky a passé avec succès l'audit SOC 2 (Service Organization Control) de type 1 pour les sociétés de services. Le rapport final, émanant de l'un des quatre grands cabinets comptables ("Big Four"), confirme que le développement et la mise à disposition des bases de données des règles de détection des menaces de Kaspersky (bases de données antivirus), créées et distribuées pour les produits de l'entreprise s'exécutant sur les serveurs Windows et Unix, sont protégées contre toute modification non autorisée grâce à des contrôles stricts de sécurité. Kaspersky peut, sur demande, divulguer les informations principales relatives aux engagements susmentionnés et aux exigences du rapport SOC 2 de type 1.

⚬ Kaspersky développe constamment son programme de « bug bounty». L'entreprise a récemment versé une prime de 23 000 $ (la plus élevée de l'histoire du programme) aux chercheurs de l'équipe Imaginary, qui ont détecté une faille de sécurité dans les produits Kaspersky pouvant permettre à des tiers d'exécuter du code arbitraire à distance sur le PC d'un utilisateur avec les privilèges système. Le bug a rapidement été corrigé. Kaspersky remercie l'équipe Imaginary pour son signalement et sa contribution à l'amélioration des produits de l'entreprise. Depuis mars 2018, nous avons résolu 66 bugs signalés par des chercheurs de failles de sécurité au sein du programme, totalisant presque 45 000 $ de récompense.

⚬ Un hébergement sécurisé pour les chercheurs de vulnérabilités : L'entreprise prend désormais en charge le cadre Disclose.io, qui offre une sphère de sécurité aux chercheurs de vulnérabilités soucieux des conséquences juridiques négatives de leur travail. Kaspersky a conscience que les experts externes leur fournissent une aide précieuse en trouvant et en signalant les vulnérabilités dans ses produits. L'entreprise est prête à accorder des garanties supplémentaires en vue d'un traitement équitable des rapports de vulnérabilités.

⚬ Le centre de transparence de Madrid a officiellement ouvert ses portes aux clients et aux partenaires de Kaspersky, ainsi qu'aux acteurs gouvernementaux depuis le mois de juin. Comme à Zurich, l'entreprise propose des examens du code source et des briefings de sécurité personnalisés sur les pratiques de traitement des données de l'entreprise et le fonctionnement de ses produits.

⚬ Partage de Threat Intelligence pour les organismes chargés de l'application de la loi : Kaspersky, premier fournisseur de solutions de cybersécurité, propose un service avancé gratuit aux organismes chargés de l'application de la loi. Cette approche unique et sur mesure visant à optimiser les efforts de l'entreprise pour éradiquer le cybercrime au-delà des frontières s'articule autour de trois composants : Génération de rapports de Threat Intelligence, flux d'informations sur les menaces et Automated Security Awareness Platform (Kaspersky ASAP).

⚬ Kaspersky ouvre un centre de transparence à Madrid. Outre le centre de Zurich, ouvert en 2018 et proposant les mêmes services, ce centre fera office de site sécurisé dédié aux partenaires de l'entreprise et aux acteurs gouvernementaux. Ces derniers pourront accéder au portefeuille de produits de l'entreprise, consulter et vérifier leur code source, et se renseigner sur les pratiques d'ingénierie et de traitement des données de Kaspersky. Le centre sera accessible aux visiteurs à partir du mois de juin. L'ouverture de centres de transparence en Asie et en Amérique du Nord sera réalisée d'ici fin 2020.

⚬ Développement d'un système de vérification au sein du centre de transparence. Ce système propose de nombreuses options de vérification en fonction des centres d'intérêt, allant de l'aperçu non technique global des pratiques d'ingénierie et des normes de protection des données de l'entreprise, à une analyse plus approfondie et plus complète des zones sensibles de son code source. Pour en savoir plus sur les options disponibles dans les centres de transparence, visitez le site Web.

⚬ Kaspersky publie les résultats d'une évaluation juridique tierce volontaire visant à évaluer de manière indépendante les obligations de l'entreprise vis-à-vis de la législation russe. L'analyse a été effectuée par le professeur Kaj Hober, éminent expert juridique et professeur de droit commercial et d'investissement international à l'université d'Uppsala, en Suède, spécialiste du système juridique russe. Elle porte sur trois lois russes liées au traitement et au stockage des données. Ces lois ont été largement citées comme celles auxquelles Kaspersky devait se conformer au titre de son statut d'entreprise basée en Russie. Les résultats de l'analyse sont librement accessibles en ligne.

⚬Le programme de «bug bounty» a été amélioré en augmentant le nombre de produits analysés. Les chercheurs de failles de sécurité peuvent désormais auditer, entre autres, les produits Kaspersky Password Manager et Kaspersky Endpoint Security for Linux. Au cours de l'année ayant suivi l'annonce de l'extension, nous avons résolu plus de 50 bugs signalés par les chercheurs de failles de sécurité au sein du programme, avec des récompenses atteignant plus de 17 000 $.

Ouverture du premier centre de transparence, début du traitement des données des utilisateurs européens à Zurich, dernières actualités concernant l'audit d'ingénierie indépendant et succès du programme de « bug bounty »

Le 13 novembre 2018, des fichiers malveillants et suspects partagés volontairement avec Kaspersky par les utilisateurs européens des produits de l'entreprise ont commencé à être traités dans deux data centers de Zurich. Les données, incluant des fichiers suspects ou malveillants précédemment inconnus et les métadonnées associées, que les produits de l'entreprise envoient au Kaspersky Security Network (KSN) en vue d'une analyse automatisée, sont traitées dans des data centers sophistiqués conformes aux normes du secteur pour garantir une sécurité optimale.

Ce transfert illustre l'engagement de Kaspersky à garantir l'intégrité et la fiabilité de ses produits. Il s'accompagne de l'ouverture du premier centre de transparence de l'entreprise, également situé à Zurich. Grâce à son centre de transparence, Kaspersky fournit aux gouvernements et à ses partenaires des informations sur ses produits et leur sécurité, y compris des documents techniques importants à des fins d'évaluation externe, et ce dans un environnement sécurisé.

Parmi les autres activités en cours figurent l'engagement de l'un des quatre grands prestataire de services aux entreprises à auditer les pratiques d'ingénierie de l'entreprise concernant la création et la distribution des bases de données des règles de détection des menaces, afin de confirmer de manière indépendante leur conformité avec les pratiques de sécurité les plus strictes du secteur.

En parallèle, Kaspersky continue à soutenir activement un programme de « bug bounty ». En un an, ce programme a permis de résoudre plus de 50 bugs signalés par les chercheurs de failles de sécurité, dont certains se sont avérés particulièrement constructifs.

⚬ Kaspersky a signé des contrats avec deux grandes sociétés de data centers à Zurich, Interxion et NTS, afin d'offrir des services de pointe. D'ici la fin de l'année 2018, les données partagées par les utilisateurs européens de produits Kaspersky commenceront à y être stockées et traitées en toute sécurité. D'autres pays, parmi lesquels les États-Unis, le Canada, l'Australie, le Japon, la Corée du Sud et Singapour, suivront. Le transfert complet des pays européens est prévu d'ici le quatrième trimestre 2019. Pour en savoir plus, visitez le site : www.kaspersky.com/blog/transparency-status-updates

⚬ Le premier centre de transparence de Kaspersky, également situé à Zurich, atteindra sa pleine capacité opérationnelle d'ici la fin de l'année 2018. Le centre offrira in fine aux acteurs responsables une totale visibilité sur le code source de nos produits et de nos mises à jour logicielles.

⚬ Le transfert de l'assemblage du code logiciel, y compris des produits, des mises à jour de produits et des bases de données des règles de détection des menaces (bases de données antivirus), piliers de nos nouveaux projets, ainsi que la nomination d'un tiers indépendant chargé de la gestion et de la vérification globales, auront lieu au cours de la seconde phase du projet, à l'issue de l'année 2018.

NOS RÉPONSES À VOS QUESTIONS

Les problèmes liés à la chaîne d'approvisionnement et à la « balkanisation » d'Internet constituent des défis majeurs pour la sécurité de notre monde ultra-connecté actuel. Pour les surmonter, nous devons disposer de solutions de cybersécurité à la fois fiables et transparentes. Nous pensons que les entreprises seront contraintes d'accroître la transparence de leurs produits et de leurs opérations pour atteindre un certain niveau de fiabilité et s'y tenir. Nos nouvelles mesures illustrent l'approche que nous mettons en place pour y parvenir : nous déterminons des étapes tangibles et pratiques au sein de la structure globale de notre initiative de transparence mondiale.

L'initiative de transparence mondiale de Kaspersky vise à réaffirmer l'engagement de notre société à gagner et conserver la confiance de ses principaux partenaires : ses clients. Elle comprend des mesures concrètes visant à impliquer des experts en cybersécurité externes indépendants et d'autres intervenants participant à la validation et à la vérification de la fiabilité des produits de l'entreprise, de ses processus internes et de son activité commerciale. Elle introduit également de nouveaux mécanismes de responsabilisation par lesquels l'entreprise peut démontrer sa capacité à traiter tout problème de sécurité de façon rapide et rigoureuse.

Dans le cadre de cette initiative, le stockage et le traitement des données utilisateur, partagées volontairement avec le Kaspersky Security Network, ainsi que notre infrastructure de développement de logiciels, quitteront la Russie pour être transférés en Suisse.

Nous avons par ailleurs ouvert des centres de transparence à Zurich, en Suisse, ainsi qu'à Madrid, en Espagne. Ces sites permettent aux partenaires privilégiés et aux acteurs gouvernementaux de vérifier le code source, les mises à jour logicielles et les règles de détection des menaces de l'entreprise. Plus qu'un site de vérification du code, le centre de transparence espagnol fait également office de centre d'informations permettant d'approfondir ses connaissances sur les pratiques d'ingénierie et de traitement des données de Kaspersky. De nouveaux centres de transparence ouvriront début 2020 à Kuala Lumpur, en Malaisie, ainsi qu'à São Paulo, au Brésil.

Le transfert illustre notre volonté de répondre aux inquiétudes des clients, en déménageant d'abord le stockage et le traitement de nos données dans un pays neutre, tout en maintenant nos normes internationales strictes en matière de sécurité et d'intégrité des données.

Ce transfert démontre par ailleurs notre engagement constant à garantir l'intégrité et la fiabilité des services proposés à nos clients, ainsi qu'à résoudre tout problème pointé par les organismes de réglementation.

La transparence et la fiabilité étant devenues des priorités universelles dans le secteur de la cybersécurité, Kaspersky soutient la création d'une nouvelle organisation à but non lucratif chargée d'assumer cette responsabilité, non seulement pour l'entreprise, mais également pour les autres partenaires et membres qui souhaitent y adhérer. Les détails de cette nouvelle organisation sont actuellement à l'étude et seront partagés dès que possible.

Les partenaires privilégiés auront notamment accès au code source, aux mises à jour logicielles et aux règles de détection des menaces de l'entreprise.

Exemples de fonctions du centre de transparence :

- Accès à la documentation sur le développement sécurisé des logiciels
- Accès au code source de tout produit accessible au public
- Accès aux bases de données des règles de détection des menaces
- Accès au code source des services cloud chargés de recevoir et de stocker les données des clients Kaspersky
- Accès aux outils logiciels utilisés pour la création d'un produit (scripts de build), de bases de données des règles de détection des menaces et de services cloud

Nous proposons aux acteurs gouvernementaux et aux entreprises trois options pour évaluer les produits Kaspersky de façon indépendante. Pour en savoir plus, cliquez here.

Le rapport SOC 2 de type 1 est conçu pour répondre aux besoins des clients existants ou potentiels qui souhaitent garantir l'élaboration et la mise en œuvre de contrôles dans une société de services. Il porte sur les contrôles relatifs à la sécurité, à la disponibilité ou à l'intégrité du traitement du système utilisés par la société de services pour traiter les informations des clients, ou encore leur confidentialité ou leur caractère privé.

Nous allons continuer à étendre notre politique de transparence afin de démontrer à nouveau que nous répondons à tout problème de sécurité de façon rapide et rigoureuse. L'entreprise a annoncé qu'elle envisageait d'ouvrir des centres de transparence à Kuala Lumpur, en Malaisie, ainsi qu'à São Paulo, au Brésil, au début de l'année 2020. Vous trouverez ici davantage d'informations sur les principes de transparence.

KASPERSKY TRANSFÈRE LE TRAITEMENT DE SES DONNÉES EN SUISSE

GESTION DES DONNEES, ASSEMBLAGE DE LOGICIELS, ET PLUS ENCORE.

Pourquoi la Suisse ?

CENTRES DE TRANSPARENCE

Politique d'accès

AUDIT INDÉPENDANT

PROTECTION DES DONNÉES : ÉTAPE SUIVANTE

ACTUALITÉS RELATIVES À L'INITIATIVE DE TRANSPARENCE MONDIALE

Pour vous tenir informé du transfert en Suisse et des autres activités s'inscrivant dans le cadre de notre initiative de transparence mondiale, nous publierons régulièrement des bulletins d'information et des rapports d'avancement dans cette section.

Bulletin de novembre 2019

Bulletin de juillet 2019

Bulletin d'avril 2019

Bulletin de novembre 2018

Bulletin d'août 2018

NOS RÉPONSES À VOS QUESTIONS

Pourquoi est-ce important ?

Qu'est-ce que l'Initiative de Mondiale de Transparence de Kaspersky ?

Pourquoi avoir décidé de transférer l'infrastructure ?

Pourquoi les données émanant de certains pays ne sont-elles pas transférées en Suisse, mais continueront à être traitées en Russie ? Comment la répartition des pays concernés par le transfert du traitement des données a-t-elle été décidée ?

Comment le transfert affectera-t-il les données des autres utilisateurs ?

Qu'entendez-vous par organisation tierce indépendante chargée de vérifier vos processus en Suisse ?

Quels éléments seront disponibles pour la vérification et l'évaluation indépendantes dans le centre de transparence ?

Qui est habilité à procéder à une vérification ?

Qu'est-ce qu'un rapport SOC 2 de type 1 ?

Quelles sont les prochaines étapes de l'initiative de transparence mondiale ?