⚬ Kaspersky transfère les données de ses clients résidant aux États-Unis et au Canada vers la Suisse. Cette initiative fait suite au transfert du traitement des données des utilisateurs européens. Les données des clients qui le souhaitent sont partagées avec le réseau Kaspersky Security Network (KSN). Ce système cloud avancé traite automatiquement les données relatives aux cybermenaces et analyse automatiquement les fichiers suspects ou malveillants auparavant inconnus identifiés par les produits Kaspersky. Kaspersky prévoit de finaliser le transfert d'ici la fin de l'année 2020.

⚬ Kaspersky prévoit d'ouvrir un centre de transparence à São Paulo, au Brésil, qui fera office de site de sécurité dédié aux partenaires privilégiés d'Amérique latine. Ces derniers pourront ainsi vérifier le code source de l'entreprise et en savoir plus sur les pratiques d'ingénierie et le traitement des données, ainsi que sur le portefeuille de produits. Au début de l'année, l'entreprise a ouvert un autre centre de transparence à Madrid et annoncé l'ouverture de son centre de transparence à Kuala Lumpur en Malaisie à destination des clients et partenaires de la zone APAC. Tous les Centres de Transparence de Kaspersky permettent de compiler le logiciel de l'entreprise à partir de son code source et de le comparer avec le code accessible au public. Ce transfert garantit une fiabilité inégalée des produits Kaspersky pour les laisser exécuter un processus de compilation avec l'assistance d'experts de l'entreprise.

⚬ Kaspersky a passé avec succès l'audit SOC 2 (Service Organization Control) de type 1 pour les sociétés de services. Le rapport final, émanant de l'un des quatre grands cabinets comptables ("Big Four"), confirme que le développement et la mise à disposition des bases de données des règles de détection des menaces de Kaspersky (bases de données antivirus), créées et distribuées pour les produits de l'entreprise s'exécutant sur les serveurs Windows et Unix, sont protégées contre toute modification non autorisée grâce à des contrôles stricts de sécurité. Kaspersky peut, sur demande, divulguer les informations principales relatives aux engagements susmentionnés et aux exigences du rapport SOC 2 de type 1.

⚬ Kaspersky développe constamment son programme de « bug bounty». L'entreprise a récemment versé une prime de 23 000 $ (la plus élevée de l'histoire du programme) aux chercheurs de l'équipe Imaginary, qui ont détecté une faille de sécurité dans les produits Kaspersky pouvant permettre à des tiers d'exécuter du code arbitraire à distance sur le PC d'un utilisateur avec les privilèges système. Le bug a rapidement été corrigé. Kaspersky remercie l'équipe Imaginary pour son signalement et sa contribution à l'amélioration des produits de l'entreprise. Depuis mars 2018, nous avons résolu 66 bugs signalés par des chercheurs de failles de sécurité au sein du programme, totalisant presque 45 000 $ de récompense.

⚬ Un hébergement sécurisé pour les chercheurs de vulnérabilités : L'entreprise prend désormais en charge le cadre Disclose.io, qui offre une sphère de sécurité aux chercheurs de vulnérabilités soucieux des conséquences juridiques négatives de leur travail. Kaspersky a conscience que les experts externes leur fournissent une aide précieuse en trouvant et en signalant les vulnérabilités dans ses produits. L'entreprise est prête à accorder des garanties supplémentaires en vue d'un traitement équitable des rapports de vulnérabilités.

⚬ Le centre de transparence de Madrid a officiellement ouvert ses portes aux clients et aux partenaires de Kaspersky, ainsi qu'aux acteurs gouvernementaux depuis le mois de juin. Comme à Zurich, l'entreprise propose des examens du code source et des briefings de sécurité personnalisés sur les pratiques de traitement des données de l'entreprise et le fonctionnement de ses produits.

⚬ Partage de Threat Intelligence pour les organismes chargés de l'application de la loi : Kaspersky, premier fournisseur de solutions de cybersécurité, propose un service avancé gratuit aux organismes chargés de l'application de la loi. Cette approche unique et sur mesure visant à optimiser les efforts de l'entreprise pour éradiquer le cybercrime au-delà des frontières s'articule autour de trois composants : Génération de rapports de Threat Intelligence, flux d'informations sur les menaces et Automated Security Awareness Platform (Kaspersky ASAP).

⚬ Kaspersky ouvre un centre de transparence à Madrid. Outre le centre de Zurich, ouvert en 2018 et proposant les mêmes services, ce centre fera office de site sécurisé dédié aux partenaires de l'entreprise et aux acteurs gouvernementaux. Ces derniers pourront accéder au portefeuille de produits de l'entreprise, consulter et vérifier leur code source, et se renseigner sur les pratiques d'ingénierie et de traitement des données de Kaspersky. Le centre sera accessible aux visiteurs à partir du mois de juin. L'ouverture de centres de transparence en Asie et en Amérique du Nord sera réalisée d'ici fin 2020.

⚬ Développement d'un système de vérification au sein du centre de transparence. Ce système propose de nombreuses options de vérification en fonction des centres d'intérêt, allant de l'aperçu non technique global des pratiques d'ingénierie et des normes de protection des données de l'entreprise, à une analyse plus approfondie et plus complète des zones sensibles de son code source. Pour en savoir plus sur les options disponibles dans les centres de transparence, visitez le site Web.

⚬ Kaspersky publie les résultats d'une évaluation juridique tierce volontaire visant à évaluer de manière indépendante les obligations de l'entreprise vis-à-vis de la législation russe. L'analyse a été effectuée par le professeur Kaj Hober, éminent expert juridique et professeur de droit commercial et d'investissement international à l'université d'Uppsala, en Suède, spécialiste du système juridique russe. Elle porte sur trois lois russes liées au traitement et au stockage des données. Ces lois ont été largement citées comme celles auxquelles Kaspersky devait se conformer au titre de son statut d'entreprise basée en Russie. Les résultats de l'analyse sont librement accessibles en ligne.

⚬Le programme de «bug bounty» a été amélioré en augmentant le nombre de produits analysés. Les chercheurs de failles de sécurité peuvent désormais auditer, entre autres, les produits Kaspersky Password Manager et Kaspersky Endpoint Security for Linux. Au cours de l'année ayant suivi l'annonce de l'extension, nous avons résolu plus de 50 bugs signalés par les chercheurs de failles de sécurité au sein du programme, avec des récompenses atteignant plus de 17 000 $.

Ouverture du premier centre de transparence, début du traitement des données des utilisateurs européens à Zurich, dernières actualités concernant l'audit d'ingénierie indépendant et succès du programme de « bug bounty »

Le 13 novembre 2018, des fichiers malveillants et suspects partagés volontairement avec Kaspersky par les utilisateurs européens des produits de l'entreprise ont commencé à être traités dans deux data centers de Zurich. Les données, incluant des fichiers suspects ou malveillants précédemment inconnus et les métadonnées associées, que les produits de l'entreprise envoient au Kaspersky Security Network (KSN) en vue d'une analyse automatisée, sont traitées dans des data centers sophistiqués conformes aux normes du secteur pour garantir une sécurité optimale.

Ce transfert illustre l'engagement de Kaspersky à garantir l'intégrité et la fiabilité de ses produits. Il s'accompagne de l'ouverture du premier centre de transparence de l'entreprise, également situé à Zurich. Grâce à son centre de transparence, Kaspersky fournit aux gouvernements et à ses partenaires des informations sur ses produits et leur sécurité, y compris des documents techniques importants à des fins d'évaluation externe, et ce dans un environnement sécurisé.

Parmi les autres activités en cours figurent l'engagement de l'un des quatre grands prestataire de services aux entreprises à auditer les pratiques d'ingénierie de l'entreprise concernant la création et la distribution des bases de données des règles de détection des menaces, afin de confirmer de manière indépendante leur conformité avec les pratiques de sécurité les plus strictes du secteur.

En parallèle, Kaspersky continue à soutenir activement un programme de « bug bounty ». En un an, ce programme a permis de résoudre plus de 50 bugs signalés par les chercheurs de failles de sécurité, dont certains se sont avérés particulièrement constructifs.

⚬ Kaspersky a signé des contrats avec deux grandes sociétés de data centers à Zurich, Interxion et NTS, afin d'offrir des services de pointe. D'ici la fin de l'année 2018, les données partagées par les utilisateurs européens de produits Kaspersky commenceront à y être stockées et traitées en toute sécurité. D'autres pays, parmi lesquels les États-Unis, le Canada, l'Australie, le Japon, la Corée du Sud et Singapour, suivront. Le transfert complet des pays européens est prévu d'ici le quatrième trimestre 2019. Pour en savoir plus, visitez le site : www.kaspersky.com/blog/transparency-status-updates

⚬ Le premier centre de transparence de Kaspersky, également situé à Zurich, atteindra sa pleine capacité opérationnelle d'ici la fin de l'année 2018. Le centre offrira in fine aux acteurs responsables une totale visibilité sur le code source de nos produits et de nos mises à jour logicielles.

⚬ Le transfert de l'assemblage du code logiciel, y compris des produits, des mises à jour de produits et des bases de données des règles de détection des menaces (bases de données antivirus), piliers de nos nouveaux projets, ainsi que la nomination d'un tiers indépendant chargé de la gestion et de la vérification globales, auront lieu au cours de la seconde phase du projet, à l'issue de l'année 2018.

L'initiative de transparence mondiale de Kaspersky vise à réaffirmer l'engagement de notre société à gagner et conserver la confiance de ses principaux partenaires : ses clients. Elle comprend des mesures concrètes visant à impliquer des experts en cybersécurité externes indépendants et d'autres intervenants participant à la validation et à la vérification de la fiabilité des produits de l'entreprise, de ses processus internes et de son activité commerciale. Elle introduit également de nouveaux mécanismes de responsabilisation par lesquels l'entreprise peut démontrer sa capacité à traiter tout problème de sécurité de façon rapide et rigoureuse.

Dans le cadre de cette initiative, le stockage et le traitement des données utilisateur, partagées volontairement avec le Kaspersky Security Network, ainsi que notre infrastructure de développement de logiciels, quitteront la Russie pour être transférés en Suisse.

Nous avons par ailleurs ouvert des centres de transparence à Zurich, en Suisse, ainsi qu'à Madrid, en Espagne. Ces sites permettent aux partenaires privilégiés et aux acteurs gouvernementaux de vérifier le code source, les mises à jour logicielles et les règles de détection des menaces de l'entreprise. Plus qu'un site de vérification du code, le centre de transparence espagnol fait également office de centre d'informations permettant d'approfondir ses connaissances sur les pratiques d'ingénierie et de traitement des données de Kaspersky. De nouveaux centres de transparence ouvriront début 2020 à Kuala Lumpur, en Malaisie, ainsi qu'à São Paulo, au Brésil.

Le transfert illustre notre volonté de répondre aux inquiétudes des clients, en déménageant d'abord le stockage et le traitement de nos données dans un pays neutre, tout en maintenant nos normes internationales strictes en matière de sécurité et d'intégrité des données.

Ce transfert démontre par ailleurs notre engagement constant à garantir l'intégrité et la fiabilité des services proposés à nos clients, ainsi qu'à résoudre tout problème pointé par les organismes de réglementation.

Les partenaires privilégiés auront notamment accès au code source, aux mises à jour logicielles et aux règles de détection des menaces de l'entreprise.

Exemples de fonctions du centre de transparence :

- Accès à la documentation sur le développement sécurisé des logiciels
- Accès au code source de tout produit accessible au public
- Accès aux bases de données des règles de détection des menaces
- Accès au code source des services cloud chargés de recevoir et de stocker les données des clients Kaspersky
- Accès aux outils logiciels utilisés pour la création d'un produit (scripts de build), de bases de données des règles de détection des menaces et de services cloud

Nous proposons aux acteurs gouvernementaux et aux entreprises trois options pour évaluer les produits Kaspersky de façon indépendante. Pour en savoir plus, cliquez here.