Publication du rapport de transparence du deuxième semestre 2025

Dans le cadre de son engagement continu en faveur de la transparence, Kaspersky publie des chiffres sur les demandes de données émises par les gouvernements et les autorités chargées de l'application de la loi (LEA), ainsi que par ses utilisateurs. Le dernier rapport a révélé les demandes reçues au cours du second semestre 2025 :

• Au cours de cette période, Kaspersky a reçu 34 demandes de la part de gouvernements et d'autorités chargées de l'application de la loi de trois pays, afin de fournir des informations techniques et des rapports d'expertise. Toutes les demandes ont satisfait aux critères de vérification juridique et ont été approuvées.
• Entre juillet et décembre 2025, l'entreprise a reçu 432 demandes de particuliers concernant les données stockées. Il s'agissait notamment de demandes concernant le lieu et le mode de stockage de leurs données, ainsi que des demandes d'accès, de suppression ou d'autres droitsrelatifs aux données.

Kaspersky arrive en tête dans une évaluation indépendante de la transparence et de la responsabilité des fournisseurs de cybersécurité

Une étude indépendante mandatée par la Chambre de commerce du Tyrol et menée par MCI | The Entrepreneurial School® et AV-Comparatives met en évidence le leadership de Kaspersky dans l'industrie en matière de transparence et de responsabilité.

Parmi les 14 éditeurs mondiaux de solutions de cybersécurité évalués, Kaspersky obtient le score le plus élevé sur l'ensemble des critères d'évaluation, atteignant ou dépassant les références de l'industrie dans 57 catégories sur 60. Kaspersky s'est imposé comme l'un des rares éditeurs à proposer des fonctionnalités, telle que la nomenclature SBOM et l'examen du code source, des rapports de transparence réguliers et des contrôles détaillés des mises à jour.

Cette étude reflète également une évolution plus large de l'industrie vers une gouvernance de la cybersécurité axée sur la responsabilité. Le rapport complet est disponible ici.

Kaspersky a renforcé ses références en matière de sécurité en recertifiant son système de gestion de la sécurité de l'information (ISMS) selon la norme ISO/IEC 27001:2022, la norme de sécurité de l'information la plus largement utilisée au monde. La certification, accordée à nos centres de données de Zurich, Francfort, Toronto et Moscou, atteste que les mécanismes de transmission des fichiers malveillants et suspects via l'infrastructure Kaspersky Security Network, ainsi que leur stockage sécurisé, sont conformes à la norme. Pour toute demande de consultation du document, veuillez vous rendre sur le site de Kaspersky.

Kaspersky a renouvelé l'audit SOC 2 (Service Organization Control for Service Organizations) de type II. L'évaluation s'est concentrée sur l'intégrité et la sécurité des processus de développement et de publication de la base de données antivirus de l'entreprise et a confirmé la fiabilité des mesures de protection existantes contre les modifications non autorisées. Un rapport d'audit complet est disponible sur demande.

Publication du rapport de transparence pour le premier semestre 2025

Au cours du premier semestre 2025, Kaspersky a reçu un total de 42 demandes de la part des gouvernements et des forces de l'ordre de deux pays : la Russie et le Brésil. Toutes les demandes reçues pendant cette période concernaient des informations techniques non personnelles. Jusqu'à 10 % des demandes ont été refusées en raison d'un manque de données ou parce qu'elles ne répondaient pas aux obligations juridiques en matière de vérification.

Dans le cadre de son engagement continu en faveur de la transparence, Kaspersky publie également des chiffres sur les demandes de données émanant de ses utilisateurs. Entre janvier et juin 2025, l'entreprise a reçu 407 demandes de personnes souhaitant obtenir des précisions concernant leurs données personnelles, notamment des informations détaillées sur la nature et le lieu de stockage de leurs données, ainsi que des demandes de communication ou de suppression de celles-ci.

Publication du rapport de transparence du deuxième semestre 2024.

Ce dernier rapport présente des données scindées en deux catégories - données d’utilisateur et expertise technique, reçues au cours du deuxième semestre 2024. Au cours du deuxième semestre 2024, Kaspersky a reçu 49 demandes de la part de gouvernements et d’organismes d’application de la loi de quatre pays. Au moins 24 % d’entre elles ont été rejetées en raison de l’absence de données ou parce qu’elles ne répondaient pas aux exigences légales en matière de vérification. Toutes les demandes reçues au cours du deuxième semestre 2024 concernaient des expertises techniques.

Par ailleurs, le nombre de demandes d’utilisateurs souhaitant obtenir des informations sur la nature et le lieu de stockage de leurs données, ainsi que sur leur mise à disposition ou leur suppression, s'élève à 502 au deuxième semestre 2024.

Le Centre de transparence de Bogota est le deuxième centre de la région LatAm. En collaboration avec les experts de Kaspersky, les visiteurs du nouveau Centre de transparence peuvent consulter la documentation relative au développement sécurisé des logiciels de l'entreprise, le code source des principaux produits, ainsi que toutes les versions des mises à jour des logiciels et des règles de détection des menaces.

Si vous souhaitez visiter un de nos centres, n'hésitez pas à nous soumettre une demande.

Kaspersky renouvelle son audit SOC 2, renforçant ainsi la confiance des clients et la sécurité des données. Kaspersky assure en permanence l'intégrité de ses solutions grâce à des évaluations tierces régulières, notamment des audits SOC 2, effectués au sein de l'entreprise depuis 2019.

Le Centre de transparence de Séoul est le quatrième centre de la région APAC.

Le Centre servira de structure où des experts indépendants, y compris des clients et des partenaires commerciaux, pourront passer en revue et vérifier le code source, les mises à jour logicielles et les processus internes de Kaspersky.

Si vous souhaitez visiter un de nos centres, n'hésitez pas à nous soumettre votre demande.

Publication du rapport de transparence pour le premier semestre 2024

L'entreprise a récemment publié les nouveaux rapports « Application de la loi et demandes des gouvernements » et « Demandes des utilisateurs » pour le premier semestre de l'année 2024. Kaspersky a reçu 61 demandes de gouvernements et d'agences chargées de l'application de la loi de 9 pays. Par rapport à la même période de 2023, l'entreprise a reçu 10,3 % de demandes en moins. L'entreprise a reçu 494 demandes d'utilisateurs au total, dont 445 étaient des demandes de suppression d'informations personnelles, 29 concernaient la mise à disposition d'informations stockées par un utilisateur, et 20 étaient des demandes visant à savoir quelles informations sont stockées et où.

Le Centre de Transparence de Kaspersky à Woburn (aux États-Unis) a été fermé. Kaspersky dispose de 11 Centres de Transparence répartis en Europe, en Asie-Pacifique (APAC), en Amérique latine, en Afrique et au Moyen-Orient.

Si vous souhaitez visiter un de nos centres, n'hésitez pas à nous soumettre une demande.

Ouverture du premier Centre de transparence Kaspersky en Turquie.

Ce centre permettra aux partenaires et aux clients de l’entreprise, ainsi qu’aux organismes de réglementation dans le domaine de la cybersécurité, d’examiner le code source de tous les produits Kaspersky sur site, les mises à jour logicielles et les règles de détection des menaces.

Avec l’ouverture d’un centre en Turquie, Kaspersky a étendu son réseau à un total de 12 Centres de transparence situés en Europe, dans la région APAC, en Amérique du Nord et en Amérique latine, en Afrique et au Moyen-Orient.

Si vous souhaitez visiter l’un de nos centres, n'hésitez pas à nous soumettre une demande.

Le premier centre de transparence de Kaspersky dans la région africaine a été ouvert au Rwanda.

Le nouveau centre de Kigali offre à ses visiteurs un aperçu complet des pratiques d'ingénierie et de traitement des données, des produits et des services de Kaspersky, ainsi qu'une démonstration en direct du code source.

Avec l'ouverture d'un établissement dans la région, Kaspersky a élargi son réseau pour inclure un total de 11 centres de transparence situés à travers l'Europe, l'APAC, l'Amérique du Nord et l'Amérique latine, l'Afrique et le Moyen-Orient.

Pour visiter un centre, veuillez en faire la demande.

Kaspersky présente les principes d'une utilisation éthique de l'IA/ML dans le secteur de la cybersécurité.

Pour souligner son engagement en faveur d'une approche transparente et responsable du développement des technologies, Kaspersky établit les principes éthiques pour le développement et l'utilisation de l'IA/ML dans le domaine de la cybersécurité.

Selon Kaspersky, le développement et l'utilisation transparents de l'IA/ML devraient prendre en considération les six principes suivants : transparence, sécurité, contrôle humain, respect de la vie privée, engagement à des fins de cybersécurité et ouverture au dialogue.

La proposition a été présentée lors du Forum de l'ONU sur la gouvernance de l'Internet qui s'est tenu au Japon du 8 au 12 octobre 2023. Kaspersky invite également d'autres entreprises de cybersécurité à s'y joindre et à suivre ces directives.

Kaspersky a ouvert son premier CVentre de transparence au Moyen-Orient avec un nouveau site au Royaume d’Arabie saoudite.

Le centre de Riyad propose des services allant de la présentation des pratiques de transparence de l’entreprise à la vérification de son code source. Toutes les solutions sur site de Kaspersky peuvent être examinées au centre.

Avec l’ouverture de Cette nouvelle installation au Royaume d’Arabie Saoudite, Kaspersky exploite désormais un réseau de 10 Centres de transparence, situés en Europe, dans la région APAC, au Moyen-Orient, en Amérique du Nord et en Amérique latine.

Pour venir visiter un centre, veuillez nous soumettre une demande.

⚬ Kaspersky a passé avec succès l’audit SOC 2 (Service Organization Control) de type 1 pour les sociétés de service. L’entreprise a passé tous les audits SOC 2 avec succès depuis 2019. Suite aux précédents audits de type 1, Kaspersky a réussi l’évaluation de type 2 qui vise à analyser les contrôles de l’entreprise sur une période de six mois. L’audit a été réalisé par une équipe de comptables d’un cabinet d’audit indépendant. À la suite de l’audit, il a été conclu que les contrôles internes de Kaspersky visant à garantir des mises à jour automatisées régulières des bases de données antivirus sont efficaces, tandis que le processus de développement et de mise en œuvre des bases de données antivirus est protégé contre toute falsification. Le rapport complet est accessible à nos clients sur demande.

⚬ Kaspersky a annoncé son intention d’étendre davantage l’initiative de transparence mondiale en développant son réseau de Centres de transparence dans le monde entier et en proposant des options supplémentaires de vérification du code source. D’ici mi-2024, Kaspersky prévoit d’étendre son réseau de Centres de transparence au Moyen-Orient, en Afrique et dans la région Asie-Pacifique, et ouvrira au moins trois sites, qui serviront de centres d’information permettant aux acteurs de l’entreprise d’acquérir des connaissances sur les pratiques internes de Kaspersky en matière d’ingénierie et de gestion des données.

Par ailleurs, Kaspersky a décidé d’élargir la portée de l’offre de vérification du code source dans ses Centres de transparence. Auparavant, Kaspersky proposait de passer en revue uniquement le code source de ses produits phares grand public et entreprise, mais depuis juillet 2023, la société supprime les limitations à cet égard et met le code source de toutes ses solutions sur site à la disposition de nos partenaires professionnels et clients

Publication du Rapport sur la transparence pour le deuxième semestre 2022.

Le dernier rapport a présenté les données concernant les demandes dans deux catégories (données des utilisateurs et expertise technique) reçues au cours du second semestre 2022. Au cours du second semestre 2022, Kaspersky a reçu 37 demandes de gouvernements et d’organismes chargés de l’application des lois de six pays. Au moins 35 % d’entre elles ont été rejetées en raison de l’absence de données ou du non-respect des exigences légales en matière de vérification. Au total, 89 % des demandes reçues au cours du second semestre de l’année dernière concernaient des expertises techniques.

Dans le même temps, le nombre de demandes d’utilisateurs sur les données des utilisateurs qui sont stockées et leur emplacement, ainsi que sur leur communication ou leur suppression a atteint 6 312 au deuxième semestre 2022.

Nouveaux Centres de transparence en Italie et aux Pays-Bas

Kaspersky ouvre deux nouveaux Centres de transparence : en Italie et aux Pays-Bas. Les centres ont été repensés et offrent désormais aux clients et partenaires uniquement l’option de vérification « Piste bleue », c’est-à-dire la plus recherchée par les visiteurs du Centre de transparence depuis l’ouverture du premier site en 2018. Situés dans les bureaux de l’entreprise, les centres de Rome et d’Utrecht, ouverts aux partenaires, aux clients et aux autorités gouvernementales de cybersécurité de Kaspersky, présentent en exclusivité aux visiteurs les pratiques de l’entreprise en matière d’ingénierie et de gestion des données. De plus, dans le cadre de la visite, les invités du centre seront accueillis par une équipe d’experts Kaspersky, qui répondront à toutes les questions concernant le fonctionnement des solutions Kaspersky.

Nouvelle édition du Rapport sur la transparence

Le nouveau rapport portait sur les six premiers mois de l’année 2022. Au cours du premier semestre 2022, Kaspersky a reçu un total de 89 demandes émanant de gouvernements et d’organismes chargés de l’application des lois de huit pays (Brésil, Chine, Italie, Japon, Jordanie, Russie, Singapour et Corée du Sud). L’écrasante majorité (89 %) des demandes reçues concernaient des informations techniques non personnelles, c’est-à-dire des informations qui pourraient être utiles aux enquêtes sur la cybercriminalité : indicateurs de compromission (IoC), informations sur le mode opératoire des cyberattaquants, résultats de l’ingénierie inverse des logiciels malveillants et autres résultats de cyberdiagnostic. Jusqu’à 11 % des demandes concernaient des données utilisateur, toutes ayant été rejetées.

En outre, dans le cadre de son Rapport sur la transparence, Kaspersky a rendu publiques des informations sur les demandes reçues des utilisateurs à des fins liées aux données personnelles : des renseignements sur le lieu de stockage des données d’un utilisateur, ou encore la communication ou la suppression d’informations personnelles. Kaspersky a reçu 3 285 demandes de ce type au cours des six premiers mois de 2022.

Kaspersky ouvre trois nouveaux Centres de transparence : aux États-Unis, au Japon et à Singapour. Ces nouveaux sites accueilleront les partenaires professionnels et les clients de l’entreprise, notamment les agences gouvernementales et les organismes de réglementation, responsables de la cybersécurité. Deux centres supplémentaires dans la région APAC garantiront une plus grande proximité de l’entreprise avec les acteurs de la région, tandis que le centre de Woburn servira de nouveau site pour le Centre nord-américain de transparence de l’entreprise, autrefois situé dans le Nouveau-Brunswick, au Canada.

Avec l’aide des experts de Kaspersky, les visiteurs des Centres de transparence peuvent consulter la documentation relative au développement de logiciels sécurisés de l’entreprise, le code source du portefeuille de ses principaux produits clés, ainsi que toutes les versions de nos mises à jour logicielles et nos règles de détection des menaces. Par ailleurs, les Centres de transparence permettent aux visiteurs de reconstruire le code source afin de garantir qu’il correspond aux modules accessibles au grand public.

Dans ses Centres de transparence, Kaspersky donne également accès à sa nomenclature logicielle (SBOM) et aux résultats d’audits de sécurité tiers (tels que le Rapport d’audit SOC 2 et le Rapport d’évaluation ISO 27001 ) pour une analyse plus approfondie.

Kaspersky a passé de nouveau avec succès un audit SOC 2 (Service Organization Control) de type 1 pour les sociétés de service, dont l’entreprise avait déjà fait l’objet pour la première fois en 2019. L’évaluation indépendante a été réalisée par un cabinet comptable international des « Big Four » et a confirmé que le processus de développement et de publication des bases antivirus de Kaspersky est protégé par des contrôles de sécurité contre les modifications non autorisées. La portée de l’audit de 2022 a été élargie par rapport à l’évaluation de 2019, Kaspersky ayant depuis introduit de nouveaux outils et contrôles de sécurité. Le rapport complet est accessible à nos clients sur demande.

⚬ Kaspersky a élargi la portée de son transfert des données liées aux cybermenaces, qui concerne désormais les utilisateurs en Amérique latine et au Moyen-Orient. Achevée en mars, cette initiative a permis de s’assurer que les fichiers malveillants et suspects reçus des utilisateurs d’Amérique latine et du Moyen-Orient étaient stockés et traités dans les centres de données à Zurich, en Suisse. Le transfert du traitement et du stockage des données utilisateur a également été finalisé pour l’ensemble de l’Amérique du Nord. Auparavant, le transfert de ce stockage de données avait été réalisé en Europe, aux États-Unis, au Canada et dans un certain nombre de pays de la région Asie-Pacifique .

⚬ Les services de données de l’entreprise ont une fois de plus été certifiés avec succès conformément à la norme internationale ISO 27001*. En plus de l’audit passé en 2020, la portée de la certification réalisée par TUV Autriche a même été étendue et porte non seulement le système de données de l’entreprise en ce qui concerne le traitement des fichiers liés aux cybermenaces, mais également le système de données de Kaspersky pour le traitement des statistiques. Le document se trouve dans le Répertoire des certificats de TÜV AUSTRICHE et est également accessible au public sur le site Web de Kaspersky ici .

⚬ Publication du Rapport sur la transparence pour le deuxième semestre 2022. Le dernier rapport a présenté les données concernant les demandes dans deux catégories (données des utilisateurs et expertise technique) reçues au cours du second semestre 2021. Au cours du second semestre 2021, Kaspersky a reçu 109 demandes de gouvernements et d’organismes chargés de l’application des lois de 12 pays. Au moins 36 % d’entre elles ont été rejetées en raison de l’absence de données ou du non-respect des exigences légales en matière de vérification. Au total, 92 % des demandes reçues au cours du second semestre de l’année dernière concernaient des expertises techniques.
Au total, tout au long de l’année 2021, Kaspersky a reçu 214 demandes (contre 160 demandes en 2020) émanant de gouvernements et d’autorités locales de 17 pays. Au total, 181 d’entre elles concernaient l’expertise technique (contre 132 en 2020). Dans le même temps, le nombre de demandes d’utilisateurs sur les données des utilisateurs qui sont stockées et leur emplacement, ainsi que sur leur communication ou leur suppression a atteint 2 252 au total.

⚬ Programme de renforcement des cybercapacités (CCBP) disponible en ligne Kaspersky a lancé la version numérique du « Programme de renforcement des cybercapacités » qui vise à aider les organisations du monde entier à développer des outils et des connaissances pratiques pour les évaluations de sécurité. La formation en ligne, accessible à un public encore plus vaste, permettra à davantage d’organisations et d’individus de renforcer leur résilience face aux cybermenaces en apprenant à réaliser correctement des évaluations de sécurité des produits en vue de se protéger contre les risques liés à la chaîne d’approvisionnement des TIC.

⚬ Le transfert du traitement et du stockage des données, annoncé en novembre 2018, a été mené à son terme Outre l’Europe, les États-Unis et le Canada, Kaspersky a également transféré le stockage et le traitement des données dans un certain nombre de pays de la région Asie-Pacifique. La liste des pays d’Asie-Pacifique qui font désormais partie des plans de transfert de l’Initiative de transparence mondiale comprend l’Australie, la Nouvelle-Zélande, le Japon, le Bangladesh, Brunei, le Cambodge, l’Inde, l’Indonésie, la Corée du Sud, le Laos, la Malaisie, le Népal, le Pakistan, les Philippines, Singapour, Sri Lanka, Thaïlande et Vietnam.
Les données relatives aux menaces client partagées par les utilisateurs se trouvant à ces emplacements sont désormais traitées dans deux centres de données à Zurich, en Suisse, et comprennent des fichiers malveillants suspects ou jusqu’alors inconnus que les produits de l’entreprise envoient au Kaspersky Security Network (KSN) à des fins d’analyse automatique des logiciels malveillants.

⚬ Kaspersky annonce l’ouverture de son Centre de transparence nord-américain en partenariat avec l’Association CyberNB au Nouveau-Brunswick, Canada. Le site débutera ses activités au début de l’année 2021 et deviendra le cinquième site de l’entreprise où les partenaires de Kaspersky auront la possibilité de vérifier son code source et d’en apprendre davantage sur ses pratiques en matière d’ingénierie et de traitement des données, ainsi que sur son portefeuille de produits. L’Association CyberNB est une organisation à but non lucratif, basée à Fredericton, au Nouveau-Brunswick, au Canada, qui adopte une approche écosystémique dans le but d’améliorer les résultats en matière de cybersécurité grâce à la mobilisation et à la collaboration avec les secteurs privé, gouvernemental, académique, les parties prenantes du développement des connaissances et des compétences, ainsi que l’acquisition de talents et le développement de la main-d’œuvre.
Début 2020, les Centres de transparence de São Paulo et de Kuala Lumpur sont devenus pleinement opérationnels. Kaspersky a également relancé son premier Centre de transparence à Zurich, qui a été transféré dans le centre de données Interxion. À l’avenir, l’entreprise permettra à ses clients et partenaires privilégiés d’expérimenter en exclusivité les contrôles de sécurité des données et d’accéder directement aux pratiques de gestion des données de l’entreprise à des fins d’évaluation et d’examen externes.
En raison des restrictions de voyage et des contraintes pour les visiteurs, les clients et partenaires ont désormais la possibilité de vérifier le code source à distance. Pour demander un accès à distance aux Centres de transparence Kaspersky, cliquez sur ce lien .

⚬ Le Programme de renforcement des cybercapacités, annoncé en mai 2020, a été lancé avec succès en collaboration avec l’Autorité vietnamienne de la sécurité de l’information (AI), qui comprend la CERT (Computer Emergency Response Team) nationale du pays et le Centre national pour la cybersécurité (NCSC). Le programme a été développé afin d’y intégrer désormais une section supplémentaire sur le fuzzing de code, menée en collaboration la CERT des systèmes de contrôles industriels (ICS) de Kaspersky. En 2021, le programme sera accessible aux partenaires commerciaux et à d’autres entreprises en vue d’améliorer leur préparation et d’évaluer la résilience de leurs systèmes et réseaux contre les risques liés à la chaîne d’approvisionnement. Si vous souhaitez y accéder, faites votre demande ici .

⚬ La gamme de produits du programme « bug bounty » de Kaspersky a été étendue afin d’y inclure Kaspersky VPN Secure Connection. Les chercheurs ont maintenant la possibilité de soumettre des rapports de vulnérabilité concernant Kaspersky VPN Secure Connection, y compris pour les modules logiciels tiers qui font partie de la solution VPN. Au total, depuis mars 2018, 76 bugs ont été corrigés et 37 rapports ont été récompensés par des récompenses d’une valeur totale de 57 750 $.

⚬ Kaspersky a mis au point un Programme de renforcement des cybercapacités qui comprend une formation dédiée à l’évaluation de la sécurité des produits. Accessible en ligne et hors ligne, il a été spécialement conçu pour aider les entreprises, les organismes gouvernementaux et les universités à développer des outils et des connaissances pratiques pour les évaluations de sécurité. La formation comprendra une introduction à l’évaluation de la sécurité des produits et à la modélisation des menaces, ainsi qu’à la vérification de code source et à la gestion des vulnérabilités. La participation au programme sera gratuite, et un projet pilote sera lancé dans un premier temps auprès des organismes gouvernementaux et des universités au troisième trimestre 2020. Plus tard dans l’année, la formation sera proposée aux entreprises. Les parties intéressées peuvent en apprendre davantage et demander des informations ici.

⚬ Kaspersky a permis l’accès à distance aux services du Centre de transparence, en proposant une option d’évaluation « Piste bleue » – pour se familiariser à la fois avec les pratiques d’ingénierie de l’entreprise et avec ses normes inégalées en matière de protection des données. Les experts en sécurité de Kaspersky sont prêts à répondre à toutes les questions concernant les pratiques de traitement des données de l’entreprise, ainsi que sur le fonctionnement des solutions Kaspersky, et proposeront une démonstration en direct d’une vérification du code source. Pour profiter de l’option d’évaluation à distance « Piste bleue », rendez-vous sur le site Web .

⚬ Kaspersky, l’un des pionniers du secteur, a publié ses principes éthiques de divulgation responsable des vulnérabilités (Responsible Vulnerability Disclosure –RVD) , dans l’objectif d’offrir une plus grande transparence et une efficacité renforcée en ce qui concerne la gestion des vulnérabilités et l’atténuation des dommages et des risques pour les utilisateurs. Ces principes reposent sur la vaste expérience de l’entreprise en matière de cybersécurité et sont en adéquation avec les directives fournies par FIRST .

⚬ Kaspersky ne cesse d’améliorer son programme « bug bounty ». Depuis mars 2018, 66 bugs ont été signalés à l’entreprise. Au total, 26 d’entre eux se sont vus attribuer des récompenses cumulées d’une valeur totale de 49 250 $.

⚬ Plus tôt cette année, l’Appel de Paris a officiellement lancé son nouveau site Internet. Kaspersky a été l’un des premiers partisans de ses neuf principes visant à assurer la sécurité, l’ouverture et la coopération du cyberespace. L’Initiative de transparence mondiale de Kaspersky est citée comme exemple particulier de mise en œuvre du sixième principe, en favorisant une plus grande transparence et une plus grande responsabilité en matière de cybersécurité.

⚬ L’Initiative de transparence mondiale de Kaspersky a également été présentée comme un exemple de meilleure pratique pour une plus grande transparence et une plus grande confiance dans un certain nombre de documents internationaux, tels que le rapport de l’Institut des Nations unies pour la recherche sur le désarmement (UNIDIR) sur la sécurité de la chaîne d’approvisionnement et les meilleures pratiques de l’Industrial Internet Consortium (IIC) en matière de développement de logiciels fiables .

⚬ Kaspersky transfère les données de ses clients résidant aux États-Unis et au Canada vers la Suisse. Cette initiative fait suite au transfert du traitement des données des utilisateurs européens. Les données des clients qui le souhaitent sont partagées avec le réseau Kaspersky Security Network (KSN). Ce système cloud avancé traite automatiquement les données relatives aux cybermenaces et analyse automatiquement les fichiers suspects ou malveillants auparavant inconnus identifiés par les produits Kaspersky. Kaspersky prévoit de finaliser le transfert d’ici la fin de l’année 2020.

⚬ Kaspersky prévoit d’ouvrir un centre de transparence à São Paulo, au Brésil, qui fera office de site de sécurité dédié aux partenaires privilégiés d’Amérique latine. Ces derniers pourront ainsi vérifier le code source de l’entreprise et en savoir plus sur les pratiques d’ingénierie et le traitement des données, ainsi que sur le portefeuille de produits. Au début de l’année, l’entreprise a ouvert un autre centre de transparence à Madrid et annoncé l’ouverture de son centre de transparence à Kuala Lumpur en Malaisie à destination des clients et partenaires de la région APAC. Tous les Centres de Transparence de Kaspersky permettent de compiler le logiciel de l’entreprise à partir de son code source et de le comparer avec le code accessible au public. Ce transfert garantit une fiabilité inégalée des produits Kaspersky car il permet d’exécuter un processus de compilation avec l’aide des experts de l’entreprise.

⚬ Kaspersky a passé avec succès l’audit SOC 2  Service Organization Control) de type 1 pour les sociétés de services . Le rapport final, émanant de l’un des quatre grands cabinets comptables (« Big Four »), confirme que le développement et la mise à disposition des bases de données des règles de détection des menaces de Kaspersky (bases de données antivirus), créées et distribuées pour les produits de l’entreprise s’exécutant sur les serveurs Windows et Unix, sont protégés contre toute modification non autorisée grâce à des contrôles stricts de sécurité. Kaspersky peut, sur demande , divulguer les informations principales relatives aux engagements susmentionnés et aux exigences du rapport SOC 2 de type 1.

⚬ Kaspersky développe constamment son Programme « bug bounty » Program . L’entreprise a récemment versé une prime de 23 000 $ (la plus élevée de l’histoire du programme) aux chercheurs de l’équipe Imaginary, qui a détecté une faille de sécurité dans les produits Kaspersky pouvant permettre à des tiers d’exécuter du code arbitraire à distance sur le PC d’un utilisateur avec les privilèges système. Le bug a rapidement été corrigé. Kaspersky remercie l’équipe Imaginary pour son signalement et sa contribution à l’amélioration des produits de l’entreprise. Depuis mars 2018, nous avons corrigé 66 bugs signalés par des chercheurs de failles de sécurité au sein du programme, pour un total de récompenses avoisinant les 45 000 $.

⚬ Un hébergement sécurisé pour les chercheurs de vulnérabilités : La société prend désormais en charge le cadre Disclose.io qui offre une sphère de sécurité aux chercheurs de vulnérabilités soucieux des conséquences juridiques négatives de leur travail. Kaspersky a conscience que les experts externes leur fournissent une aide précieuse en trouvant et en signalant les vulnérabilités dans ses produits. L’entreprise est prête à accorder des garanties supplémentaires en vue d’un traitement équitable des rapports de vulnérabilités.

⚬ Le Centre de transparence de Madrid a officiellement ouvert ses portes aux clients et aux partenaires de Kaspersky, ainsi qu’aux acteurs gouvernementaux depuis le mois de juin. Comme à Zurich, l’entreprise propose des examens du code source et des briefings de sécurité personnalisés sur les pratiques de traitement des données de l’entreprise et le fonctionnement de ses produits.

⚬ Partage de Threat Intelligence pour les organismes chargés de l’application de la loi : Kaspersky, premier fournisseur de solutions de cybersécurité, propose un service avancé gratuit aux organismes chargés de l’application de la loi. Cette approche unique et sur mesure visant à optimiser les efforts de l’entreprise pour éradiquer le cybercrime au-delà des frontières s’articule autour de trois composants : Génération de rapports de Threat Intelligence, flux d’informations sur les menaces et Automated Security Awareness Platform (Kaspersky ASAP ).

⚬ Kaspersky ouvre son Centre de transparence de Madrid . Outre le centre de Zurich, ouvert en 2018 et proposant les mêmes services, ce centre fera office de site sécurisé dédié aux partenaires de l’entreprise et aux acteurs gouvernementaux. Ces derniers pourront accéder au portefeuille de produits de l’entreprise, consulter et vérifier leur code source, et se renseigner sur les pratiques d’ingénierie et de traitement des données de Kaspersky. Le centre sera accessible aux visiteurs à partir du mois de juin. L’ouverture de Centres de transparence en Asie et en Amérique du Nord sera réalisée d’ici fin 2020.

⚬ Développement d’un système de vérification au sein du centre de transparence . Ce système propose de nombreuses options de vérification en fonction des centres d’intérêt, allant de l’aperçu non technique global des pratiques d’ingénierie et des normes de protection des données de l’entreprise, à une analyse plus approfondie et plus complète des zones sensibles de son code source. Pour en savoir plus sur les options disponibles dans les centres de transparence, visitez le site Web .

⚬ Kaspersky publie les résultats d’une évaluation juridique tierce volontaire visant à évaluer de manière indépendante les obligations de l’entreprise vis-à-vis de la législation russe. L’analyse a été effectuée par le professeur Kaj Hober, éminent expert juridique et professeur de droit commercial et d’investissement international à l’université d’Uppsala, en Suède, spécialiste du système juridique russe. Elle porte sur trois lois russes liées au traitement et au stockage des données. Ces lois ont été largement citées comme celles auxquelles Kaspersky devait se conformer au titre de son statut d’entreprise basée en Russie. Les résultats de l’analyse sont librement accessibles en ligne.

⚬ Le programme « bug bounty » a été amélioré en augmentant le nombre de produits analysés. Les chercheurs de failles de sécurité peuvent désormais auditer, entre autres, les produits Kaspersky Password Manager et Kaspersky Endpoint Security for Linux. Au cours de l’année ayant suivi l’annonce de l’extension, nous avons résolu plus de 50 bugs signalés par les chercheurs de failles de sécurité au sein du programme, avec des récompenses atteignant plus de 17 000 $.

Ouverture du premier centre de transparence, début du traitement des données des utilisateurs européens à Zurich, dernières actualités concernant l’audit d’ingénierie indépendant et succès du programme de « bug bounty »

Le 13 novembre 2018, des fichiers malveillants et suspects partagés volontairement avec Kaspersky par les utilisateurs européens des produits de l’entreprise ont commencé à être traités dans deux centres de données de Zurich . Les données, incluant des fichiers suspects ou malveillants précédemment inconnus et les métadonnées associées, que les produits de l’entreprise envoient au Kaspersky Security Network (KSN) en vue d’une analyse automatisée, sont traitées dans des centres de données sophistiqués conformes aux normes du secteur pour garantir une sécurité optimale.

Ce transfert illustre l’engagement de Kaspersky à garantir l’intégrité et la fiabilité de ses produits. Il s’accompagne de l’ouverture du premier centre de transparence de l’entreprise, également situé à Zurich. Grâce à son Centre de transparence , Kaspersky fournit aux gouvernements et à ses partenaires des informations sur ses produits et leur sécurité, y compris des documents techniques importants à des fins d’évaluation externe, et ce dans un environnement sécurisé.

Parmi les autres activités en cours figurent l’engagement de l’un des quatre grands prestataires de services aux entreprises à auditer les pratiques d’ingénierie de l’entreprise concernant la création et la distribution des bases de données des règles de détection des menaces, afin de confirmer de manière indépendante leur conformité avec les pratiques de sécurité les plus strictes du secteur.

En parallèle, Kaspersky continue à soutenir activement un programme de « bug bounty » . En un an, ce programme a permis de résoudre plus de 50 bugs signalés par les chercheurs de failles de sécurité, dont certains se sont avérés particulièrement constructifs.

⚬ Kaspersky a signé des contrats avec deux grandes sociétés de data centers à Zurich, Interxion et NTS, afin d’offrir des services de pointe. D’ici la fin de l’année 2018, les données partagées par les utilisateurs européens de produits Kaspersky commenceront à y être stockées et traitées en toute sécurité. D’autres pays, parmi lesquels les États-Unis, le Canada, l’Australie, le Japon, la Corée du Sud et Singapour, suivront. Le transfert complet des pays européens est prévu d’ici le quatrième trimestre 2019. Pour en savoir plus, visitez le site : www.kaspersky.com/blog/transparency-status-updates

⚬ Le premier centre de transparence de Kaspersky, également situé à Zurich, atteindra sa pleine capacité opérationnelle d’ici la fin de l’année 2018. Le centre offrira in fine aux acteurs responsables une totale visibilité sur le code source de nos produits et de nos mises à jour logicielles.

⚬ Le transfert de l’assemblage du code logiciel, y compris des produits, des mises à jour de produits et des bases de données des règles de détection des menaces (bases de données antivirus), piliers de nos nouveaux projets, ainsi que la nomination d’un tiers indépendant chargé de la gestion et de la vérification globales, auront lieu au cours de la seconde phase du projet, à l’issue de l’année 2018.

L'initiative de transparence mondiale de Kaspersky vise à réaffirmer l'engagement de notre société à gagner et conserver la confiance de ses principaux partenaires : ses clients. Elle comprend des mesures concrètes visant à impliquer des experts en cybersécurité externes indépendants et d'autres intervenants participant à la validation et à la vérification de la fiabilité des produits de l'entreprise, de ses processus internes et de son activité commerciale. Elle introduit également de nouveaux mécanismes de responsabilisation par lesquels l'entreprise peut démontrer sa capacité à traiter tout problème de sécurité de façon rapide et rigoureuse.

Dans le cadre de GTI, le stockage et le traitement des données liées aux cybermenaces, partagées volontairement avec le Kaspersky Security Network par les utilisateurs des produits Kaspersky, ont été transférés de la Russie à la Suisse.

Nous avons également ouvert des Centres de Transparence à travers le monde, qui servent de lieux pour les partenaires de confiance et les parties prenantes gouvernementales afin de examiner le code de l'entreprise, les mises à jour logicielles et les règles de détection des menaces, ainsi que comme centres d'information pour en savoir plus sur les pratiques d'ingénierie et de traitement des données de Kaspersky. Nos Centres de transparence sont ouverts à Bogotá (Colombie), Istanbul (Turquie), Kigali (Rwanda), Kuala Lumpur (Malaisie), Madrid (Espagne), Riyad (Arabie Saoudite), Rome (Italie), São Paulo (Brésil), Séoul (Corée du Sud), Singapour, Tokyo (Japon), Utrecht (Pays-Bas) et Zurich (Suisse).

Le transfert illustre notre volonté de répondre aux inquiétudes des clients, en déménageant d’abord le stockage et le traitement de nos données dans un pays neutre, tout en maintenant nos normes internationales strictes en matière de sécurité et d’intégrité des données.

Il démontre par ailleurs notre engagement constant à garantir l’intégrité et la fiabilité des services proposés à nos clients, ainsi qu’à résoudre tout problème pointé par les organismes de réglementation.

Les partenaires privilégiés auront notamment accès au code source, aux mises à jour logicielles et aux règles de détection des menaces de l’entreprise.

Exemples de fonctions du Centre de transparence :

– Accès à la documentation sur le développement sécurisé des logiciels
– Accès au code source de tout produit accessible au public
– Accès aux bases de données des règles de détection des menaces
– Accès au code source des services cloud chargés de recevoir et de stocker les données des clients Kaspersky
– Accès aux outils logiciels utilisés pour la création d’un produit (scripts de build), de bases de données des règles de détection des menaces et de services cloud

Nous proposons aux acteurs gouvernementaux et aux entreprises trois options pour évaluer les produits Kaspersky de façon indépendante. En raison des restrictions de voyage et des contraintes pour les visiteurs, les clients et partenaires ont désormais la possibilité de vérifier le code source à distance. Apprenez-en davantage ici .

Chaque demande entrante fait l’objet d’une vérification légale obligatoire : c’est notre règle de base pour protéger nos utilisateurs, garantir leur sécurité et leur confidentialité, et assurer la conformité de Kaspersky aux lois et procédures en vigueur. Les demandes doivent être :

– justifiées sur le plan juridique ;
– émises conformément aux lois et procédures légales en vigueur ;
conforme aux principes énoncés ci-dessus ;
– réalisables d’un point de vue technique ; et
– leur mise en œuvre ne doit pas affecter la sécurité ou la vie privée des utilisateurs de Kaspersky, ni l’intégrité des produits et services de Kaspersky.

Si les demandes ne remplissent pas les cinq critères, nous les rejetons ou les contestons et demandons des éclaircissements supplémentaires. Dans les limites autorisées par la loi, nous informerons au préalable les utilisateurs dont les données font l’objet d’une demande. Toutes les demandes sont consignées et les informations qui s’y rapportent sont accessibles ici