L’initiative aura été plus longue et plus complexe à mettre en place qu’initialement prévu. Aujourd’hui mature et pleinement déployée, la « Global Transparency » de Kaspersky fête ses trois ans d’existence et veut redorer l’image d’un éditeur handicapé par ses origines et les tensions politiques internationales.
Victime collatérale d’une lutte politique Americano-Russe et soupçonnée de collaborer avec les services secrets russes, Kaspersky lançait en 2017 son « Initiative Globale de Transparence ». L’éditeur voulait promouvoir une approche de cybersécurité plus responsable et transparente.
En trois ans, cette initiative a pris corps et s’est même étoffée. L’éditeur célèbre aujourd’hui son anniversaire en annonçant avoir terminé la relocalisation de tous les traitements de données des utilisateurs européens mais aussi américains, canadiens et de la région Asie-Pacifique (hors Chine) dans son centre de Transparence basé en Suisse à Zurich.
Il annonce également le lancement d’un nouveau Centre de Transparence pour l’Amérique du Nord qui sera hébergé au Canada et supervisé en partenariat avec l’association canadienne CyberNB.
L’un des objectifs clés de la Kaspersky GTI (Global Transparency Initiative) était d’ouvrir des centres permettant à des experts cybersécurité, des organismes d’état, et des organismes de certification d’accéder non seulement aux codes sources de ses logiciels (que l’éditeur n’a pas l’intention de publier en open source) mais également à toute sa chaîne de production logicielle, de la compilation des codes sources jusqu’au déploiement des exécutables.
L’éditeur en a d’ailleurs profité pour soumettre son code source à une série d’évaluations indépendantes qui lui ont permis de passer avec succès l’audit SOC2 (Service & Organization Controls 2) et de recevoir la certification ISO27001 pour ses services de données.
Outre cet accès au code (qui depuis peut se faire via Internet) et la relocation des données du « Kaspersky Network Security« , Kaspersky a également lancé un programme de Bug Bounty : 37 bugs ont ainsi été rapportés par les hackers éthiques pour un montant de primes s’élevant pour l’instant à 57 750 dollars.
Au total, quatre centres de transparence ont été ouverts (Zurich, Madrid, Sao Paulo, Kuala Lumpur) avec un cinquième qui sera inauguré en début d’année 2021 à New Brunswick au Canada pour couvrir les besoins de l’Amérique du Nord. Rappelons que l’éditeur reste interdit dans toutes les administrations américaines.
Eugène Kaspersky, le charismatique fondateur et PDG de Kaspersky, se montre évidemment très satisfait des progrès réalisés en matière de transparence par ses équipes : « Je suis fier de notre entreprise, qui compte parmi les précurseurs en matière de transparence ». Il reste convaincu que son approche doit servir d’exemple aux autres acteurs du marché de la cybersécurité et rappelle que « depuis l’annonce de notre Initiative Globale de Transparence en 2017 et la concrétisation de plusieurs projets – dont la relocalisation de nos activités de stockage et de traitement de données en Suisse – Kaspersky a confirmé son engagement à être un partenaire de confiance, et sa capacité à anticiper les attentes du marché et des régulateurs. Au cours de ces trois années, nous avons assisté à des évolutions majeures en matière d’approches et de réglementations sur la sécurité des données. Nous constatons que les démarches de confiance et de transparence deviennent progressivement la norme du secteur. »