Kaspersky commence à traiter en Suisse les données de ses clients européens
L’éditeur concrétise ainsi une première étape de son initiative plus large de transparence. L’audit de son code et de ses processus va également bientôt commencer. Kaspersky invite ses concurrents à suivre la même direction.
Chose promise, chose due. Kaspersky continue d’avancer dans l’initiative de transparence annoncée il y a un an. Comme il l’avait indiqué au printemps, il vient d’inaugurer son infrastructure déportée en Suisse, à Zurich, où seront traitées les données de ses clients européens – en partie pour l’instant, mais de façon complète d’ici un an.
Mais l’éditeur y a également ouvert son premier centre de transparence, là où le code source des produits et de leurs mises à jour, ainsi que ses processus pourront être audités par un tiers de confiance. Le nom de ce dernier n’a pas encore été dévoilé, mais la liste des possibles est limitée : tout se joue entre Deloitte, EY, KPMG et PwC. L’heureux élu aura notamment à charge d’attester de la conformité SOC 2 du nouveau centre de calcul suisse de Kaspersky.
Mais pas question pour Kaspersky de faire une croix complète sur ses activités en Russie. S’il dispose d’équipes un peu partout dans le monde – le patron européen de son activité de recherche sur les menaces est par exemple basé à Ingolstadt, en Allemagne –, l’éditeur compte bien continuer de profiter des ressources de qualité et à prix modéré disponibles en Russie.
Afin de pouvoir apporter leur valeur aux produits et services de l’éditeur, ses équipes russes disposeront d’un accès distant au centre de calcul Suisse. Mais tous les accès devront faire l’objet d’une requête spécifique. Les accès seront supervisés et les traces signées numériquement.
Toutefois, Kaspersky souligne que les équipes russes ne traitent en définitive qu’une toute petite part des échantillons malveillants : il revendique la collecte de plus de 360 000 échantillons par jour, dont seulement un millier nécessite une analyse manuelle. Et encore, seul un petit pourcentage de ces derniers resteront analysés en Russie.
Eugène Kaspersky va plus loin : pour lui, si l’on trouve de « petits cyber-délinquants » de toutes langues, « les plus professionnels, les plus dangereux, parlent russe ». Et les spécialistes du renseignement cyber connaissent bien l’importance de la compétence locale pour le travail d’analyse des menaces.
Dans son allocation d’inauguration du centre de transparence suisse, Anton Shingarev, vice-président de Kaspersky en charge des affaires publiques, s’est dit en définitive reconnaissant que l’éditeur ait fait l’objet d’une telle pression, aux Etats-Unis notamment. Car pour lui, la question va au-delà de la seule défiance affichée à son encontre outre-Atlantique.
Pour Shingarev, le sujet est en fait celui, plus large, de la transparence à l’heure où de plus en plus de personnes et d’organisations s’interrogent sur le fonctionnement de systèmes IT perçus largement comme « des boîtes noires », pour des raisons de libertés individuelles, de risque technique et financier, mais également de risque politique.
Car selon Anton Shingarev, la mondialisation est en train de refluer dans le monde numérique avec l’émergence de multiples législations contribuant à « construire des murs » : « nous vivons à l’âge du nationalisme technologique ». Et dans ce contexte, il estime que « n’importe quel produit peut être interdit quelque part sur la seule base de son pays d’origine ». La question de la reconstruction de la confiance lui apparaît donc d’autant plus importante. Et à celle-ci, il avance une réponse : « notre initiative de transparence ».
Cette initiative, Shingarev estime qu’elle est nécessaire au-delà de Kaspersky et appelle ses concurrents à suivre la même voie, même s’il reconnaît qu’ils n’ont pas l’air encore très pressés de lui emboîter le pas. Ce n’est d’ailleurs pas très économique : il avance un investissement de l’ordre de 3 M$.
Mais tant Anton Shingarev qu’Eugène Kaspersky avancent avec modestie. Pour eux deux, l’initiative de transparence de l’éditeur est avant tout « un prototype. On va voir comment ça marche », et comment réagiront notamment les régulateurs. Ce qui pourrait prendre du temps, même si l’éditeur revendique une approche construite avec certains d’entre eux, en réponse à leurs attentes.
Reste également à savoir si la transparence a une chance face à des décisions quant à elles opaques. Pour l’heure, l’exécutif américain n’a avancé aucune preuve pour étayer ses allégations à l’encontre de l’éditeur russe. Mais Eugène Kaspersky avance une explication : « la réalité est, je pense, que nous avons provoqué une grosse déception chez certains, parce que nous sommes les meilleurs pour détecter n’importe quel type de maliciel, y compris ceux produits avec le soutien d’états. […] Nous protégeons si bien nos clients qu’ils ne sont pas capables d’entrer sur les systèmes où nous sommes présents ». Et de renvoyer à la série de révélations Vault 7 de Wikileaks. Alors pour lui, la raison de ces allégations sur leur efficacité de protection est « la manière dont nous protégeons contre les attaques ciblées ». Car comme il l’avait dit par le passé, il n’est pas question pour l’éditeur de laisser passer le moindre maliciel, d’où qu’il vienne.