L'éditeur Kaspersky a finalisé la migration des données de ses clients et partenaires de la Russie vers la Suisse conformément à son initiative de transparence globale. Initialement annoncée en novembre 2018, la délocalisation du traitement et du stockage des données, qui répond à un effort plus large, concerne les données des utilisateurs de l'entreprise dans un certain nombre de régions, dont l'Asie Pacifique. En plus de l'Europe, des États-Unis et du Canada, Kaspersky a également délocalisé le stockage et le traitement des données des clients situés dans un certain nombre de pays. Les données relatives aux menaces partagées par les clients basés dans ces pays sont désormais traitées dans deux datacenters localisés à Zurich, en Suisse. Ces données comprennent des fichiers malveillants suspects ou précédemment inconnus que les produits de la société envoient au réseau de sécurité Kaspersky Security Network (KSN) où est effectuée l'analyse automatisée des logiciels malveillants.
Cette relocalisation intervient environ trois ans après l'annonce, par le fournisseur de services de cybersécurité fondé en Russie, d'une initiative de transparence globale (GTI) visant à garantir plus de transparence et une meilleure responsabilité. En 2017, Kaspersky avait été la cible du gouvernement des États-Unis : à l'époque, l'administration Trump avait demandé aux agences gouvernementales américaines de retirer les produits Kaspersky Lab de leurs réseaux. Celle-ci craignait que l'entreprise de cybersécurité basée à Moscou ne subisse l'influence du Kremlin et que l'usage de son logiciel antivirus ne mette en danger la sécurité nationale. En novembre 2018, l'entreprise de cybersécurité a commencé à traiter des fichiers malveillants et suspects volontairement partagés par ses utilisateurs européens dans deux datacenters localisés à Zurich. Selon l'entreprise, l'étape suivante consistait à transférer les données des clients des États-Unis et du Canada - entre autres régions - vers la Suisse, un processus désormais terminé. « Depuis l'annonce de notre Initiative de transparence globale et des nombreuses mesures audacieuses qu'elle comportait, notamment la délocalisation du traitement et du stockage des données, Kaspersky a non seulement réaffirmé sa position de partenaire de confiance, mais a anticipé les attentes du marché et des régulateurs », a déclaré Eugène Kaspersky, le CEO de Kaspersky. « Au cours des trois ans qui se sont écoulées depuis l'annonce, les approches et les réglementations en matière de sécurité des données ont fortement évolué. Nous constatons que les investissements dans la confiance et la transparence deviennent progressivement une norme du secteur, et je suis fier que notre entreprise ait été l'un des pionniers et l'un des précurseurs dans ce domaine », a-t-il ajouté.
Code source disponible
La publication du code source de son logiciel, pour permettre des examens indépendants, ainsi qu'un certain nombre d'évaluations par des tiers, notamment un audit SOC 2 par l'une des entreprises du « Big Four » - Deloitte Touche Tohmatsu, EY, KPMG, PwC - et l'obtention de la certification ISO27001 pour ses services de données, font partie des mesures de transparence prises par Karpersky. Mais la plus importante d'entre elles concerne la migration de son infrastructure de traitement des données de la Russie vers la Suisse, ainsi que l'ouverture de « centres de transparence » dans plusieurs régions, où les partenaires de Kaspersky peuvent examiner le code source de l'entreprise et mieux connaître ses pratiques en matière d'ingénierie et de traitement des données et son portefeuille de produits. Depuis le début de l'année 2020, les centres de transparence de Sao Paulo et de Kuala Lumpur sont pleinement opérationnels. Kaspersky a également relancé son premier Centre de Transparence de Zurich, relocalisé dans le datacenter d'Interxion, le fournisseur européen de datacenters de colocation. Á l'avenir, Kaspersky prévoit de fournir un accès unique à ses clients et partenaires de confiance externes pour qu'ils puissent examiner et évaluer par eux-mêmes le travail de contrôle de sécurité des données et les pratiques de gestion des données de l'entreprise.
Commentaire