Sale temps pour Kaspersky. Après l’Anssi en France qui avait semé le doute sur l’usage des solutions de l’éditeur de sécurité en période de crise en Ukraine, c’est au tour de deux pays européens de s’emparer du sujet : l’Allemagne et l’Italie.
L’Allemagne alerte, l’Italie s’apprête à réglementer
Le BSI (équivalent de l’Anssi en Allemagne) a mis en garde les entreprises contre l’utilisation des logiciels antivirus de Kaspersky. Le régulateur craint le fait que des agents du gouvernement russe les contraignent à attaquer des systèmes cibles contre leur gré ou les espionnent. Il indique dans son alerte que les entreprises « doivent, pour des raisons systémiques (au moins pour les mises à jour), maintenir une connexion permanente, cryptée et non vérifiable aux serveurs du fabricant ». Le BSI estime que cette connexion présente un risque potentiel et identifie un scénario envisageable dans lequel Kaspersky lui-même est attaqué, impactant ses clients. Tout comme son homologue français, l’organisme allemand n’a pas soulevé d’allégations concrètes à l’encore des logiciels Kaspersky, mais a recommandé de les remplacer par des solutions alternatives.
De son côté, l’Italie s’apprête à prendre une décision plus radicale. Dans un premier temps, la jeune ACN (Agencia per Cybersecurriza Nazionale) a elle aussi émis une recommandation poussant « à reconsidérer l'utilisation de technologies fournies par des entreprises liées à la Fédération de Russie ». Le gouvernement italien devrait aller plus loin, selon le quotidien Ilsole 24 Ore, en présentant ce vendredi en conseil des ministres un décret prévoyant de supprimer l’antivirus de Kaspersky de l'administration publique. Le logiciel est très présent dans le secteur public italien y compris dans les ministères.
Kaspersky se défend
Face à cette tempête, Kaspersky tente de se défendre en arguant que les décisions prises, notamment celle du BSI, sont basées sur des fondements politiques et non technologiques. « Nous pensons que cette décision n'est pas basée sur une évaluation technique des produits Kaspersky - que nous avons continuellement défendue avec le BSI et à travers l'Europe - mais qu'elle est plutôt prise pour des raisons politiques », précise l'éditeur dans un communiqué. Il ajoute, « Nous continuerons à assurer nos partenaires et nos clients de la qualité et de l'intégrité de nos produits, et nous travaillerons avec le BSI pour clarifier sa décision et pour trouver les moyens de répondre à ses préoccupations et à celles des autres régulateurs ».
L’éditeur détaille pour rassurer les différents éléments de transparence sur ses produits, sa relocalisation en Suisse, ses datacenters à Zürich, sa certification ISO 27001. Il insiste surtout sur le fait que Kaspersky est une entreprise privée et qu’elle n’a pas de lien avec le gouvernement russe, ni avec d’autres gouvernements. En 2017, les Etats-Unis avaient banni l’éditeur de toutes les instances fédérales après des inquiétudes des agences américaines sur les liens de Kaspersky avec les autorités russes.
Une migration délicate vers des solutions alternatives
Tout comme l’Anssi, le BSI n’appelle pas à une désinstallation immédiate de l’antivirus de Kaspersky, surtout si aucune solution alternative n’est prévue. En effet, pour beaucoup d’entreprises et d’institutions, l’antivirus constitue une première brique de sécurité, qui interagit avec d’autres systèmes. Un big bang est donc fortement déconseillé sans une préparation adéquate.
Interrogé sur ce sujet, lors de la présentation du rapport sur la maturité cyber des organisations françaises, Gérôme Billois, associé en charge de la cybersécurité chez Wavestone a indiqué, « le risque est réel, mais tout supprimer est impossible. Les entreprises regardent avec trois positions : regarder et surveiller ce qu’il se passe, remplacer Kaspersky sur certains systèmes sensibles, changer mais cela prendra des mois ».