INTERVIEW – L’éditeur de solutions de cybersécurité Kaspersky est sur le plan économique une victime collatérale de la guerre russe en Ukraine, qui a amené certains Européens à encadrer l’utilisation des produits d’origine russe. Solutions Numériques à donné la parole à Bertrand Trastour, son directeur général en France, pour exprimer son point de vue en toute transparence, et expliquer comment il gère une situation aussi délicate.
La concurrence dans ce contexte n’a évidemment pas épargné ses attaques. Après avoir fait profil bas, l’éditeur Kaspersky « reprend du poil de la bête », redevient visible sur les salons (FIC, Lille, IT Partners, etc) et lance en juin la version Kaspersky Endpoint Security Cloud Pro.
Olivier Bellin, journaliste Solutions Numériques et Channel : Estimez-vous justifiées les alertes de l’Anssi et du Conseil de l’Europe relatives à l’utilisation de solutions IT d’origine russes, comme celles de Kaspersky ?
Bertrand Trastour, le directeur général de Kaspersky en France :
Oui, dans un contexte géopolitique délicat et de grande ampleur suite à la guerre que la Russie mène en Ukraine. L’information publiée dès mi-avril 2022 par le conseil de l’Europe encadre juste de manière stricte et légitime, bien qu’avec des seuils très élevés, l’activité des sociétés russes en Europe. Toutefois, Kaspersky n’est pas attaqué directement par les autorités françaises ou européennes. L’alerte de sécurité émise par l’Anssi* concernant les produits Kaspersky ne nous interdit pas de commercialiser notre solution en France par exemple. Nous ne sommes pas non plus face à une interdiction d’exercer en Europe.
« L’alerte de sécurité ne nous interdit pas de vendre notre solution en France ou en Europe »
Comment Kaspersky se conforme-t-il aux exigences français et européennes dans cette crise ?
Kaspersky est certainement le seul éditeur de logiciels du secteur de la cybersécurité à avoir déployé une vraie politique de transparence sur ses produits et services. Cela devrait pourtant être la norme dans un secteur aussi régulé que le notre… Dès 2017, Kaspersky a d’ailleurs mis en place une vraie politique de transparence en créant un premier « Transparency Center » basé en Suisse, puis un en Espagne, etc. Eugène Kaspersky, notre PDG, vient aussi d’annoncer mi-juin 2022 l’ouverture de nouveaux centres de ce type aux Etats-Unis, au Japon et à Singapour. Je rappelle que Kaspersky réalise 80 % de son chiffre à l’international.
Kaspersky a-t-il pris d’autres mesures pour offrir davantage de transparence sur ses logiciels de cybersécurité ?
Kaspersky a fait réaliserun audit SOC 2 de type 1 afin de répondre de manière très transparente sur le plan technique à l’alerte de l’Anssi. Le rapport a été validé ensuite par l’un des quatre plus grands cabinets d’audit (Big 4). Il garantit par exemple qu’il ne peut y avoir d’injection de code malveillant dans un processus de mise à jour, ou d’une porte cachée, voire de tout autre chose qui pourrait détériorer la confiance que le client doit avoir dans nos solutions. Je précise que Kaspersky donne déjà un large accès aux codes source de ses solutions de cybersécurité. Nous avons également publié un « Software Bill of Materials » qui liste tous leurs composants afin d’améliorer encore la transparence sur nos produits.
Comment Kaspersky garantit-il la confidentialité et le contenu des données des clients utilisant ses solutions ?
Les données des clients européens utilisant nos solutions de cybersécurité sont anonymisées, cryptées et basées en Suisse car sa législation sur la protection des données y est, pour l’instant, plus forte qu’en Europe. Malgré des processus longs et complexes à mettre en œuvre, Kaspersky a enclenché cette dynamique car elle est pérenne et vertueuse dans le temps.
Jean Kaminsky et Olivier Bellin
* Le Rapport des menaces du CERT (Anssi) du 2 mars (https://www.cert.ssi.gouv.fr/cti/CERTFR-2022-CTI-001) indique :
« Dans le contexte actuel, l’utilisation de certains outils numériques, notamment les outils de la société Kaspersky, peut être questionnée du fait de leur lien avec la Russie. A ce stade, aucun élément objectif ne justifie de faire évoluer l’évaluation du niveau de qualité des produits et services fournis. Des précautions élémentaires doivent cependant être prises ».
