Kaspersky dans la tourmente …
Kaspersky dans la tourmente ...
Quand les questions de cybersécurité se mêlent aux questions éthiques des entreprises !
Dans le contexte actuel en Ukraine, les autorités françaises nous mettent en garde contre de potentielles cyber attaques et nous alertent sur l’utilisation à long terme des logiciels de sécurité de l’éditeur russe Kaspersky.
Si beaucoup d’entreprises choisissent aujourd’hui de changer de fusil d’épaule, parfois rapidement … le sujet est bien entendu technique mais pas que …
Décryptage et recommandations d’Expert Line au cœur de l’actualité …
L’utilisation de Kaspersky représente-t-elle une réelle menace cyber ?
L’ANSSI nous invite à réfléchir sur l’usage à long terme de l’antivirus Kaspersky. Conseil formel ou simple recommandation ?
Aujourd’hui de plus en plus d’enjeux géopolitiques s’invitent dans notre quotidien. Dans un « espace numérique sans frontières », l’invasion de l’Ukraine par la Russie n’est pas sans conséquences et engendre des effets dans le cyberespace.
L’Agence nationale française de sécurité des systèmes d’information (ANSSI) a souligné le risque lié aux cyberattaques dans ce conflit. Mais qu’en est-il vraiment ?
La guerre en Ukraine : Kaspersky dans le collimateur de l’ANSSI.
C’est dans ce contexte-là, que le 2 mars dernier, l’ANSSI publie une note dans laquelle elle met en garde les utilisateurs des produits Kaspersky :
« Dans le contexte actuel, l’utilisation de certains outils numériques, notamment les outils de la société Kaspersky, peut être questionnée du fait de leurs liens avec la Russie ».
Simple suggestion ou conseil formel ?
L’ANSSI tempère son propos en ajoutant qu’il n’y a « A ce stade, aucun élément objectif ne justifie de faire évoluer l’évaluation du niveau de qualité des produits et services fournis. »
Néanmoins certains risques sont clairement identifiés à court terme !
Le risque lié à la fin des mises à jour des logiciels Kaspersky
Le risque soulevé par l’ANSSI est : la fin des mises à jour des logiciels Kaspersky. En effet, elle s’inquiète surtout de “la capacité de ces entreprises à fournir des mises à jour de leurs produits et services et donc de les maintenir à l’état de l’art nécessaire pour protéger leurs clients. À moyen terme, une stratégie de diversification des solutions de cybersécurité doit par conséquent être envisagée »”.
Le principal intéressé n’a pas tardé à réagir officiellement à la note publiée par l’ANSSI :
« Les équipes de Kaspersky examinent activement tous les risques liés à la situation actuelle et procèdent en permanence aux évaluations nécessaires des impacts potentiels liés aux restrictions des processus internationaux d’échange de données sur les produits et services de l’entreprise. »
De plus, elle ajoute que les services de données de Kaspersky « ont fait l’objet d’une certification indépendante IS027001 par TÜV AUSTRIA et ont été recertifiés en 2022 sur un périmètre étendu, de sorte que les services de données pour le traitement des données liées aux cybermenaces et des statistiques sont couverts par la certification. »
Les recommandations de nos experts cyber
Même protégé par une certification, la question se pose ...
Même protégé par une certification, la question se pose.
D’autant qu’2017, Kaspersky avait déjà fait l’objet d’accusations de la part des États Unis. En effet, l’entreprise avait été soupçonnée de servir de passerelle pour l’espionnage et l’exfiltration de données. Cela étant, les solutions de Kaspersky ont été bannies des administrations américaines.
Notre avis sur le sujet est assez clair. Il paraît évident que si vous n’utilisez pas encore Kaspersky, il vaut mieux l’éviter et privilégier des solutions d’éditeurs comme Trend Micro.
Si vous utilisez Kaspersky, mieux vaut continuer à l’utiliser, du moins le temps de déployer une solution alternative plutôt que de rester sans protection !
Malheureusement c’est ce que l’on constate lorsque nous échangeons avec nos clients. Certains font le choix de tout débrancher d’un coup ! Ce choix est le pire des scénarios car la menace cyber est bien réelle et cela peut-être bien plus préjudiciable que de garder Kaspersky à court terme.
Il n’en va pas moins que les entreprises se posent également une question plus « éthique »
Quand à l'éthique en matière de choix de solution de cybersécurité ...
Chez Expert Line, nous avons aujourd’hui de nombreux appels. Et si bien entendu les risques liés à l’efficacité de la protection de l’éditeur Kaspersky est mise en cause à court terme, le débat s’anime rapidement autour de l’éthique.
Aujourd’hui, les entreprises font particulièrement attention à leurs communications et notamment leurs engagements pour la planète, la diversité, la laïcité … le fameux RSE ! (Responsabilité sociétale des entreprises).
Face à la guerre Russo Ukrainienne, les entreprises sont soucieuses de l’image qu’elles véhiculent à travers les produits qu’elles utilisent. Mais pas que …
Beaucoup d’entreprises s’associent à l’Ukraine et souhaitent soutenir l’Ukraine d’une manière ou d’une autre.
C’est une des raisons majeures de remise en cause de l’utilisation des solutions Kaspersky.
— En résumé, notre conseil
Si l’éthique de l’entreprise est un sujet majeur, il est important de ne pas réagir à chaud et de prendre « des précautions élémentaires ». Il est important d’anticiper toutes ces questions pour ne pas se retrouver sans solution.
Nous conseillons nos clients au quotidien sur ces sujets et au-delà de la question technologique Trend Micro il est primordial de prendre des décisions adaptées à votre contexte et vos besoins.
Les autres actualités qui peuvent vous intéresser
29/09/2022
Portrait d’expert Mourad ALI TOIHIR
Le portrait du mois est consacré à Mourad Ali Toihir, un des pilliers des équipes Expert Line
01/08/2022
Kaspersky dans la tourmente …
Quand les questions de cybersécurité se mêlent aux questions éthiques des entreprises !
28/07/2022
Expert story – Zero Trust
Move to cloud, Travail hybride … L’accélération de la transition digitale des entreprises met à rude épreuve le travail…
Expert story - Zero Trust
Zero Trust
Engager son entreprise dans une démarche de Zero Trust n’est pas toujours évident.
Expert line vous explique les principes et avantages du Zero Trust
SOC ou pas SOC … là est la question…
Je ne suis qu’un modeste juriste à qui l’on reconnait gentiment des compétences en matière de sécurité informatique, donc que les lecteurs avertis me pardonnent quelques raccourcis …
SOC ou pas SOC est une bonne question… et même une question assez « tendance ».
S’agit-il d’une offre purement marketing ou d’une offre à laquelle il faut prêter attention ?
La première question est
« Qu’est-ce qu’un SOC » ?
Un SOC (acronyme de Security Operations system) est un « service ».
Ce service peut être interne ou externe. Il peut porter sur tout ou partie du SI notamment sur des parties critiques.
Ce service est dédié à la sécurité et son objectif est triple D.R.A.: Détection – Remédiation – Analyse.
Certains diraient que l’analyse a lieu après la détection et avant la remédiation mais en réalité la plus-value du SOC est la remédiation immédiate (prise de risque minimum) et l’analyse – post problème – pour procéder le cas échéant à des ajustements (on appelle aussi REX).
Le SOC est aussi une « combinaison » : la rencontre entre la technique et l’humain. Entre des outils dont le fameux SIEM (Security event information management) mais aussi des experts qui savent décrypter les alertes et prendre les bonnes décisions la plupart du temps urgentes et pour lesquelles ils ne peuvent pas attendre le « GO » du client.
Quant à opter pour un SOC externe ou interne c’est assez simple elle dépend de la capacité de l’entreprise (ou acteur public) à disposer en interne des compétences nécessaires et surtout à assurer du h24 7/7 et de pouvoir dimensionner les équipes en fonction des menaces.
C’est la raison pour laquelle bon nombre d’entreprises optent pour une externalisation totale ou partielle de leur SOC.
Mais pour le juriste que je suis la bonne question est :
Faut-il mettre en œuvre un SOC ?
Il existe en pratique deux cas : le cas où le SOC est obligatoire et les cas, beaucoup plus nombreux, ou le SOC ne l’est pas.
Quand le SOC sera-t-il obligatoire ?
Quand un régulateur, une autorité de contrôle, une autorité dédiée à la sécurité imposent à tel ou tel acteur la mise en place d’un SOC. On peut penser notamment aux OIV (opérateur d’importance vitale) ou aux prestataires de service de confiance particulièrement les PSCOq.
Mais l’immense majorité les entreprises et les acteurs publics n’ont pas d’obligations ni légale, ni normative, ni même contractuelle de mettre en œuvre un SOC.
De fait dans ce cas la question de la mise en œuvre d’un SOC se pose.
Deux raisons imposent la réflexion : les obligations liées au RGPD d’une part et celles fixées par la jurisprudence dominante dans le domaine de la fraude informatique.
Dans les textes juridiques
Le RGPD qui touche quasiment tous les acteurs publics ou privés impose la mise en œuvre de mesures techniques et organisationnelles « appropriées » pour protéger (article 24) ou sécuriser (article 32) les données personnelles.
L’article 32 évoque même clairement la mise en œuvre de « moyens permettant de garantir la disponibilité et la résilience » mais aussi des moyens permettant de rétablir la disponibilité ».
A n’en pas douter la mise en œuvre d’un SOC permettra de démontrer que l’entreprise respecte ces engagements.
Ce point est d’importance puisque l’article 83 du RGPD qui fixe les règles que la Cnil doit prendre en compte pour sanctionner une entreprise tient compte notamment de la « durée de la violation » et de la mise en œuvre de mesures appropriées pour atténuer le dommage.
Dans la jurisprudence
Enfin on rappellera une position assez classique des tribunaux qui considère qu’une entreprise, pour bénéficier pleinement de la protection des dispositions relatives à la fraude informatique doit mettre en œuvre les mesures – là aussi « appropriées » – pour démontrer à la fois l’élément matériel et