Intervention de Arnaud Dechoux

Je vous remercie de cette question très pertinente. Notre réponse est tout à fait positive. Nous percevons chez tous les clients, en particulier les grandes entreprises ou les intégrateurs qui revendent leurs services à d'autres entreprises, la montée de ces enjeux de souveraineté. Je ne saurais pas vous dire si le sujet est formalisé de manière juridique dans les appels d'offres, mais la question nous est systématiquement posée. Cette question est d'ailleurs peut-être moins posée à des acteurs d'origine anglo-saxonne.

En 2017, Kaspersky a été accusé, selon nous de façon complètement infondée, d'avoir installé des backdoors ou transmis des informations récoltées. Le manque de confiance généré n'aide pas la communauté à mieux se protéger. Nous pensons qu'il faut rétablir la confiance, ce qui passe par de la collaboration, pour mieux se protéger contre ces cyberattaques, qui peuvent venir de l'étranger, et en tout cas pas de la porte d'à côté.

Nous avons essayé de répondre au manque de confiance à travers une initiative lancée en 2017, qui répond également aux enjeux de souveraineté, même si le terme n'existait pas encore à l'époque.

Le premier socle est la relocalisation du cœur de l'infrastructure de stockage et de traitement des données de nos clients en Suisse. Les données étaient auparavant hébergées dans des datacenters localisés à Moscou : la Suisse a été choisie, car elle est un symbole d'indépendance, et parce que nous possédions déjà des datacenters à proximité de Zurich. Toutes les données des clients européens y ont été relocalisées dans un premier temps. Nous y avons ensuite, en 2018, 2019 et 2020, transféré celles des clients nord-américains et d'une partie importante des pays asiatiques. De nombreuses réticences ont été soulevées en interne par des personnes qui estimaient que la localisation des données n'était pas un facteur pertinent pour la cybersécurité, mais les mentalités ont ensuite changé. Nous avons vu tout l'intérêt de ce genre d'approche, que nous poursuivrons.

Le deuxième pilier est l'ouverture de centres de transparence. Des centres ont été adossés au datacenter de Zurich, nous en avons également ouvert à Madrid, au Brésil, en Malaisie et depuis peu au Canada. L'objectif est de permettre à nos clients et partenaires, qui sont souvent des agences de cybersécurité nationales, de venir auditer notre code source, et toutes les mises à jour des solutions. Vous évoquiez l'accusation de mise en place de backdoors : cela peut notamment se faire par des mises à jour. Pour un client, entreprise ou autre, la possibilité d'auditer l'ensemble de l'historique des mises à jour nous semble un facteur capital. Nous ne sommes pas la seule entreprise à avoir mis en place ce type de dispositif de transparence, mais le nôtre est particulièrement avancé. Je vous mentirais si je vous indiquais que des centaines d'entreprises viennent auditer notre code source : vingt à trente parties prenantes sont venues le faire depuis l'ouverture des centres de transparence. Il faut beaucoup de ressources pour auditer complètement les solutions informatiques, même si elles restent plus faciles à auditer qu'une infrastructure 5G, qui représente des millions de lignes de code. En tout cas, cette possibilité existe, et il s'agit d'une preuve de confiance importante pour les entreprises ou les autorités publiques.

L'avant-dernier pilier est l'audit des processus internes par des tiers que sont les grands cabinets d'audit reconnus mondialement, lesquels passent en revue le développement et les bases des règles de détection des menaces, pour s'assurer qu'ils sont protégés de toute modification non autorisée, par de robustes mesures de sécurité. Un certain nombre de certifications existent dans le domaine de la cybersécurité, notamment la norme ISO 27001, que nous avons obtenue auprès d'un organisme autrichien.

Le tout dernier pilier, qui me semble également intéressant pour votre question relative à la souveraineté numérique, est la gestion des vulnérabilités. Nous en retrouvons dans à peu près toutes les solutions informatiques, en particulier celles qui ont été conçues il y a très longtemps. Les solutions de Kaspersky n'échappent pas à la règle. Nous avons mis en place un dispositif clair pour faire en sorte que les chercheurs puissent auditer nos solutions, sans être attaqués en justice – comme cela s'est fait dans d'autres entreprises. Nous avons également publié nos principes éthiques de gestion des vulnérabilités que nous trouvons dans les solutions d'autres entreprises. Un certain nombre d'étapes doivent être suivies : il faut bien sûr prévenir en premier lieu l'entreprise victime, faire en sorte qu'elle puisse corriger la vulnérabilité, avertir ses clients en temps et en heure, de façon privée dans un premier temps, puis publiquement par la suite. Il y a un certain nombre de bonnes pratiques à suivre. Il est à l'avantage des autorités publiques, au niveau français ou européen, de promouvoir ces bonnes pratiques en matière de gestion des vulnérabilités.