La situation est grave mais pas encore désespérée. Alors que l’Allemagne et l’Italie ont soulevé les risques d’utiliser les logiciels Kaspersky et que l'autorité de régulation des télécoms américaine (FCC) a ajouté les produits et services de l'éditeur russe sur la liste des équipements portant atteinte à la sécurité nationale, la position de la France apparait plus mesurée. Dès le début du mois de mars, l’agence nationale de la sécurité des systèmes d’information (Anssi) a ainsi expliqué - de façon très diplomatique - que l’utilisation de ces outils « peut être questionnée du fait de son lien avec la Russie » mais « qu’à ce stade aucun élément objectif ne justifie de faire évoluer l’évaluation au niveau de qualité des produits et services fournis ». 

A ce jour, aucune directive officielle ne remet ainsi en cause l’usage des solutions de Kaspersky. Pour autant, en coulisses, les RSSI et surtout les directions générales des entreprises sont en ébullition pour trancher une question : peut-on encore avoir confiance dans les logiciels d’un éditeur dont le niveau de reconnaissance, d’intégrité et de performance est connu et reconnu depuis des années à travers le monde, mais dont la nationalité laisse planer de possibles liaisons dangereuses avec les plus hautes sphères du pouvoir russe ? « La situation n'est pas facile, les entreprises qui avaient décidé de s'équiper de solutions Kaspersky ne sont pas posées forcément ces questions géopolitiques quand elles ont signé », explique Alain Bouillé, délégué général du Cesin. Mais désormais, la donne apparait différente et un mouvement de méfiance envers les solutions de l'éditeur de sécurité russe commence à poindre.

Des plans de bascule opérés en urgence

Dans un récent sondage du club des experts de la sécurité de l'information et du numérique mené auprès de 201 membres RSSI, près du quart (soit une cinquantaine) déclarent utiliser des produits Kaspersky. Parmi eux, 84% ont indiqué prévoir de faire évoluer leur stratégie de protection en changeant de produit dont 40% précisant que ce chantier a d'ores et déjà commencé tandis que 44% envisagent de le faire à court ou moyen terme. « La situation actuelle de la Russie fait craindre aux clients de Kaspersky de ne plus disposer par exemple des bases de signatures. Cela amplifie un phénomène de décommissionnement de ces solutions dans les entreprises », poursuit Alain Bouillé. Un son de cloche similaire du côté du Clusif cette fois : « Des grandes organisations sont en train d'opérer en urgence des plans de bascule et je ne vois pas quel phénomène pourrait l'endiguer voire l'inverser », explique Loïc Guézo, secrétaire général du club de la sécurité de l'information français. 

A l'image du CHRU de Brest qui va se passer des services de l’antivirus russe Kaspersky et d'autres clients finaux, la pression s'accroit aussi sur des fournisseurs. C'est le cas par exemple de Kaseya, spécialisé dans la gestion des infrastructures informatiques, qui a annoncé arrêter le support de l'anti-virus Kaspersky. « Lorsque la FCC a ajouté Kaspersky à sa liste d'entreprises dont les produits ou services pourraient constituer une menace pour la sécurité, nous avons contacté le petit nombre de clients dans le monde dont nous savions qu'ils utilisaient le logiciel antivirus Kaspersky et les avons encouragés à passer à Bitdefender, que Kaseya revend. La sécurité de nos clients est primordiale et nous continuerons à les soutenir de toutes les manières possibles », nous a indiqué Dana Liedholm, vice-présidente senior marketing de Kaseya. 

Une situation à risque pour l'éditeur russe

Ce sentiment de méfiance, voire de défiance, va-t-il se généraliser dans les semaines à venir ? En France, la filiale de l'éditeur russe veut se montrer rassurante : « Nous répondons aux questionnements autour des mises à jour et de la corruption produit avec tous les protocoles nécessaires, les centres de transparence, les audits et la résilience de nos infrastructures et sur la façon dont les mises à jour sont proposées », fait savoir Bertrand Trastour, directeur général France et Afrique de Kaspersky. « Certains clients ou partenaires peuvent prendre des décisions, nos échanges sont cordiaux et professionnels et on produit des éléments pour les rassurer. J'ai eu des entreprises qui sont satisfaites du niveau de confiance et dont les RSSI sont challengés par leur comité de direction. On est dans une situation de crise exacerbée et géopolitique sur laquelle on se doit d'être vigilant mais dont il est prématuré de donner des chiffres pour dire comment la situation va évoluer dans les semaines à venir ». 

Ce n'est pas la première crise de confiance que Kaspersky traverse. Cela avait déjà été le cas en 2017 où l'éditeur avait été soupçonné d'avoir permis de faire remonter jusqu'au Kremlin via son cloud des données confidentielles d'un poste de travail d'un agent de la NSA sur lequel son anti-virus était installé. Une situation qui avait amené déjà à cette époque, d'autres administrations incluant des OIV et des OSE dont selon nos informations le ministère de la Défense, à faire une croix depuis longtemps sur l'éditeur russe. La société avait alors réagi en créant ses fameux centres de transparence. Mais à l'inverse d'autres éditeurs, américains cette fois comme Microsoft également pris à une époque dans la tourmente de faits d'espionnage à grande échelle par la NSA, Kaspersky pourrait lui avoir plus de mal à se relever en dépit de tous les efforts menés sur le terrain. 

« Je ne doute pas de la capacité des ingénieurs de Kaspersky à maintenir et faire évoluer la technologie mais ils sont embarqués dans un tourbillon qui les dépasse », analyse Loïc Guézo. « Contrairement à Microsoft qui est indéboulonnable, Kaspersky ne peut pas autant résister, car il est seulement positionné sur le marché de la protection des endpoints très concurrentiel avec des acteurs US, mais aussi français, autour du XDR », complète-t-il. Un autre sondage mené par le Cesin montre d'ailleurs qu'une grande majorité de RSSI sont près à décommissionner leur anti-virus actuel pour coupler à un EDR un autre anti-virus mais cette fois très bon marché voire gratuit. Une tendance qui, si elle se matérialise, risque d'acculer encore un peu plus l'éditeur russe.

Aucune backdoor identifiée dans les solutions Kaspersky à ce jour

Face à cette situation délicate, Kaspersky veut quoi qu'il en soit convaincre : « On autorise désormais un accès à distance à nos centres de transparence de Zurich et de Madrid, on travaille avec des entités juridiques locales et des banques locales qui ne sont pas impactées par la déconnexion au système SWIFT, nous avons nos équipes support en France à Rueil Malmaison et reposons sur une architecture serveurs distribuée », indique Arnaud Dechoux, responsable des affaires publiques de Kaspersky.

« On nous demande si on peut avoir confiance en nous ? Nous répondons qu'il ne faut avoir confiance en personne mais qu'il faut juger sur pièce et avec toutes nos mesures on espère avoir apporté de bonnes réponses. Cela fait 25 ans que beaucoup de monde essaie de trouver dans notre solution une backdoor sans aucun succès à ce stade ».