Petit à petit l’étau se resserre sur Kaspersky en France. Une fiche technique du ministère de l’Economie envoyée aux administrations porte sur « l’interdiction d’attribuer ou de poursuivre l’exécution de tout marché public ou contrat de concession avec des personnes de nationalité russe, ou avec les personnes, organismes ou entités détenues par une personne russe ». Cette décision fait suite au règlement de l’Union européenne du 8 avril 2022 renforçant les sanctions contre la Russie suite aux attaques contre l’Ukraine.

La fiche technique donne une description détaillée des marchés publics concernés et exclus, ainsi que les montants applicables. Pour les autorités adjudicatrices, elles devront analyser 4 hypothèses des soumissionnaires. « Si l’attributaire est un ressortissant russe ou une personne physique ou morale, une entité ou un organisme établi sur le territoire russe ; si l’attributaire est détenu à plus de 50 %, et de ce manière directe ou indirecte, par une entité établie sur le territoire russe ; si l’attributaire est une personne physique ou morale, une entité ou un organisme agissant pour le compte ou sur instruction d’une entité établie sur le territoire russe ou d’une entité détenue à plus de 50 % par une entité elle-même établie sur le territoire russe ; si le sous-traitant, le fournisseur ou toute entité aux capacités de laquelle il est recouru se trouve dans l’un des trois cas susmentionnés, et le montant de ses prestations représente plus de 10 % de la valeur du marché. »

Kaspersky mis à l'écart de l'administration

Si la fiche technique touche différents marchés, dans le domaine de l’IT, Kapsersky rentre dans ce cadre. Cela signifie que l’éditeur russe est de facto écarté de la commande publique. Pire encore, le document ministériel indique que « tout contrat en cours au 9 avril 2022, soit à la date d’entrée en vigueur du règlement (UE) 2022/576, qui ne serait pas échu au 10 octobre 2022 , doit être résilié avant cette date ». Par ailleurs, les titulaires ne pourront prétendre « à aucune indemnisation, y compris une compensation, une prorogation de paiement ou une garantie ». Cédric Foll, directeur des infrastructures de l’Université de Lille a indiqué dans un tweet que Kaspersky a été écarté du ministère de l’enseignement supérieur et de la recherche. « Nous avons 16 000 postes concernés, mais nous avions anticipé le risque et nous sommes en train de finaliser la qualification d’une autre solution pour les utilisateurs », nous précise le responsable. Il ajoute que « la migration prendra quelques semaines ».

Interrogé sur cette mise au rencart de la commande publique, Kaspersky France n’a pas réagi à l’heure de la rédaction de cet article. Des questionnements se sont faits jour autour de Veeam, mais le spécialiste de la sauvegarde, fondé par des russes a été racheté par Insight Partners en janvier 2020. Sollicité, il estime que l’interdiction « ne s’applique pas, n’étant pas russe ». Enfin des incertitudes planent autour de Nginx, le serveur web concurrent d’Apache qui a été acheté par F5 Networks pour 670 M$ en 2019. Interpellé, F5 Networks n'avait pas répondu à notre demande de commentaires au moment de la rédaction de cet article.

Au début de l’intervention de la Russie en Ukraine, l’Anssi a alerté les entreprises et les administrations sur l’usage des outils numériques liés à la Russie et en particulier Kaspersky. Elle les enjoignait à réfléchir « à moyen terme, à une stratégie de diversification des solutions de cybersécurité ». Cet avertissement a provoqué quelques remous au sein des sociétés françaises qui ont cherché une porte de sortie pour leur antivirus. Ce dernier étant devenu persona grata dans plusieurs pays européens. Outre-Atlantique, l’administration de Joe Biden a récemment blacklisté le fournisseur russe de sécurité.

MAJ: Kasperky nous indique qu'il « a bien pris connaissance de la cinquième série de sanctions de l'UE, qui instaure une interdiction générale sur la participation des entreprises détenues directement ou indirectement à plus de 50% par des citoyens ou des entités juridiques russes, dans les marchés publics des États membres et les organisations de l'UE. Les restrictions imposent un seuil de 140 000 € pour les marchés publics de matériel et de services passés avec les gouvernements centraux, et un seuil de 215 000 € pour ceux passés avec les niveaux inférieurs d'administration. Cela signifie que seuls les appels d'offres ou les contrats importants dépassant les seuils susmentionnés sont concernés ». Il ajoute « avec ses partenaires, revendeurs comme distributeurs, les entreprises Kaspersky gérées par des entités locales participent à de nombreux appels d'offres et possèdent des contrats avec les municipalités, les gouvernements locaux et les régions. Ces contrats sont pour la plupart inférieurs aux seuils et ne sont donc pas couverts par les sanctions. Les activités commerciales de Kaspersky restent donc stables.» Enfin, il précise que « Kaspersky est une entreprise privée internationale dont le siège social est enregistré au Royaume-Uni »

MAJ2: De son côté F5 Networks a indiqué dans une communiqué, « Nous avons suspendu toutes les activités commerciales en Russie et nous orientons le support client vers des ressources situées dans d'autres pays. Nous avons supprimé l'accès au réseau F5 et interrompu les contributions aux projets open source NGINX en Russie - un travail qui se poursuivra dans nos autres sites mondiaux. Aucun code, qu'il soit commercial ou open-source, ne se trouve en Russie ».