Alors qu’il croyait avoir dissipé les doutes quant à sa transparence en relocalisant ses activités de traitement de stockage de données en Suisse (ainsi que ses bureaux de R&D), l’éditeur moscovite Kaspersky se retrouve, une nouvelle fois, au centre d’une controverse en raison de son origine. Cette fois, c’est l’ANSSI qui vient de mettre le feu aux poudres après avoir émis un bulletin CERT-FR s’inquiétant des potentiels effets cyber liés à l’invasion de l’Ukraine par la Russie sur les entités françaises.
Parmi les recommandations qu’elle formule à leur intention pour favoriser le renforcement de leur niveau de protection, l’agence nationale de la sécurité des systèmes d’information écrit que, « dans le contexte actuel, l’utilisation de certains outils numériques, notamment les outils de la société Kaspersky, peut être questionnée du fait de leur lien avec la Russie. » Aïe ! L’ANSSI soupçonne-t-elle Kaspersky de collusion avec l’ennemi ?
Pas du tout ! L’agence craint que « l’isolement de la Russie sur la scène internationale et le risque d’attaque contre les acteurs industriels liés à la Russie [puissent] affecter la capacité de ces entreprises à fournir des mises à jour de leurs produits et services et donc de les maintenir à l’état de l’art nécessaire pour protéger leurs clients ».
Ce ne sont donc pas les liens supposés de Kaspersky avec l’État russe qui sont en cause mais bien sa capacité à se maintenir à l’état de l’art de la cybersécurité à terme. D’où la recommandation « d’envisager à moyen-terme, une stratégie de diversification des solutions de cybersécurité », tout en précisant que « à ce stade, aucun élément objectif ne justifie de faire évoluer l’évaluation du niveau de qualité des produits et services fournis » et que « sans solution de substitution, la déconnexion d’outils de cybersécurité [en ce sens qu’elle] peut fragiliser significativement la cybersécurité [des] organisations […] ne saurait être préconisée ».
Donc, l’ANSSI n’a rien à reprocher à Kaspersky dans l’immédiat mais préconise néanmoins aux clients de prévoir un plan B à titre de précaution. De quoi mettre en péril le business de Kaspersky en France ? Difficile à dire à ce stade. Mais le patron de l’un des partenaires de la marque que nous avons sollicités aujourd’hui ne cache pas son embarras : « Pour l’instant, les clients ne nous ont pas remontés d’inquiétude [concernant] les produits Kaspersky. [Mais] dans le contexte actuel, je me pose la question de continuer le partenariat », expose-t-il. Il est vrai que son entreprise avait déjà ralenti la vente des produits Kaspersky depuis déjà un certain temps et qu’elle n’a plus que deux clients équipés en Kaspersky. Ce qui faciliterait leur éventuelle migration.
On notera au passage que si l’ANSSI a bien recensé des cyberattaques diverses depuis le déclenchement de l’offensive russe – attaques par déni de service distribué (DDoS), défigurations de sites internet, tentatives d’intrusion sur les messageries électroniques avec hameçonnage ciblé, cyberattaques avec des codes malveillants de sabotage (wiper) – elle convient que ces cyberattaques ont des impacts limités pour le moment. Ce que confirment les prestataires spécialisés en sécurité avec lesquels nous avons pu échanger ces derniers jours.
Dans un post publié sur Linkedin mardi 1er mars, Yann Bortoluzzi, consultant sécurité et gestion de crise chez Intrinsec écrivait ainsi : « Depuis quelques jours, on peut voir un emballement médiatique autour du « risque de cyberattaque élevée » contre la France. J’ai envie de vous dire, cette menace existe depuis un moment et si l’on s’en rend compte que maintenant, il y a un petit problème » Et de reprendre à son compte une note du MININT indiquant que « aucun effet spécifique lié aux événements en cours n’a été observé sur nos réseaux et nos systèmes d’information ». Donc menace à moyen terme certes mais rien de neuf à court terme.