Il faut de nombreux professionnels spécialisés dans plusieurs domaines pour développer et mettre à jour les applications d’ExpressVPN. Pour garantir le fonctionnement de nos programmes dans les conditions de sécurité les plus favorables, nous devons veiller à la vérification, à l’organisation et à la formation de nos collaborateurs… Mais ce n’est pas tout !
Nous devons également veiller à ce que personne en dehors de notre entreprise n’ait la possibilité d’interférer ou d’intervenir dans ce processus. C’est pourquoi nous avons mis en place une procédure rigoureuse de vérification et d’évaluation. Aucun tiers n’est en mesure d’apporter des modifications non autorisées à nos programmes logiciels, voire d’y injecter des malwares.
Tout comme les réseaux d’approvisionnement en eau sont contrôlés pour que vous puissiez avoir confiance en ce qui sort de votre robinet, nos logiciels sont protégés contre la contamination par des codes malveillants, de leur création à leur distribution. Aujourd’hui, cette protection que nous vous offrons a fait l’objet d’un audit indépendant.
Minimiser le risque de contamination
Ces dernières années, nous avons assisté à plusieurs cas où de grandes entreprises technologiques, notamment les fabricants de PC, ont commercialisé des logiciels et du matériel informatique infectés par des programmes malveillants au cours de leur développement ou de leur distribution.
C’est la raison pour laquelle nous avons mis en place un système de vérification qui réduit fortement le risque de diffusion de malwares dans les appareils de nos clients à cause d’un collaborateur ou d’un appareil compromis.
Cela signifie que vous pouvez utiliser les applications d’ExpressVPN en étant sûr qu’elles ne contiennent pas de code non autorisé ou malveillant.
Quelques exemples de politiques et de procédures mises en place :
- L’utilisation de clés de chiffrement PGP émises par ExpressVPN pour toutes les modifications du code source.
- L’exigence d’approuver toutes les modifications du code par une personne autorisée différente de celle qui a effectué la modification.
- La réalisation d’audits automatiques sur les modifications apportées avec des alertes en cas de modifications imprévues, qui font l’objet d’un suivi personnalisé.
- L’utilisation des environnements de développement CircleCI et Azure DevOps pour le déploiement des binaires distribués aux clients.
Notre système de vérification a fait l’objet d’un audit réalisé par PwC Suisse
Mais comment nos utilisateurs peuvent-ils savoir si nos affirmations sur notre politique sont fondées ? C’est là qu’intervient le cabinet d’audit indépendant PwC Suisse.
Pour valider ces garanties de protection, PwC Suisse a réalisé un audit indépendant visant à examiner les mesures et les contrôles que nous avons mis en place pour distribuer des applications exemptes de toute modification non autorisée. Les experts en sécurité ont eu accès à notre code source, à nos serveurs, à notre documentation et aux données de nos collaborateurs en mai 2020.
Le rapport d’audit indépendant est à la disposition de nos clients. Conformément aux conditions de PwC Suisse, les personnes souhaitant consulter le rapport doivent prendre connaissance des conditions générales de la société avant d’y accéder. Les clients peuvent le faire en se connectant via ce lien.
PwC Suisse n’autorise pas la publication d’extraits afin de préserver l’intégrité des résultats de l’audit et d’éviter qu’ils ne soient sortis de leur contexte ou mal interprétés. Mais nous pouvons dire que nous avons été satisfaits du processus et nous encourageons nos clients à lire le rapport complet.
La sécurité sur internet ne sera plus une contrainte pour vous
Chez ExpressVPN, nous sommes toujours à la recherche de menaces potentielles pesant sur votre vie privée et votre sécurité en ligne et nous trouvons des solutions pour réduire les risques.
Les audits réalisés par des organismes indépendants – notamment la récente évaluation de sécurité réalisée par Cure53 et l’audit réalisé l’année dernière par PwC Suisse sur le respect de notre politique de confidentialité et sur notre technologie TrustedServer – permettent de vérifier de manière indépendante les engagements que nous prenons vis-à-vis de nos clients en matière de confidentialité et de sécurité sur internet.
Ces audits et évaluations de sécurité viennent compléter nos efforts en matière de transparence et de confiance, notamment la mise en place d’outils de test de sécurité accessibles à tous, comme le test de fuite de données, la publication de nos performances de sécurité et le lancement de VPN Trust Initiative, qui vise à sensibiliser le public aux enjeux de la sécurité sur internet.
Chez ExpressVPN, nous visons à développer la technologie VPN et la transparence dans le secteur. Nous sommes impatients de publier davantage d’audits, d’outils et d’informations qui vous permettront de nous encourager à honorer nos engagements.