Aborder les risques de sécurité liés aux fusions-acquisitions

publié par Bitdefender Enterprise France, le 07 septembre 2017

Les fusions et les acquisitions font partie des activités les plus risquées à entreprendre, et cela pas uniquement pour des considérations d’ordre financier. Les fusions-acquisitions (parfois aussi appelée « Fusac ») occasionnent des risques en cybersécurité qui peuvent totalement échapper à la vigilance, et cela dès le début des pourparlers.

 

 

Un exemple typique du risque de cybersécurité encouru lors d’une telle transaction provient de la récente acquisition de Yahoo Inc. par Verizon. En septembre 2016, Yahoo a annoncé qu’une récente enquête menée en interne avait confirmé qu’une copie des informations de certains comptes d’utilisateurs avait été volée du réseau Yahoo fin 2014. L’incident est qualifié de plus grande fuite de données de tous les temps.

 

D’après l’enquête, la compagnie estime que des informations liées a au moins 500 millions d’utilisateurs ont été volées. Au moment des faits, Yahoo était en cours d’acquisition par Verizon. La transaction aurait été conclue en juin 2017, mais l’information sur la fuite des données s’est répandue laissant présager la suspension de la transaction.

 

Des fuites de données ou d'autres attaques orchestrées par des cybercriminels, peuvent arriver aux entreprises à tout moment. Cependant, lorsque cela se produit lors d'une fusion ou d'une acquisition, cela peut considérablement compliquer les choses.

 

D'autres paramètres entrent en considération, telles que le positionnement sécuritaire respectif des deux entreprises impliquées dans la transaction, et à quel est son degré d’homogénéité ? Quels sont les risques pour la sécurité posés par des employés licenciés suite à la transaction ? Qu'en sera-t-il de l’effectif dédié à la sécurité de chaque entreprise une fois que le processus de fusion / acquisition arrivera à son terme ?

 

Fatalement, la cybersécurité devient un problème lorsqu’il est question de fusions / acquisitions. Par exemple, selon une étude réalisée en 2017 par West Monroe Partners sur les pratiques des Fusac (étude axée sur les opérations de fusion / acquisition dans l’industrie du logiciel), la cybersécurité pèse lourdement sur l’esprit des investisseurs.

 

Pour l'étude, West Monroe a commandé Mergermarket, un outil de développement commercial et d'information du marché conçu spécifiquement pour le secteur des fusions et des acquisitions. Au premier trimestre 2017, Mergermarket a étudié 100 grands dirigeants à travers le monde et a constaté que la cybersécurité continue d'être un problème pour les fusions / acquisitions dans l’industrie du logiciel, à la fois pendant et après la finalisation. Plus de la moitié des sondés (52 %) déclarent avoir découvert un problème de sécurité informatique après la clôture d'une fusion/acquisition, et d'autres ajoutent avoir été insatisfaits de leurs expériences passées en matière d’audit de cybersécurité (16 %), que dans d’autres technologies ciblées (1%) ou opérations (1%).

 

Selon le rapport, la cybersécurité arrive en deuxième position des raisons pour lesquelles des Fusac sont abandonnées, et la seconde raison pour laquelle des acheteurs regrettent une transaction. L’étude révèle que les trois principales raisons qui font échouer une telle transaction sont :

  • Des préoccupations liées à la cybersécurité (23 %)
  • Des problèmes d’ordre financier et fiscal (23 %)
  • Des problèmes de non-conformité (18 %)

 

L’étude révèle que les craintes semblent prendre de l’ampleur après la conclusion de la transaction. Deux dirigeants interrogés sur cinq (41 %) déclarent que leur principale inquiétude concernant les difficultés liées à la cybersécurité, se trouvent être les problèmes survenant lors des activités d'intégration post-fusion.

 

Le défi de gérer les risques de cybersécurité avec une fusion ou une acquisition devient encore plus grand avec la pénurie généralisée de professionnels de la sécurité qui soient qualifiés.

 

Les entreprises impliquées dans ces transactions doivent tenir compte des bons pratiques pour faire face aux risques liés à la sécurité.

 

Pour une entreprise acquéreuse, parmi les premières actions à entreprendre lors de la phase d’audit, est celle d’examiner et comprendre en profondeur le positionnement et la politique de sécurité de l’entreprise qu'elle envisage d'acquérir. Cela inclut d’analyser les requêtes en suspens telles que les réclamations en suspens et les failles signalées, ainsi que toute défaillance en cybersécurité éventuelle.

 

L'acquisition ou la fusion des entreprises nécessite un audit approfondi de toutes les politiques et procédures de sécurité en place, et des échanges avec les dirigeants responsables de la sécurité, afin de mieux comprendre le degré de sophistication du programme de sécurité.

 

Une autre bonne pratique en phase de pré-acquisition consiste à recueillir des renseignements sur la cybersécurité en s'appuyant sur un tiers et en mettant en place un questionnaire de sécurité auprès du personnel de sécurité informatique de la société cible. L'un des objectifs est d'identifier le capital information de l'entreprise le plus stratégiquement important, tels que la propriété intellectuelle et les données des clients, et de savoir où ces informations sont conservées et comment sont-elles protégées.

 

Il est également important de veiller à ce que la société ait des communications proactives avec les employés en ce qui concerne les menaces telles que les malwares, les ransomwares et le phishing.

 

Dans le cadre d'une acquisition, la société acquéreuse doit prendre des mesures pour remédier à toute vulnérabilité descellée et évaluer les politiques de sécurité des deux entreprises afin de mettre en exergue les lacunes à résoudre. Avec une fusion, les entreprises devraient évaluer et comparer leurs programmes de sécurité et effectuer les ajustements nécessaires.

Bitdefender Enterprise France

Bitdefender est le spécialiste européen des solutions antimalware. Ses technologies proactives classées n°1 en détection et en prise de ressources par les organismes de tests indépendants protègent plus de 500 millions d’utilisateurs.