Les transactions de fusion et d'acquisition : Cybersécurité - le danger sous-estimé
Qu'il s'agisse d'acquisitions ou de cessions de parts d'entreprises, un facteur décisif est souvent négligé lors de telles transactions : la sécurité informatique des entreprises.
Lorsqu'une opération de fusion et d'acquisition (M&A) est sur le point d'être conclue, les conditions économiques, juridiques, fiscales et financières d'une entreprise sont certes examinées en détail lors de l'examen de due diligence. Mais ce qui est souvent sous-estimé : Il convient d'accorder une importance tout aussi grande à l'examen de la sécurité informatique. Les cyber-risques peuvent réduire drastiquement la valeur marchande d'une entreprise et même être la raison de l'échec d'une fusion.
Si les données des clients ne sont pas suffisamment protégées, les fuites de données ne nuisent pas seulement durablement à la réputation des entreprises, mais aussi à leurs actifs. Ainsi, après le scandale des données de Cambridge Analytica, Facebook a perdu plus de 50 milliards de dollars en valeur à la bourse.
Il ne faut pas non plus sous-estimer le fait qu'après l'entrée en vigueur du nouveau règlement sur la protection des données en mai 2018, il faut s'attendre à des amendes considérables en cas de non-respect des directives.
Les transactions M&A peuvent être à l'origine de cyber-attaques
Si la transaction est menée à bien après une évaluation intensive des risques, la sécurité de l'information reste toutefois un point critique, à savoir lors de la fusion des infrastructures informatiques des entreprises.
L'acquisition d'une entreprise ajoute des centaines, voire des milliers de nouveaux appareils de différents fabricants à l'architecture existante - il en résulte un réseau complexe et confus qui pose de nouveaux défis aux Chief Information Security Officer (CISO). Les éventuelles failles de sécurité doivent être identifiées et corrigées immédiatement.
Il en va de même lors d'un désinvestissement - la séparation de systèmes informatiques intégrés peut faire apparaître des menaces totalement inconnues. Le processus de séparation peut prendre des mois, voire des années. Il est donc essentiel d'élaborer une stratégie de sécurité globale pour la phase de transition.
La protection par pare-feu, la sécurité du réseau et la gestion des vulnérabilités sont essentielles.
Quel que soit le stade auquel se trouve l'entreprise : Pour pouvoir lutter efficacement contre les cyber-attaques et utiliser les ressources de manière optimale, il faut une solution automatisée. L'évaluation des cyber-risques ne doit pas se baser sur la perception subjective des différents collaborateurs, mais sur la mise en œuvre de règles de sécurité strictes.
Un modèle de réseau qui visualise l'architecture existante aide à identifier et à combattre immédiatement les menaces ainsi que les points faibles. Les modifications apportées à la structure du réseau devraient être testées au préalable dans un environnement virtuel afin d'économiser du temps et de l'argent. Un tel modèle de réseau permet également de simuler des cyber-attaques afin de tester l'efficacité des protocoles de sécurité et des pare-feux.
Les RSSI et les directeurs financiers ne se préoccupent jamais assez tôt des cyber-risques dans le cadre des fusions et acquisitions. Ils devraient être impliqués dès le début, car une attention et des investissements précoces dans la sécurité informatique créent la base d'une fusion d'entreprises réussie sans flancs de sécurité ouverts.
Jörg von der Heydt, Channel Director DACH chez Skybox Sécurité
