Les acquisitions constituent un moment privilégié pour les attaquants. Avec des niveaux de sécurité hétérogènes ou des interconnexions non maîtrisées, il devient possible d’attaquer la société acquérante par rebond, en utilisant l’entreprise acquise comme une porte d’entrée.

Pour maîtriser ces risques, la cybersécurité doit s’imposer sur le banc des décideurs comme un acteur incontournable de la réussite des opérations d’acquisition et de fusion, et ce, dès la phase de Due Diligence.

Des besoins cyber à géométrie variable

La Due Diligence cyber peut apporter une forte valeur aux équipes cyber, IT et métiers. Son résultat permet d’accompagner la prise de décision et ce, à plusieurs niveaux.

1. Connaître le niveau de maturité de la société cible: analyser les pratiques sécurité et identifier les écarts vis-à-vis des standards de l’acquéreur pour appréhender les risques cyber encourus lors de l’intégration du nouvel SI.
2. Eprouver le niveau de sécurité d’une solution (principalement IT ou Cyber) : s’assurer de la sécurité et de la résilience pour confirmer une valorisation (respect des pratiques de développement sécurisé, absence de vulnérabilités critiques, mesures de sécurité préventives, etc.).
3. Estimer le coût de l’intégration : évaluer le coût de mise à niveau à partir de la dette sécurité et des abaques pour vérifier la pertinence de l’opération envisagée et négocier le prix d’acquisition qui absorbe au maximum les coûts d’intégration.
4. Evaluer les risques réputationnels : s’assurer de la conformité aux règlementations, notamment sur les données personnelles et de l’absence d’intrusion pouvant nuire à la réputation de l’acquéreur après le transfert de propriété.

Lla Due Diligence cyber reste néanmoins un exercice particulier à conduire. En effet, la société à l’étude (cible) n’appartient pas encore à la société acquérante et les contraintes imposées par les équipes en charge de l’opération, ou les équipes métier peuvent être rudes.

Un contexte métier à prendre en compte dans le choix de la méthode Due Diligence cyber

Côté acquéreur

• Le budget : le choix de la méthode est corrélé à la disponibilité des équipes cybersécurité ou d’un budget dédié pour faire appel à une prestation externe. Il est préférable de sécuriser une contingence avec les équipes M&A en amont de toute opération pour se laisser une marge de choix.
• Le temps: des contraintes métiers ou concurrentielles peuvent impacter la période de Due Diligence. Le choix de la méthode dépend foncièrement du temps laissé aux équipes cyber pour conduire leur investigation.

Côté société identifiée

• La taille : la méthode de Due Diligence doit être cohérente avec la dimension du système d’information de l’entreprise cible, à la nature de ses actifs et aux types de technologies utilisées.
• Le « rapport de force » : la différence de poids entre l’acquéreur et la cible influe fortement sur la possibilité de conduire une analyse cyber poussée et transparente (capacité à avoir des informations, des preuves, des entretiens, tests…).
• Le cœur d’activité : l’évaluation doit se concentrer sur ce qui fonde la valeur de la société identifiée, notamment lorsqu’il est question d’un produit IT ou d’un savoir-faire.

En fonction de ces critères, mais aussi des processus existants, les équipes cyber et M&A choisissent ensemble la méthode la plus adaptée à leur besoin et à la situation.

A chaque opération, sa Due Diligence cyber

Les méthodes non-intrusives 

L’équipe cybersécurité pourra s’orienter vers des méthodes de Due Diligence non-intrusives lorsqu’elles disposent de moyens limités ou que l’entreprise cible est convoitée par d’autres acquéreurs potentiels.

1. Le questionnaire sur les essentiels de la sécurité permet de mesurer la maturité de l’entreprise pré-identifiée sur les axes fondateurs. Il a l’avantage d’être facilement déployable, sans engendrer une charge importante tant pour l’entreprise cible que pour l’acquéreur.
   • Notre conviction : il est particulièrement adapté pour évaluer la maturité cyber des sociétés de petites tailles (moins de 50 employés). Ce questionnaire est à définir par les équipes Cybersécurité en collaboration avec les équipes IT et M&A.
2. Les outils de cyber-scoring « automatique » permettent de mesurer le niveau de sécurité des actifs exposés sur Internet. Ils ont l’avantage de proposer une vue immédiate aux équipes sécurité. Attention, leurs résultats peuvent être simplificateurs car ces outils ne se concentrent que sur la partie émergée de l’iceberg (quid de la gestion des partenaires, de la sécurité du Cloud, etc.).
   
   • Notre conviction : nous ne conseillons pas de prioriser leur utilisation dans un contexte de Due Diligence cyber mais ont l’avantage d’apporter un faisceau d’information complémentaire rapidement si votre société a déjà souscrit à une offre.

Les méthodes plus approfondies

L’équipe cybersécurité pourra s’orienter vers des méthodes de Due Diligence plus approfondies lorsqu’elles disposent de moyens humains ou financiers et d’un « rapport de force favorable » dans la négociation de l’opération envisagée.

1. Le questionnaire de Due Diligence basé sur les standards cyber internes de l’acquéreur permet de mesurer le niveau de maturité de la société cible et d’identifier les écarts vis-à-vis de ses propres politiques & standards, un prérequis essentiel pour chiffrer les coûts éventuels d’intégration sur le volet cyber.
   
   • Notre conviction : méthode la plus répandue sur le marché et qui permet aussi de se placer dans une logique de préparation de l’intégration (scénario d’intégration, scénario de coût, planning, etc.). Ce questionnaire est à définir par les équipes Cybersécurité en collaboration avec les équipes IT et M&A.
2. Les plateformes d’évaluation cyber (telles que Cybervadis, Risk Ledger, CyberGRX…) permettent d’évaluer le niveau de maturité de la société cible par rapport aux standards de sécurité de référence, et parfois même d’obtenir des plans d’action de mise à niveau.
   
   • Notre conviction : le recours aux plateformes est intéressant si l’entreprise cible y est déjà inscrite/évaluée. Cela permet aussi de mutualiser les moyens avec votre démarche « Third Party » (voir cet article RiskInsight sur la gestion des tiers ici). Dans le cas contraire cela prend souvent trop de temps.
3. L’audit technique permet de mesurer en profondeur le niveau d’exposition d’une société ou d’un actif. Bien que le test d’intrusion (pentest) reste l’audit le plus complet, il existe d’autres types de test plus faciles à mettre en œuvre dans un contexte de Due Diligence (scan de configuration AD, audit d’architecture, rapport EDR, rapport de tests d’intrusion déjà réalisés, etc.).
   
   • Notre conviction : il est généralement impossible de réaliser des tests avant le closing (les assets ne sont pas encore achetés). A défaut de tests complets, la version gratuite de PingCastle permet d’obtenir une vision (simple, précise et rapide) sur le niveau de sécurité des Active Directories.

Si la Due Diligence Cyber est un prérequis nécessaire à toutes opérations de M&A, elle doit servir de leitmotiv au rapprochement des équipes cybersécurité, M&A et IT pour guider au mieux les entreprises dans leur transformation.

Enfin, il existe des situations dans lesquelles la Due Diligence Cyber n’a pas pu être conduite (confidentialité, calendrier serré, pression concurrentielle lors de l’opération…). Il arrive fréquemment que la Due Diligence Cyber soit transformée en un audit 360° réalisé post-signing/closing. Cet audit comporte donc un nouvel objectif : contribuer à la définition de la stratégie d’intégration.

–

Nous remercions Arielle ATTIAS pour sa contribution à la rédaction de cet article.

Cet article La cybersécurité : un volet essentiel de la Due Diligence est apparu en premier sur RiskInsight.

Celle-ci peut prendre différentes formes, mais historiquement, sont étudiés essentiellement les aspects suivants :

• Finance et comptabilité : vérification des comptes, recensement du personnel, contrôle du bilan et du compte de résultat, de l’activité prévisionnelle, etc.,
• Juridique : statuts de l’entreprise, procès en cours, détention de brevets et de propriétés intellectuelles, etc.,
• Stratégie de l’entreprise (identification des concurrents, des forces de l’entreprise, de ses canaux de distribution, etc.

Bien que l’actualité soit riche d’exemples d’entreprises touchées par des cyberattaques, la question de la cybersécurité est encore bien trop souvent négligée lorsqu’il s’agit de fusions/acquisitions.

Mais la perception de ces enjeux est en train d’évoluer. Dans un récent sondage mené par le cabinet d’avocat Freshfields Bruckhaus Deringer, spécialisé en droit des affaires, 90% des répondants estiment qu’une cyberattaque avérée pourrait engendrer une réduction du prix d’acquisition de la cible, et 83% d’entre eux pensent qu’une attaque se produisant pendant la phase de due diligence pourrait conduire à un abandon total du deal en cours.

Le risque cyber est bien réel dans la mesure où, dès que deux systèmes d’information sont interconnectés, l’ensemble hérite souvent de facto du niveau de sécurité le plus faible des deux. À cela s’ajoutent les risques d’écarts réglementaires, alors que les régulateurs durcissent leur position partout dans le monde, et qu’une fusion/acquisition met la structure sous les feux des projecteurs.

L’évaluation du risque cyber : un pilier futur des fusions/acquisitions ?

De plus en plus conscientes de ce risque, les entreprises intègrent progressivement la notion de « risque cyber » à leurs stratégies de rapprochement. L’objectif est, en principe, simple : comprendre si le rapprochement des deux entreprises, et donc probablement de leurs systèmes d’information, augmente le risque de fuite d’information, d’attaque ou encore de non-conformité.

Il existe pourtant une différence majeure entre une due diligence classique et son pendant cybersécurité. Si les règles comptables et légales sont claires et partagées au niveau international, il n’existe pas encore d’équivalent dans le monde de la cybersécurité. Les standards se multiplient (par type de système ou de données à protéger, par industrie, par pays…), mais il s’agit de référentiels de bonnes pratiques indiquant comment bien mettre en œuvre sa cybersécurité, et non si elle a bien été mise en œuvre. Notons quelques exceptions notables, tels que les environnements certifiés PCI-DSS (protection des données de cartes bancaires), ou encore des environnements homologués de type Défense. Ces exemples sont cependant toujours des périmètres spécifiques et très limités.

Pour l’acquéreur, le fait d’agir en bonne foi et de ne pas être conscient de manquements en sécurité n’empêchera aucune cyberattaque : en risque cyber, on n’endosse pas seulement la responsabilité, mais bien directement le risque lui-même !

De la même manière, il n’est pas aisé (pour ne pas dire impossible) pour une entreprise de garantir que sa cybersécurité est « bonne ». Le fait d’avoir géré son système d’information « en bon père de famille » ne garantit pas qu’il ne constituera pas une faiblesse demain… où dans l’heure qui suit.

Le cadre des fusion/acquisitions n’est d’ailleurs pas le seul à présenter un intérêt à étudier les aspects sécurité d’un SI au travers d’une cyber due diligence. Depuis plusieurs années, les principaux assureurs internationaux ont lancé leur offre de cyber-assurance. Dans ce cadre, ils cherchent – légitimement – à connaître le niveau de sécurité informatique des entreprises qu’ils vont assurer, ou a minima à savoir quel niveau général de cyber-risque ils auront à couvrir. C’est ainsi qu’en amont de ce type de souscription, les cyberassureurs s’accompagnent aujourd’hui d’experts en sécurité informatique, dont le rôle est d’effectuer une due diligence à haut niveau.

Quelle démarche pour une due diligence cybersécurité ?

En quoi consiste une due diligence sécurité ? Il ne s’agit pas d’une nouvelle technologie ou d’une méthode révolutionnaire, mais de l’utilisation équilibrée et ciblée de différents outils de la cybersécurité.

Plusieurs approches sont possibles :

• Une approche sur la base de questionnaires. Il s’agit alors uniquement de traiter les réponses à une série de questions, généralement avec des réponses à choix multiples. Au-delà du manque de profondeur d’une telle approche, son issue dépend fortement de qui répond au questionnaire et de la manière dont il est utilisé – bien souvent, il est malheureusement à peine lu.

• Une approche par entretiens. Il s’agit d’évaluer la situation par rapport à un référentiel connu et adapté, lors d’échanges avec les responsables de la sécurité de l’entreprise considérée. La limite de cette approche est qu’elle ne se base que sur des déclarations, et n’apporte aucune preuve de ce qui est avancé. Menée par un expert rodé à l’exercice, elle permet tout de même rapidement d’avoir une vision générale sur le type de pratiques sécurité mises en œuvre.

• Une analyse par des outils automatisés, qui vont découvrir les systèmes d’informations et essayer d’identifier des failles préexistantes. Si cette méthode n’est pas infaillible, elle permet d’obtenir rapidement une première évaluation du niveau de maturité de la structure.

• Une approche « complète », constituée à la fois d’une analyse théorique et organisationnelle de la sécurité, mais aussi de tests d’intrusion permettant d’obtenir une vision la plus proche possible de la réalité. Cette approche, idéale dans l’absolu, est souvent utilisée dans le cas de rachats de start-ups, mais presque jamais dans le cadre de deals de plus grande envergure, pour des raisons à la fois de coût et de manque de temps.

Quelle que soit l’approche retenue, elle peut être rythmée en deux temps : une première analyse pour amener une connaissance et une compréhension du risque sécurité, et ainsi alimenter la réflexion sur le go/no go du deal ; une éventuelle seconde analyse, plus poussée, pour évaluer plus finement ce risque et décider de la mise en œuvre d’actions correctives.

La due diligence cyber : un élément de valorisation

Que ce soit pour l’acquisition d’une entreprise ou pour l’évaluation du risque pris par un cyberassureur, la due diligence doit donc être un élément qui favorisera la réflexion autour de la faisabilité.

Elle doit également constituer un élément de valorisation de l’entreprise dans la mesure où la mise en conformité de cette dernière par rapport aux bonnes pratiques du marché peut s’avérer coûteuse.

Elle permet, enfin, de déceler les aspects réglementaires à respecter, comme les lois touchant les entreprises vitales aux Etats (Loi de Programmation Militaire pour les OIV en France, et de nombreuses lois similaires dans le monde), et qui peuvent nécessiter un certain nombre d’adaptations à prévoir sur le système d’information de la cible, et/ou de l’acheteur.

A-t-on déjà vu des due diligences en cybersécurité mener à l’abandon d’un rachat ? Pas publiquement. On assiste plutôt à la correction rapide des manquements les plus graves identifiés, parfois à la décision de ne pas connecter certaines parties des systèmes d’information.

Auront-elles pour autant de réels impacts sur les transactions ? À cette question, Verizon a répondu avec un chiffre : en février 2017, l’opérateur a diminué son offre de rachat de Yahoo de 350 millions de dollars. Sur les 4,8 milliards initialement offerts, cela correspond à un peu plus de 7% de la valeur estimée.

Cet article La due diligence « cyber », nouvel élément de valorisation d’une entreprise est apparu en premier sur RiskInsight.