Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Réduire les cyber-risques lors des fusions et acquisitions

mars 2019 par Sébastien Weber, Country Manager France, F5 Networks

Assembler deux organisations différentes pour n’en faire qu’une est rarement
une sinécure ! Il y a tant de paramètres à considérer, depuis la structure même
des deux entreprises à fusionner jusqu’à leur personnel, en passant par leurs
outils maison, leurs spécificités culturelles et bien d’autres détails
encore… C’est pourquoi une longue étude préalable -en anglais une « due
diligence » - est nécessaire afin de comprendre exactement comment toutes les
pièces du puzzle vont pouvoir s’imbriquer, et qu’il n’y aura pas de mauvaises
surprises.

Hélas, ce processus rigoureux et bien connu n’est que très rarement étendu à
la cybersécurité. Une étude récente a ainsi estimé que lors d’une fusion /
acquisition, quatre entreprises sur dix découvriront des problèmes liés à la
cybersécurité durant le processus d’intégration de la nouvelle acquisition, une
fois le contrat signé. Et avec un chiffre record de 3 milliards d’euros de
fusions et acquisitions pour les neuf premiers mois de l’année 2018 (chiffres du
Financial Times), on peut imaginer la quantité de problèmes qui restent à
découvrir !

N’ayons pas peur des mots : il s’agit là d’une omission colossale de la part
des organisations concernées. Car selon une étude récente du Forum Économique
Mondial, les cyberattaques sont devenues la première préoccupation des entreprises
en Europe, en Asie et en Amérique du Nord. En donnant la parole à 12 000 chefs
d’entreprises dans 140 pays, l’étude a ainsi montré que ces derniers craignent
aujourd’hui précisément l’impact de la menace cyber sur leur activité dans
les dix prochaines années.

Les risques opérationnels liés à la cybersécurité sont bien entendu exacerbés
par la grande complexité des exigences IT modernes, telle que l’intégration de
systèmes historiques, la course à la transformation numérique, les défis du
Shadow IT (l’utilisation par les collaborateurs de solutions informatiques non
approuvées par l’entreprise), et bien entendu les mauvaises pratiques de gestion
des données, très courantes parmi les collaborateurs. Ce qui fait que, bien trop
souvent, ces facteurs sont ignorés lorsque deux organisations se rapprochent.

Cela conduit à ignorer d’emblée les risques IT inhérents à chaque entité, et
plus encore la manière dont ils pourront interagir une fois les deux entreprises
fusionnées, potentiellement en donnant naissance à de nouveaux risques.

Voici donc quelques conseils afin d’éviter les pièges les plus connus en la
matière :

Assurez-vous que la technologie est partie prenante des négociations.
La
technologie doit être au programme de toutes les discussions. Les éléments à
aborder devraient inclure à minima les spécificités de l’industrie concernée,
les différentes implantations technologiques et la nature des produits ou services
fournis. Il est vital pour les entreprises concernées d’étudier de près tous
les risques cyber auxquels elles font face, ainsi que ceux liés à la protection
des données à caractère personnel. Il faudra apporter un soin tout particulier à
l’évolution potentielle de ces risques et l’impact qu’ils pourront avoir à
travers la nouvelle organisation. La transparence doit être le maître-mot. Les
cibles d’acquisition devraient être évaluées avec la même rigueur que
n’importe quel autre fournisseur tiers. Quelles politiques de sécurité sont
mises en œuvre ? Comment est qualifié et contrôlé le personnel ? Quels standards
reconnus sont implémentés ?
Il est important de toujours aller plus loin dans les investigations et de se
pencher sur tous les incidents de sécurité qui ont pu avoir eu lieu par le passé.
Ceux qui ont réussi comme ceux qui ont échoué. Et il est vital d’analyser la
réponse qui a été apportée à ces incidents. Ce n’est qu’à ce moment que
les deux entreprises pourront s’unir en toute sécurité.
Ignorer l’étendue exacte des incidents de sécurité passés, c’est courir un
risque majeur.

Considérez l’usage qui est fait de l’information dans un monde post-GDPR.
Il
est plus que jamais vital de vraiment bien comprendre comment l’entreprise cible
collecte et utilise les données à caractère personnel. Et d’autant plus s’il
s’agit de données grand public (celles de ses clients, sur un marché B2B par
exemple). Si c’est le cas, il est alors absolument nécessaire de passer en revue
tous les engagements pris par celle-ci vis-à-vis de l’usage qu’elle fait de ces
données. Car en fonction du lieu de résidence de ses clients, il y a de fortes
chances pour qu’il faille se conforter à la fois à une législation locale
spécifique et au règlement européen sur la protection des données à caractère
personnel (GDPR).
L’un des points d’attention particulier concerne notamment la nécessité de
recueillir un consentement supplémentaire après la fusion. A défaut,
d’anciennes mauvaises pratiques et autres vieilles erreurs de gestion de
l’entreprise acquise pourraient ressurgir et conduire la nouvelle entité à
devoir payer d’importantes pénalités financières.

Désignez un responsable chargé de veiller spécifiquement à l’alignement des
infrastructures.

Lorsque le contrat est enfin signé, vous devriez sans délai
désigner un responsable en charge de l’alignement des infrastructures. Il est
essentiel de parfaitement comprendre le réseau, l’architecture des systèmes et
les flux de données des deux entreprises, afin de s’éviter bien des ennuis par
la suite. Cela devrait notamment inclure la nature des données sensibles qui y sont
traitées, où elles sont stockées, et s’assurer que les mesures adéquates sont
mises en œuvre pour assurer leur protection. Et il est essentiel de saisir la
moindre occasion de rappeler aux collaborateurs l’importance des bonnes pratiques
de sécurité lorsqu’ils manipulent des données à caractère personnel.

Savoir s’organiser
C’est inévitable. Les pirates considèrent les fusions & acquisitions comme des
opportunités de premier ordre pour arriver à leurs fins. Car beaucoup de variables
entrent en jeu dans une acquisition réussie. La surface d’attaque augmente donc
mécaniquement, et les erreurs, oublis ou mauvaises pratiques peuvent soudain partir
dans toutes les directions. Ce qui milite d’autant plus pour donner la priorité
à la cybersécurité.
Mais pour cela, il faut un plan solide, bâti pour le long terme et qui jouit du
plein support des métiers. Car il est particulièrement important d’agir vite,
car la pression sera sur les métiers pour continuer l’activité.

Il est alors facile de tomber dans le travers de l’inaction, d’être paralysé
face à la complexité d’un tel plan, la difficulté d’auditer et d’adapter
des pratiques et des outils de sécurité très différents à travers des milliers
d’applications. Alors oui, décrocher le soutien de toutes les parties prenantes
afin d’initier dès le premier jour un véritable audit sérieux de la
cybersécurité des deux parties sera peut-être difficile. Mais c’est la seule
voie réellement sûre qui s’offre à vous !


Voir les articles précédents

    

Voir les articles suivants