Lors d'une opération de fusion-acquisition, de nombreux volets sont à étudier. L'un deux, parfois négligé, est le volet cyberdéfense. Principes, méthodes, limites, on vous en dit plus.
La fusion-acquisition, une méthode de croissance déterminante mais risquée
Il existe deux manières de croître pour une entreprise : la croissance interne, où l’entreprise mobilise ses propres ressources (savoir-faire, compétences, ressources financières, etc.), et la croissance externe, via l'acquisition d'autres structures. Une acquisition consiste pour une entreprise à racheter tout ou partie des parts d'une autre entreprise. Le but est d'accélérer sa croissance, réaliser des synergies (complémentarité des activités) ou diversifier son activité. Cette stratégie de développement est aussi appelée M&A (Mergers and Acquisitions).
Les enjeux au cours d'une opération M&A sont nombreux : investissement conséquent, pari sur l’avenir quant à la capacité d’intégration, exposition supplémentaire à différents risques(financiers, humains, cyber, etc.).
La cybersécurité en M&A est de plus en plus considérée
Au-delà de l'aspect financier, organisationnel et humain du processus, un sujet a émergé ces dernières années et a pris de plus en plus d'importance : la cybersécurité. Au fil des attaques de plus en plus nombreuses, la nécessité d'auditer l'entreprise avant son rachat s'est imposée afin d'avoir une cartographie des risques, des vulnérabilités, une idée du niveau de protection des données et sécurité des réseaux. Le rachat d'une entreprise, qu’il s’agisse d’une offre publique d’achat ou d’une transaction privée, passe rarement inaperçu auprès des cybercriminels : ils savent que cet évènement sera source d'instabilités dans la gestion de l'entreprise achetée. Et ceci, avant, pendant et après l'acquisition. Qui plus est, l'achat d'une entreprise par un acteur majeur du marché attire également les convoitises : si elle est achetée, c'est qu'elle a une certaine valeur et qu'elle est prometteuse. Elle détient généralement un savoir-faire ou des secrets industriels qui sauront être revendus sur le marché noir ou utilisés par des pirates informatiques.
Enfin, l’acquisition (ou la fusion) peut occasionner dans un premier temps un relâchement des équipes focalisées sur la transaction et la mise en place des nouvelles directions, et donc un risque humain accru. Post-acquisition ou fusion, les intégrations de systèmes d’informations sont aussi des moments où les risques augmentent du fait de nouvelles configurations d’accès, de nouveaux processus, etc. Par exemple, si un grand groupe rachète une PME dont le système d’information n’est pas complètement sécurisé, ce dernier pourrait être une porte d’entrée facilitée vers le système informatique du groupe et donner lieu à des menaces et des intrusions via du piratage malveillant.
Une due diligence dédiée…
La due diligence présente l'ensemble des vérifications qu'un éventuel acquéreur ou investisseur va réaliser avant une transaction. Son but est de se faire une idée précise de la situation d'une entreprise. En moyenne, un business angel aux Etats-Unis y consacre 60 heures, et un professionnel de la gestion de fonds de capital investissement y consacre lui en moyenne 118h. Une corrélation a été faite entre le nombre d'heures passées à effectuer une due diligence et l'augmentation des profits de l'entreprise par la suite. Un minimum de 40 heures est conseillé. En tenant compte du volet cyber ? Pas sûr.
Ce sujet, désormais majeur, ne l’a pas toujours été, en témoigne la fuite de données sensibles : un million de fichiers clients du groupe Marriott en 2018 (CSOOnline.com, Marriot data breach FAQ),du fait d’une infection RAT (Remote Access Trojan) au sein du système de réservation Starwood, racheté par Marriott…en 2016. Pendant deux ans, rien n’avait été fait pour intégrer et assurer la sécurité du système. On aurait aussi pu citer TripAdvisor, dont le cours a chuté de 4% en une journée en 2014, à la suite de fuites de données confidentielles au sein de Viator, racheté pour 200 millions de dollars (Les Echos).
Concrètement, en quoi consiste la due diligence cyber d'une opération de M&A ? Elle permet de faire un audit de sécurité et d'évaluer les risques de sécurité informatique auxquels est exposée l'entreprise cible. Sont inclus les aspects suivants :
- Vérification de la conformité réglementaire : RGPD, CNIL…
- Vérification de la politique de sécurité interne de l'entreprise : PSSI, audits précédents, études de risques, certifications de conformité…
- Audit de la sécurité des systèmes d'information : détection d'éventuelles failles de sécurité qui profitent à la cybercriminalité
L'audit répertorie les terminaux (endpoints) de l'entreprise et évalue leur niveau de sécurité. Cela permet également d'avoir une idée de la complexité que cela va représenter d'intégrer des solutions de sécurité au système existant de l'entreprise souhaitant acheter.
…mais pas un deal-breaker
Si l’évaluation du niveau de sécurité est importante pour l'acheteur (en fonction du résultat, cela peut influencer les termes de la transaction, en négociant par exemple des indemnités ou des garanties en cas de problèmes de sécurité futurs), il convient de noter que même un mauvais niveau de sécurisation des systèmes n'empêche pas le rachat ou la fusion, mais vient, dans le meilleur des cas décaler l’intégration effective des systèmes afin de les sécuriser en amont ou, dans le pire des cas, sans politique de sécurité informatique. À voir pour combien de temps encore compte tenu de la croissance du nombre de cyberattaques par des hackers…