Les fusions et acquisitions (F&A) sont emballantes, urgentes et très dynamiques. Face à des délais serrés, les organisations pourraient considérer que, dans le cadre des fusions et acquisitions, la cybersécurité est une démarche de second plan, une simple formalité. Mais ce dangereux raccourci pourrait leur coûter en moyenne 5 millions de dollars en dommages^1*.

Imaginez que vous achetez une maison sans l’avoir inspectée de façon rigoureuse. Les attributs visibles comme la taille et l’emplacement peuvent sembler satisfaisants; mais qu’en est-il de l’intégrité de la structure, des serrures, de la couverture d’assurance, des systèmes d’alarme et du taux de criminalité du quartier? Vous ne négligeriez pas ces importants enjeux de sécurité pour votre maison, n’est-ce pas? Vous ne devriez pas non plus les négliger dans le cas de l’acquisition d’une entreprise.

Nous nous penchons ici sur le contrôle diligent en matière de cybersécurité dans les F&A et sur les mesures que vous pouvez prendre pour protéger votre prochain espace numérique.

Plan visant la cybersécurité dans le cadre des F&A : pourquoi vous en avez besoin

Les organisations qui entreprennent des F&A sont des cibles de choix pour les pirates et les individus mal intentionnés. En fait, 53 % des organisations ^2* ont eu de graves problèmes de cybersécurité après avoir annoncé une fusion ou une acquisition. En outre, l’idée qu’une organisation se fait de la cybersécurité peut être à l’opposé de celle d’une autre organisation. Ce genre de décalage risque même de faire échouer l’entente, car pour plus de 60 % des organisations, la cybersécurité compte parmi les facteurs évalués ^3* avant d’engager des négociations avec une autre entreprise.

Imaginez-vous : vous faites une offre d’achat en bonne et due forme et une fois l’entente signée, vous apprenez que l’entreprise a été piratée à plusieurs reprises. Bien entendu, cela pourrait modifier votre point de vue quant à la valeur de l’entreprise. En effet, nous avons observé une diminution importante de la valorisation des sociétés qui affichent un historique d’incidents de sécurité potentiels ou confirmés.

Bref, pour se protéger, les organisations doivent prendre en compte la cybersécurité dans le cadre des F&A. Voici par où commencer.

Comment sécuriser votre prochain espace numérique en cas de F&A : de l’intérieur vers l’extérieur et de l’extérieur vers l’intérieur

Lorsque vous cherchez à protéger une maison, vous examinez d’abord les mesures en place comme les serrures, les clôtures et les systèmes d’alarme. À cela s’ajoutent les risques externes, comme la criminalité dans le quartier et les phénomènes météorologiques extrêmes, ainsi que les vulnérabilités comme les fenêtres endommagées.

De même, le contrôle diligent en matière de cybersécurité exige une préparation dans deux optiques : de l’intérieur vers l’extérieur et de l’extérieur vers l’intérieur.

L’évaluation de la maturité de l’intérieur vers l’extérieur consiste à évaluer le programme de cybersécurité et les éléments essentiels en place, tels que les outils et les contrôles internes. Une évaluation des menaces de l’extérieur vers l’intérieur permet de relever les vulnérabilités et les risques externes qui ne sont pas nécessairement connus de l’organisation, et de créer une stratégie plus robuste pour les atténuer.

Évaluation de l’intérieur vers l’extérieur : cadre du NIST

L’évaluation de la maturité de l’intérieur vers l’extérieur consiste à examiner le programme de cybersécurité d’une société cible.

Songez aux règles d’une association de propriétaires et aux codes du bâtiment qui sont destinés à protéger les résidents, comme le contrôle des visiteurs, les politiques relatives aux caméras et appareils photo ou les règles d’éclairage extérieur.

Les entreprises ont elles aussi des règles et « codes du bâtiment » qui leur sont propres. Par exemple :

• les structures de gouvernance
• les processus réglementaires
• les mesures de conformité
• les normes sectorielles
• les lois et exigences concernant la cybersécurité

Nous utilisons généralement le cadre de cybersécurité du NIST pour réaliser une évaluation de l’intérieur vers l’extérieur afin de comprendre l’ensemble des processus et des contrôles de sécurité de base mis en place par la société cible :

Le cadre de cybersécurité du NIST permet de déterminer comment la société cible :

• assure la gouvernance de la cybersécurité au moyen de politiques et de procédures, et de la conformité réglementaire à des cadres comme ISO 27001 ou SP 800-53 du NIST;
• identifie les actifs essentiels ainsi que les rôles et les responsabilités en matière de cybersécurité;
• protège l’infrastructure au moyen d’outils comme la sécurité réseau et périmétrique, la protection des points de terminaison, les mécanismes de contrôle de l’accès et la prévention de la perte de données;
• détecte les menaces à la sécurité à l’aide de systèmes de détection des intrusions, d’une surveillance continue et à des outils de détection des anomalies;
• réagit aux menaces et aux incidents de cybersécurité par la mise en œuvre de plans d’intervention en cas d’incident;
• assure la reprise des activités à la suite de dommages résultant d’un incident lié à la cybersécurité.

Cette évaluation s’apparente à la vérification des serrures, des systèmes d’alarme, des plans d’urgence et des caméras de sécurité d’une résidence, où l’on s’assure que des mesures de protection internes, comme des serrures renforcées (contrôles d’accès), des systèmes d’alarme robustes (systèmes de détection des intrusions et outils de gestion des informations et des événements de sécurité), une surveillance continue (supervision et chasse aux menaces) et des procédures d’urgence (plans d’intervention et de reprise en cas d’incident) sont en place. Ces exemples illustrent l’étendue des capacités nécessaires pour protéger efficacement les actifs essentiels et réduire au minimum les conséquences des cyberincidents.

Les niveaux de maturité (initial à optimisé) révèlent la mesure dans laquelle ces capacités sont mises en œuvre de manière efficace et complète au sein du programme de cybersécurité en place. Mais les mesures de protection internes, aussi efficaces soient-elles, sont insuffisantes face aux menaces externes inconnues on non traitées, car même si une maison est bien protégée de l’intérieur, il faut connaître les taux de criminalité du quartier et les dangers environnants pour bien la protéger.

Plus vous comprenez les menaces externes – penons aux schémas de délinquance du secteur ou aux méthodes d’entrée par effraction les plus courantes dans le quartier – plus vous pouvez renforcer vos moyens de défense, réagir rapidement et vous remettre d’un incident.

Évaluation de l’extérieur vers l’intérieur : menaces et vulnérabilités

Le contrôle diligent doit se poursuivre même si vous avez terminé d’évaluer l’intérieur de votre maison. Tout comme les propriétaires de maison qui veulent connaître les risques externes, tels que le taux de criminalité ou les avis météorologiques, les organisations doivent repérer les vulnérabilités au sein de leur système de cybersécurité et se protéger en prenant notamment les moyens suivants:

• Évaluation de l’empreinte numérique
• Analyse de la surface d’attaque
• Renseignements sur les menaces
• Cyberassurance

La première étape consiste à évaluer l’empreinte numérique de la société cible : dans quelle mesure est-elle visible du reste du monde?

Il ne suffit pas de faire des recherches sur Google ou, pour poursuivre la métaphore immobilière, d’évaluer l’attrait extérieur de l’habitation. Il faut examiner les données de l’entreprise au sein de tout l’espace en ligne, y compris les données perdues en raison d’incidents de confidentialité ou publiées négligemment. Par exemple, les renseignements sensibles accessibles au public sur les vulnérabilités de sécurité agissent comme une porte déverrouillée, offrant aux pirates un accès direct ou des points d’entrée évidents à vos systèmes. Il faut aussi évaluer l’historique de cyberincidents de l’organisation, les accès et autorisations relatifs aux documents sensibles, et toutes les zones de vulnérabilité qui ne sont pas nécessairement évidentes.

Malheureusement, les vulnérabilités peuvent aussi être à l’intérieur, pas seulement à l’extérieur. La surface d’attaque de votre organisation s’apparente aux points d’entrée de votre maison, qui ne sont pas toujours visibles. Par exemple, les fenêtres et les clôtures sont les points d’entrée évidents; mais avez-vous tenu compte des tuyaux, des évents et des câbles de service public? Ce sont toutes des vulnérabilités qui peuvent être exploitées dans le cadre d’une attaque. Aussi, une analyse de la surface d’attaque permet de relever les vulnérabilités en examinant ce qui suit :

• Inventaire des adresses IP
• Ports ouverts
• Actifs infonuagiques
• TI gérées dans l’ombre

Emménageriez-vous dans une maison située dans un quartier où le taux de criminalité est élevé? Même dans l’affirmative, le prix d’achat devrait refléter ce risque. Il en va de même pour une société cible. Les renseignements sur les menaces s’apparentent aux tendances en matière de sécurité et aux statistiques sur la criminalité du quartier; ils permettent de repérer les menaces et même les indicateurs de valorisation provenant des sources suivantes :

• Sources de données sur les menaces globales
• Profils de risque
• Forums sur le web clandestin
• Bases données sur les vulnérabilités exploitées connues

Cela dit, vous aurez beau avoir fait énormément de recherches sur votre maison et vous être acheté le meilleur système d’alarme qui soit, il y a quand même quelque chose dont vous ne sauriez vous passer : l’assurance. Indispensable, la cyberassurance est un outil que toutes les sociétés cibles devraient avoir mis en place.

Comment nous pouvons vous aider : la différence Deloitte

Nos évaluations ne sont pas uniquement des pratiques exemplaires théoriques. Elles ont servi, à l’occasion de plusieurs transactions de F&A, à évaluer les menaces financières et réputationnelles, et protéger nos clients. Avec l’aide d’experts en cybersécurité et de professionnels de terrain spécialisés dans le secteur, Deloitte offre des services de cybersécurité complets afin d’aider les organisations à conclure des ententes de manière fructueuse (et sûre).

Étude de cas sur la cybersécurité des F&A

Deloitte a prêté main-forte à un acheteur stratégique qui souhaitait faire l’acquisition d’une organisation dans le secteur des chaînes d’approvisionnement et de la logistique. Sachant que la cible avait été victime de plusieurs incidents de sécurité, notre client devait dresser un tableau complet des vulnérabilités et des risques pour être en mesure de faire une offre éclairée.

Notre équipe l’a aidé à brosser ce tableau comme suit :

• En obtenant et en analysant les rapports sur les incidents ayant touché la société cible, y compris l’historique des incidents de confidentialité et des fuites d’information ainsi que leur chronologie;
• En analysant les processus et les contrôles de cybersécurité en place;
• En recueillant des renseignements à propos de l’empreinte numérique de l’entreprise, notamment son exposition au web clandestin, les fuites de données, les identifiants compromis et les renseignements sensibles accessibles au public;
• En testant de l’extérieur les vulnérabilités de la société cible et en cernant les lacunes au moyen de la cartographie de la surface d’attaque, de l’analyse des ports ouverts et d’évaluations des actifs infonuagiques;
• En analysant les mesures correctives prises par la société cible;
• En repérant les lacunes non corrigées ainsi que les risques pour le client.

Nous avons fourni au client un profil complet des cyberrisques de la société cible afin de l’aider à mieux comprendre les risques liés à la cybersécurité, les répercussions possibles et les conséquences sur la valeur de la société. De plus, notre analyse a permis de repérer les principales sources de risque et donc d’informer notre client sur les correctifs à mettre en place après l’acquisition.

Sécurisez votre prochaine cible de F&A dès aujourd’hui

Même une société cible dont la valorisation est très élevée peut détruire les perspectives financières de votre organisation si vous omettez de vérifier son programme de cybersécurité.

Deloitte accompagne les acquéreurs en leur apportant les connaissances et les outils dont ils ont besoin pour prendre des décisions éclairées, atténuer les risques cachés et protéger leur valeur à long terme.

Si vous avez un projet de fusion ou d’acquisition en tête, n’oubliez pas de sécuriser d’abord et avant tout votre prochain espace numérique. Nous pouvons vous aider.

Auteurs contributeurs

Steven Ma | Directeur de service, Technologies de F&A et création de valeur, Deloitte Canada

Valentyn Sysoiev | Directeur de service, Cybersécurité des F&A et gestion des incidents, Deloitte Canada