Une vue d'ensemble
Un rapport de PWC sur les tendances mondiales en matière de fusions et acquisitions à l'horizon 2020 note que "la pandémie et les récents développements géopolitiques ont déjà conduit la plupart des entreprises aux mêmes conclusions, poussant à la fois les volumes et les valeurs des transactions à la hausse ... en particulier pour les actifs numériques et technologiques". Dans ce blog, je soulignerai les principaux avantages de la gestion de la surface d'attaque lorsqu'il s'agit de changements commerciaux importants tels que les fusions et les acquisitions. Mon objectif est de fournir des informations qui permettent aux chefs d'entreprise et aux décideurs de mieux comprendre les risques de cybersécurité auxquels votre entreprise sera confrontée lors de l'acquisition d'une autre société.
Dans le passé, les sociétés acquéreuses examinaient en profondeur les éléments fondamentaux de l'acquisition d'une cible. Il s'agissait des données financières de l'entreprise, de l'opinion des consommateurs sur la marque, les produits et les services offerts. Tous ces éléments sont essentiels à la stratégie, ou à ce que j'aime appeler le "pourquoi", de l'acquisition. La cybersécurité n'a même pas été prise en compte dans le processus de la majorité des transactions pendant et avant l'ère des "dot com".
Aujourd'hui, nous sommes entrés dans une ère où l'on n'achète pas une entreprise, mais plutôt des données. Ces données s'accompagnent de problèmes de sécurité que vous vous apprêtez également à acheter. Les violations inconnues du passé, les réseaux actuellement compromis et les résultats futurs de mauvaises pratiques en matière de cybersécurité font tous partie d'un scénario catastrophe que nous devons évaluer dans le cadre de ce processus. Une partie de votre diligence raisonnable lors d'une acquisition aujourd'hui DOIT impliquer la compréhension de la posture de sécurité et du risque d'une organisation que vous ne connaissez pas encore de l'intérieur. Selon Gartner, d'ici 2022, 60 % des organisations engagées dans des fusions-acquisitions considéreront la cybersécurité comme un facteur essentiel.
Défis en matière de cybersécurité
Le plus grand défi est de savoir si l'organisation que vous acquérez est déjà compromise. Vous ne voulez pas donner à un acteur potentiel de la menace qui se cache dans l'entreprise que vous achetez un accès gratuit à votre réseau. Le fait de découvrir qu'une organisation a déjà fait l'objet d'une violation peut vraiment brouiller les cartes en diminuant la valeur de l'opération. Vous devrez assumer la dette de sécurité cachée liée à l'intervention en cas de violation, le coût inconnu de l'atteinte à la marque et les conséquences juridiques futures. Un exemple bien connu est celui de la violation de Yahoo dont Verizon a pris connaissance pendant la phase de diligence raisonnable. La compromission de Yahoo a coûté très cher à Verizon. Elle a conduit Verizon à réduire le prix d'achat de 350 millions de dollars, ce qui semble être une économie, mais ne l'est pas. Après avoir conclu l'acquisition, Verizon a réglé le litige devant les tribunaux pour 117,5 millions de dollars, a dû accepter de dépenser 306 millions de dollars pour la sécurité de l'information pour les années 2019 à 2022 et a accepté de quadrupler le personnel de Yahoo dans le domaine de la sécurité.
La deuxième préoccupation majeure en matière de cybersécurité lors d'une fusion-acquisition est de découvrir les actifs dont vous héritez, leur niveau de risque et si votre équipe a mis en place des processus appropriés pour identifier et remédier à ces risques. L'utilisation d'une plateforme de gestion de la surface d'attaque telle que Censys ASM Platform peut facilement vous aider à déterminer si l'hygiène d'une cible d'acquisition est suffisante. Vous pouvez prendre conscience des lacunes de sécurité en découvrant des ports exposés hébergeant des protocoles et/ou des services qui présentent un risque évident. Par exemple, si vous trouvez des bases de données exposées, vous pourriez vouloir inclure dans votre processus de divulgation des questions sur la façon dont ces bases de données sont protégées (étant donné qu'elles sont accessibles depuis l'extérieur du pare-feu). Peut-être trouvez-vous une multitude de logiciels de serveurs web fonctionnant sous différentes versions, dont certaines sont périmées. Cette situation est révélatrice d'une mauvaise gestion des actifs et d'une mauvaise hygiène en matière de cybersécurité, ainsi que d'une stratégie de gestion des vulnérabilités et des correctifs peu efficace.
Enfin, il existe des résultats moins évidents qui, lorsqu'ils sont associés aux informations dont nous avons parlé précédemment, peuvent vous fournir les informations dont vous avez besoin pour fixer le prix de votre offre en conséquence et pour comprendre réellement le risque commercial d'un point de vue financier. Par exemple, supposons qu'une organisation crée du contenu web pour une courte période, peut-être pour le marketing, ou qu'un développeur prévoit un environnement de test. Il laisse ensuite le site en place ou le service provisionné, il devient un actif oublié mais finit par représenter un risque de sécurité pour l'organisation parce qu'il était peut-être en dehors de l'environnement et des contrôles informatiques sanctionnés. Ce type de risque de sécurité n'est pas connu de la société d'acquisition cible et ne peut donc pas être divulgué. Ce n'est qu'en s'efforçant d'obtenir le point de vue de l'attaquant que l'entreprise acquéreuse sera consciente de ce risque.
Un autre exemple très courant, mais pour lequel nous n'avons pas de solution claire, concerne le déficit de compétences en matière de cybersécurité auquel nous sommes tous confrontés aujourd'hui. Il n'y a tout simplement pas assez de personnes pour remplir les rôles requis pour que la plupart des entreprises aient une bonne posture de sécurité. Le personnel en place est donc à bout de souffle et ne dispose pas de la capacité nécessaire. Des erreurs peuvent être commises et le seront. Il se peut que vous ne disposiez pas du personnel adéquat, ou franchement suffisant, pour mener correctement une évaluation de la cybersécurité en vue d'une acquisition. En confiant cette partie de l'évaluation de la cybersécurité à une solution telle que Censys , vous contribuerez immédiatement à remédier à la pénurie de compétences et à réaliser en quelques jours ce qui prendrait des semaines, voire des mois, à une personne.
L'audit préalable de la surface d'attaque pour des fusions et acquisitions réussies
Comment s'assurer que ce que l'on achète est sécurisé ? L'examen de la surface d'attaque de l'entreprise au cours du processus de diligence raisonnable peut vous aider à vérifier ce que vous achetez et les zones de problèmes potentiels qui pourraient vous coûter cher à l'avenir. Vous connaîtrez le nombre d'actifs externes et le type de risque auquel ces actifs sont exposés en associant un cadre de risque aux ports ouverts, aux protocoles accessibles, aux services en direct et à toutes les vulnérabilités communes connues qui y sont associées.
Traditionnellement, les personnes qui s'occupent des fusions et acquisitions ne sont souvent pas des experts en cybersécurité. Il s'agit d'un processus très vaste pour lequel vous pouvez en fait vous associer à Censys pour vous aider tout au long de ce parcours. En utilisant la plateforme de gestion de la surface d'attaque Censys , vous pouvez automatiser une vue extérieure au pare-feu, ce qui se traduit immédiatement par des économies de temps pour les ingénieurs, tout en exposant les risques cachés. L'avantage d'examiner la surface d'attaque d'une entreprise que vous êtes en train d'acquérir vous aidera à garantir le bon prix, le coût réel et l'avantage de la fusion ou de l'acquisition dans son ensemble.
Pour plus d'informations sur la façon dont Censys ASM Platform peut répondre à vos besoins d'acquisition, contactez-nous dès aujourd'hui pour une démonstration!
