Si les fusions et acquisitions sont courantes, elles ne sont pas sans risque, notamment en matière de cybersécurité. Les cyberattaques étant de plus en plus fréquentes et sophistiquées, la dernière chose qu'une société mère souhaite découvrir, c'est qu'elle a hérité d'actifs mal gérés ou non gérés.
Pourtant, l'évaluation de l'étendue des risques potentiels peut s'avérer difficile. Une opération de fusion-acquisition implique souvent une expansion significative des actifs détenus par une entreprise et des actifs associés en contact avec l'internet (ceux qui constituent une surface d'attaque). Ces actifs, s'ils ne sont pas gérés, mal gérés ou simplement inconnus, représentent des vulnérabilités potentielles en matière de sécurité et des points d'entrée pour les acteurs de la menace. C'est pourquoi les entreprises engagées dans des fusions-acquisitions ont besoin de savoir : Quels sont les actifs en ligne de ce partenaire ou de cette acquisition qui seraient associés à notre entreprise ? Qu'en est-il de ceux de leurs partenaires et fournisseurs ? Dans quelle mesure ces actifs sont-ils actuellement protégés et, s'il existe des vulnérabilités, quel niveau de risque représentent-elles pour nous ?
Pour répondre efficacement à ces questions, il est essentiel de disposer dès le départ d'une visibilité totale sur toutes les surfaces d'attaque associées.
Les entreprises reconnaissent la nécessité d'une évaluation des risques cybernétiques
Quarante pour cent des entreprises acquéreuses qui ont procédé à des fusions-acquisitions déclarent avoir découvert un problème de cybersécurité après l' intégration d'une entreprise acquise. Les entreprises savent que le risque est réel, ce qui explique pourquoi Gartner prévoit que d'ici 2025, 60 % des organisations utiliseront le risque de cybersécurité comme un facteur déterminant dans la conduite de transactions et d'engagements commerciaux avec des tiers. Les recherches effectuées dans le cadre du rapport 2022 State of Risk and Remediation Report (Censys ) ont montré une hiérarchisation similaire : près des trois quarts des personnes interrogées ont indiqué qu'il était "très important" de mettre l'accent sur la cybersécurité lors de l'acquisition d'une autre entreprise.
En outre, 88 % des personnes interrogées dans le cadre de la même enquête ont déclaré qu'elles examinaient l'exposition cybernétique d'une entreprise acquise, y compris par l'intermédiaire de partenaires/fournisseurs.
Comment les entreprises impliquées dans des fusions-acquisitions ont-elles généralement procédé pour évaluer les risques en matière de cybersécurité ? Les tests de vulnérabilité constituent une stratégie essentielle, mais seuls 40 % des répondants déclarent effectuer eux-mêmes les tests de gestion des vulnérabilités sur les surfaces d'attaque des entreprises rachetées. Cinq pour cent demandent des tests de vulnérabilité, mais reconnaissent qu'ils peuvent ou non les recevoir.
En réalité, pour qu'une entreprise puisse couvrir ses besoins et se prémunir véritablement contre les risques de cybersécurité dont elle a hérité, les risques doivent être identifiés ou divulgués dès le départ. Une découverte au stade de l'intégration peut s'avérer insuffisante et tardive. En outre, les entreprises ont besoin d'une visibilité totale sur tous les actifs associés à un partenaire potentiel ou à une entreprise acquise, y compris des actifs qui ne sont peut-être même pas connus des partenaires eux-mêmes. Une analyse de vulnérabilité peut détecter des risques sur des actifs connus, mais pas sur ceux qui ne le sont pas. À l'adresse Censys, nous avons constaté que 30 à 80 % des actifs d'une surface d'attaque peuvent être inconnus d'une organisation. Une entreprise acquise peut penser qu' elle divulgue tous ses actifs et risques connus, mais il est probable que des entités inconnues subsistent.
Diligence raisonnable et gestion de l'exposition
C'est là que les solutions de gestion de l'exposition telles que Censys peuvent jouer un rôle central, en offrant la visibilité initiale essentielle dont les entreprises impliquées dans des fusions et acquisitions ont besoin pour comprendre l'étendue réelle du risque potentiel. La bonne solution de gestion de l'exposition peut assurer une surveillance continue et automatisée, la découverte, l'inventaire, la classification et la hiérarchisation des actifs connectés à Internet, et ce avant que les entreprises ne signent la ligne pointillée.
Grâce à une solution de gestion de l'exposition, une entreprise impliquée dans une fusion-acquisition peut.. :
Obtenir une vue complète et en temps réel des surfaces d'attaque: Les fusions et acquisitions ont souvent de longs délais avant d'aboutir à un contrat définitif. Cela signifie que le rapport de vulnérabilité fourni initialement par l'entreprise acquise peut être obsolète au moment où votre équipe procède à l'évaluation finale des risques. Une vue en temps réel des surfaces d'attaque, à l'aide d'un outil de gestion de l'exposition tel que Censys Attack Surface Management, fournit la visibilité actualisée à 360 degrés dont vous avez besoin pour comprendre le risque actuel.
Automatiser la recherche et l'évaluation des actifs pour libérer les ressources internes: Le travail que représente une opération de fusion-acquisition peut épuiser même les équipes les plus expérimentées, les efforts d'évaluation étant sujets à l'erreur humaine et à la négligence. Plutôt que d'investir beaucoup de temps et d'efforts dans un processus ponctuel de découverte et d'évaluation des actifs qui repose sur des approches manuelles et des outils disparates, une solution de gestion de l'exposition fournit le type de découverte automatisée et continue qui libère les ressources internes tout en garantissant une visibilité complète et fiable de la surface d'attaque.
Comprendre les niveaux de risque: En plus d'obtenir une image complète de la surface d'attaque d'un partenaire ou d'une entreprise acquise, une solution de gestion de l'exposition peut également fournir un contexte sur la gravité des risques découverts et inclure des recommandations pour y remédier. Censys identifie des centaines de catégories de risques dans sa solution de gestion de la surface d'attaque, y compris les mauvaises configurations, les expositions, les vulnérabilités et les preuves de compromission.
Agir avant que l'encre ne sèche: La capacité d'accomplir toutes les tâches ci-dessus nous amène à l'avantage principal de la gestion de l'exposition : comprendre réellement le risque potentiel - et agir en conséquence - avant la signature de tout contrat. Un élément important à garder à l'esprit ici : recherchez une solution de gestion de l'exposition qui vous permette d'évaluer les surfaces d'attaque avant l'intégration avec d'autres systèmes.
Grâce à la visibilité en amont et à l'automatisation qu'offre la gestion de l'exposition, les entreprises peuvent évaluer de manière plus complète et plus précise le risque de cybersécurité que les fusions-acquisitions peuvent poser et, en retour, prendre des décisions plus éclairées pour protéger ce qu'elles possèdent.
Vous souhaitez en savoir plus sur la manière dont Censys peut soutenir les activités de fusion et d'acquisition ?
Demandez une démonstration dès aujourd'hui !
Démonstration
