Les jours qui précèdent l'annonce d'une acquisition sont riches en émotions. Vos équipes chargées de la diligence fonctionnelle, ainsi que les avocats, les banquiers et souvent les consultants, s'efforcent d'analyser les montagnes d'informations fournies par la cible, se préparant à un scénario "oui/non" rivalisant avec n'importe quel lancement de la NASA. L'équipe de cybersécurité est un acteur relativement nouveau mais très important dans le processus. Mais cette équipe doit souvent s'engager d'une manière différente, afin de ne pas manquer certains des problèmes les plus coûteux et les plus destructeurs de réputation, qui sont plus difficiles à mettre au jour que les menaces traditionnelles des fusions-acquisitions.
Selon un article de Forbes, "40 % des sociétés acquéreuses engagées dans une opération de fusion-acquisition ont déclaré avoir découvert un problème de cybersécurité au cours de l'intégration post-acquisition de la société acquise". Comment cela se fait-il ? Alors que les opérations de fusion-acquisition continuent d'augmenter en volume et en taille, elles sont également devenues plus compliquées, en particulier à mesure que les organisations adoptent la transformation numérique et la mondialisation. En outre, les spécialistes de la sécurité sont souvent tenus à l'écart du processus de diligence, alors qu'ils sont responsables du risque de perte après l'acquisition.
Plusieurs grandes acquisitions ont été bloquées par des violations de données provenant d'actifs exploités qui auraient pu être découverts avant la transaction, mais qui n'ont été connus qu'après l'annonce. Aujourd'hui, il est essentiel que les entreprises qui procèdent à des acquisitions comprennent les actifs externes de la cible, exposés à l'internet, en devenant plus conscientes de leur surface d'attaque externe.
Examinons les cinq principales raisons pour lesquelles les acquéreurs devraient réaliser un rapport sur la surface d'attaque avant, pendant et après une acquisition.
Raison n° 1 : La diligence raisonnable en matière de cybersécurité est encore en évolution et nécessite une analyse des données différente de celle des autres types de diligence raisonnable.
De nombreux acquéreurs et leurs conseillers (généralement des cabinets d'avocats et des banques d'investissement) utilisent encore des processus de due diligence dépassés - des listes de demandes d'informations obsolètes et statiques qui se concentrent souvent sur la protection de la vie privée, les politiques, la conformité et l'historique des incidents antérieurs. Souvent, ces listes n'aident guère l'acheteur à comprendre l'état de préparation de la cible en matière de cybersécurité. Les équipes de sécurité des entreprises sont encore relativement nouvelles et leur influence n'a pas encore été pleinement exploitée dans le processus de diligence.
Les demandes de diligence en matière de cybersécurité se concentrent sur ce que le vendeur sait et sont souvent des questionnaires adaptés aux trois P (personnes, politiques et procédures) :
- L'identification et la localisation des données sensibles, et la conformité de la collecte et du stockage de ces données
- Compréhension de la pile technologique de la sécurité des systèmes d'information
- Adéquation du personnel, des politiques et des procédures en matière de cybersécurité
- Incidents antérieurs et plans de reprise
Ces informations ne permettent guère d'évaluer les risques, les expositions, les vulnérabilités et les mauvaises configurations du réseau de la cible. Les tests de pénétration et/ou les outils de gestion des risques d'une tierce partie sont souvent utilisés pour traiter ces questions. Cependant, les tests de pénétration sont souvent effectués après l'annonce d'une acquisition, car ils peuvent être très perturbants avant la transaction, en particulier pour l'équipe des opérations de sécurité qui n'est pas au courant. Et si les tests d'intrusion et les outils de gestion des risques de tiers sont essentiels pour tester les systèmes et les outils, ils n'examinent souvent qu'un échantillon du réseau de la cible, avec une étendue et une profondeur limitées de l'ensemble de la surface d'attaque.
Les outils de gestion des risques de tiers ne sont pas "suffisants" car ils reposent souvent sur des informations inexactes, limitées ou obsolètes. L'exécution de Censys ASM vous permet d'obtenir un inventaire complet des actifs exposés à Internet, ainsi que tous les cyber-risques et informations associés, et ce, à tout moment et sans interruption.
Raison n° 2 : les équipes de diligence, des deux côtés, sont relativement petites et lourdes par rapport aux équipes d'intégration.
Afin de protéger la confidentialité des transactions, les équipes de diligence sont souvent composées de hauts responsables de différents départements. Mais c'est tout - souvent seulement un ou deux membres de chaque département. Cela s'explique par l'absolue nécessité de préserver la confidentialité avant toute chose au cours du processus de fusion et d'acquisition.
Ces dirigeants ne sont pas souvent impliqués dans les opérations quotidiennes de l'entreprise. Leur capacité limitée de praticien conduit à un manque de compréhension de l'état réel des opérations de sécurité et de leurs besoins. Le RSSI est fortement incité à faire son travail et veut être précis, mais il ne connaît pas tous les détails quotidiens de son équipe.
READ : Trouver et couvrir vos actifs avec la gestion de la surface d'attaque, selon Forrester
Le RSSI sait également qu'une fois l'acquisition réalisée, il sera probablement licencié. Après l'acquisition, le RSSI peut être sur le point d'occuper un autre poste et n'est plus disponible pour répondre aux questions concernant la position de l'entreprise en matière de sécurité. L'équipe d'intégration a maintenant une lourde tâche à accomplir pour sécuriser les problèmes dont elle aurait dû être informée plus tôt.
L'un des avantages d'un rapport sur la surface d'attaque est qu'il peut être réalisé par l'acquéreur à n'importe quel moment du processus, sans intervention ni perturbation de la part de la cible (que le RSSI soit encore là ou non).
Raison n° 3 : Les équipes juridiques qui gèrent le risque cybernétique se concentrent souvent uniquement sur la confidentialité des données et la conformité.
Le contrôle préalable du risque cybernétique est souvent géré par les équipes juridiques, qui se concentrent sur le respect de la confidentialité des données. En outre, quelques hauts responsables des opérations de sécurité peuvent examiner les processus et systèmes d'information sur les risques de cybersécurité fournis par la cible afin de documenter l'efficacité et l'état de préparation du programme de cybersécurité dans son ensemble (gestion des risques, contrôles, protection, détection, confidentialité des données, etc.)
Ces dirigeants et ces juristes se concentrent souvent sur les violations et les incidents antérieurs, ainsi que sur la conformité et la responsabilité liées aux actions passées. Ils regardent en arrière et supposent que les performances passées sont indicatives de la situation actuelle. Les actifs inconnus ou non gérés, dont l'acquéreur héritera sans le savoir d'un réseau compromis, passent souvent inaperçus.
Ne partez pas du principe que le vendeur sait tout. Vous devez toujours analyser la surface d'attaque externe de l'entreprise que vous acquérez.
Raison n° 4 : Les dirigeants de l'entreprise rachetée sont souvent réticents à partager des informations négatives sur leurs services.
Il faut bien l'admettre, personne ne veut avoir l'air mauvais devant un nouveau propriétaire ou un nouveau patron. Lorsque le RSSI partage les détails qu'il connaît sur son département, il se concentre sur les meilleurs aspects de celui-ci. Il ne veut pas être la cause de l'échec de la fusion ou de l'acquisition.
En outre, les avocats et les banquiers conseillent aux vendeurs de se contenter de fournir les données demandées ou de répondre aux questions posées, car les tribunaux ont mis à la charge des acheteurs la responsabilité d'effectuer un contrôle préalable efficace.
Dans l'histoire de la Delaware Chancery Court, une seule affaire(Akorn 2018) a été jugée en faveur d'un acquéreur, lui permettant de mettre fin à une fusion après la signature et l'annonce d'un accord définitif en cas de changement défavorable important, lorsque la cible n'a pas fourni d'informations complètes et adéquates.
Une fois que vous avez annoncé une acquisition, il est fort probable que vous la gardiez - pour le meilleur ou pour le pire.
Raison n° 5 : Les acteurs de la menace surveillent les acquisitions et recherchent immédiatement des vulnérabilités à exploiter dès l'annonce.
La vérité, c'est que les équipes de sécurité sont constamment en train de pivoter pour protéger leurs organisations. Et les acteurs de la menace n'ont besoin de réussir qu'une seule fois. Mieux encore, ils savent qu'une entreprise est la plus vulnérable juste après l'annonce d'une acquisition.
Selon PWC, il s'agit d'une période riche en opportunités pour les pirates informatiques :
"Une acquisition qui présente des vulnérabilités cybernétiques peut être utilisée par des acteurs menaçants pour obtenir un accès à l'entreprise acquéreuse au fur et à mesure que l'intégration progresse. La période entre l'annonce et la conclusion d'une transaction est particulièrement exposée si des vulnérabilités existent, compte tenu de la sensibilisation accrue et de l'opportunité. Ce potentiel peut susciter l'inquiétude des parties prenantes, notamment des investisseurs, des actionnaires, des clients, des employés et des fournisseurs, ce qui accroît le risque de perturbation". - Quand la cybermenace menace les fusions et acquisitions, PWC US, 2018
Après l'annonce d'une acquisition, les équipes de sécurité des deux parties sont distraites par les "problèmes personnels", mais les attaquants sont plus concentrés que jamais. En exécutant continuellement des rapports sur la surface d'attaque pendant toute la période, les deux entités peuvent s'unir et remédier rapidement à tous les risques qui se présentent.
Les rapports sur la surface d'attaque sont essentiels au cours du processus de fusion et d'acquisition
La sécurisation d'une surface d'attaque externe est une chose que chaque entreprise devrait faire, qu'il s'agisse d'une fusion-acquisition en cours ou d'une simple activité habituelle. Trouver des actifs exposés sur l'internet est une tâche facile pour les acteurs de la menace. C'est facile à trouver pour eux et ils exploiteront cette opportunité.
Censys Lagestion de la surface d'attaque (ASM) scrute en permanence l'internet à la recherche des actifs inconnus qui représentent les plus grands risques pour une organisation. Premier outil sur le marché à faire cela - et le meilleur - il permet aux équipes de sécurité de rester à l'affût de leurs surfaces d'attaque en constante expansion et d'identifier les risques avant tout le monde.
Pour en savoir plus sur Censys ASM, voyez-le en action dans notre démo.
Démonstration d'ASM