Un ver dans la pomme ? Quand les acquisitions d’entreprise deviennent des vecteurs de cyberattaques

Pendant les opérations de fusion-acquisition, les cyber-risques représentent un point de vigilance majeur, notamment entre les phases de due diligence et d’intégration.

Selon une étude de l’IBM Institute for Business Value, plus d’un tiers des dirigeants interrogés disent avoir subi des violations de données qui peuvent être attribuées aux opérations de fusion-acquisition. Pour rappel, les opérations de fusion-acquisition se déroulent en quatre phases : recherche/prospection, due diligence, négociation et intégration.

Une fois qu’il est confirmé que l’entreprise ciblée correspond bien aux objectifs stratégiques, les due diligence permettent d’estimer la valeur de l’entreprise. Les analyses se concentrent généralement sur les éléments financiers, juridiques et RH. Trop souvent, la revue des cyber-risques et des dispositifs de sécurité associés ne font pas partie de ces due diligence.

« Pourtant, la cartographie des risques cyber et l’évaluation de la maturité de l’entreprise en termes de cybersécurité, peuvent avoir des conséquences sur la valeur de l’entreprise, les investissements à faire, et les risques pour le groupe, une fois l’entreprise achetée », confirme Romain Queïnnec, directeur au sein d’Orange Cyberdefense Switzerland.

La phase de due diligence

Il s’agit d’une période sensible pour plusieurs raisons : la maîtrise des données confidentielles, les accès et les échanges de données sensibles sont-ils bien sécurisés avec les nombreux intervenants externes, tels que les cabinets d’avocats, banquiers, fiscalistes ? Il existe aussi des contraintes de délais. Plusieurs compétiteurs peuvent en effet être sur les rangs pour acquérir une société.

Le management, non sensibilisé aux enjeux cyber, voudra accélérer la phase de due diligence, quitte à ne pas bénéficier d’une vision complète des systèmes et du dispositif de sécurité. Enfin, la complexité potentielle des systèmes d’information, liée au volume des actifs matériels et immatériels, à la diversité des outils utilisés et à la répartition géographique des installations et des équipes, rendra l’analyse difficile.

Mais quels sont les principaux risques liés à l’insuffisance de due diligence numériques ? La survalorisation de l’entreprise cible, la surestimation des synergies provenant de l’intégration et la propagation du ver, non détecté, qui se trouve dans la pomme convoitée. « Des due diligences numériques adaptées sont donc essentielles », avertit Romain Queïnnec.

**Les « due diligences » numériques**

Les équipes expertes dans les due diligence « classiques » doivent donc être complétées avec des compétences en cybersécurité, pour établir une cartographie des risques critiques, quantifier les conséquences en cas de sinistre cyber et évaluer la qualité des mesures de protection, dans les domaines suivants :

Culture : quelle est la maturité cyber et la place de la cybersécurité dans les priorités des dirigeants ?
Organisation : rôles et responsabilités concernant la gestion de la sécurité de l’information. Équilibre entre compétences internes et externes ;
Rapports d’audits récents et identification des vulnérabilités ;
Évaluation de l’infrastructure informatique, des logiciels, du matériel ;
Politiques relatives à l’application des standards en matière de protection des systèmes d’information et de protection des données, mesures organisationnelles et techniques pour assurer la conformité aux principales réglementations, et aux principaux standards (ISO 27001, NIST, NIS, directives…) ;
Processus pour estimer, gérer et surveiller les cyber-risques ;
Outils de protection et détection
Budget IT et cybersécurité, et plan d’investissement
Assurance : contrat, prime, franchise, exemptions.

Oscar Prado, responsable Infrastructure & Sécurité Informatique chez Romande Energie, recommande de « s’assurer également de la gestion des risques IT [comment l’entreprise identifie, évalue et gère les cyber-risques], l’existence d’un PCA [plan de continuité d’activité], d’un programme de formation, et d’un plan d’audit régulier ».

La liste de ces points est valable pour toutes les entreprises. Néanmoins, ces due diligence devront être adaptées en fonction de l’entreprise, sa taille, son secteur d’activité et son organisation. Des précautions devront être prises dans le contrat d’acquisition au cas où des vulnérabilités ou des défauts de configuration, par exemple, sont découvertes dans les mois qui suivent l’acquisition. « La collaboration avec des spécialistes en cybersécurité sera utile pour une évaluation détaillée », ajoute Oscar Prado.

La phase d’intégration

Une fois passées les étapes de négociation et de signature de la vente, l’étape clé d’une opération de fusion-acquisition est la phase d’intégration. Durant cette dernière étape, l’équipe en charge de l’intégration développe différents axes de travail : RH, finance, communication, IT, etc. Si l’intégration des systèmes d’informations n’est pas correctement anticipée et si les enjeux de cybersécurité ne sont pas pris en compte sérieusement durant la phase de due diligence, une compromission pré ou post-acquisition de la nouvelle entité pourrait se propager au groupe.

C’est pourquoi on peut estimer plus prudent de laisser les réseaux et l’organisation informatique séparés, temporairement ou non. Dans tous les cas, l’acquéreur porte le risque et va donc souhaiter compléter la vue obtenue en phase de due diligence par une cartographie détaillée des risques. « En particulier, l’acheteur peut vouloir mener des tests d’intrusion, des audits de gouvernance cyber, évaluer la maturité des utilisateurs ou encore la maîtrise des enjeux cyber par les prestataires, avec pour objectif final de réduire les vulnérabilités critiques », détaille Romain Queïnnec.

La phase d’intégration est une période sensible pour plusieurs raisons :

Fatigue des équipes cyber et IT : la charge de travail du vendeur et de l’acquéreur peut générer des risques accrus, les équipes étant focalisées sur le succès de l’intégration, plutôt que sur les opérations de sécurité habituelles des systèmes IT déjà en place ;
Gouvernance et responsabilité : les changements de modèle opérationnel, des rôles et de responsabilités de chaque salarié peuvent créer de la confusion dans les équipes et ainsi nuire à une réponse efficace en cas de cyber-incident.
Zero-trust : malgré les efforts déployés en phase de due diligence pour identifier des compromissions existantes, il est possible qu’une société acquise se transforme involontairement en vecteur d’attaque contre son acheteur, les contrôles d’accès et d’authentification n’ayant pas été mis à jour.

Sur ce dernier point, il existe un cas d’école : celui de l’acquisition de Starwood Hotels par le groupe Marriott, en 2016. L’infrastructure de Starwood avait été compromise avant l’acquisition. Starwood ne l’avait pas détectée. Une fois l’acquisition terminée, l’attaquant a pu accéder aux données de Marriott et les divulguer. Le groupe hôtelier a ainsi été sanctionné par les autorités britanniques, à hauteur de 99 millions de livres sterling (114 millions d’euros), pour non-respect du RGPD. Au-delà de cette sanction financière, Marriott a subi des dommages réputationnels.

Acquérir une entreprise à l’ère du numérique comporte des difficultés supplémentaires. Si le ver est dans le fruit, il risque de se propager, et de nuire fortement à l’acquéreur. L’organisation numérique et la maîtrise des risques numériques sont des défis nécessitant de conduire des due diligence numériques en parallèle des due diligence juridique et financière. Mais aussi de construire une stratégie d’intégration, fondée sur une cartographie des risques détaillée, et d’évaluer les synergies une fois les systèmes d’information et équipes rapprochées.