Actualités

Réglementation technologique : comment alléger la charge des organes de surveillance et réduire les risques pour les investisseurs

Logo LinesWave
Réglementation technologique : comment alléger la charge des organes de surveillance et réduire les risques pour les investisseurs

Quel est le problème et qui est concerné ?

Les exigences réglementaires et industrielles en matière de cybersécurité montent en flèche. Il s'agit notamment de DNB [1], DORA [2] Cyber Resilience Act [3] [4] et NIS2 [5], SWIFT Customer Security Programme (CSP) [6], FedRAMP, ISO 27001, CIS Critical Security Controls, FISMA [7], NIST SP 800-53 et PCI DSS [8]. La gestion de toutes ces réglementations est complexe pour les entreprises et, évidemment, pour les régulateurs, qui doivent superviser correctement leur mise en œuvre. Le nombre d'entreprises touchées dans la seule Union européenne se chiffre déjà à des millions, comme le montre la figure ci-dessous.

Figure 1 : Nombre d'entreprises concernées par la réglementation [9] [10] [11] [12] [13]

Le RGPD nous a appris que les formalités nécessaires seront effectuées. Néanmoins, la difficulté réside dans la technologie et dans la mise en œuvre de processus, de capacités (les personnes et leurs compétences) et de structures suffisants pour suivre de manière adéquate le bien-être d'une entreprise et en rendre compte.

Selon Kuijper (2020), « les autorités chargées de la protection des données (DPA) détectent principalement les symptômes visibles de la non-conformité au RGPD (les risques matérialisés) plutôt que d'identifier et de décrire la ou les causes profondes sous-jacentes de ces symptômes de non-conformité, comme par exemple l'absence d'analyse des risques liés au traitement des données, un manque de gouvernance ou de contrôles, etc.. » Les amendes réglementaires constituent le coût le plus important en cas de problème ; elles peuvent parfois atteindre 4 % du chiffre d'affaires mondial annuel de l'entreprise contrevenante [14].

Dans des recherches récentes, nous avons observé que la plupart des violations du RGPD concernent la mise en œuvre des mesures techniques et organisationnelles requises pour garantir la sécurité des informations (art. 32). La mise en œuvre de contrôles de sécurité des informations est fastidieuse pour de nombreuses organisations en raison de la rareté des ressources et des capacités.

Les réglementations à venir ne seront durables qu'en exigeant la soumission proactive obligatoire de ce que l'on appelle des « déclarations de contrôle ». Compte tenu du nombre d'entreprises réglementées et de la charge qui y est associée, nous pensons que la seule solution serait d'inverser la charge de la preuve : les entreprises doivent être en mesure de prouver qu'elles se conforment à la réglementation.

Complexité supplémentaire sur le marché des acquisitions

Dans le cadre des fusions et acquisitions, les acheteurs imposent des conditions plus strictes aux entrepreneurs qui souhaitent vendre leur entreprise, notamment en ce qui concerne les données et la confidentialité [14]. La surveillance accrue de la cybersécurité souligne la nécessité cruciale d'une due diligence numérique minutieuse en ce qui concerne les actifs numériques et d'évaluations complètes des risques. Dans les fusions et acquisitions, même un seul faux pas peut avoir de graves conséquences, entraînant des pertes financières importantes et une atteinte à la réputation.

Heureusement, de plus en plus de due diligence sont également effectuées pour les départements technologiques d'une entreprise. Cela n'est pas surprenant, car la technologie joue un rôle de plus en plus important dans les processus et les moteurs de valeur des entreprises. En outre, des exemples notoires tels que les acquisitions de DigiNotar par Vasco, de Verizon par Yahoo et de Marriott International par Starwood Hotels and Resorts Worldwide ont montré les conséquences considérables d'une diligence raisonnable insuffisante.

Lors de l'incident de Yahoo, des attaquants ont réussi à exécuter une attaque de spear-phishing visant un employé de Yahoo. Grâce à leurs informations d'identification, les attaquants ont eu accès à des données sauvegardées. Cet exemple montre l'importance du principe du moindre privilège, car les droits des utilisateurs surprivilégiés simplifient considérablement la tâche des cybercriminels qui souhaitent accéder au réseau dans son intégralité et, par le biais de « sauts de système », l'explorer dans son intégralité puisqu'il n'y avait pas de segmentation du réseau. Des violations comme celle subie par Yahoo peuvent avoir de graves conséquences. Combiné à une autre faille subie par Yahoo, cela a entraîné une réduction de 350 millions de dollars de l'accord avec Verizon [15].

On peut dire que tous les processus métier dépendent, à des degrés divers, de la technologie et des processus numériques. La vie professionnelle et la vie privée sont parfaitement intégrées, tout comme les données, y compris la propriété intellectuelle ou les données confidentielles qui sont considérées comme de la bonne volonté dans tout processus d'acquisition. Ces données peuvent se trouver n'importe où, y compris sur des appareils domestiques ou dans le stockage d'un smartphone tel qu'iCloud.

Dans ce contexte, une due diligence numérique méticuleuse n'est pas simplement une bonne pratique, mais une nécessité absolue. Alors que les entreprises évoluent à l'ère numérique, la capacité d'évaluer et de gérer efficacement les risques potentiels de cybersécurité est devenue fondamentale pour garantir le succès, l'intégrité et la durabilité des fusions, des acquisitions et des opérations en cours.

Empêcher de financer un cochon

Dans notre monde numérique, il existe plusieurs raisons de procéder à une évaluation de due diligence. À la base, la due diligence est conçue pour identifier les risques de sécurité potentiels, servant de base à différentes considérations essentielles, telles que l'évaluation de l'entreprise et l'identification des moteurs de valeur. Cela inclut la propriété intellectuelle, la technologie logicielle, les capacités d'automatisation, les abonnements, les propositions de marché uniques et les menaces potentielles pesant sur ces moteurs de valeur.

Les organisations peuvent améliorer considérablement leur efficacité opérationnelle à long terme en identifiant les risques de sécurité avant une acquisition. Ces informations sont précieuses, car l'identification de failles de sécurité critiques peut potentiellement bloquer ou, dans les cas extrêmes, stopper complètement une acquisition. Et cela peut certainement influencer le montant d'acquisition convenu. Par conséquent, le fait d'être conscient de ces risques avant l'acquisition permet à l'acheteur de demander au vendeur d'améliorer ses mesures de sécurité. La diligence raisonnable devrait évaluer et rendre compte de l'ensemble de la technologie à chaque niveau, comme le montre la Figure 2, y compris l'existence d'un ensemble exhaustif de quarante points de contrôle. Une due diligence numérique appropriée contribue de manière significative à l'intégration fluide de l'entité acquise dans l'environnement commercial du vendeur, en améliorant la continuité des activités, en évitant le piratage de la dette technologique et en minimisant les perturbations ou le risque d'acheter ce que l'on appelle un « cochon dans un pot ».

Figure 2 : La due diligence devrait viser à évaluer toutes les couches de la chaîne technologique

Une due diligence approfondie sur la technologie, les processus et les capacités humaines est donc essentielle pour établir la confiance et maintenir une bonne réputation. Une acquisition implique des actifs, des opérations et de grandes quantités de données sur les clients et les employés. En identifiant à l'avance les risques de sécurité potentiels et les violations réglementaires, les atteintes à la réputation peuvent être évitées. Cela inclut également l'évaluation des relations avec les fournisseurs, car ces connexions avec des tiers peuvent souvent constituer un maillon faible de la chaîne d'approvisionnement.

Étant donné que les moteurs de valeur des entreprises (actifs créateurs de valeur) sont actuellement davantage orientés vers la technologie logicielle utilisée, il est nécessaire d'évaluer les principes du « logiciel sécurisé dès la conception » ou l'utilisation de bonnes pratiques telles qu'une nomenclature logicielle (SBOM). Le logiciel doit être vérifié avec diligence pour éviter d'acheter une dette technique ou une pile technologique logicielle de qualité inférieure. En outre, la due diligence numérique englobe les aspects technologiques et comprend l'évaluation de la culture de cybersécurité de l'entreprise, des processus et du niveau de sensibilisation de ses employés. Cela s'est avéré vrai dans l'affaire Marriott International, dans laquelle des attaquants ont probablement obtenu un accès non autorisé à la base de données de réservations de clients Starwood via un e-mail de phishing [16]. La violation a eu lieu en 2014, deux ans avant l'acquisition de Starwood par Marriot, mais n'a été découverte qu'après la finalisation de l'acquisition.

En outre, la due diligence numérique est essentielle pour protéger la propriété intellectuelle (PI). La valeur de ces actifs essentiels est d'une grande importance, en particulier dans le cas d'acquisitions visant à acquérir des technologies spécifiques. Le cas de DigiNotar, où les principaux actifs de l'entreprise, ses certificats, ont été reproduits illicitement, a fini par entraîner la faillite de l'entreprise et l'acquéreur, Vasco, s'est retrouvé les mains vides après avoir acheté un « cochon dans un sac ». Des efforts complets de due diligence numérique sont essentiels pour établir que la propriété intellectuelle est légalement et techniquement protégée et qu'elle conserve une valeur substantielle. Une prise de conscience et une connaissance approfondie de l'état technologique et de sécurité de l'entreprise, des principaux fournisseurs et de l'identification exacte des actifs générateurs de valeur à acquérir peuvent améliorer considérablement la période de transition.

Comment mener une due diligence numérique (DDD)

Les parties vendeuses et acheteuses peuvent contribuer à faciliter et à accélérer le processus d'acquisition. La société vendeuse pourrait montrer son statut de sécurité sur la base de n'importe quel cadre (par exemple CIS8, ISO27001, ISO27701, etc.) sous la forme de déclarations périodiques indiquant qu'elle maîtrise sa sécurité numérique, ses risques, sa confidentialité et ses audits via une méthode structurée de tests de contrôle. Et assurer un suivi adéquat des conclusions de l'audit. Il s'agit d'une bonne pratique en général, et pas seulement avant une acquisition.

L'acheteur peut évaluer les déclarations de contrôle afin de procéder à une due diligence numérique. La première étape de ce processus consiste à établir l'objectif exact de l'acquisition. Une entreprise souhaite-t-elle augmenter sa part de marché, éliminer la concurrence ou acquérir une technologie spécifique ? L'étape suivante consiste à déterminer les systèmes, les logiciels, les données et les autres actifs technologiques dont elle a besoin pour atteindre ses objectifs. Ils peuvent ensuite enregistrer tous ces actifs de grande valeur et leurs propriétaires dans une application, par exemple dans Anove.

Ensuite, il est temps d'évaluer collectivement les risques auxquels ces actifs sont vulnérables. La dernière étape consiste à évaluer les contrôles mis en œuvre dans l'organisation sur la base d'un cadre tel que la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), la norme ISO27001, le cadre de cybersécurité du NIST (CSF), le NIST 800-53 ou d'autres familles. Les financeurs peuvent avoir besoin de cette évaluation approfondie pour examiner la valeur et la dette technologique potentielle d'une entreprise.

Solutions pour les régulateurs et les financiers

Pour la due diligence numérique mentionnée ci-dessus, nous pouvons utiliser les bonnes pratiques des « déclarations de contrôle ». Ces déclarations fournissent un aperçu rapide de l'état des contrôles dans un système de gestion de la confidentialité et de la sécurité. Dans les environnements hautement réglementés tels que la finance, les états de contrôle sont déjà utilisés. Il s'agit d'un moyen de vérifier et de démontrer à une autorité de surveillance qu'une organisation a effectué sa comptabilité de manière véridique et légale. Les déclarations de contrôle sont des outils utiles car elles permettent aux autorités de surveillance d'économiser du temps, des ressources et de l'argent. Les relevés peuvent être vérifiés automatiquement, de la même manière que pour les déclarations fiscales. Périodiquement, un audit serait effectué pour évaluer si une entreprise a effectivement fourni des informations véridiques et si elle est approuvée par des personnes responsables.

Il n'est pas nécessairement vrai que chaque framework ait besoin de sa propre déclaration de contrôle. Les cadres présentent souvent un certain degré de chevauchement en ce qui concerne les contrôles qu'ils proposent. Ce chevauchement peut être cartographié pour comprendre où les cadres coïncident. Un cadre « parent » est suggéré qui peut correspondre à plusieurs cadres « enfants » et à leurs contrôles. Il vous suffit de tester ce contrôle dans le framework parent pour qu'il soit conforme à plusieurs autres contrôles sous-jacents, comme le montre la Figure 3. Cette cartographie, réalisée par des communautés telles que SecureControlsFrameworks, est déjà présente dans des technologies telles que Amove et alimentée à chaque modification du framework. Cela permet aux entreprises d'envoyer une seule déclaration de contrôle qui s'applique au respect d'une multitude de cadres.

Figure 3 : Exemple de contrôle d'identification et d'authentification « testez une fois, respectez plusieurs ».

Bonne gouvernance (Chefsache)

La combinaison de toutes les réglementations à venir et des difficultés des entreprises à mettre en œuvre une gestion de la sécurité appropriée rend difficile la mise en conformité des régulateurs et des entreprises. Pour surmonter cette complexité, une solution potentielle consiste à utiliser un cadre existant comme base, par exemple, au sein de l'UE ou dans des secteurs spécifiques. En établissant un parallèle avec les États-Unis où, à la suite d'une attaque majeure contre le Colonial Pipeline, l'utilisation des stratégies NIST et Zero Trust est devenue obligatoire pour les gouvernements à la suite d'un décret présidentiel, une approche descendante similaire pousse la sécurité numérique dans cette direction en Europe. Cela est comparable à ce à quoi nous avons été confrontés après les scandales MCI WorldCom et Enron en respectant les réglementations Sarbanes Oxley (SOX) dans le monde entier. [17]

En substance, traiter la gestion de la cybersécurité de la même manière que les normes d'information financière garantit une approche structurée et complète, tout comme les soumissions de rapports comptables (par exemple, les soumissions de TVA) fournissent un suivi permettant de détecter les écarts ou les dysfonctionnements. Il encourage également une bonne gestion des entreprises.

Le suivi et la publication de l'état de la technologie sur l'ensemble du parc sont essentiels pour toute entreprise, ainsi que pour ses parties prenantes telles que les investisseurs, les actionnaires, les organes de surveillance et les acheteurs. La sécurité numérique est donc une question de décision au plus haut niveau de la direction.

Proposition finale

À notre avis, la seule voie à suivre pour les régulateurs et les financiers est de combiner Due diligence numérique, « testez une fois, conformez-vous à plusieurs » et des « déclarations de contrôle » proactives. La question demeure : qui prendra l'initiative d'adopter une approche descendante pour mettre en place un cadre fondamental, ou devons-nous d'abord avoir un incident tel que l'attaque par rançongiciel contre le Colonial Pipeline ?


À propos des auteurs

Yuri Bobbert, Ph.D. est professeur à l'Antwerp Management School (AMS) et PDG d'Amove International (Anove.io). Il est l'ancien responsable mondial de la sécurité informatique, des risques et de la conformité chez NN Group NV, où il a dirigé le processus de due diligence numérique et d'intégration pour l'acquisition de DeltaLloyd par NN Group. L'opération de 2,5 milliards d'euros a créé la plus grande compagnie d'assurance-vie des Pays-Bas et a été autorisée par la Banque centrale (DNB).

Iris van Holsteijn, M.A. est une jeune professionnelle de la cybersécurité chez Amove International. Iris est titulaire d'une maîtrise en criminologie mondiale et d'une licence en études du développement international.

Références

  1. La Nederlandsche Bank, Good Practice Informationbeveiliging 2019/2020, 2019.
  2. E. Commission, « La loi sur la résilience opérationnelle numérique (DORA) », [En ligne]. Disponible à l'adresse suivante : https://www.digital-operational-resilience-act.com. [Consulté le 2 janvier 2023].
  3. E. Commission, « Renforcer la cybersécurité et la résilience à l'échelle de l'UE — accord provisoire entre le Conseil et le Parlement européen », [En ligne]. Disponible à l'adresse suivante : https://www.nis-2-directive.com.
  4. E. Commission, « Loi sur la cyberrésilience », [En ligne]. Disponible à l'adresse suivante : https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act. [Consulté le 2 janvier 2023].
  5. E. Commission, « Directive sur la sécurité des réseaux et des systèmes d'information (directive NIS 2) », [En ligne]. Disponible à l'adresse suivante : https://www.nis-2-directive.com. [Consulté le 1er février 2023].
  6. SWIFT, « Programme de sécurité pour les clients », [En ligne]. Disponible à l'adresse suivante : https://www.swift.com/myswift/customer-security-programme-csp. [Consulté le 2 janvier 2023].
  7. Congrès américain, « FISMA, Congrès américain, Loi fédérale de 2002 sur la gestion de la sécurité de l'information », mars 2002. [En ligne]. Disponible : https://www.congress.gov/bill/107th-congress/house-bill/3844..
  8. Conseil des normes de sécurité PCI, « Conseil des normes de sécurité de l'industrie des cartes de paiement », [En ligne]. Disponible à l'adresse suivante : https://www.pcisecuritystandards.org/document_library/?document=pci_dss. [Consulté le 2 janvier 2023].
  9. BBP Media, NIS2 arrive, et le secteur de la vente au détail n'est pas prêt.
  10. CBS, « Bedrijven ; bedrijfsgrootte en rechtsvorm. », https://opendata.cbs.nl/#/CBS/nl/dataset/81588NED/table., 2023.
  11. Eurostat, « Aperçu sectoriel », https://ec.europa.eu/eurostat/cache/htmlpub/key_figures_on_european_business_2021/sectoral_overview.html, 2021.
  12. M. Kors, « Que signifie NIS2 pour les organisations néerlandaises ? », https://www.computable.nl/artikel/blogs/security/7444125/5260624/wat-betekent-nis2-voor-nederlandse-organisaties.html.
  13. PricewaterhouseCoopers., « DORA : Pourquoi est-ce pertinent pour vous ? », https://www.pwc.com/gr/en/advisory/technology/dora-why-it-is-relevant-to-you.html.
  14. F. Conijn et R. Smit, « Koper grijpt de macht bij bedrijfsovernames. », Het Financieele Dagblad https://fd.nl/bedrijfsleven/1493159/koper-grijpt-de-macht-bij-bedrijfsovernames, 2023, 16 octobre.
  15. A. Athavaley et D. Shepardson, « Verizon et Yahoo conviennent de réduire leur contrat de 4,48 milliards de dollars suite à des cyberattaques », Reuters, www.reuters.com/article/US-Yahoo-M-A-Verizon-IduskBN1601EK, 2017.
  16. J. Fruhlinger, « FAQ sur les violations de données de Marriott : comment cela s'est-il produit et quel en a été l'impact ? », CSO Online https://www.csoonline.com/article/567795/marriott-data-breach-faq-how-did-it-happen-and-what-was-the-impact.html, 12 février 2020
  17. La loi Sarbanes-Oxley (SOX) est une loi fédérale qui a été adoptée en 2002 avec le soutien bipartite du Congrès afin d'améliorer l'audit et la divulgation publique en réponse à plusieurs scandales comptables survenus au début des années 2000.
Préférences relatives aux cookies