Actualités

La nécessité d'une due diligence numérique

Logo LinesWave
La nécessité d'une due diligence numérique

Dans le cadre des fusions et acquisitions, les acheteurs imposent des conditions plus strictes aux entrepreneurs qui souhaitent vendre leur entreprise, notamment en ce qui concerne les données et la confidentialité (Conijn & Smit, 2023). Dans le même temps, les organismes de réglementation tels que la Securities and Exchange Commission (SEC) des États-Unis répondent à l'escalade des cybermenaces en élargissant leurs règles en matière de gestion des risques de cybersécurité. Cet article explique ce qu'implique la due diligence numérique, pourquoi elle est essentielle, quels sont les huit principes que vous pouvez suivre en matière de sécurité des données et comment éviter d'acheter un cochon dans une entreprise de poker.

Le rôle de la cybersécurité dans les fusions, les acquisitions et les opérations commerciales

La surveillance accrue de la cybersécurité souligne la nécessité cruciale d'une due diligence numérique minutieuse sur les actifs numériques et d'évaluations complètes des risques. Dans les fusions et acquisitions, même un seul faux pas peut avoir de graves conséquences, entraînant des pertes financières importantes et une atteinte à la réputation.

Heureusement, de plus en plus de due diligence sont également effectuées pour les départements technologiques d'une entreprise. Cela n'est pas surprenant, car la technologie joue un rôle de plus en plus important dans les processus de l'entreprise et dans la création de valeur (Amir et al.). En outre, des exemples notoires tels que les acquisitions de DigiNotar par Vasco, de Verizon par Yahoo et de Marriott International par Starwood Hotels and Resorts Worldwide ont montré les conséquences importantes d'une due diligence numérique insuffisante.

En 2016, TalkTalk, une entreprise de télécommunications basée au Royaume-Uni, a été condamnée à une amende de 400 000£ lorsqu'un acteur malveillant a accédé à une base de données clients qu'elle avait acquise plus tôt et avait été piratée. » : https://securityintelligence.com/posts/mergers-and-acquisitions-without-cybersecurity-risk/
MyFitnessPal a été racheté par Under Armour. Under Armour a commencé à informer les utilisateurs de l'application MyFitnessPal d'une faille de sécurité survenue fin février 2018, au cours de laquelle des pirates informatiques ont piraté les informations personnelles de près de 150 millions de comptes d'utilisateurs. https://www.bleepingcomputer.com/news/security/under-armour-announces-data-breach-of-150-million-user-accounts/
Acquisition d'Amerigroup par Anthem en 2012. Anthem estime que plus de 246 000 membres de TennCare Amerigroup ont été touchés par la violation de données découverte le 29 janvier 2015.

Lors de l'incident de Yahoo, des attaquants ont réussi à exécuter une attaque de spear-phishing visant un employé de Yahoo. Grâce à leurs informations d'identification, les attaquants ont eu accès à des données sauvegardées. Cet exemple montre l'importance du principe du moindre privilège, dans la mesure où les droits des utilisateurs surprivilégiés simplifient considérablement la tâche des cybercriminels qui souhaitent accéder à l'ensemble du réseau et, grâce à des « sauts de système », explorer l'ensemble du réseau, car il n'y avait aucune segmentation du réseau. Des violations comme celle subie par Yahoo peuvent avoir de lourdes conséquences. Combiné à une autre faille subie par Yahoo, cela a entraîné une réduction de 350 millions de dollars de l'accord avec Verizon (Athavaley & Shepardson, 2017).

On peut dire que tous les processus métier dépendent, à des degrés divers, de la technologie et des processus numériques. La vie professionnelle et la vie privée s'intègrent parfaitement, tout comme les données, y compris les données relatives à la propriété intellectuelle ou les données confidentielles considérées comme de la bonne volonté dans tout processus d'acquisition. Ces données peuvent être stockées partout, y compris sur les appareils domestiques ou sur les smartphones, comme iCloud. Dans ce contexte, la due diligence numérique n'est pas simplement une bonne pratique, mais une nécessité absolue.

Principes fondamentaux pour vous empêcher d'acheter un cochon dans un magasin

Dans notre monde numérique, il existe plusieurs raisons de procéder à une évaluation de due diligence numérique. À la base, la due diligence numérique vise à identifier les risques de sécurité potentiels, servant de base à diverses considérations essentielles, telles que l'évaluation de l'entreprise et l'identification des moteurs de valeur. Cela inclut la propriété intellectuelle, la technologie logicielle, les capacités d'automatisation, les abonnements, la proposition de marché unique et les menaces potentielles pesant sur ces moteurs de valeur.

Les organisations peuvent améliorer considérablement leur efficacité opérationnelle à long terme en identifiant les risques de sécurité avant l'acquisition. Ces informations sont précieuses, car l'identification de failles de sécurité critiques peut potentiellement bloquer ou, dans les cas extrêmes, stopper complètement une acquisition ou influencer le montant d'acquisition convenu. Par conséquent, le fait d'être conscient de ces risques avant l'acquisition permet à l'acheteur de demander au vendeur d'améliorer ses mesures de sécurité. Une due diligence numérique appropriée contribue de manière significative à l'intégration fluide de l'entité acquise dans l'environnement de l'entreprise du vendeur, en améliorant la continuité des activités, en évitant les piratages et en minimisant les perturbations, ce que l'on appelle le « cochon dans le sac ».

Une due diligence approfondie en matière de technologie, de processus et de capacités humaines est donc essentielle pour établir la confiance et maintenir une bonne réputation. Une acquisition implique des actifs, des opérations et de grandes quantités de données sur les clients et les employés. En identifiant à l'avance les risques de sécurité potentiels et les violations réglementaires, il est possible d'éviter toute atteinte à la réputation. Cela inclut également l'évaluation des relations avec les fournisseurs, car ces connexions avec des tiers peuvent souvent constituer un maillon faible de la chaîne d'approvisionnement.

Étant donné que les moteurs de valeur des entreprises (actifs créateurs de valeur) sont davantage orientés vers la technologie logicielle utilisée, il est nécessaire d'évaluer les principes du « logiciel sécurisé dès la conception » ou l'utilisation de bonnes pratiques telles qu'une nomenclature logicielle (SBOM). Le logiciel doit être vérifié avec diligence pour éviter d'acheter un département technologique ou une pile technologique logicielle inférieure. En outre, la due diligence numérique englobe non seulement les aspects technologiques, mais comprend également l'évaluation de la culture de cybersécurité de l'entreprise et du niveau de sensibilisation de ses employés. Cela s'avère vrai dans l'affaire Marriott International, dans laquelle des attaquants ont probablement obtenu un accès non autorisé à la base de données de réservations de clients Starwood via un e-mail de phishing (Fruhlinger, 2020). La brèche avait débuté en 2014, deux ans avant l'acquisition de Starwood par Marriot, mais n'a été découverte qu'après la finalisation de l'acquisition.

En outre, la due diligence numérique est essentielle pour protéger la propriété intellectuelle (PI). En particulier dans les acquisitions liées à l'acquisition de technologies spécifiques, la valeur de ces actifs de base est d'une grande importance. Le cas de DigiNotar, où les principaux actifs de la société, ses certificats, ont été copiés illicitement, a fini par entraîner la faillite de l'entreprise et Vasco, l'acquéreur, est reparti bredouille avec un « Pig in a Poke ». Des efforts complets de due diligence numérique sont essentiels pour établir que la propriété intellectuelle est légalement et techniquement protégée et qu'elle conserve une valeur substantielle. Une prise de conscience et une connaissance approfondie de l'état technologique et de sécurité de l'entreprise, des principaux fournisseurs et de l'identification exacte des actifs générateurs de valeur à acquérir peuvent améliorer considérablement la période de transition.

Comment effectuer vous-même la due diligence numérique (DDD)

Les parties vendeuses et acheteuses peuvent contribuer à faciliter et à accélérer le processus d'acquisition. La société vendeuse pourrait montrer son statut de sécurité sur la base de n'importe quel cadre (par exemple CIS8, ISO27001, ISO27701, etc.) sous la forme de déclarations périodiques indiquant qu'elle contrôle sa sécurité numérique, ses risques, sa confidentialité et ses audits via une méthode structurée de tests de contrôle. Et assurer un suivi adéquat des conclusions de l'audit. Il s'agit d'une bonne pratique en général, et pas seulement avant une acquisition. Ces déclarations dites de contrôle peuvent être générées à l'aide de la technologie Amove, basée sur plus de 100 frameworks internationaux. Cette technologie a été développée pour garantir aux entreprises des processus stratégiques, tactiques et opérationnels sans faille. Il visualise à tout moment les risques, les failles de sécurité et les actions requises.

L'acheteur peut évaluer les déclarations de contrôle et utiliser la technologie Amove pour effectuer une due diligence numérique. La première étape de ce processus consiste à établir l'objectif exact de l'acquisition. Vous souhaitez augmenter votre part de marché, éliminer la concurrence ou même acquérir une technologie spécifique ? L'étape suivante consiste à déterminer les systèmes, les logiciels, les données et les autres actifs technologiques dont vous avez besoin pour atteindre vos objectifs. Enregistrez tous ces actifs de grande valeur et leurs propriétaires dans l'application Amove. Ensuite, il est temps d'évaluer les risques auxquels ces actifs sont vulnérables. La dernière étape consiste à évaluer les contrôles mis en œuvre dans l'organisation sur la base d'un cadre tel que la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), la norme ISO27001 ou le cadre de cybersécurité du NIST (CSF) ou le NIST 800-53 ou d'autres familles.

  1. Les politiques et procédures techniques de l'entreprise sont en place, mises en œuvre et maintenues (via des procédures de test)
  2. Une évaluation externe des vulnérabilités de sécurité a été réalisée au cours des 12 derniers mois
  3. Une gestion rigoureuse des comptes utilisateurs et des accès (également pour les utilisateurs du système à privilèges élevés) est en place
  4. L'identification et la classification des actifs sont effectuées
  5. Des pratiques de sécurité logicielle dès la conception sont en place
  6. La segmentation des actifs est effectuée et maintenue
  7. Les résultats de l'audit sont connus et suivis en vue de leur résolution par le biais d'un processus structuré
  8. Les tiers importants sont connus, évalués et évalués périodiquement en termes de risque et de sécurité

Une base de référence de 8 déclarations DDD

En ce qui concerne le processus de due diligence numérique, vous pouvez le faire vous-même, mais si vous voulez une véritable assurance, vous devez travailler avec un auditeur technologique indépendant. Dans la figure ci-dessous, vous pouvez voir les principales déclarations de due diligence numérique à demander. Il s'agit de déclarations auxquelles on peut répondre par une déclaration vraie ou fausse. Si la réponse à 50 % est fausse, vous avez un cochon dans un Poke. Il s'agit d'un sous-ensemble d'un total de quarante questions et représente une grande partie d'un DDD initial approprié. L'ensemble des questions DDD fait partie de la technologie Anove ; plus d'informations ou une piste DDD peuvent être demandées via anove.io.

À propos des auteurs

Yuri Bobbert PhD était responsable mondial de la sécurité informatique, des risques et de la conformité chez NN Group NV. En 2018, Bobbert a dirigé le processus de due diligence numérique et d'intégration pour l'acquisition de DeltaLloyd par NN Group. L'opération de 2,5 milliards d'euros a créé la plus grande compagnie d'assurance-vie des Pays-Bas et a été autorisée par la Banque centrale (DNB).

Iris van Holstein est un jeune professionnel de la cybersécurité chez Amove International.

Sources utilisées

Athavaley, A. et Shepardson, D. (21 février 2017). Verizon et Yahoo ont convenu de réduire leur contrat de 4,48 milliards de dollars à la suite de cyberattaques. Reuters. https://www.reuters.com/article/us-yahoo-m-a-verizon-idUSKBN1601EK

E Amir, S Levit, Livne Les entreprises sous-déclarent-elles les informations sur les cyberattaques ? Preuves provenant des marchés des capitaux. Revue des études comptables, volume 23, p. 1177 - 1206 Publié : 2018

Bobbert, Y. et Mulder, HB.F. (2010). Un parcours de recherche visant à faire mûrir la sécurité des informations commerciales des entreprises de taille moyenne. Revue internationale sur l'alignement et la gouvernance des technologies de l'information et des affaires, 1 (4), 18-39. DOI : 10.4018/JitBag.2010100102.

Conijn, F. et Smit, R. (16 octobre 2023). Koper grijpt de macht bij bedrijfsovernames. Het Financieele Dagblad. Consulté le 25 octobre 2023 sur https://fd.nl/bedrijfsleven/1493159/koper-grijpt-de-macht-bij-bedrijfsovernames

Fruhlinger, J. (12 février 2020). FAQ sur les violations de données de Marriott : comment cela s'est-il produit et quel en a été l'impact ? CSO en ligne. https://www.csoonline.com/article/567795/marriott-data-breach-faq-how-did-it-happen-and-what-was-the-impact.html

Préférences relatives aux cookies