Feriez-vous l’acquisition d’une voiture sans contrôle technique ? Mèneriez-vous une opération de croissance externe sans bilan financier ? Alors pourquoi ne pas réaliser un audit détaillé de la maturité cyber d’une entreprise ? Décryptage de la Cyber due Diligence avec Loïc Bréat de Verizon.
Le monde des entreprises évolue sans cesse. Création d’activité, développement, contraction, rapprochement stratégique, croissance externe, fusion et acquisition… Tous les temps forts qui caractérisent le cycle de vie d’une entreprise ont une incidence sur son infrastructure informatique autant que sur ses schémas organisationnels. « Lorsque deux entreprises fusionnent, elles doivent se connaître parfaitement. La Due diligence s’effectue classiquement sur la partie finance, sur le juridique ou sur la stratégie, mais le volet cyber est souvent moins connu », commente Loïc Bréat, Regional Lead EMEA – Payment Security Programs pour Verizon. Cyber due Diligence, trois mots qui décrivent une pratique utilisée lors de transactions impliquant des entreprises technologiques ou des actifs numériques. Elle vise à évaluer les risques de sécurité informatique liés à l’acquisition ou à la fusion d’entreprises, afin de protéger les parties prenantes de l’opération. Garantir la sécurité et optimiser le système d’information en évitant les doublons ou l’amplification du legacy ? Pas seulement ! En effet, la Cyber Due Diligence permet d’aller plus loin et, à l’instar d’un diagnostic énergétique dans les transaction immobilière, peut constituer un levier clé de la négociation. « Verizon a récemment accompagné un grand groupe hôtelier dans l’acquisition d’une marque de luxe à l’étranger. En lançant un audit de cyber due diligence, ce groupe a constaté que l’entreprise ciblée n’appliquait absolument pas une politique rigoureuse sur le plan de la sécurité notamment. Cette découverte a permis de négocier le montant de la transaction à la baisse », confie Loïc Bréat.
Cyber Due Diligence : Mode d’emploi
La cyber due diligence doit être menée par une équipe multidisciplinaire, comprenant des experts en cybersécurité, en droit, en conformité réglementaire et en finances. Cette équipe doit avoir une compréhension complète des risques potentiels et des réglementations en matière de cybersécurité. A l’amorce du projet, cette équipe pluridisciplinaire devra procéder à une évaluation détaillée des actifs numériques de l’entreprise cible, y compris les systèmes informatiques, les données stockées, les logiciels et les équipements de sécurité. Cette évaluation doit également inclure une analyse de la politique de gestion des données et de la conformité réglementaire. Elle devra également lancer une analyse approfondie de l’arsenal dédié à la sécurité informatique pour évaluer les vulnérabilités potentielles et tenter de mesurer avec précision la surface d’exposition au risque cyber. Pour ce faire, des tests d’intrusion peuvent même être menés. « Le respect des règles sectorielles et des préceptes fondamentaux de la cybersécurité, deviennent désormais des éléments clés de la valorisation d’une entreprise, observe Loïc Bréat. Cela dépasse de beaucoup le seul questionnement technique sur la protection d’une infrastructure informatique, mais interpelle également sur des enjeux de gouvernance IT ». Dans un monde de l’entreprise caractérisé par des interpénétrations fortes avec les fournisseurs et les partenaires, la Cyber Due Diligence porte également sur l’évaluation de la sécurité de ces relations, ainsi que sur les protocoles de sécurité utilisés pour gérer les données et les informations partagées. Après un audit flash, l’équipe Cyber Due Diligence s’intéresse à la réalité de la menace qui pèse sur le système d’information de l’entreprise cible. « Le Cyber Risk Monitoring Program porte sur une étude de la réalité de la menace de compromissions de données, sur la qualité de la configuration des DNS… Ce sont autant d’indicateurs basiques qui permettent d’évaluer la confiance que l’on peut avoir pour l’entreprise ». Pour mener à bien ces opérations, Verizon dispose de différents frameworks de tests en fonction du secteur d’activité concerné. L’enjeu : définir avec précision les points forts, comme les points faibles du système d’information de l’entreprise auditée.
Et après ?
À l’issue d’un projet de Cyber Due Diligence, les entreprises disposent d’un rapport détaillé qui dresse l’état des lieux complet de la situation, mais par seulement. « Il ne s’agit pas que de poser un constat, mais bien de définir une roadmap pour atteindre les objectifs de rationalisation et d’optimisation de la cybersécurité », précise Loïc Bréat. Générer de la confiance, apporter de la transparence, mais surtout, contribuer à poser les bases d’une amélioration sensible de la sécurité… C’est tout l’enjeu de la Cyber Due Diligence qui s’impose comme une phase clé des opérations de croissance externe. En effet, une fois l’examen de la cyber due diligence terminé, il est important de documenter toutes les constatations et de les présenter aux parties prenantes concernées. Il est également recommandé de mettre en place un suivi régulier pour surveiller la sécurité informatique de l’entreprise cible après l’acquisition ou la fusion. « Les budgets ne sont pas infinis, les entreprises doivent avoir une approche pragmatique. Être un champion de la cybersécurité n’est pas une fin en soi. L’ambition réelle consiste à s’améliorer en continu et sur tous les aspects de la sécurité informatique ». Une amélioration qui permet de négocier le montant d’une opération de croissance externe, mais aussi de renégocier la prime d’une assurance contre le risque cyber ! « La cyber due diligence est une pratique qui peut être valorisée de bien des façons différentes », conclut Loïc Bréat.
