Gérer une marée montante de cyber-vulnérabilités post-fusion

4 min lire

"Dans une série de billets de blog, j‘explorerai comment les industries et les entreprises abordent la transformation numérique et comment l‘intégration joue un rôle essentiel dans la réussite du programme. Vous trouverez ci-dessous la première partie sur les cyber-risques liés aux fusions-acquisitions."

Les fusions et acquisitions mondiales ont enregistré une valeur de 678,5 milliards de dollars au premier semestre 2017, soit une hausse de près de 9 % par rapport à la même période de l‘année dernière. Les méga-opérations de plus de 10 milliards de dollars ont atteint des sommets et la valeur totale des opérations est à son meilleur niveau depuis l‘éclatement de la crise financière en 2008. C‘est une bonne nouvelle pour les négociateurs, bien sûr.

Pourtant, de nombreuses opérations de fusion et d‘acquisition ne tiennent pas leurs promesses. Le paysage est jonché de fusions et d‘acquisitions infructueuses, d‘entreprises qui n‘ont pas tenu compte de risques évidents qui, rétrospectivement, auraient pu être évités. Les négociateurs se sont plutôt concentrés sur les avantages de la transaction, tels que les perspectives d‘une plus grande part de marché, les avantages concurrentiels, la réduction des coûts, l‘augmentation de l‘efficacité et la diversification des produits et des services.

Il est certain qu‘il faut accorder autant d‘attention aux risques qu‘aux opportunités. La menace des cyberattaques en est un bon exemple. Lorsqu‘une transaction est conclue et que les deux entreprises commencent à intégrer leurs opérations et leurs systèmes, les risques cybernétiques augmentent - de façon spectaculaire dans de nombreux cas. En effet, c‘est au cours de la phase d‘intégration que les "joyaux de la couronne" des deux parties sont les plus vulnérables à une cyberattaque.

Lorsque l‘acheteur et le vendeur entament le processus de combinaison de centaines de systèmes et d‘applications, leurs données respectives aux points d‘intersection du transfert sont exposées à une attaque. La raison en est la nécessité de supprimer temporairement les filtres à ces points d‘extrémité afin que les données puissent circuler d‘un système à l‘autre. Une faille de sécurité béante est ainsi ouverte, une faille que les pirates peuvent facilement exploiter.

Une fois dans le réseau, les pirates peuvent accéder à des données sensibles et exclusives sur les activités, la situation financière et les projets de chaque entité. Ces données peuvent être utilisées pour extorquer une rançon à l‘entreprise fusionnée - si elle ne paie pas, les informations confidentielles seront divulguées aux concurrents et au public, ce qui nuira à la réputation de l‘entreprise et risque de faire échouer les avantages escomptés de la fusion.

Les cybermenaces sont nombreuses sur le terrain de l‘intégration post-transaction des fusions et acquisitions. Il est probable que chaque entité aura des politiques informatiques, des normes de cybersécurité et des contrôles différents, ainsi que des procédures différentes en ce qui concerne la collecte, l‘utilisation, la transmission, le stockage et le partage d‘informations personnelles et d‘autres catégories de données. En raison de ces différences, il est difficile de s‘assurer que des mesures appropriées sont prises pour intégrer les systèmes et les applications des entreprises, ce qui accroît la vulnérabilité de l‘organisation combinée à une cyberattaque.

Une menace connexe est la possibilité que les employés de l‘entreprise dont les normes et les contrôles en matière de cybersécurité sont plus faibles fassent des choses risquées que les employés de l‘autre entreprise ont l‘interdiction explicite de faire, comme ouvrir une pièce jointe dans un courriel qui semble suspect. Les attaques par hameçonnage ont tendance à augmenter pendant la phase d‘intégration des systèmes d‘une fusion ou d‘une acquisition, car les pirates savent que chaque partie utilisera son système de messagerie actuel jusqu‘à ce qu‘elle soit intégrée. Les pirates savent qu‘il est difficile pour un employé de l‘ancienne entreprise A de discerner si un courriel contenant une pièce jointe provenant d‘un cadre supérieur de l‘ancienne entreprise B est authentique, ce qui les incite à cliquer sur une pièce jointe infectée.

Les normes de cybersécurité des fournisseurs tiers constituent un autre risque cybernétique après la transaction. Souvent, l‘acheteur fait appel à une société de conseil en informatique pour l‘aider à intégrer les systèmes. Étant donné que cette société se trouvera à l‘intérieur du périmètre de l‘entreprise, il est essentiel que ses politiques et procédures en matière de cybersécurité soient de premier ordre. Dans le cas contraire, l‘entreprise peut devenir un point d‘entrée pour les pirates informatiques qui souhaitent accéder aux données des deux parties, comme l‘a montré la violation massive de Target. Le point d‘entrée des pirates était le fournisseur de chauffage, de ventilation et de climatisation (CVC) du détaillant.

Un autre risque est lié au nombre de systèmes informatiques et d‘applications cloud utilisés aujourd‘hui par les entreprises, ce qui complique le processus d‘intégration. De nos jours, il n‘est pas rare qu‘une entreprise ait conclu des partenariats avec plus d‘une centaine de fournisseurs cloud différents. Lorsque deux organisations se regroupent, l‘intégration de toutes les applications, systèmes et autres sources de données prend énormément de temps. Il faut maintenant plus de temps à l‘organisation combinée pour réaliser les avantages perçus de la transaction, ce qui augmente la possibilité pour les concurrents de s‘emparer de parts de marché.

Il est évident que les intégrations de données doivent se faire rapidement et de manière transparente, en réduisant au minimum le temps pendant lequel les océans de données circulent d‘un système à l‘autre, d‘une application à l‘autre. Les meilleures pratiques consistent à identifier d‘abord tous les actifs de données qui doivent être transférés, puis à déterminer les normes, les politiques et les processus spécifiques qui seront utilisés pour effectuer le transfert. Plutôt que de transférer toutes les données en même temps, il est préférable d‘envisager une approche fragmentaire dans laquelle les différents ensembles de données sont transférés en priorité à des moments différents. Les données qui ne sont pas destinées à être transférées doivent être immédiatement détruites.

Enfin, investissez dans des outils d‘intégration qui permettent de relier rapidement et facilement les applications et les différentes sources de données. Les technologies héritées qui exigent que des équipes de développeurs conçoivent à la main des logiciels d‘intégration en fonction des besoins ne permettent pas de faire face à l‘univers des applications cloud qui se développe rapidement aujourd‘hui. Avec l‘essor de l‘Internet des objets (IoT), l‘intégration de toutes les Big Data qui émergeront nécessitera une solution beaucoup plus rapide.

La mission de SnapLogic est de permettre aux entreprises d‘intégrer rapidement et facilement leurs données et leurs applications. Sur un seul site plateforme, les utilisateurs peuvent rapidement connecter divers systèmes et applications à leurs points d‘intersection vulnérables, réduisant ainsi la fenêtre d‘attaque des pirates informatiques. Les transferts de données se font à la vitesse de l‘entreprise, ce qui accélère le rythme des intégrations post-transaction. En retour, cela aide les négociateurs à réaliser la valeur perçue de la fusion ou de l‘acquisition à un rythme beaucoup plus rapide - ce qui constitue un avantage rare, gagnant, gagnant, gagnant.

Ancien responsable de la transformation numérique chez SnapLogic

Nous recrutons !

Découvrez votre prochaine grande opportunité de carrière.