Le rachat d’une entreprise peut donner un véritable coup d’accélérateur au développement d’une autre.
Le nombre de fusions-acquisitions ne cesse ainsi de croître, atteignant, en 2021, le chiffre record de 62 193 (45 000 en 2020).
Un chiffre impressionnant qui ne manque pas d’attirer l’attention des pirates informatiques, dans un contexte où, en 2020, le nombre de cyberattaques a été multiplié par 4 d’après l’Autorité nationale de la sécurité des systèmes d’information (Anssi).
Malgré une prise de conscience progressive parmi les décisionnaires, le volet cybersécurité dans la démarche de “due diligence” n’intervient pas toujours au bon moment et se limite encore exclusivement aux dimensions financières, marketing, RH, etc.
Pire, cette phase essentielle peut être incomplète et ainsi exposer les deux entreprises. De plus, la complexité des enjeux de cybersécurité ajoute un niveau de risque (menaces internes, risques externes, risques réglementaires)
Dès lors, les questions suivantes deviennent légitimes : quels sont les risques en matière de cybersécurité et leurs conséquences lors d’une fusion-acquisition ? Comment mettre en place un audit de sécurité et de conformité efficace et en n s’appuyant sur quelle démarche ?
Une due diligence souvent incomplète, secondaire ou ignorée
De manière générale, la notion de cybersécurité doit occuper un plus grand rôle dans une due diligence.
Cette nécessité s’illustre dans une étude datant de 2021 dans laquelle seuls “25 % des acteurs financiers et des entreprises considèrent la due diligence des systèmes informatiques comme très importante, un chiffre qui tombe respectivement à 18 % et 13 % lorsqu’il s’agit d’une due diligence de la cybersécurité”.
Cette recommandation est d’autant plus essentielle si l’entreprise cible manipule un grand nombre de données ou dispose d’un avantage compétitif en lien avec une composante technologique importante.
En effet, une faille de sécurité informatique peut avoir exposé des données sensibles ou dévaloriser une propriété intellectuelle en l’ayant illégalement mise à disposition d’autres entreprises.
L’autre problème concerne l’étape où l’on accorde une importance à la cybersécurité. Celle-ci doit se concrétiser dès la phase initiale d’une transaction et non pas uniquement dans la phase d’intégration, comme c’est encore trop régulièrement le cas.
Due diligence et cybersécurité : les étapes incontournables
Une fois de plus, il est nécessaire de rappeler un élément fondamental : un processus de due diligence sur le sujet de la cybersécurité ne peut se faire sans impliquer le DSI et/ou le RSSI (Responsable de la Sécurité des Systèmes d’Information).
DSI-RSSI : la sécurité de votre cloud privé
Découvrez les solutions à adopter pour une meilleure sécurité de votre cloud privé.
Ensuite, un audit doit être réalisé afin de récolter et d’analyser des informations portant sur : les pratiques de sécurité, les derniers incidents de sécurité, une cartographie des outils et infrastructures informatiques utilisées, les risques existants, la formation des salariés sur la cybersécurité, l’organigramme des équipes en charge de la sécurité informatique, etc.
Sans surprise, cette phase nécessite une grande transparence de la part de l’entreprise cible.
Cet audit doit être complété par des actions concrètes et mesurables visant à identifier les failles ou dangers.
Cela peut se traduire par une collecte des bases de données sur les infrastructures réseaux, des tests d’intrusion, des analyses des flux réseau, des recherches sur des sites spécialisés afin de voir si l’entreprise a été ciblée ou fait partie de futures cibles de la part de groupes de pirate informatique (“Hacker”).
Ces tâches peuvent être effectuées à l’aide d’outils automatisés.
Des risques importants
Faire l’impasse sur la cybersécurité peut avoir de lourdes conséquences.
L’un des impacts peut être la dégradation de l’image de l’entreprise, comme ce fut dans le rachat des hôtels Starwood par Marriott, dans lequel les données de 500 millions de clients ont été exposées illégalement.
On peut aussi mentionner d’autres risques comme l’arrêt de la production, la fuite de données entraînant des pénalités (RGPD), une diminution de chiffre d’affaires, une réduction des bénéfices, voire un impact sur la réputation de la marque.
Cette situation peut mener à des amendes réglementaires ainsi que des procédures judiciaires.
Rappelons que, selon le Ponemon Institute, en partenariat avec IBM, le vol de données personnelles ou confidentielles coûte 7,91 millions de dollars en moyenne.
De manière générale, l’existence d’une faille de sécurité diminue la valorisation de l’entreprise ainsi que son attractivité.
Comment ne pas reconsidérer la fusion ou l’acquisition d’une entreprise si celle-ci est exposée à des risques majeurs pouvant se répandre à l’autre entreprise…
Le processus de fusion-acquisition n’est donc pas sans risques d’un point de vue cybersécurité. Bien au contraire !
Une vigilance accrue et une méthodologie rigoureuse sont nécessaires afin de réussir sa due diligence.
Les entreprises cherchant à être rachetées ont intérêt à investir sur un système informatique capable de résister aux cyberattaques et de disposer de collaborateurs formés à éviter les pièges les plus fréquents au travers d’une formation efficace sur la “cyber hygiène”.
Tandis que les entreprises qui souhaitent acquérir d’autres entreprises doivent mieux prendre en considération la cybersécurité dans l’évaluation des entreprises.
Découvrez comment Oodrive peut vous accompagner dans le cadre d’une fusion-acquisition
