Selon une étude de Allianz Global Corporate & Specialty réalisée en 2022, 57% des professionnels interrogés (dont des directeurs généraux et des gestionnaires de risques) considèrent que les risques en matière de cyber sécurité (menace d’attaques de ransomware, violations de données, exploitation de vulnérabilités,…) constituent désormais la principale source de préoccupation des entreprises en terme de management des risques. Cette prise en compte s’inscrit dans une réalité où les entreprises sont de plus en plus interconnectées et interdépendantes tout en étant confrontées à un nombre croissant d’attaques informatiques, ciblées ou non.
Parallèlement, les risques liés à une opération de croissance externe [1] s’indexent de manière significative à cette réalité. En effet, les fusions et acquisitions, les alliances stratégiques ou encore les relations commerciales de type fournisseurs ou sous-traitants peuvent constituer une augmentation de la surface d’attaque des structures, faisant ainsi résonner un type de risque pris en compte de manière récente, à savoir celui relatif à la cyber sécurité.
Ce risque concerne désormais une large audience puisqu’il s’adresse non seulement aux acteurs de la sécurité informatique, mais également aux dirigeants et administrateurs engagés dans une logique de responsabilité à l’égard des actionnaires, fournisseurs, clients ou encore des tiers de confiance.
Par essence, les opérations de croissance externe épousent des caractéristiques communes : il s’agit d’opérations dont la réussite ou l’échec sont susceptibles d’avoir un impact durable sur la pérennité des sociétés. Ce type de projet n’étant pas sans risque, les entreprises se doivent de prendre des mesures adéquates avant de conclure avec la partie contractante.
Les processus liés à ce type d’opération sont éprouvés aux sujets comptables et contractuels : la validation de ces opérations est souvent appuyée par des outils classiques de contrôle comme les études de due diligence (ou de vérification de tiers) afin de s’assurer de la bonne conduite des affaires et de minimiser l’exposition aux risques, qu’ils soient juridiques, financiers, éthiques ou opérationnels.
Par définition, les procédures de due diligence se traduisent par la mise en œuvre d’évaluations consistant à apprécier le risque spécifique induit par la relation entretenue, ou qu’il est envisagé d’entretenir, avec une partie tierce. Entre autres, l’article 17 de la loi Sapin II avait notamment instauré les due diligences comme une obligation légale à dessein de se prémunir des risques de corruption et de blanchiment de capitaux. Désormais, la 4ème révolution industrielle met en lumière la nécessité pour les décideurs d’étendre les évaluations de due diligence à la prévention contre les risques cyber occasionnés lors d’un partenariat d’affaires.
Fusion et Acquisition et menaces cyber
En réalité, Il peut déjà paraître compliqué pour une entreprise de maîtriser la sécurité informatique de son propre système d’information, tel que se prémunir des fuites de données, gérer les vulnérabilités identifiées sur son parc informatique ou encore se protéger des individus malveillants tentant de s’immiscer dans les réseaux internes.
Or, lorsqu’une union se forme entre deux entreprises, l’ampleur de cette problématique et la charge de travail induite pour les départements informatiques et de sécurité n’en est que plus importante. Cette union met à jour l’existence potentielle d’une différence de niveau et de maturité de sécurité des systèmes d’information entre les deux structures ou encore des différences de fonctionnement qu’il s’agirait d’unifier, alors que des interconnexions sont à établir. La vulnérabilité générée prend la forme d’un risque d’exposition plus élevé, l’entreprise peut faire figure de cible plus facile pour les cyberattaques.
L’immense fuite de données de Marriott Hotels en 2018 a pour ainsi dire souligné cette nécessité pour les entreprises de prêter une attention particulière à la cyber sécurité lors de leurs processus de croissance externe. En effet, cet acteur majeur du secteur de l’hôtellerie avait déclaré à l’époque que son système de réservation avait été compromis, exposant les données personnelles de 339 millions de clients, y compris pour certains d’entre eux leurs numéros de cartes de paiement.
Cette attaque a engendré une enquête interne qui a déterminé, par le biais d’un processus d’analyse forensique, que le réseau de sa filiale Starwood avait été compromis en 2014, à l’époque où cette dernière était une société distincte. Marriott avait racheté Starwood en septembre 2016 pour 12,2 milliards de dollars, mais près de deux ans plus tard, la gestion des anciens hôtels Starwood n’avait pas été transférée vers le système de réservation de Marriott et reposait toujours sur l’infrastructure informatique héritée de Starwood.
Dans le cadre de son enquête, Marriott a découvert les données que les attaquants avaient chiffrées et tentaient de supprimer des systèmes de Starwood. En novembre 2018, ils sont parvenus à déchiffrer ces données et ont reconnu qu’elles contenaient des informations sur près de 339 millions d’enregistrements de clients.
Bien que le risque zéro n’existe pas, le fait que l’attaque soit restée inaperçue durant presque deux ans après l’acquisition de la filiale met à jour, entre autres, la nécessité pour les entreprises d’entreprendre des mesures de contrôles strictes lors d’un processus de fusion et acquisition.
Gestion des parties tierces et menaces cyber
De la même manière, les facteurs de risques en matière de cyber sécurité restent encore trop peu explorés à titre préventif en amont de l’établissement d’une relation d’affaires entre deux parties. De nos jours, de nombreuses entreprises externalisent certaines de leurs activités à des sous-traitants ou des fournisseurs dans l’intention de gagner en compétitivité. Pour autant, une étude de Ponemon institute et SecureLink indique que 51% des professionnels interrogés jugent que leur organisation n’évalue pas les pratiques de sécurité et de confidentialité de toutes les parties tierces avant de leur accorder les accès concordants. Les résultats de l’étude ont d’ailleurs révélé que les organisations ne prennent pas les mesures adéquates pour réduire le risque associé aux parties prenantes et exposent ainsi leurs réseaux à des risques de sécurité et de non-conformité. Par conséquent, 44% des organisations aurait subi une violation au cours des 12 derniers mois, dont 74 % ont déclaré que cela résultait d’un accès trop privilégié à des tiers.
Les risques liés à la chaîne d’approvisionnement
Au-delà d’une fusion et acquisition, les risques cyber sur la chaîne d’approvisionnement et les fournisseurs ont proliféré, devenus la cible de cyber-attaques de plus en plus sophistiquées.
En effet, en accordant, par exemple, à des prestataires ou des fournisseurs l’accès à des données et informations confidentielles, ainsi qu’une potentielle interconnexion des systèmes d’information, les entreprises assument un nouveau niveau de responsabilité et de risque. Les attaques ciblant les éléments les moins sécurisés du réseau d’approvisionnement sont tout aussi efficaces pour les cybers attaquants, car elles offrent des voies d’accès discrètes aux réseaux et contournent les moyens de sécurité mis en œuvre par la cible finale. Les impacts de ces attaques par rebond peuvent être considérables et potentiellement désastreux pour les clients comme pour les entreprises.
Si de grandes attaques de ce type attirent l’attention (telles que SolarWinds, ou plus récemment Colonial Pipeline), d’autres vecteurs de compromission en lien avec la chaîne d’approvisionnement constituent un risque majeur pour les entreprises de toutes tailles. En effet, l’exposition involontaire de données, qu’elles soient métiers ou techniques, par un partenaire peut suffire à un acteur malveillant pour identifier un angle d’attaque sur sa cible. Par exemple, les environnements de développement qu’on peut notamment observer sur la plateforme collaborative Github font l’objet d’une attention particulière des attaquants. Cette plateforme expose en effet un large éventail de projets développés par des prestataires ou des fournisseurs de services informatiques qui, par mégarde, dévoilent publiquement des données sensibles. Et généralement, ces projets, visibles au grand public, attirent l’œil d’individus malveillants et leur offrent la possibilité de perpétrer directement des attaques sur leur cible.
Ceci atteste qu’aussi sécurisés que peuvent être les systèmes d’information d’une entreprise, celle-ci n’est pas à l’abri d’une attaque informatique par le biais d’une faille externe.
Des conséquences directes et indirectes….
Après une attaque vient l’heure du bilan et ce type d’attaque induit notamment des coûts directs tels que des amendes, des frais légaux voire des coûts de reconstruction, et des coûts indirects qui incluent des dommages sur la réputation auprès des clients et partenaires.
Pour reprendre l’exemple du Mariott Hotel, l’incident lui a conséquemment coûté cher, tant sur le plan financier que sur celui de la réputation. Les actions de la société ont chuté de près de 5% avant le jour de la publication des données et de nombreuses poursuites ont été engagées. Les procureurs généraux des 50 États et de Washington, la Securities and Exchange Commission (SEC) et les commissions du Sénat et du Congrès des États-Unis, entre autres, ont ouvert des enquêtes. Et en octobre 2020, la société a été condamnée à une amende de 18,4 millions de livres sterling (21,5 millions d’euros) par le bureau du commissaire à l’information (OIC) au Royaume-Uni. Ce montant est lié aux conclusions de l’enquête de l’OIC : Marriott n’avait pas mis en place les mesures techniques ou organisationnelles appropriées pour protéger les données personnelles traitées sur ses systèmes, comme l’exige le RGPD.
Subséquemment, les éléments développés ci-dessus mettent en exergue l’importance pour une entreprise d’analyser, de comprendre et de prendre en compte les risques cyber associés à une opération de croissance externe.
Il est vrai que les coûts relatifs à l’anticipation et au management des risques peuvent représenter un investissement important pour les entreprises et plus particulièrement pour celles à taille humaine. Néanmoins, l’affaire Marriott confirme que les dirigeants d’entreprises ont notamment un devoir d’évaluation des risques cyber lors d’un processus de rachat et qu’un tel manquement pourrait les voir juger responsables en cas d’attaque informatique.
Les menaces pesant sur les fusions et acquisitions ou sur la chaîne d’approvisionnement signifient que les organisations se doivent de mettre l’accent sur leur capacité à adopter une approche proactive et préventive face aux cyberattaques. Elles ont désormais le devoir d’évaluer la situation et de mettre en œuvre des mesures préventives à une compromission par le biais d’un partenaire.
Il s’agit alors de s’assurer que le rapprochement projeté avec une cible potentielle constitue davantage une source d’opportunité qu’une source de risque. En effet, l’analyse préliminaire d’une société cible donne la possibilité de poursuivre le partenariat d’affaires dans des conditions plus sereines. Elle est également une forme d’anticipation, identifiant les enjeux à venir, dont la mise en œuvre d’un plan de remédiation s’il est requis.
Due Diligence & Cyber Threat Intelligence
Les Due Diligences Cyber semblent peu à peu émerger comme un outil primordial d’évaluation et de détection des risques dans le cadre de ces processus de croissance externe.
La mise en œuvre d’une stratégie de cyber sécurité robuste de surveillance continue de l’environnement d’une entreprise, est l’utilisation de renseignement cyber (dit la Cyber Threat Intelligence), soit la captation par des moyens d’OSINT voir d’HUMINT de tout éléments techniques cyber qui pourraient avoir un impact sur une organisation. Ces informations sont utilisées pour identifier, prévenir et répondre aux cyber menaces (logiciels malveillants, phishing, attaques par ransomware, hacktivisme, et autres menaces émergentes). Par exemple, si une forte proportion de comptes professionnels sur des bases de données est disponibles sur le Dark Web, l’entreprise sera en mesure de réévaluer sa politique de mot de passe ou encore sa stratégie visant à lutter contre l’utilisation de comptes professionnels dans le cadre de la sphère privée.
Ainsi, Due Diligence et Cyber Threat Intelligence (CTI) offrent les ressources nécessaires afin de surveiller les menaces spécifiques qui pèsent sur les actifs et secteurs clés d’une entreprise. Ils accordent la possibilité d’englober les méthodes d’exécution des attaques en fonction des cyber-tendances liées au profil d’une entité cible.
Transformer le risque en une source d’opportunité
Afin de combler l’incertitude liée à une opération de croissance externe, vient la possibilité pour les organisations d’utiliser des connaissances et des outils de renseignement cyber afin de s’assurer que le rapprochement entre une entreprise et une société cible ne constitue pas un risque mais davantage une source d’opportunité.
L’intérêt des Due Diligences Cyber pour une entreprise poursuivant un projet de croissance externe réside en l’obtention de l’image la plus fidèle possible de la contrepartie potentielle, assortie d’une évaluation de risques en vue de prendre la meilleure décision possible.
Bien que l’analyse de ces menaces soit souvent considérée comme une contrainte, le coût correspondant aux conséquences (directes et indirectes) d’une compromission informatique potentielle d’une entité tierce peut s’avérer être bien plus élevé que le coût lié à l’évaluation des risques cyber relatifs à une opération de croissance externe. En outre, la pression réglementaire, largement intensifiée au cours de cette dernière décennie, force les entreprises, tous secteurs confondus, d’effectuer des vérifications dans la gestion de leur parc informatique (dont les filiales) et dans la sélection de leurs parties tierces.
Par ailleurs, les clients ou consommateurs sont soucieux du respect de la gestion de leurs données personnelles. Ainsi, une entreprise BtoC évoluant par exemple dans le secteur de la distribution aura tout intérêt à appliquer ces procédures dans le cadre d’un partenariat avec un fournisseur. Assurément, cette entreprise sera soucieuse de renvoyer une image irréprochable en matière de protection des données personnelles et ainsi de respect du RGPD. De fait, l’évaluation régulière de l’environnement numérique des fournisseurs et/ou des prestataires donne la possibilité aux entreprises d’entretenir une relation de confiance avec leurs clients.
En somme, les Due Diligences Cyber apparaissent désormais comme un moyen substantiel de création de valeur et de réussite d’une opération de croissance externe.
Intrinsec vous accompagne dans vos opérations de croissance externe
Le principe de précaution qui tend à animer les sociétés impose donc aux décideurs une obligation sous-jacente de contrôle des risques cyber lors d’un processus de croissance externe.
Les solutions de Due Diligence Cybersécurité proposées par Intrinsec permettent de vous accompagner et de vous soutenir dans vos opérations (en cours mais aussi à posteriori), en vous apportant une évaluation de l’exposition numérique de la partie tierce, ainsi qu’une proposition de stratégie à adopter en matière de conformité attendue.
Grâce à une équipe d’analystes en intelligence économique et d’experts techniques, notre approche consistera à nous mettre dans la peau d’un attaquant ou d’un acteur souhaitant récupérer des informations sensibles dans un but d’espionnage économique. Pour se faire, notre service de Cyber Threat Intelligence activera tous les outils techniques à notre disposition afin de détecter et d’analyser les signaux faibles à partir des informations disponibles sur les différentes couches du web (surface, deep et dark web).
De plus, les éléments sensibles détectés lors d’une Due Diligence Cybersécurité menée par nos analystes CTI sur le périmètre externe offrent l’avantage d’identifier des portes d’entrée exploitables pour des individus malveillants. Dans le cadre d’un processus de rachat ou d’évaluation d’une filiale, Intrinsec appuie son expertise grâce à une complémentarité opérationnelle entre ses différents pôles. Cette complémentarité permet alors au donneur d’ordre de consolider et protéger la sécurité de ses systèmes d’informations en ayant recours aux tests d’intrusion, d’audits de sécurité interne ou encore de Red Teaming.
Ainsi, que vous recherchiez à acquérir une société pour booster votre croissance, contractualiser avec un partenaire stratégique ou encore connaître la surface d’exposition d’un prestataire, d’un fournisseur ou d’une filiale, nos outils vous permettent de vous assurer d’obtenir les informations nécessaires à ce que l’actuelle ou future relation constitue une source d’opportunité.
[1] Les opérations de croissance externe sont ici entendues comme toute opération menant au rapprochement de deux sociétés : les fusions et acquisitions, les joint-ventures ou encore les relations commerciales (entre fournisseurs, sous-traitants et contractants, …).