Les défis de cybersécurité dans les Fusions-Acquisitions
Publié par Anurag Kahol CTO de Bitglass le | Mis à jour le
En 2020, il y aura eu quasiment 45000 fusions-acquisitions au niveau mondial. Pour chacune, le même défi : comment réussir à intégrer des infrastructures hétérogènes et des processus toujours plus complexes tout en garantissant une cybersécurité optimale
Les fusions-acquisitions (M&A) jouent un rôle majeur dans l'économie mondiale. Elles permettent aux entreprises d'accroître leurs parts de marché, d'étendre leurs positions internationales, de diversifier leurs offres de produits et de services ou d'acquérir des technologies.
Nombre d'entre elles se révèlent bénéfiques tant pour les entreprises que pour leurs actionnaires, à l'image de l'achat de Pixar par Disney - et plus tard de Marvel - de la fusion Exxon/Mobil, ou bien encore des acquisitions d'Instagram et de WhatsApp par Facebook, en grande partie considérées comme de grands succès en matière de fusions-acquisitions. Il y a un flux contant d'affaires, la plus récente et la plus retentissante dans les histoires de fusions-acquisitions, est la proposition de fusion Virgin Media/O2.
Mais de nombreux accords ne se terminent pas aussi bien.
Cela peut s'expliquer par plusieurs facteurs extérieurs, comme par exemple les changements économiques ou des réglementations, ou un marché perturbé. D'autres raisons des échecs peuvent aussi être les écarts dans la mise en place de l'intégration ou l'échec matérialisé dans les montants d'achat attendus. La liste est longue, incluant l'acquisition de Nokia par Microsoft, qui a entraîné d'importantes suppressions d'emplois parmi les employés de Nokia et a eu un impact financier considérable pour Microsoft. Un autre exemple est l'acquisition de la plateforme de réseau social Tumblr en 2013 par Yahoo, qui est maintenant diversement décrite comme un échec et une perte d'argent, avec une valorisation prévue à 1,1 milliard de dollars, qui s'est terminée à un prix final à 230 millions de dollars.
Garantir la sécurité au coeur des processus de fusions-acquisitions toujours plus complexes
Chaque opération de fusion et d'acquisition s'accompagne d'un contrôle préalable complexe et détaillé et - lorsque les opérations se poursuivent - de processus d'intégration qui influeront sur le succès de l'opération dans son ensemble. Or les processus actuels deviennent de plus en plus complexes en raison de la dépendance de chaque entreprise à son infrastructure technologique et aux difficultés que posent le regroupement de systèmes totalement distincts.
De fait, il est impératif que les entreprises évaluent correctement l'infrastructure informatique des cibles potentielles afin non seulement de protéger les données des clients, des entreprises et des partenaires, mais également de garantir l'intégrité des systèmes essentiels à son fonctionnement. Cependant, la cybersécurité est en train de devenir un angle mort pour les organisations concernées, ce qui entraîne de nouvelles vulnérabilités graves qui annihilent les efforts des dirigeants pour intégrer avec succès les plateformes, les solutions et les services. C'est en particulier le cas lorsque des grands groupes, qui utilisent des solutions existantes sur site, acquièrent des jeunes pousses qui ont davantage mis l'accent sur des solutions cloud. Ce genre de situation rajoutera, à n'en pas douter, un degré de complexité lors du processus de fusion-acquisition car les stratégies de sécurité initiées par les deux organisations seront différentes.
Auditer l'informatique et former les collaborateurs pour réduire les risques
Dans le cadre de fusions-acquisitions les organisations doivent donc avoir une visibilité totale sur leurs propres systèmes ainsi que sur ceux des entreprises qu'elles acquièrent, afin d'accorder l'attention nécessaire à la question de la sécurité.
Pour cela, les dirigeants peuvent envisager plusieurs démarches à commencer par un audit de l'informatique " Due Diligence IT " et de la cyber-hygiène de l'entreprise qu'ils sont sur le point d'absorber. Ils devraient également envisager de sensibiliser et/ou former les nouveaux collaborateurs aux enjeux et protocoles de sécurité. Une étude récente montre en en effet que 61% des entreprises ont subi une attaque interne au cours de l'année écoulée.
Dans le cas de fusion-acquisition, la surface d'attaque se trouve élargie. La mise en place d'outils de détection adaptés permettra de réduire les risques. Ainsi, si un utilisateur non autorisé disposant d'un accès administratif demande d'accéder à des informations présentes au sein des bases de données clients, l'entreprise acquéreuse devra s'occuper préalablement de ce problématique cas d'usage de sécurité. Enfin, crypter les données au sein de toutes les applications, les lacs de données, voire au-delà, contribuera également à protéger les informations sensibles.
L'acquisition de Starwood Hotels par le groupe Marriott illustre l'impact que peut avoir un incident de cybersécurité lié à un manquement de dans les vérifications nécessaires. La fusion des deux groupes en 2014 a donné naissance à l'une des plus importantes chaînes hôtelières du monde. Le groupe Marriott avait alors pour ambition de créer un nouveau programme de fidélité qui donnerait accès à plus de 5 500 hôtels dans 100 pays aux clients de Marriott et de Starwood.
Une faille dans les vérifications nécessaires au cours du processus de fusion-acquisition a permis à un hacker - qui avait violé l'infrastructure de Starwood avant l'acquisition - de rester non détecté et de télécharger les données de ses clients. Suite à la découverte de la violation, Marriott a finalement écopé d'une amende de 99 millions de livres sterling infligée par l'autorité de protection des données britannique pour non-respect des règles du RGPD.
En mettant en commun de manière sécurisée leurs systèmes informatiques et leurs données, les deux organisations peuvent tirer profiter des capacités des outils, des processus et de l'expérience de leurs équipes et des technologies. Ne pas en tenir compte lors d'une opération de fusion-acquisition ouvre la porte à d'importantes violations et expose les données qui pourraient compromettre la réputation de l'entreprise.