Gestion de la cybersécurité dans les transactions de fusion et d’acquisition : Comment réduire les risques grâce au processus de vérification diligente

30 septembre 2022 | Sara Josselyn, David Krebs

Ces dernières années, les entreprises sont de plus en plus axées sur les technologies et la cybersécurité d’une entreprise ciblée est devenue un élément crucial dans le processus de vérification diligente. La pandémie de COVID-19 a exacerbé cette préoccupation : même si de plus en plus de personnes sont retournées travailler au bureau au cours des derniers mois, un grand nombre de personnes travaillent encore à distance dans de nombreux secteurs. Si l’on ajoute à cela la montée en puissance de cybercriminels très motivés et la valeur et l’importance sans cesse croissantes des données, il faut indéniablement accorder une attention et des ressources supplémentaires à la vérification diligente de la cybersécurité dans les transactions de fusion et d’acquisition, tant sur le plan de la sécurité technique que sur le plan juridique.

Pourquoi la vérification diligente en matière de cybersécurité est-elle importante?

Il est impératif qu’un acquéreur d’actifs ou d’actions dans une autre organisation sache ce qui se trouve « sous le capot » en matière d’infrastructures informatiques et en ce qui concerne les risques de cybersécurité qui y sont associés. La vérification diligente en matière d’informatique permet non seulement de dresser la liste des risques les plus importants, mais elle constitue également un aspect essentiel sur le plan de l’évaluation de l’entreprise et de la mise en place efficace des mécanismes d’intégration post-acquisition.

Le recours à des rançongiciels, à des tentatives d’hameçonnage et à d’autres tactiques d’ingénierie sociale est de plus en plus répandu et ces attaques ont d’importantes répercussions lorsqu’elles surviennent, car elles entraînent des risques tangibles et souvent majeurs – tant sur le plan économique que sur le plan de la réputation – pour les acquéreurs, les tiers créanciers et les entités financières. Il est possible que l’incidence des lacunes ne se manifeste que bien après la conclusion de la transaction.

Les risques liés à la cybercriminalité et à la protection des données sont réels et ils peuvent avoir une incidence considérable sur les résultats de l’entreprise. Par exemple, dans le cadre de l’acquisition de Yahoo! par Verizon en 2017, la divulgation par Yahoo! de failles de sécurité existantes a entraîné une réduction considérable de 350 M$ du prix d’achat ( en anglais ). Plus récemment, l’autorité britannique de protection des données, l’ICO, a infligé d’importantes amendes à la chaîne d’hôtels Marriott en raison de violations du règlement général sur la protection des données (règlement UE) en ce qui concerne le contrôle des mesures de sécurité de l’entreprise cible avant l’acquisition et en raison de l’incapacité des hôtels Marriott d’effectuer une vérification diligente appropriée et de remédier aux problèmes.

Bien qu’il s’agisse de situations notoires et bien connues concernant de grandes multinationales, les risques liés à la cybercriminalité et à la protection des données ne font pas de discrimination selon la taille ou le secteur. Nous participons régulièrement au repérage proactif de ces risques et à leur gestion au cours de la vérification diligente et notre équipe de gestion de crise et d’intervention en cas d’incident est régulièrement invitée à agir dans des transactions avec des tiers à l’égard desquelles la vérification diligente et la correction des vulnérabilités ont échoué.

Bien que le degré de vérification diligente en matière de cybersécurité et de protection des données puisse varier selon le secteur d’activité de l’entreprise ciblée et la nature de ses opérations, la vérification diligente en matière de technologies de l’information et de protection des données fait partie intégrante de chaque transaction et l’acquéreur dispose d’un certain nombre de moyens pour évaluer l’ensemble des dispositifs de l’entreprise cible en matière de sécurité informatique. Nous avons présenté ci-dessous quelques points essentiels qu’un acquéreur peut prendre en considération lors du recensement des risques applicables et de la mise en place des mesures nécessaires pour atténuer les risques liés à la cybersécurité et à la confidentialité des données.

Comment atténuer les risques liés à la cybersécurité et à la protection des données dans le cadre d’une fusion ou d’une acquisition :

  1. Compréhension des données. Acquérir une compréhension de la valeur des données de l’entreprise cible, ainsi que de la nature des données et de la façon dont l’entreprise les a classées (données personnelles, financières, médicales ou autres renseignements confidentiels). Acquérir une compréhension des flux de données et des activités de traitement, c’est-à-dire quelles données sont recueillies, en quelle quantité et à quelles fins.
  2. Protection des données. Demander comment les données sont protégées, tant sur le plan technique qu’organisationnel, et demander à l’entreprise cible de confirmer les mesures en place pour la protection des renseignements personnels, de la propriété intellectuelle et des autres données confidentielles. À quel endroit sont sauvegardées les données et est-ce que cet emplacement sera un problème une fois que la transaction aura été conclue (par exemple, le stockage de renseignements médicaux sur des plateformes de services d’infonuagique non canadiennes)? Une formation adaptée a-t-elle été mise en place?
  3. Contrôles et tests de sécurité. L’entreprise cible dispose-t-elle d’outils appropriés de protection et de réponse des points de terminaison (EDR)? Les infrastructures informatiques sont-elles vulnérables du fait de leur conception? Certains systèmes sont-ils en fin de vie ou sans service de soutien technique? Vérifier si des mesures de vérification et de surveillance sont en place. L’entreprise effectue-t-elle régulièrement des analyses de vulnérabilité et des tests d’intrusion?
  4. Structure organisationnelle de l’entreprise cible. Observe-t-on un manque de supervision de la part de la direction et du conseil d’administration? L’imputabilité est-elle suffisante en matière de sécurité et de protection des données? Vérifier si des risques inhérents découlent de la nature de la main-d’œuvre de l’entreprise cible, de la répartition des actifs informatiques ou des systèmes en place (y compris en ce qui concerne les activités de fusion et d’acquisition antérieures).
  5. Considérations relatives à la législation en matière de protection des renseignements personnels. Dresser la liste et évaluer toutes les lois pertinentes en matière de protection des renseignements personnels qui s’appliquent ou qui s’appliqueront à l’entreprise cible une fois que l’acquisition aura été conclue. L’entreprise a-t-elle mis en place des processus et des normes permettant d’enclencher un programme de protection efficace?
  6. Gestion de la chaîne d’approvisionnement. Examiner la situation des fournisseurs. Quelle est la rigueur des fournisseurs tiers en matière de sécurité et de respect des renseignements personnels? Quels sont les contrats en vigueur et sont-ils pertinents? L’un des fournisseurs de l’entreprise cible a-t-il eu des enjeux attribuables à des incidents de cybersécurité? La réalisation d’une évaluation des renseignements issus de sources ouvertes (OSINT) peut être extrêmement utile lors de la vérification de l’exposition aux risques concernant des tiers. Les contrats et accords avec des tiers doivent être examinés afin recenser les obligations mutuelles en matière de cyberrisque ou de violation des données.
  7. Violations antérieures des mesures de sécurité. Demander si l’entreprise cible a répertorié des incidents en matière de sécurité des données ou si elle a fait l’objet de toute violation de données. Vérifier si l’entreprise cible dispose de systèmes pour repérer, évaluer et signaler les incidents portant atteinte à la sécurité des données. L’entreprise dispose-t-elle d’un programme de réponse aux incidents défini, testé et entièrement mis en œuvre, ainsi que des ressources nécessaires pour le mettre en œuvre? L’entreprise cible dispose-t-elle d’un engagement pour les services de réponse aux incidents ou d’accompagnement en cas de violation?

Les risques de cybersécurité sont bien réels mais, comme tous les autres risques, il est possible de les gérer grâce à la bonne approche et en y accordant l’attention nécessaire. La manière dont les renseignements sont communiqués et partagés, accompagnée d’une vérification diligente des enjeux commerciaux et d’un examen technique de l’informatique, est également cruciale pour comprendre le profil de risque global dans ce domaine.

Avis de non-responsabilité

Les renseignements affichés sur ce blogue contiennent des points de droit variés fournis uniquement à des fins informatives et non commerciales. Ces renseignements ne constituent pas un avis juridique de la part de l’auteur. Nous mettons en garde les lecteurs de ne pas prendre de décision particulière sans avoir préalablement obtenu l’avis juridique d’un professionnel qualifié. Toute personne qui décide de prendre une décision en s’appuyant sur ces renseignements le fait à ses propres risques.