Des cyberpirates friands de fusions et acquisitions : comment les risques cachés peuvent faire dérailler votre transaction (et comment les éviter)?

Pendant une transaction, les parties se concentrent évidemment sur le prix, la structure et la fiscalité et manquent parfois de temps pour bien analyser les cyberrisques. Des pirates lorgnent alors la transaction, souhaitant profiter des distractions, du flou dans les rôles, des délais serrés et du volume de données sensibles qui circulent. Les cybermenaces ne sont plus seulement l’affaire des TI : elles comptent parmi les risques à considérer dans une transaction. Elles peuvent plomber la valeur, créer des responsabilités cachées et ternir la réputation de l’acheteur bien après la clôture.

Cet article s’intéresse aux façons dont les cyberrisques se manifestent dans les fusions et acquisitions canadiennes, à la vérification diligente à effectuer sur les plans de la cybersécurité et de la protection de la vie privée et aux mesures que les acheteurs peuvent prendre pour se protéger avant et après la clôture.

Pourquoi votre transaction fait-elle de vous une cible alléchante pour les pirates?

Les transactions de fusion et acquisition se déroulent dans des conditions propices à la cybercriminalité et à l’espionnage, étant donné que :​

• les équipes gèrent plusieurs axes en parallèle (négociations, mécanismes de clôture, intégration, etc.);
• les comptes utilisateurs, les droits d’accès et les systèmes sont en transition;
• la pression des échéanciers peut réduire le temps consacré à un examen approfondi sur la cybersécurité.

Les acteurs malveillants le savent et en profitent pour :​

• faire main basse sur les secrets commerciaux, les modèles de tarification, les modalités de la transaction et la stratégie;
• lancer une attaque au rançongiciel à un moment où la direction veut absolument éviter toute perturbation;
• commettre des fraudes du président à l’aide de fausses factures et d’instructions de virement modifiées;
• exploiter les risques de menace interne que posent les membres du personnel qui s’inquiètent de leur rôle et sont plus susceptibles d’abuser de leurs droits d’accès;
• cibler des fournisseurs et d’autres tiers dans des attaques visant la chaîne d’approvisionnement pour s’immiscer indirectement dans la transaction.

Les conseils d’administration et les comités chargés des transactions doivent donc voir la vérification diligente en matière de cybersécurité et l’intégration informatique comme des éléments essentiels de l’évaluation, et non comme des formalités à accomplir en fin de processus.​

Quel est le prix réel des violations de données et quand faut-il le payer?

Le Rapport 2025 sur le coût d’une violation de données d’IBM nous rappelle que ce coût dépend de la rapidité avec laquelle l’incident est détecté et maîtrisé et de la maturité des contrôles de sécurité. Une détection rapide, une surveillance efficace et une utilisation judicieuse de l’automatisation et de l’IA permettent d’atténuer les conséquences.​

Malheureusement pour les acheteurs, le coût d’une violation peut se manifester après la clôture, même si l’incident sous-jacent s’est produit des années plus tôt, sous forme d’avis, de mesures correctives, d’amendes et de litiges. Les sociétés qui se sont préparées s’en sortent généralement bien après un incident; les autres paient le prix de leur imprudence en argent et en distractions.​

De quoi se compose l’« ensemble disparate » de lois en matière de vie privée et de cybersécurité au Canada?

Le régime canadien de protection de la vie privée fait intervenir diverses lois fédérales, provinciales et sectorielles. Selon la société cible, vous pourriez devoir respecter :​

• la loi fédérale sur la protection des renseignements personnels dans le secteur privé (LPRPDE);
• les lois provinciales applicables au secteur privé en Alberta, en Colombie-Britannique et au Québec;
• le régime applicable à un secteur particulier (santé, services financiers et autres domaines réglementés);
• dans le cas des municipalités, des hôpitaux, des écoles et d’autres organismes publics, les lois applicables aux secteurs public et parapublic;
• des règles internationales, comme le RGPD de l’UE, un nombre croissant de lois d’États américains en matière de vie privée, des régimes émergents visant l’IA en particulier (comme la loi européenne sur l’IA), ainsi que d’autres politiques en matière de cybersécurité (ex. : directive NIS2).

Au Canada, il n’est pas rare que trois ou quatre lois différentes s’appliquent dans une même province, selon les acteurs en cause. La plupart de ces régimes ont les attentes suivantes en commun :​

• des mesures de protection « appropriées » pour les renseignements personnels et les principaux systèmes;
• le signalement obligatoire de certaines violations aux autorités et aux personnes touchées;
• la tenue de dossiers, la reddition de comptes et la correction en continu des lacunes relevées.

L’acquisition ne remet pas les compteurs à zéro. Si les mesures de protection de la cible sont inadéquates, si elle est visée par des enquêtes en cours ou si des violations passées ont été mal gérées, la responsabilité peut vous revenir.​

Éléments clés d’une bonne vérification diligente sur les plans de la cybersécurité et de la protection de la vie privée

Dans ce contexte, la vérification diligente est l’occasion de comprendre la technologie, les données et la sécurité afin de chiffrer les risques, d’organiser les mesures de protection et de planifier l’intégration. Seule, la documentation suffit rarement à brosser un tableau complet. Il faut s’attarder à la conception, au déploiement et au comportement, et au fonctionnement concret des systèmes et des équipes.​

Sur le plan de la technologie, il faut étudier les produits, l’architecture et les processus de l’organisation en mettant la sécurité à l’avant-plan. La technologie est-elle résiliente, et peut-elle être prise en charge? Y a-t-il des risques concentrés, des composants en fin de vie ou des codes faits sur mesure que personne ne comprend vraiment? Les vulnérabilités peuvent-elles être repérées et corrigées rapidement?​

Il faut comprendre :​

• si l’environnement est résilient et s’il peut être pris en charge;
• si les vulnérabilités connues ou la dette technique présentent des risques importants;
• les procédés quotidiens d’identification, d’accès, de connexion et de surveillance;
• l’historique des tests de sécurité, des audits et des essais de pénétration, et les réactions face aux conclusions.

Sur les plans de la protection de la vie privée et de la cybersécurité, il faut minimalement s’attarder aux aspects suivants :​

Compréhension des données

• • Nature des données recueillies (clients, employés, santé, finances, PI)
  • Quantité, fins et fondement juridique de la collecte
  • Personnes concernées par les données (Canadiens seulement, ou résidents de l’UE/des États-Unis également, etc.)

Mesures de protection et gouvernance

• • Contrôles techniques (chiffrement, contrôles d’accès, sauvegarde, etc.)
  • Contrôles organisationnels (politiques, formation, responsabilités bien définies, etc.)
  • Emplacements de stockage, transferts transfrontaliers et pratiques de rétention

Contrôles, tests et incidents

• • Protection des terminaux, détection et capacité d’intervention
  • Processus et échéanciers pour la gestion des vulnérabilités
  • Historique des incidents (nature de l’incident, mesures prises, transmission ou non d’avis, etc.)
  • Existence et maturité des plans d’intervention en cas d’incident et du soutien externe en cas de violation

Tiers et assurance

• • Méthodes de sélection et de surveillance des fournisseurs clés
  • Clauses des contrats concernant la sécurité et la protection des renseignements (y compris les modalités sur les violations)
  • Assurance contre les cyberrisques, exclusions et réclamations connues

Il est surtout essentiel de savoir si les violations antérieures ont été convenablement signalées. Les manquements aux obligations de signalement ou d’avis sont passibles de sanctions réglementaires dont vous pourriez être tenu responsable, même si la violation a eu lieu avant la clôture.​

Comment se servir des mécanismes de la transaction pour répartir les cyberrisques?

Une fois les risques identifiés, trois principaux outils peuvent être utilisés :

1. Déclarations et garanties

Les déclarations et garanties énoncent des faits sur l’entreprise à la fois dans une optique de communication d’information et d’indemnisation après la clôture (si des énoncés se révèlent faux). Dans les fusions et acquisitions, les déclarations concernant les cyberrisques peuvent éliminer des problèmes en lien avec les incidents antérieurs, la conformité à la réglementation, le mappage des données, les contrôles de sécurité et la gestion des fournisseurs. Bien rédigées, elles peuvent aussi renforcer les conditions de clôture : si une déclaration est inexacte à la clôture (sous réserve du seuil d’importance relative négocié), l’acheteur pourrait avoir le droit de mettre fin à la transaction ou de la renégocier. Il s’agit d’assurer la clarté et de répartir le risque, autrement dit de favoriser la déclaration d’information et de répartir les conséquences d’un portrait incomplet ou inexact.

2. Indemnisation

Les indemnités aident à recouvrer des pertes, mais elles sont limitées par les périodes de maintien en vigueur, les franchises et les montants minimaux et maximaux négociés. Il faut les voir comme un filet de sécurité, pas comme une stratégie. Dans le cas des cyberrisques, demandez-vous si certaines obligations, comme les incidents passés non déclarés, l’inconduite volontaire ou les manquements aux lois sur la protection de la vie privée, doivent être exclues des plafonds de responsabilité, faire l’objet d’indemnités particulières ou être maintenues en vigueur plus longtemps, selon le contexte de la transaction.

N’oubliez pas le côté pratique : les indemnités ne sont efficaces que si le vendeur est en mesure de les payer et qu’elles sont faciles à exiger.

3. Assurance

L’assurance des déclarations et garanties peut couvrir les pertes découlant des manquements aux déclarations et garanties, sous réserve des exclusions à la souscription, du découvert et des modalités de la police. Cela dit, de nos jours, les assureurs accordent une attention particulière à la posture et à la diligence en matière de cybersécurité. Des lacunes à cet égard peuvent entraîner des exclusions ou une couverture limitée, plus particulièrement pour les vulnérabilités connues, les contrôles d’accès insuffisants et les incidents antérieurs. Cette assurance est un outil utile qui ne doit toutefois pas remplacer une vérification diligente rigoureuse, dont les assureurs se servent pour décider quoi assurer.

Aucun de ces outils ne remplace la vérification diligente. Ils vous permettent de transformer les conclusions que vous en tirez en véritables mesures de protection.​

Que devraient faire vos équipes chargées des transactions?

Les acheteurs, investisseurs et conseillers dans des transactions canadiennes ont intérêt à :​

• traiter la cybersécurité et la protection de la vie privée comme des risques centraux de la transaction dès le premier jour;
• constituer des équipes intégrées pour la vérification diligente juridique et technique, et leur donner les accès dont elles ont besoin;
• faire un lien direct entre les constats sur la cybersécurité et l’évaluation, les conditions et les indemnités;
• planifier de procéder à des analyses et de mettre en œuvre des plans correctifs après la clôture, surtout si les accès accordés avant la clôture sont limités;
• s’assurer que le conseil d’administration ou le comité de placement a l’information sur les cyberrisques en langage simple – elle ne doit pas être enfouie dans une annexe.

Parlez aux équipes de Miller Thomson spécialisées en cybersécurité et fusions et acquisitions

Il y a deux moments particulièrement coûteux pour découvrir un problème de cybersécurité : après la clôture et au plein cœur d’un incident.​

Si vous envisagez une transaction ou en avez une en cours, communiquez avec les spécialistes de notre groupe Protection de la vie privée et cybersécurité, dont David Krebs, ou de notre groupe Fusions et acquisitions, dont Kirk Emery. Une courte conversation peut vous aider à protéger la valeur de la transaction, à atténuer les risques réglementaires et à éviter de vous retrouver dans les manchettes pour les mauvaises rais