Assembler deux organisations différentes pour n’en faire qu’une est rarement une sinécure ! Il y a tant de paramètres à considérer, depuis la structure même des deux entreprises à fusionner jusqu’à leur personnel, en passant par leurs outils maison, leurs spécificités culturelles et bien d’autres détails encore… C’est pourquoi une longue étude préalable -en anglais une « due diligence » – est nécessaire afin de comprendre exactement comment toutes les pièces du puzzle vont pouvoir s’imbriquer, et qu’il n’y aura pas de mauvaises surprises.
Hélas, ce processus rigoureux et bien connu n’est que très rarement étendu à la cybersécurité. Une étude récente a ainsi estimé que lors d’une fusion / acquisition, quatre entreprises sur dix découvriront des problèmes liés à la cybersécurité durant le processus d’intégration de la nouvelle acquisition, une fois le contrat signé. Et avec un chiffre record de 3 milliards d’euros de fusions et acquisitions pour les neuf premiers mois de l’année 2018 (chiffres du Financial Times), on peut imaginer la quantité de problèmes qui restent à découvrir !
N’ayons pas peur des mots : il s’agit là d’une omission colossale de la part des organisations concernées. Car selon une étude récente du Forum Économique Mondial, les cyberattaques sont devenues la première préoccupation des entreprises en Europe, en Asie et en Amérique du Nord. En donnant la parole à 12 000 chefs d’entreprises dans 140 pays, l’étude a ainsi montré que ces derniers craignent aujourd’hui précisément l’impact de la menace cyber sur leur activité dans les dix prochaines années.
Les risques opérationnels liés à la cybersécurité sont bien entendu exacerbés par la grande complexité des exigences IT modernes, telle que l’intégration de systèmes historiques, la course à la transformation numérique, les défis du Shadow IT (l’utilisation par les collaborateurs de solutions informatiques non approuvées par l’entreprise), et bien entendu les mauvaises pratiques de gestion des données, très courantes parmi les collaborateurs. Ce qui fait que, bien trop souvent, ces facteurs sont ignorés lorsque deux organisations se rapprochent.
Cela conduit à ignorer d’emblée les risques IT inhérents à chaque entité, et plus encore la manière dont ils pourront interagir une fois les deux entreprises fusionnées, potentiellement en donnant naissance à de nouveaux risques.
Voici donc quelques conseils afin d’éviter les pièges les plus connus en la matière :
-
Assurez-vous que la technologie est partie prenante des négociations
La technologie doit être au programme de toutes les discussions. Les éléments à aborder devraient inclure à minima les spécificités de l’industrie concernée, les différentes implantations technologiques et la nature des produits ou services fournis. Il est vital pour les entreprises concernées d’étudier de près tous les risques cyber auxquels elles font face, ainsi que ceux liés à la protection des données à caractère personnel. Il faudra apporter un soin tout particulier à l’évolution potentielle de ces risques et l’impact qu’ils pourront avoir à travers la nouvelle organisation. La transparence doit être le maître-mot. Les cibles d’acquisition devraient être évaluées avec la même rigueur que n’importe quel autre fournisseur tiers. Quelles politiques de sécurité sont mises en œuvre ? Comment est qualifié et contrôlé le personnel ? Quels standards reconnus sont implémentés ?
Il est important de toujours aller plus loin dans les investigations et de se pencher sur tous les incidents de sécurité qui ont pu avoir eu lieu par le passé. Ceux qui ont réussi comme ceux qui ont échoué. Et il est vital d’analyser la réponse qui a été apportée à ces incidents. Ce n’est qu’à ce moment que les deux entreprises pourront s’unir en toute sécurité.
Ignorer l’étendue exacte des incidents de sécurité passés, c’est courir un risque majeur.
-
Considérez l’usage qui est fait de l’information dans un monde post-GDPR
Il est plus que jamais vital de vraiment bien comprendre comment l’entreprise cible collecte et utilise les données à caractère personnel. Et d’autant plus s’il s’agit de données grand public (celles de ses clients, sur un marché B2B par exemple). Si c’est le cas, il est alors absolument nécessaire de passer en revue tous les engagements pris par celle-ci vis-à-vis de l’usage qu’elle fait de ces données. Car en fonction du lieu de résidence de ses clients, il y a de fortes chances pour qu’il faille se conforter à la fois à une législation locale spécifique et au règlement européen sur la protection des données à caractère personnel (GDPR).
L’un des points d’attention particulier concerne notamment la nécessité de recueillir un consentement supplémentaire après la fusion. A défaut, d’anciennes mauvaises pratiques et autres vieilles erreurs de gestion de l’entreprise acquise pourraient ressurgir et conduire la nouvelle entité à devoir payer d’importantes pénalités financières.
-
Désignez un responsable chargé de veiller spécifiquement à l’alignement des infrastructures
Lorsque le contrat est enfin signé, vous devriez sans délai désigner un responsable en charge de l’alignement des infrastructures. Il est essentiel de parfaitement comprendre le réseau, l’architecture des systèmes et les flux de données des deux entreprises, afin de s’éviter bien des ennuis par la suite. Cela devrait notamment inclure la nature des données sensibles qui y sont traitées, où elles sont stockées, et s’assurer que les mesures adéquates sont mises en œuvre pour assurer leur protection. Et il est essentiel de saisir la moindre occasion de rappeler aux collaborateurs l’importance des bonnes pratiques de sécurité lorsqu’ils manipulent des données à caractère personnel.
-
Savoir s’organiser
C’est inévitable. Les pirates considèrent les fusions & acquisitions comme des opportunités de premier ordre pour arriver à leurs fins. Car beaucoup de variables entrent en jeu dans une acquisition réussie. La surface d’attaque augmente donc mécaniquement, et les erreurs, oublis ou mauvaises pratiques peuvent soudain partir dans toutes les directions. Ce qui milite d’autant plus pour donner la priorité à la cybersécurité.
Mais pour cela, il faut un plan solide, bâti pour le long terme et qui jouit du plein support des métiers. Car il est particulièrement important d’agir vite, car la pression sera sur les métiers pour continuer l’activité.
Il est alors facile de tomber dans le travers de l’inaction, d’être paralysé face à la complexité d’un tel plan, la difficulté d’auditer et d’adapter des pratiques et des outils de sécurité très différents à travers des milliers d’applications. Alors oui, décrocher le soutien de toutes les parties prenantes afin d’initier dès le premier jour un véritable audit sérieux de la cybersécurité des deux parties sera peut-être difficile. Mais c’est la seule voie réellement sûre qui s’offre à vous !
