Fusion-Acquisition : la cybersécurité doit faire partie de la transaction

0
119

Les actionnaires de Fiat Chrysler Automobiles et de PSA, constructeur français des marques Peugeot, Citroën et Opel, ont voté lundi 4 janvier leur fusion afin d’acquérir l’envergure nécessaire pour survivre dans une industrie en proie à l’évolution technologique et frappée par la pandémie. La nouvelle société, qui s’appellera Stellantis, emploiera 400 000 personnes.

Tribune par Laurent Nezot, Sales Director France chez Yubico – Au-delà des défis économiques liés à une fusion, la question de la cybersécurité tient une place centrale. Laurent Nezot, Sales Director France chez Yubico, explique en effet que dans le cadre d’une telle transaction, une organisation devient une cible attrayante pour les cybercriminels et ne doit donc en aucun cas négliger sa cybersécurité : 

« La plupart des grandes organisations qui fusionnent disposent des moyens financiers et humains nécessaires, avec des RSSI et DSI solides et performantes pour garantir un haut niveau de cybersécurité, en amont de la transaction puis une fois finalisée. Toutefois, il arrive que des entreprises engageant ce processus n’aient pas une connaissance parfaite de l’environnement qui résulte de cette opération, que ce soit en termes de personnes, d’infrastructures, de chaînes d’approvisionnement et de partenaires technologiques.

Lorsque l’analyse de l’infrastructure et des données de l’entreprise acquise n’est pas effectuée rapidement, les organisations acquéreuses sont susceptibles d’être exposées à des vulnérabilités technologiques non traitées, des violations internes préexistantes ou encore des approches incohérentes en matière de gouvernance des données ; des failles qui peuvent avoir des conséquences graves sur le long terme si elles ne sont pas détectées, telles qu’une chute de la valeur boursière, un vol de propriété intellectuelle ou encore une dégradation d’image considérable. L’identification des risques éventuels est donc une étape cruciale.

De plus, la grande majorité des violations de la sécurité informatique sont dues à des identifiants de connexion volés ou faibles, et le vecteur d’attaque le plus courant est le phishing. Dans sa forme la plus classique, cette méthode consiste à tromper les utilisateurs pour qu’ils téléchargent un fichier ou révèlent des données sensibles sur un site web frauduleux. Les nouvelles attaques de phishing les plus sophistiquées compromettent les comptes sans que l’utilisateur ne s’en rende compte. En réalité, la majorité des attaques visant les réseaux d’entreprises sont causées par une attaque de phishing réussie. Pour lutter contre cette menace, les RSSI et DSI ont tout intérêt à opter pour une sécurité « Zero Trust » des accès aux réseaux, aux applications et à l’environnement IT dans son ensemble, et dont l’authentification multifacteurs (MFA) est le piller.

Enfin, les deux entreprises doivent s’assurer que leurs cultures de sécurité sont alignées. La culture est en effet un élément capital, le socle commun qui permet à l’organisation nouvellement constituée d’engager les collaborateurs dans un seul et même objectif. Aussi, la cybersécurité ne repose pas uniquement sur des technologies, mais également sur l’humain, bien souvent le maillon faible en matière de cybersécurité. Dans le cadre de ce processus, chaque entreprise qui vient d’opérer une fusion ou une acquisition devrait organiser régulièrement des formations de sensibilisation à la sécurité et appliquer des mesures de base, comme par exemple la généralisation de l’authentification multifacteurs pour accéder au réseau de l’organisation. Et ces bonnes pratiques doivent être l’affaire de tous, quel que soit le poste occupé, car le moindre manquement peut faire l’objet de procédures, comme c’est le cas actuellement pour les dirigeants de SolarWinds, poursuivis en justice par les actionnaires pour les avoir trompés sur les pratiques de sécurité. 

Les cybercriminels sont à l’affût de la moindre faille et les périodes de crise ainsi que celles de transition sont généralement propices pour mener des attaques. Dans le cadre d’une fusion-acquisition, les organisations concernées ont donc tout intérêt à établir une solide stratégie de cybersécurité en amont de l’opération, et après, et à instaurer une culture de sécurité commune, afin d’éviter les mauvaises surprises. »