4 raisons d’utiliser les cotes de sécurité avant votre prochaine acquisition

Accueil / Analyse / Sécurité / 4 raisons d’utiliser les cotes de sécurité avant votre prochaine acquisition

Pendant des années, la cybersécurité a été considérée comme une discussion «à cocher» lors du processus de fusion et acquisition (M & A). Il a presque toujours été examiné pour s’assurer qu’il n’y avait pas de problèmes flagrants ou de grands drapeaux rouges – mais en raison de ressources temporelles limitées, ou de la capacité à analyser les réponses qualitatives pendant M & A à partir des performances réelles, il n’y avait pas beaucoup de l’importance qui lui est accordée. Très peu de transactions seraient empêchées en raison des pratiques de cybersécurité aujourd’hui, mais chaque M & A nécessite une analyse de rentabilité financière créée indépendamment. Cela peut être aussi simple que d’évaluer les coûts d’intégration.

Vous êtes probablement au courant de la violation de la sécurité chez les détaillants de luxe, Saks Fifth Avenue et Lord & amp; Taylor, cette information de carte de paiement compromise pour plus de 5 millions de clients. Par conséquent, la Compagnie de la Baie d’Hudson (CBH), qui a acquis Saks et a fait venir la chaîne de magasins au Canada il y a cinq ans, a subi une baisse de 6,2% des actions le jour suivant. Bien que HBC ait été en mesure de récupérer rapidement, l’histoire a montré que le manque de diligence raisonnable en matière de cybersécurité pendant ou après le processus d’acquisition peut être dévastateur pour l’organisation acquéreuse.

La réduction du prix de Yahoo, suite à l’acquisition par Verizon, est une démonstration claire de l’impact commercial. Suite à l’apparition de deux violations majeures de données Yahoo, Verizon a annoncé en février 2017 avoir atteint de nouvelles conditions d’acquisition. Après une lente progression des acquisitions suite aux violations de données, Verizon a baissé son prix d’achat de Yahoo pour 350 millions de dollars, à 4,48 milliards de dollars.

Jusqu’à récemment, la due diligence en matière de cybersécurité consistait en un ensemble de questions que l’entreprise acquéreuse présentait à l’entreprise cible, peut-être une visite sur place ou un appel téléphonique. Aujourd’hui, la sécurité est une question de conseil d’administration, et les implications qui en découlent peuvent sérieusement diminuer la valeur d’une organisation future, en particulier en ce qui concerne les données sensibles et la propriété intellectuelle. Ceux-ci ont un impact direct sur votre capacité à faire des affaires et par conséquent sur l’évaluation de l’affaire (Yahoo a perdu 350M dans la valeur du prix d’achat après la divulgation).

Généralement, les évaluations réalisées pour mesurer le cyberrisque sont des évaluations ponctuelles, telles que des audits, des questionnaires, des tests de pénétration, etc. Cependant, ceux-ci fournissent seulement un instantané dans le temps de la vraie posture de sécurité. Les entreprises qui s’appuient sur ce type de reporting, notamment dans le cadre du processus M & A, devraient envisager un suivi plus continu de l’activité qu’elles envisagent d’acquérir ainsi que de son écosystème tiers afin d’atténuer tout risque pouvant affecter leur organisation lors de l’acquisition. .

Heureusement, il existe des outils de notation de sécurité disponibles qui peuvent vous aider à comprendre la véritable posture de cybersécurité de votre acquisition. Les cotes de sécurité ressemblent beaucoup aux cotes de crédit, car elles mesurent la posture de sécurité d’une organisation. Ce sont des outils objectifs qui fournissent une méthode normalisée de déclaration des risques au conseil d’une manière significative.

Vous trouverez ci-dessous une liste de vérification de la vigilance relative à la sécurité de l’information, qui met en évidence les quatre raisons pour lesquelles vous devriez envisager d’utiliser les cotes de sécurité avant, pendant et après toute fusion ou acquisition.

1. Il vous permet d’économiser de l’argent dans l’avenir immédiat

Vous vous souvenez probablement du fiasco médiatisé entre TIO Networks basé au Canada et PayPal: la société de traitement des paiements a été acquise par PayPal en juillet 2017 pour 238 millions de dollars. Quelques mois seulement après l’acquisition, TIO Networks a révélé que jusqu’à 1,6 million de ses clients pouvaient avoir volé des informations personnelles dans une violation de données. Les sociétés qui effectuent une vérification diligente de la position de sécurité des cibles d’acquisition à l’aide des cotes de sécurité examinent les données de sécurité historiques et peuvent utiliser ces informations pour mieux structurer les opérations M & A. Si leur objectif d’acquisition a un historique long ou constant de problèmes de sécurité, ils peuvent être en mesure de négocier un prix de vente inférieur pour contrer les cyberrisques potentiels. Plus important encore, les sociétés acquéreuses peuvent également être en mesure d’aider les cibles à améliorer leur posture de sécurité, réduisant ainsi le niveau de risque encouru à la suite de la transaction.

2. Il vous fait économiser de l’argent à long terme

Alors que certaines entreprises ont été violées lors d’une transaction de fusion ou d’acquisition, d’autres ont été violées bien après la transaction. Un bon exemple est l’achat par TripAdvisor de Viator en 2014, une société de réservation de voyages. Quelques semaines à peine après la fin de la transaction, le fournisseur de services de cartes de paiement de Viator a annoncé que des frais non autorisés avaient été imputés à de nombreuses cartes de crédit de ses clients. La violation a touché 1,4 million d’utilisateurs et entraîné une baisse de 4% du cours de l’action de TripAdvisor. Les cotes de sécurité peuvent aider. Les cotes de sécurité sont corrélées à la probabilité d’une violation. Par conséquent, si la cote d’une cible d’acquisition indique qu’elle court le risque d’une cyberattaque future, l’entreprise acquérante hérite de ce risque dans le cadre de la transaction.

3. Il facilite la collaboration entre l’acquéreur et sa cible

Comme les entreprises acquéreuses héritent de l’empreinte digitale des organisations qu’elles achètent, les services de sécurité et de gestion des risques des deux organisations doivent disposer d’un moyen simple et efficace de collaborer et de planifier un investissement d’intégration approprié.

  • Les organisations acquéreuses peuvent inviter n’importe quelle entreprise cible à examiner gratuitement leur propre infrastructure numérique et leur position de sécurité.
  • Les entreprises cibles peuvent ensuite utiliser la plate-forme pour examiner leur propre infrastructure numérique, y compris les adresses IP et les domaines qui leur appartiennent. C’est une étape très importante car de nombreuses entreprises possèdent souvent un espace IP qu’ils n’ont peut-être pas pris en compte. L’organisation acquérante doit savoir précisément ce qui est consolidé, car une fois l’accord finalisé, l’entreprise acquéreuse dispose d’une surface d’attaque beaucoup plus importante. Elle doit donc être consciente de toute infection ou problème afin de pouvoir contrôler adéquatement la situation.

4. Il vous donne un avantage commercial concurrentiel

Aujourd’hui, la cybersécurité est un facteur de différenciation, et les organisations qui ont une bonne cote de sécurité peuvent l’utiliser comme argument de vente. Par exemple, un cabinet d’avocats hautement qualifié serait considéré comme plus digne de confiance. La même idée peut être appliquée aux acquisitions. Acquérir une entreprise avec une bonne posture de sécurité pourrait être un geste stratégique, car il pourrait soit renforcer ou améliorer la posture et la stratégie de sécurité de votre entreprise.

En un mot, l’utilisation des cotes de sécurité est une étape cruciale pour surveiller en permanence votre acquisition avant, pendant et après un accord M & A. Sans ce regard en temps réel sur la posture et les performances de sécurité de votre cible, vous pourriez vous retrouver avec des vulnérabilités qui pourraient causer des dommages majeurs si elles sont exploitées. En effet, la firme d’analyse Gartner a publié un rapport de M & A plus tôt cette année indiquant l’importance de la cybersécurité dans le processus de diligence raisonnable. Non seulement cela permettra à votre organisation d’économiser de l’argent immédiatement, mais elle préviendra également le risque de pertes financières futures, en aidant votre collaboration avec la société cible et en améliorant vos perspectives commerciales. Pour plus d’informations, vous pouvez télécharger cette fiche technique.