350 millions de dollars. La ristourne obtenue par Verizon dans le rachat de Yahoo s’avère conséquente, mais il est difficile de mesurer l’impact sur la réputation de Yahoo, les conséquences du feuilleton médiatique et le devenir des informations du milliard de comptes piratés. Pourtant une simple analyse de sécurité en amont aurait pu éviter ce “Yahoogate” et réduire la facture de quelques millions supplémentaires.

Évitez les mauvaises surprises avant d’acheter une entreprise

Altice vient de s’offrir la pépite française Teads pour 285 millions d’euros. Cette acquisition est parfaite pour le développement du groupe sur le segment de la vidéo publicitaire mais a-t-elle pris le soin de juger de son investissement sur le plan de la sécurité informatique ?

Les entreprises le savent depuis plusieurs années, la cybersécurité a une incidence directe sur l’activité de l’entreprise. Que ce soit la réputation, la base de données clients, le CRM, le site internet, les données personnelles… tous les actifs tangibles et intangibles vont souffrirent en cas de cyber-attaque.

Dès lors, il devient impératif de prendre en compte la valeur du risque informatique pour formuler une offre d’achat. La difficulté réside dans le fait de connaître et savoir mesurer le niveau de sécurité du vendeur afin d’anticiper les futures dépenses de [re]mise en conformité.

Au même titre que les analyses financières et commerciales, l’analyse de sécurité sous forme d’audit va dresser un état général du niveau de sécurité de l’entreprise. Elle va même aller au delà de ce simple état en révélant les politiques de sécurité mises en place. En effet, un audit détectant des vulnérabilités critiques connues depuis plusieurs années sera le signe d’une mauvaise gestion des priorités et d’un travail incomplet du responsable de la sécurité du système d’information. Cela peut résulter d’un manque de moyens ou de ressources compétentes, qui devront être comblés par des investissements supplémentaires. Des indicateurs de risque basés sur les standards français (ANSSI[1]) ou étrangers (CIS[2], OWASP[3], PCI DSS[4]) sont parfaits pour vérifier l’application des bonnes pratiques de sécurité.

Allez plus loin grâce à l’analyse continue

L’audit de sécurité est nécessaire pour connaître le niveau de risque d’une entreprise avant son acquisition. Il donnera des indications sur les failles de sécurité à une date donnée. Cependant, le processus de fusion/acquisition s’étale sur plusieurs mois. Quand on sait qu’en 2016, pas moins de 10 317 nouvelles vulnérabilités ont été détectées, soit une moyenne de 28 par jour, la question de son efficacité peut être mise en cause. Encore dernièrement, deux équipes de chercheurs ont révélé de nombreuses vulnérabilités sur les hyperviseurs VMware Workstation et Microsoft Hyper-V. L’audit est donc une première analyse pour améliorer sa visibilité avant de mettre en place une récurrence. L’analyse continue est la seule solution pertinente pour lutter efficacement, au quotidien, contre les nouvelles vulnérabilités. La direction des systèmes d’information doit mettre en place un plan d’action pour traiter le problème à la racine. A ce jour, la réactivité des équipes de sécurité est primordiale pour réduire rapidement le risque d’attaque. Les entreprises doivent donc s’équiper d’un système d’alertes – certaines solutions de détection le proposent nativement – qui améliorera le temps de traitement des éléments détectés.

Autre avantage de cette politique de sécurité renforcée, la présence d’un suivi chronologique du niveau de risque. L’acheteur pourra identifier les actions menées par le vendeur avant la décision d’achat ou, si aucune solution d’analyse continue n’était en place, pendant le processus d’achat.

Pondérez l’offre d’achat suivant le niveau de risque informatique

Et si vous pouviez déjà bénéficier du retour sur investissement avant même l’achat de l’entreprise visée ? En investissant dans une solution de surveillance continue du risque informatique, l’acheteur va mettre en évidence les carences en termes de sécurité du vendeur (98% des analyses révèlent des vulnérabilités selon nos propres statistiques). Dès lors, il pourra imputer, au prix d’achat, le coût de la remédiation, du risque d’attaque informatique et des éventuelles poursuites judiciaires (Yahoo a provisionné un milliard de dollars suite aux piratages de ses comptes clients). D’une part, l’acheteur réduit son investissement de départ et d’autre part, il diminue l’aléa moral. Il protège sa réputation et annihile le risque juridique lié aux cyber-attaques afin de se concentrer sur les synergies espérées.

Une étude de NYSE Governance Services, menée auprès de 276 directeurs de fonds d’investissement, indique que la découverte de vulnérabilités majeures suite à un audit affecterait la décision d’achat de 85% des répondants. 22% d’entre eux renonceraient même à faire une offre d’achat si des vulnérabilités critiques étaient présentes.

Il est important de préciser que de nombreuses vulnérabilités détectées ne présentent pas un risque majeur pour le business. D’où l’enjeu, tant pour l’investisseur que pour le vendeur, d’obtenir des indicateurs de performance clairs et compréhensibles par un profil non technique.

Les entreprises de services du numérique sont prisées : Snapchat, valorisé à 30 milliards de dollars suite à son entrée en Bourse, en est l’exemple. Mais les investisseurs ont-ils vérifié son niveau de risque avant de se porter acquéreur de ses actions ?

Acheter une entreprise revient à acheter ses données, son passé, son présent et son futur. Les conséquences économiques des failles de sécurité peuvent être désastreuses pour un investisseur. Autant mettre toutes les chances de son côté pour éviter les mauvaises surprises, surtout quand on ne peut pas estimer leurs coûts. Si vous souhaitez gagner plusieurs millions d’euros avant d’investir, vous savez ce qu’il vous reste à faire.

________
Sergio Loureiro est PDG de SecludIT

[1] ANSSI : Agence Nationale de la Sécurité des Systèmes d’Information
[2] CIS : Center for Internet Security
[3] OWAPS : Open Web Application Security Project
[4] PCI DSS : Payment Card Industry Data Security Standard