Valeurs et données dans un contexte de transaction
Les vendeurs et les investisseurs définissent généralement une période de temps au cours de laquelle se concentrent différentes analyses des actifs couverts par la transaction potentielle. Enchâssées dans le terme de "due diligence", les réflexions menées peuvent être de différentes natures.
Si les aspects financiers, fiscaux et juridiques sont les classiques du genre, une nouvelle discipline commence à émerger : l'analyse de l'exposition et de la compromission de l'entreprise à des cyberattaques futures ou passées. Si le principe semble simple, la cyberdiligence cache en réalité une variété d'aspects très différents et complémentaires, qui vont bien au-delà de la seule question technique.
La révolution numérique implique une redéfinition du périmètre du risque pour l'entreprise.
L'angle choisi ici est celui de l'analyse d'une cible par l'acheteur. Cependant, tous les domaines abordés dans ce contexte peuvent enrichir une analyse menée par un vendeur avant une transaction.
Comprendre l'environnement cible
Tout comme l'analyse financière d'une entreprise ou d'un actif est éclairée par sa confrontation avec des éléments de comparaison du marché, l'analyse cybernétique est grandement enrichie par la contextualisation de la menace à laquelle l'entité est confrontée. Aussi, avant d'entreprendre une analyse de la cyber-résistance, il convient de comprendre l'écosystème dans lequel l'entreprise opère et ses particularités potentielles.
À l'aide de ces points de référence, l'analyse des investissements et des mécanismes existants en matière de cybersécurité permet de mieux estimer la sensibilisation aux cyberrisques et le niveau de maturité de l'entreprise. Le défi consiste alors à évaluer si ce niveau de risque perçu est approprié par rapport à la menace et aux investissements réalisés.
La menace n'est pas la même pour tous. Bien que toute structure disposant de systèmes connectés à l'internet soit confrontée à des menaces systématiques, les tentatives d'hameçonnage étant les plus connues, certains actifs doivent faire l'objet d'attaques plus ciblées : secteur particulièrement lucratif, activités stratégiques ou politiquement controversées ou entités et secteurs connus pour leur faible investissement technique, etc. Selon la complexité du cas, cette première étape d'une cyberanalyse complète nécessite la mise en relation de diverses compétences. En fonction de la complexité du cas, cette première étape d'une analyse cybernétique complète nécessite la mise en relation de diverses compétences, notamment la connaissance de l'historique des menaces spécifiques au secteur, la réputation et les incidents d'une entreprise, voire le décryptage géopolitique de son marché et du pays dans lequel elle est implantée. Le niveau de menace lié au conflit entre la Russie et l'Ukraine pourrait avoir un impact plus large sur les entreprises alliées au niveau économique ou au niveau de l'approvisionnement logistique (énergie, militaire, humanitaire, etc.). Sur un autre plan, on constate que le secteur hospitalier est largement ciblé par les ransomwares compte tenu de leur exposition, mais aussi de l'amalgame qui existe sans doute chez les attaquants entre le modèle des hôpitaux publics français et celui des hôpitaux privés américains. Dans le cadre d'une activité sensible (la notion d'entité importante ou essentielle a encore été précisée récemment par la directive européenne NIS2 - énergie, transport, finance, acteurs de la santé, etc.
gagne même à s'appuyer sur une analyse globale des risques auxquels l'entreprise est confrontée, parmi lesquels le cyber-risque n'est qu'un élément. Celui-ci doit donc être compris à la fois comme un risque à part entière et comme un risque support de l'étendue des autres risques. Ainsi, une vulnérabilité sur un serveur exposé à l'internet peut entraîner un risque d'exposition médiatique majeure à la suite d'une divulgation de données. En interne, une mauvaise gestion des autorisations sur une application comptable peut altérer la véracité des états financiers de l'entreprise.
Précieuse pour les financeurs, cette première étape peut déboucher sur une étude comparative des pertes causées par les cyberattaques dans le secteur, fournissant ainsi une première conclusion quantifiée.
Si elle est aujourd'hui peu pratiquée, notamment en raison de l'étendue des compétences requises, cette étape préliminaire de l'analyse de la menace dans son ensemble apporte un éclairage très novateur pour la plupart des acteurs économiques. Dans tous les cas, elle permet d'aborder l'analyse des mécanismes internes de l'entreprise, objet de l'étape suivante, avec une compréhension beaucoup plus fine de ses enjeux, sur son marché et dans sa géographie.
Défendre le château...
C'est le point d'attention le plus évident et le mieux connu : les systèmes d'information de la cible sont-ils normalement robustes, c'est-à-dire peuvent-ils résister à des attaques raisonnables ? L'acheteur, au-delà de la question de la sécurité de son actif, cherche à savoir si la cible nécessitera des investissements supplémentaires pour améliorer son blindage ou pour l'aligner sur un niveau de sécurité équivalent à celui de ses autres actifs. Le prix est donc en jeu et ce nouvel élément l'adapte en fonction de ses conclusions, ouvrant un nouveau champ de négociation.
Sans surprise, les questions soulevées par la cyber due diligence soulèvent des questions de normativité et de pratiques de marché. En effet, une protection absolue contre la cybercriminalité est quasiment impossible à garantir, tout étant une question de temps et de moyens mis en œuvre par les attaquants. Il s'agit donc de juger de la résistance raisonnable et des capacités de détection d'un système face à des attaquants professionnels, mais aussi de rechercher l'efficacité pour se tourner vers des cibles plus faciles. En matière de cyber, comme ailleurs, il faut savoir calibrer sa réponse pour disposer d'un niveau de sécurité dans un moyen hautement proportionné au niveau de risque et de menace évalué à l'étape précédente.
Dans la phase de due diligence, il s'agit donc d'informer utilement l'acheteur sur le niveau des risques incorporés sans l'alarmer inutilement. La connaissance du marché et du niveau moyen de protection déployé, acquise dans la phase préliminaire, sera donc un élément clé de la qualité de l'analyse proposée pour maintenir une recommandation raisonnable, qui éclaire de manière équilibrée les négociations autour du prix.
Pour ce faire, quelles sont les pratiques admises dans la phase de due diligence pour réaliser une analyse interne ? Deux grands types de travaux seront distingués :
- Il peut d'abord s'agir d'une analyse sur une base documentaire ou de reporting : compréhension des systèmes, régularité des travaux de maintenance et des sauvegardes, tests, conclusions des tests effectués et des corrections apportées, niveau d'obsolescence de la base installée et de la dette technique, structuration des équipes informatiques, etc. Ces travaux donnent un aperçu de l'attention et des moyens mis en œuvre par la cible pour la gestion des cyber-risques. Ce mode opératoire est fréquemment accepté par les vendeurs. Il nécessite environ deux à quatre semaines de travail, ce qui est parfaitement compatible avec le temps alloué aux autres due diligences. Ce travail implique souvent une bonne coordination avec les équipes de la cible afin d'initier un dialogue efficace.
- Moins courant, l'exercice de test de pénétration (Pentest) vise à obtenir une mesure indépendante de la stabilité de l'appareil en recherchant des vulnérabilités, c'est-à-dire en tentant de s'introduire dans les systèmes de la cible, soit de l'extérieur, soit en accédant au réseau de l'entreprise. Ce travail s'arrête dès que l'accès est obtenu et ne va jamais jusqu'à la copie d'informations.
Cependant, ces tests sont évidemment plus intrusifs et impliquent un accord formel du vendeur. Ils sont limités dans le temps et dans leur portée : la mise en œuvre est finalement simple et rapide, car elle ne nécessite pas le recours aux équipes de la cible, et cette dernière peut également poursuivre son activité courante. Ces situations sont courantes, voire réglementaires, lorsque la cybersécurité est au cœur de l'activité de l'entreprise ou dans des secteurs particulièrement exposés. Les processus concurrentiels des fusions-acquisitions se prêtent évidemment plus difficilement à ce mode de due diligence, à moins de passer à l'exclusivité, ce qui donne généralement quelques semaines supplémentaires pour mener à bien ces investigations.
...mais pour quel trésor ?
C'est le dernier aspect de la cyberanalyse. Après la résistance du mur d'enceinte, il faut s'assurer que les biens mis en vente ont conservé leur valeur et ne sont pas en train de la perdre ou pire de la détruire. Nous distinguerons également deux types de travaux, tous deux radicalement différents :
- D'une part, la recherche de fuites de données sensibles qui peuvent déjà circuler sur l'internet, voire être en vente sur des forums criminels,
- D'autre part, la recherche de compromissions, c'est-à-dire d'intrusions passées ou existantes dans les systèmes afin de placer des systèmes actifs ou des systèmes d'information sur le marché.
des logiciels malveillants prépositionnés dans l'attente de leur activation (espionnage, cryptage et ransomware). Là encore, les secteurs à forte exposition ou de haute technologie incorporant de la R&D et des actifs incorporels sont particulièrement exposés. Tous les coups sont permis : par exemple, la généralisation des services gérés a favorisé depuis quelques années l'émergence d'attaques dites "de la chaîne d'approvisionnement".
Elles consistent à se présenter à un sous-traitant ou, dans le cas présent, à une entreprise en cours d'acquisition, en vue de remonter ensuite jusqu'à la cible finale. Cette attaque a également un effet multiplicateur pour le cybercriminel, puisqu'elle permet de cibler l'ensemble des clients de ce sous-traitant.
Conclusion
La réalité de la cybermenace et la prise de conscience des investisseurs et des dirigeants accélèrent considérablement le développement de ce travail. L'analyse des renseignements sur les cybermenaces (CTI) montre que les fonds d'investissement sont ciblés comme d'autres secteurs. Qui sait si les attaquants peuvent imaginer que ces entreprises sont plus enclines à payer les rançons demandées ? Aujourd'hui, les clients de cette due diligence sont souvent d'anciennes victimes qui ont douloureusement pris conscience de l'enjeu de ces analyses. Le niveau de maturité des agents sur ce sujet est encore variable et la compréhension des enjeux cybernétiques trop souvent limitée aux seules rançons. Les comportements sont donc encore imprégnés du "syndrome de l'alarme" où l'installation se fait la plupart du temps... après le vol.
Cependant, la révolution numérique entraîne une succession de nouveaux défis : l'espionnage industriel à grande échelle, privé ou étatique, la paralysie des entreprises, la marchandisation des données et la protection de la vie privée sont des questions qui dépassent de loin le simple piratage et exigent que la gestion des données soit intégrée à tous les stades du développement de l'entreprise. Il en va de la protection du modèle d'entreprise, de ses employés et, plus généralement, du rôle sociétal de l'entreprise.
Les phases de transaction sont donc par nature des moments de tension qui invitent les acteurs économiques à élargir leur champ d'analyse habituel.
Arnaud Pilon - Responsable des activités de réponse aux incidents - Synacktiv
Arthur Couvreur - Administrateur - Accuracy
Nicolas Bourdon - Associé - Accuracy