Les vendeurs et les investisseurs d\u00e9finissent g\u00e9n\u00e9ralement une p\u00e9riode de temps au cours de laquelle se concentrent diff\u00e9rentes analyses des actifs couverts par la transaction potentielle. Ench\u00e2ss\u00e9es dans le terme de \"due diligence\", les r\u00e9flexions men\u00e9es peuvent \u00eatre de diff\u00e9rentes natures.<\/p>\n
Si les aspects financiers, fiscaux et juridiques sont les classiques du genre, une nouvelle discipline commence \u00e0 \u00e9merger : l'analyse de l'exposition et de la compromission de l'entreprise \u00e0 des cyberattaques futures ou pass\u00e9es. Si le principe semble simple, la cyberdiligence cache en r\u00e9alit\u00e9 une vari\u00e9t\u00e9 d'aspects tr\u00e8s diff\u00e9rents et compl\u00e9mentaires, qui vont bien au-del\u00e0 de la seule question technique.<\/p>\n
La r\u00e9volution num\u00e9rique implique une red\u00e9finition du p\u00e9rim\u00e8tre du risque pour l'entreprise.
\nL'angle choisi ici est celui de l'analyse d'une cible par l'acheteur. Cependant, tous les domaines abord\u00e9s dans ce contexte peuvent enrichir une analyse men\u00e9e par un vendeur avant une transaction.<\/p>\n
Tout comme l'analyse financi\u00e8re d'une entreprise ou d'un actif est \u00e9clair\u00e9e par sa confrontation avec des \u00e9l\u00e9ments de comparaison du march\u00e9, l'analyse cybern\u00e9tique est grandement enrichie par la contextualisation de la menace \u00e0 laquelle l'entit\u00e9 est confront\u00e9e. Aussi, avant d'entreprendre une analyse de la cyber-r\u00e9sistance, il convient de comprendre l'\u00e9cosyst\u00e8me dans lequel l'entreprise op\u00e8re et ses particularit\u00e9s potentielles.<\/p>\n
\u00c0 l'aide de ces points de r\u00e9f\u00e9rence, l'analyse des investissements et des m\u00e9canismes existants en mati\u00e8re de cybers\u00e9curit\u00e9 permet de mieux estimer la sensibilisation aux cyberrisques et le niveau de maturit\u00e9 de l'entreprise. Le d\u00e9fi consiste alors \u00e0 \u00e9valuer si ce niveau de risque per\u00e7u est appropri\u00e9 par rapport \u00e0 la menace et aux investissements r\u00e9alis\u00e9s.
\nLa menace n'est pas la m\u00eame pour tous. Bien que toute structure disposant de syst\u00e8mes connect\u00e9s \u00e0 l'internet soit confront\u00e9e \u00e0 des menaces syst\u00e9matiques, les tentatives d'hame\u00e7onnage \u00e9tant les plus connues, certains actifs doivent faire l'objet d'attaques plus cibl\u00e9es : secteur particuli\u00e8rement lucratif, activit\u00e9s strat\u00e9giques ou politiquement controvers\u00e9es ou entit\u00e9s et secteurs connus pour leur faible investissement technique, etc. Selon la complexit\u00e9 du cas, cette premi\u00e8re \u00e9tape d'une cyberanalyse compl\u00e8te n\u00e9cessite la mise en relation de diverses comp\u00e9tences. En fonction de la complexit\u00e9 du cas, cette premi\u00e8re \u00e9tape d'une analyse cybern\u00e9tique compl\u00e8te n\u00e9cessite la mise en relation de diverses comp\u00e9tences, notamment la connaissance de l'historique des menaces sp\u00e9cifiques au secteur, la r\u00e9putation et les incidents d'une entreprise, voire le d\u00e9cryptage g\u00e9opolitique de son march\u00e9 et du pays dans lequel elle est implant\u00e9e. Le niveau de menace li\u00e9 au conflit entre la Russie et l'Ukraine pourrait avoir un impact plus large sur les entreprises alli\u00e9es au niveau \u00e9conomique ou au niveau de l'approvisionnement logistique (\u00e9nergie, militaire, humanitaire, etc.). Sur un autre plan, on constate que le secteur hospitalier est largement cibl\u00e9 par les ransomwares compte tenu de leur exposition, mais aussi de l'amalgame qui existe sans doute chez les attaquants entre le mod\u00e8le des h\u00f4pitaux publics fran\u00e7ais et celui des h\u00f4pitaux priv\u00e9s am\u00e9ricains. Dans le cadre d'une activit\u00e9 sensible (la notion d'entit\u00e9 importante ou essentielle a encore \u00e9t\u00e9 pr\u00e9cis\u00e9e r\u00e9cemment par la directive europ\u00e9enne NIS2 - \u00e9nergie, transport, finance, acteurs de la sant\u00e9, etc.
\ngagne m\u00eame \u00e0 s'appuyer sur une analyse globale des risques auxquels l'entreprise est confront\u00e9e, parmi lesquels le cyber-risque n'est qu'un \u00e9l\u00e9ment. Celui-ci doit donc \u00eatre compris \u00e0 la fois comme un risque \u00e0 part enti\u00e8re et comme un risque support de l'\u00e9tendue des autres risques. Ainsi, une vuln\u00e9rabilit\u00e9 sur un serveur expos\u00e9 \u00e0 l'internet peut entra\u00eener un risque d'exposition m\u00e9diatique majeure \u00e0 la suite d'une divulgation de donn\u00e9es. En interne, une mauvaise gestion des autorisations sur une application comptable peut alt\u00e9rer la v\u00e9racit\u00e9 des \u00e9tats financiers de l'entreprise.<\/p>\n
Pr\u00e9cieuse pour les financeurs, cette premi\u00e8re \u00e9tape peut d\u00e9boucher sur une \u00e9tude comparative des pertes caus\u00e9es par les cyberattaques dans le secteur, fournissant ainsi une premi\u00e8re conclusion quantifi\u00e9e.<\/p>\n
Si elle est aujourd'hui peu pratiqu\u00e9e, notamment en raison de l'\u00e9tendue des comp\u00e9tences requises, cette \u00e9tape pr\u00e9liminaire de l'analyse de la menace dans son ensemble apporte un \u00e9clairage tr\u00e8s novateur pour la plupart des acteurs \u00e9conomiques. Dans tous les cas, elle permet d'aborder l'analyse des m\u00e9canismes internes de l'entreprise, objet de l'\u00e9tape suivante, avec une compr\u00e9hension beaucoup plus fine de ses enjeux, sur son march\u00e9 et dans sa g\u00e9ographie.<\/p>\n
C'est le point d'attention le plus \u00e9vident et le mieux connu : les syst\u00e8mes d'information de la cible sont-ils normalement robustes, c'est-\u00e0-dire peuvent-ils r\u00e9sister \u00e0 des attaques raisonnables ? L'acheteur, au-del\u00e0 de la question de la s\u00e9curit\u00e9 de son actif, cherche \u00e0 savoir si la cible n\u00e9cessitera des investissements suppl\u00e9mentaires pour am\u00e9liorer son blindage ou pour l'aligner sur un niveau de s\u00e9curit\u00e9 \u00e9quivalent \u00e0 celui de ses autres actifs. Le prix est donc en jeu et ce nouvel \u00e9l\u00e9ment l'adapte en fonction de ses conclusions, ouvrant un nouveau champ de n\u00e9gociation.<\/p>\n
Sans surprise, les questions soulev\u00e9es par la cyber due diligence soul\u00e8vent des questions de normativit\u00e9 et de pratiques de march\u00e9. En effet, une protection absolue contre la cybercriminalit\u00e9 est quasiment impossible \u00e0 garantir, tout \u00e9tant une question de temps et de moyens mis en \u0153uvre par les attaquants. Il s'agit donc de juger de la r\u00e9sistance raisonnable et des capacit\u00e9s de d\u00e9tection d'un syst\u00e8me face \u00e0 des attaquants professionnels, mais aussi de rechercher l'efficacit\u00e9 pour se tourner vers des cibles plus faciles. En mati\u00e8re de cyber, comme ailleurs, il faut savoir calibrer sa r\u00e9ponse pour disposer d'un niveau de s\u00e9curit\u00e9 dans un moyen hautement proportionn\u00e9 au niveau de risque et de menace \u00e9valu\u00e9 \u00e0 l'\u00e9tape pr\u00e9c\u00e9dente.<\/p>\n
Dans la phase de due diligence, il s'agit donc d'informer utilement l'acheteur sur le niveau des risques incorpor\u00e9s sans l'alarmer inutilement. La connaissance du march\u00e9 et du niveau moyen de protection d\u00e9ploy\u00e9, acquise dans la phase pr\u00e9liminaire, sera donc un \u00e9l\u00e9ment cl\u00e9 de la qualit\u00e9 de l'analyse propos\u00e9e pour maintenir une recommandation raisonnable, qui \u00e9claire de mani\u00e8re \u00e9quilibr\u00e9e les n\u00e9gociations autour du prix.<\/p>\n
Pour ce faire, quelles sont les pratiques admises dans la phase de due diligence pour r\u00e9aliser une analyse interne ? Deux grands types de travaux seront distingu\u00e9s :<\/p>\n
- Il peut d'abord s'agir d'une analyse sur une base documentaire ou de reporting : compr\u00e9hension des syst\u00e8mes, r\u00e9gularit\u00e9 des travaux de maintenance et des sauvegardes, tests, conclusions des tests effectu\u00e9s et des corrections apport\u00e9es, niveau d'obsolescence de la base install\u00e9e et de la dette technique, structuration des \u00e9quipes informatiques, etc. Ces travaux donnent un aper\u00e7u de l'attention et des moyens mis en \u0153uvre par la cible pour la gestion des cyber-risques. Ce mode op\u00e9ratoire est fr\u00e9quemment accept\u00e9 par les vendeurs. Il n\u00e9cessite environ deux \u00e0 quatre semaines de travail, ce qui est parfaitement compatible avec le temps allou\u00e9 aux autres due diligences. Ce travail implique souvent une bonne coordination avec les \u00e9quipes de la cible afin d'initier un dialogue efficace.
\n- Moins courant, l'exercice de test de p\u00e9n\u00e9tration (Pentest) vise \u00e0 obtenir une mesure ind\u00e9pendante de la stabilit\u00e9 de l'appareil en recherchant des vuln\u00e9rabilit\u00e9s, c'est-\u00e0-dire en tentant de s'introduire dans les syst\u00e8mes de la cible, soit de l'ext\u00e9rieur, soit en acc\u00e9dant au r\u00e9seau de l'entreprise. Ce travail s'arr\u00eate d\u00e8s que l'acc\u00e8s est obtenu et ne va jamais jusqu'\u00e0 la copie d'informations.<\/p>\n
Cependant, ces tests sont \u00e9videmment plus intrusifs et impliquent un accord formel du vendeur. Ils sont limit\u00e9s dans le temps et dans leur port\u00e9e : la mise en \u0153uvre est finalement simple et rapide, car elle ne n\u00e9cessite pas le recours aux \u00e9quipes de la cible, et cette derni\u00e8re peut \u00e9galement poursuivre son activit\u00e9 courante. Ces situations sont courantes, voire r\u00e9glementaires, lorsque la cybers\u00e9curit\u00e9 est au c\u0153ur de l'activit\u00e9 de l'entreprise ou dans des secteurs particuli\u00e8rement expos\u00e9s. Les processus concurrentiels des fusions-acquisitions se pr\u00eatent \u00e9videmment plus difficilement \u00e0 ce mode de due diligence, \u00e0 moins de passer \u00e0 l'exclusivit\u00e9, ce qui donne g\u00e9n\u00e9ralement quelques semaines suppl\u00e9mentaires pour mener \u00e0 bien ces investigations.<\/p>\n
C'est le dernier aspect de la cyberanalyse. Apr\u00e8s la r\u00e9sistance du mur d'enceinte, il faut s'assurer que les biens mis en vente ont conserv\u00e9 leur valeur et ne sont pas en train de la perdre ou pire de la d\u00e9truire. Nous distinguerons \u00e9galement deux types de travaux, tous deux radicalement diff\u00e9rents :<\/p>\n
- D'une part, la recherche de fuites de donn\u00e9es sensibles qui peuvent d\u00e9j\u00e0 circuler sur l'internet, voire \u00eatre en vente sur des forums criminels,
\n- D'autre part, la recherche de compromissions, c'est-\u00e0-dire d'intrusions pass\u00e9es ou existantes dans les syst\u00e8mes afin de placer des syst\u00e8mes actifs ou des syst\u00e8mes d'information sur le march\u00e9.
\ndes logiciels malveillants pr\u00e9positionn\u00e9s dans l'attente de leur activation (espionnage, cryptage et ransomware). L\u00e0 encore, les secteurs \u00e0 forte exposition ou de haute technologie incorporant de la R&D et des actifs incorporels sont particuli\u00e8rement expos\u00e9s. Tous les coups sont permis : par exemple, la g\u00e9n\u00e9ralisation des services g\u00e9r\u00e9s a favoris\u00e9 depuis quelques ann\u00e9es l'\u00e9mergence d'attaques dites \"de la cha\u00eene d'approvisionnement\".<\/p>\n
Elles consistent \u00e0 se pr\u00e9senter \u00e0 un sous-traitant ou, dans le cas pr\u00e9sent, \u00e0 une entreprise en cours d'acquisition, en vue de remonter ensuite jusqu'\u00e0 la cible finale. Cette attaque a \u00e9galement un effet multiplicateur pour le cybercriminel, puisqu'elle permet de cibler l'ensemble des clients de ce sous-traitant.<\/p>\n
La r\u00e9alit\u00e9 de la cybermenace et la prise de conscience des investisseurs et des dirigeants acc\u00e9l\u00e8rent consid\u00e9rablement le d\u00e9veloppement de ce travail. L'analyse des renseignements sur les cybermenaces (CTI) montre que les fonds d'investissement sont cibl\u00e9s comme d'autres secteurs. Qui sait si les attaquants peuvent imaginer que ces entreprises sont plus enclines \u00e0 payer les ran\u00e7ons demand\u00e9es ? Aujourd'hui, les clients de cette due diligence sont souvent d'anciennes victimes qui ont douloureusement pris conscience de l'enjeu de ces analyses. Le niveau de maturit\u00e9 des agents sur ce sujet est encore variable et la compr\u00e9hension des enjeux cybern\u00e9tiques trop souvent limit\u00e9e aux seules ran\u00e7ons. Les comportements sont donc encore impr\u00e9gn\u00e9s du \"syndrome de l'alarme\" o\u00f9 l'installation se fait la plupart du temps... apr\u00e8s le vol.<\/p>\n
Cependant, la r\u00e9volution num\u00e9rique entra\u00eene une succession de nouveaux d\u00e9fis : l'espionnage industriel \u00e0 grande \u00e9chelle, priv\u00e9 ou \u00e9tatique, la paralysie des entreprises, la marchandisation des donn\u00e9es et la protection de la vie priv\u00e9e sont des questions qui d\u00e9passent de loin le simple piratage et exigent que la gestion des donn\u00e9es soit int\u00e9gr\u00e9e \u00e0 tous les stades du d\u00e9veloppement de l'entreprise. Il en va de la protection du mod\u00e8le d'entreprise, de ses employ\u00e9s et, plus g\u00e9n\u00e9ralement, du r\u00f4le soci\u00e9tal de l'entreprise.<\/p>\n
Les phases de transaction sont donc par nature des moments de tension qui invitent les acteurs \u00e9conomiques \u00e0 \u00e9largir leur champ d'analyse habituel.<\/p>\n
<\/p>\n
Arnaud Pilon - Responsable des activit\u00e9s de r\u00e9ponse aux incidents - Synacktiv<\/strong><\/p>\n Arthur Couvreur - Administrateur - Accuracy<\/strong><\/p>\n Nicolas Bourdon - Associ\u00e9 - Accuracy<\/strong><\/p>","protected":false},"excerpt":{"rendered":" Values and data in a transaction context Vendors and investors usually define a period of time during which different analyses of the assets covered by the potential transaction are concentrated. Enshrined within the term due diligence, the reflections carried out may be of various natures. While financial, tax, and legal are the classics of the […]<\/p>\n","protected":false},"author":1,"featured_media":22791,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[212,263,436,265,122,115],"tags":[174],"class_list":["post-22790","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-analysis","category-digital-telecommunications-analysis","category-digital-technology-software-analysis","category-financial-services-banking-insurance-analysis","category-perspectives","category-united-kingdom","tag-perspectives"],"acf":[],"yoast_head":"\n