Valeurs et données dans un contexte de transaction

Vendeurs et investisseurs définissent habituellement une période de temps pendant laquelle sont concentrées différentes analyses de l’actif, objet de la transaction potentielle. Consacrées sous le terme de due diligence, les réflexions menées peuvent être de natures variées. Si les chapitres financier, fiscal et juridique font partie des classiques du genre, une nouvelle discipline commence à s’imposer : l’analyse de l’exposition et de la compromission de l’entreprise à des attaques cyber, futures ou passées. Si le principe parait simple, la due diligence cyber cache en réalité une variété d’aspects très différents et complémentaires, bien au-delà de la seule problématique technique. La révolution numérique implique de redéfinir le
périmètre des risques de l’entreprise.

L’angle retenu ici est celui de l’acheteur analysant une cible. Cependant, tous les chapitres abordés dans ce contexte pourraient nourrir une analyse menée par un vendeur en amont d’une transaction.

Comprendre l’environnement de la cible

De même que l’analyse financière d’une entreprise ou d’un actif se trouve éclairée par sa confrontation avec des comparables de marché, l’analyse cyber s’enrichit fortement d’une contextualisation de la menace à laquelle l’entité fait face. Aussi, avant de se livrer à une analyse de la résistance cyber, est-il pertinent de comprendre l’écosystème dans lequel l’entreprise évolue et ses éventuelles singularités. Forte de ces éléments de comparaison, l’analyse des investissements et des dispositifs de cybersécurité existants permet de mieux estimer la prise en compte du risque cyber et le niveau de maturité de l’entreprise. L’enjeu est ensuite d’évaluer si ce niveau de risque perçu est adapté à la menace et les investissements consentis.

La menace n’est en effet pas la même pour tous. Si toute structure dont les systèmes sont connectés à internet fait face à des menaces systématiques, les tentatives d’hameçonnage (phishing) étant les plus connues, certains actifs ont à craindre des attaques plus ciblées : secteur particulièrement lucratif, activités stratégiques ou politiquement controversées ou encore entités et secteurs connus pour leur faible investissement technique, etc. Selon la complexité du dossier, cette première étape d’une analyse cyber exhaustive nécessite d’articuler des compétences variées. Elles incluent la connaissance de l’historique des menaces propres au secteur, de la réputation et des incidents d’une entreprise, voire le décryptage géopolitique de son marché et de son pays d’appartenance. Le niveau de menace lié au conflit entre la Russie et l’Ukraine pourrait impacter plus largement les entreprises alliées sur le plan économique ou sur la fourniture logistique (énergie, militaire, humanitaire, etc.). Sur un autre plan, on constate que le secteur hospitalier est largement visé par les rançongiciels au regard de leur exposition, mais aussi de l’amalgame existant sans doute auprès des attaquants entre le modèle des hôpitaux publics français et celui privé américain. Dans le cadre d’une activité sensible (la notion d’entité importante ou essentielle a été reprécisée encore récemment par la directive européenne NIS2 – acteurs de l’énergie, des transports, des finances, de la santé, etc.) l’évaluation gagne même à s’appuyer sur une analyse globale des risques de l’entreprise parmi lesquels le risque cyber n’est qu’un élément. Celui-ci doit donc être compris autant comme un risque à part entière qu’un risque support pour le champ d’action d’autres risques. Ainsi une vulnérabilité sur un serveur exposé à internet peut entraîner un risque d’exposition médiatique majeure suite à une divulgation des données. En interne, un défaut de gestion des permissions sur une application comptable peut altérer la sincérité des comptes de l’entreprise.

Élément appréciable pour les financiers, cette première étape peut conduire à une étude comparative des pertes occasionnées dans le secteur du fait d’attaques cyber, offrant ainsi une première conclusion chiffrée.

Si elle est aujourd’hui peu pratiquée, notamment du fait de la variété des compétences requises, cette étape préliminaire qu’est l’analyse de la menace dans son ensemble offre un éclairage très novateur pour la plupart des acteurs économiques. Elle permet dans tous les cas d’aborder l’analyse des mécanismes internes de l’entreprise, objet de l’étape suivante, avec une compréhension beaucoup plus fine de ses enjeux, sur son marché et sa géographie.

Défendre le château…

C’est le point d’attention qui semble le plus évident et qui est le mieux connu: les systèmes d’information de la cible sont-ils normalement robustes, c’est-à-dire peuvent-ils résister à des attaques d’ampleur raisonnable ? L’acheteur, au-delà de la question de la sûreté de son actif, cherche à savoir si la cible nécessitera des investissements complémentaires pour améliorer son bouclier ou l’aligner à un niveau de sécurité équivalent à ses autres actifs. Le prix est donc en jeu et ce nouvel élément vient le moduler en fonction de ses conclusions, ouvrant un nouveau champ de négociation.

Sans surprise, les questions soulevées par une due diligence cyber font ressurgir des questions de normativité et de pratiques de marché. En effet, la protection absolue face à la cyber criminalité est quasiment impossible à garantir, tout étant question de temps et de moyen déployés par les attaquants. Il s’agit donc de juger de la résistance raisonnable et des capacités de détection d’un système face à des assaillants professionnalisés, mais qui rechercheront également l’efficacité pour se tourner vers des cibles plus faciles. En matière de cyber, comme ailleurs, il faut savoir calibrer sa réponse pour avoir un niveau de sécurité dans une moyenne haute proportionnée au risque et au niveau de menace évaluée lors de l’étape précédente.

En phase de due diligence, il s’agit donc d’informer utilement l’acheteur sur le niveau de risques embarqués sans alarmer inutilement. La connaissance du marché et du niveau moyen de protection déployée, acquise en phase préliminaire, sera donc un aspect clé de la qualité de l’analyse proposée pour garder une recommandation raisonnable, qui éclaire de manière équilibrée les négociations autour du prix.

Pour ce faire, quelles sont les pratiques acceptées en phase de due diligence pour mener une analyse interne ? On distinguera deux grandes natures de travaux :

• Il peut s’agir d’abord d’une analyse sur base documentaire ou déclarative : compréhension des systèmes, régularité des travaux de maintenance et des sauvegardes, de tests, conclusions des tests menés et corrections apportées, niveau d’obsolescence du parc et dette technique, structuration des équipes IT, etc. Il ressort de ces travaux un panorama de l’attention portée et des moyens déployés par la cible à la gestion du risque cyber. Ce mode opératoire est fréquemment accepté par les vendeurs. Il requiert environ deux à quatre semaines de travail, durée parfaitement compatible avec les temps alloués aux autres diligences. Ces travaux impliquent souvent une bonne coordination avec les équipes de la cible afin d’initier un dialogue efficace.

• Moins fréquent, l’exercice de test de pénétration (pentest) vise à obtenir une mesure indépendante de la solidité du dispositif en recherchant ses failles, c’est-à-dire en tentant de s’introduire, depuis l’extérieur ou avec un accès au réseau de l’entreprise, dans les systèmes de la cible. Ces travaux s’arrêtent dès lors que les accès sont conquis et ne vont jamais jusqu’à la copie d’informations. Pour autant, ces tests sont évidemment plus intrusifs et impliquent d’avoir un accord formel du vendeur. Ils sont bornés en temps et périmètre : la mise en œuvre est finalement simple et rapide à mettre en place, car elle ne nécessite pas d’avoir recours aux équipes de la cible, qui peut par ailleurs continuer son activité courante. Ces situations sont fréquentes, voire réglementaires, quand la cybersécurité est au cœur de l‘activité de l’entreprise ou dans des secteurs particulièrement exposés. Les processus concurrentiels de M&A se prêtent évidemment plus difficilement à ce mode de due diligence, sauf à basculer en phase d’exclusivité, octroyant habituellement quelques semaines supplémentaires pour mener à bien ces investigations.

…mais pour quel trésor ?

C’est le dernier aspect de l’analyse cyber. Après la résistance du mur d’enceinte, il convient de s’assurer que les actifs en vente ont bien gardé leur valeur et ne sont pas en passe de la perdre ou pire de la détruire. On distinguera là aussi deux natures de travaux, radicalement différentes :

• d’une part, la recherche de fuites de données sensibles qui pourraient déjà être en circulation sur internet, voire en vente sur des forums criminels,

• d’autre part la recherche de compromissions, c’est-à-dire d’intrusions passées ou existantes au sein des systèmes pour y placer un logiciel malveillant actif ou prépositionné dans l’attente de son activation (espionnage, chiffrage & rançonnage). Là aussi, les secteurs fortement exposés ou à forte composante technologique intégrant de la R&D et des actifs incorporels sont particulièrement exposés. Tous les coups sont permis : par exemple, l’adoption généralisée des services managés a depuis quelques années favorisée l’émergence des attaques dites « sur la supply chain». Elles consistent à s’introduire chez un sous-traitant ou, en l’espèce, chez une entreprise en cours d’acquisition, en vue de remonter par la suite vers la cible finale. Cette attaque a également un effet démultiplicateur pour le cybercriminel, car il permet de viser l’ensemble des clients de ce sous-traitant.

Conclusion

La réalité de la menace cyber et la prise de conscience des investisseurs et dirigeants accélèrent fortement le développement de ces travaux. L’analyse de la menace cyber (CTI – Cyber threat Intelligence) permet d’ailleurs d’observer que les fonds d’investissement sont ciblés comme d’autres secteurs. Qui sait si les attaquants pourraient imaginer que ces sociétés sont plus disposées à payer les demandes de rançons ?

Aujourd’hui, les clients de ces due diligences sont fréquemment d’anciennes victimes qui ont douloureusement pris conscience de l’enjeu de ces analyses. Le niveau de maturité des dirigeants sur ce sujet est encore variable et la compréhension des enjeux cyber trop souvent cantonnée au seul rançonnage. Les comportements sont donc encore empreints du « syndrome de l’alarme » dont l’installation intervient la plupart du temps … après le cambriolage.

Or la révolution digitale convoie son cortège de nouveaux défis : espionnage industriel de grande échelle, privé ou étatique, paralysie des entreprises, marchandisation des données, protection de la vie privée sont des enjeux qui dépassent de loin le seul hacking et nécessitent d’intégrer la gestion de la donnée dans toutes les étapes du développement de l’entreprise. Il en va de la protection du modèle d’affaires, de ses salariés et plus généralement du rôle sociétal de l’entreprise.

Les phases de transaction sont donc par nature des moments de tension qui invitent les acteurs économiques à étendre leur champ habituel d’analyse.