Lors d’un rachat, les cyber-risques sont aussi inclus
42 % des rachats dans l’industrie manufacturière européenne entraînent des incidents de cybersécurité. Ce risque, lié à une divergence de maturité en matière de cybersécurité, reste souvent sous-estimé lors des procédures de rachat ou de fusion.
Pour de nombreuses entreprises, les rachats et fusions constituent une stratégie de croissance bien établie. En Europe, cela représente environ 15 000 transactions par an. En Belgique, des centaines de dossiers de rachat sont examinés chaque année. Bien que l’accent soit généralement mis sur la création de valeur et la synergie, les cyber-risques associés à ces opérations sont souvent négligés.
Chaque rachat suit un processus de due diligence (audit d’acquisition) qui inclut des vérifications financières, juridiques et commerciales. Cependant, la cybersécurité reçoit rarement la même attention. Dans de nombreux cas, les questions de sécurité ne sont abordées qu’à un stade avancé de l’accord, souvent après l’intégration technique. À ce moment-là, les décisions majeures sont déjà prises, laissant peu de place pour traiter les problèmes de sécurité.
Pour de nombreuses organisations, ces risques restent abstraits jusqu’à ce qu’ils se manifestent sous forme d’incidents concrets. Le chiffre de 42 % illustre la fréquence des échecs dus à des problèmes de cybersécurité. Les défis ne se limitent pas à un seul problème, mais résultent souvent d’une combinaison de facteurs, tels que des systèmes obsolètes, des droits d’accès mal définis, et des relations avec des fournisseurs mal évaluées.
Des cas internationaux illustrent la tangibilité de ces risques. Lors du rachat de Starwood par Marriott en 2016, il a été révélé que le réseau de Starwood avait été compromis pendant des années, entraînant la fuite de centaines de millions de données clients, des amendes considérables et une atteinte à la réputation. De même, lors de l’acquisition de Yahoo! par Verizon, deux importantes fuites de données ont conduit Verizon à renégocier l’accord, réduisant le montant de 350 millions de dollars.
Ces exemples montrent que la cybersécurité influence directement la valorisation et les négociations. Environ 17 % des transactions sont affectées par des résultats en matière de cybersécurité, impactant ainsi le montant final du rachat.
L’intégration des entreprises peut également révéler des divergences significatives en matière de maturité cyber-sécuritaire. Dans un cas récent, une entreprise belge a acquis une entité étrangère dont les pratiques en matière de cybersécurité étaient moins rigoureuses. Cela a conduit à une vulnérabilité lors de l’intégration, permettant à des cybercriminels de pénétrer dans les systèmes.
Un rachat augmente non seulement l’échelle d’une organisation, mais aussi sa surface d’attaque. Les réseaux interconnectés et les systèmes partageant des accès mutuels créent des opportunités pour les attaques. En moyenne, les attaques de phishing augmentent de 400 % dans les mois suivant un rachat, rendant cette période particulièrement vulnérable.
Il est essentiel de considérer la cybersécurité dès le début du processus de rachat, en parallèle avec les analyses financières et juridiques. Cela nécessite un examen stratégique des risques, des incidents passés et des accès accordés aux systèmes critiques.
La due diligence en matière de cybersécurité ne fait généralement pas échouer un accord, mais elle en détermine les conditions. Une découverte tardive des vulnérabilités peut entraîner des coûts cachés qui ne sont pas reflétés dans le contrat, mais qui apparaissent dans le bilan.
Source : Cybersecurity News
