Une bonne cybersécurité joue un rôle important dans les fusions et acquisitions. En ce qui concerne le grand scandale des données Marriott de 2018, la sécurité n'a pas reçu suffisamment d'attention au préalable.
Les fusions et acquisitions (M&A) offrent aux entreprises d'importantes opportunités de croissance rapide ou d'avantage concurrentiel. Celles-ci vont du regroupement des ressources à la diversification du portefeuille de produits et de services, au développement de nouveaux marchés et à l'acquisition de nouvelles technologies ou de connaissances spécialisées.
Chaque transaction M&A implique une due diligence complexe et détaillée, c'est-à-dire un examen attentif de l'ensemble de l'entreprise. Sur la base des résultats de cette étude, on peut estimer la complexité de la fusion avec les structures commerciales existantes. Plus les processus d'intégration se déroulent sans heurts, plus le succès de la transaction est important. Traditionnellement, l'examen des fusions et acquisitions s'est principalement concentré sur les domaines de la finance, du droit, des opérations commerciales et des ressources humaines. Avec des processus commerciaux de plus en plus numériques, une diligence raisonnable doit également être effectuée dans le domaine de la cybersécurité.
Scandale des données Marriott de 2018
Un signal d'alarme à cet égard est le scandale des données Marriott de 2018, qui fournit une illustration puissante des ramifications potentiellement graves d'un échec de la diligence raisonnable en matière de cybersécurité. L'acquisition par Marriott de Starwood Hotels & Resorts en 2016 a créé l'une des plus grandes chaînes hôtelières au monde. L'offre pour les clients Marriott et Starwood est passée à plus de 5.500 100 hôtels dans 2014 pays. À l'époque, cependant, Marriott ne savait pas que les systèmes informatiques de Starwood avaient déjà été compromis en 2018. Ce n'est qu'en novembre 339 que Marriott a finalement découvert que des inconnus accédaient depuis des années aux données personnelles d'environ XNUMX millions de clients dans le monde via la base de données de réservations concernée de Starwood.
Dans son rapport d'enquête, l'autorité britannique de contrôle de la protection des données ICO a constaté que Marriott n'avait pas exercé une diligence raisonnable suffisante lors de l'achat de Starwood et aurait dû faire davantage pour sécuriser ses systèmes. Il y a un an, elle a également annoncé son intention d'infliger une amende de 99 millions de livres sterling à la chaîne hôtelière pour avoir enfreint le RGPD.
Nécessité d'une diligence raisonnable numérique
Aujourd'hui, les entreprises de toutes tailles s'appuient de plus en plus sur des outils basés sur le cloud, l'IoT et des services de connexion numérique pour servir leurs clients et exécuter des processus métier. Par conséquent, une connectivité accrue offre davantage de possibilités aux cybercriminels de lancer des attaques malveillantes, de voler des données ou de tenter de perturber les opérations commerciales. Par conséquent, la réalisation d'un audit et d'une évaluation détaillés de la cybersécurité est cruciale pour découvrir les vulnérabilités critiques qui pourraient s'avérer être des facteurs décisifs. Il est conseillé d'utiliser une approche qui part directement des données et, sur cette base, évalue les structures et les processus associés :
1. Connaissance de ses propres systèmes
Premièrement, les organisations impliquées dans des activités de fusions et acquisitions ont besoin d'une transparence totale sur leurs propres systèmes informatiques avant de pouvoir procéder à une évaluation solide des autres. De cette manière, des directives de sécurité complètes peuvent être créées pour les deux structures. Cela constitue la base d'une stratégie d'intégration qui élimine la création de nouvelles vulnérabilités lorsque les plates-formes, les solutions et les services sont réunis. Un écosystème informatique sécurisé comprend l'application granulaire des politiques de sécurité, le chiffrement des données, la protection contre la perte de données en temps réel, les contrôles d'accès des utilisateurs et la surveillance continue.
2. Inventaire des stocks de données
L'inventaire de toutes les données est la première étape nécessaire pour comprendre quelles données sont collectées, comment et où elles sont stockées, et combien de temps elles sont conservées avant d'être éliminées. Cela donne un aperçu des exigences légales et des réglementations internes applicables localement, en particulier pour les entreprises internationales. Les fonctionnalités de prévention des pertes de données (DLP) aident à identifier les modèles de données sensibles et réglementaires potentiellement à risque. Tout aussi utiles sont les journaux d'activité, qui enregistrent en détail toutes les activités des utilisateurs, des applications et des fichiers.
Tous les audits et évaluations de cybersécurité internes et externes doivent être consultés pour faire la lumière sur d'éventuelles violations de données non divulguées. Ils peuvent mettre en lumière les éventuelles faiblesses des mesures de sécurité existantes et ainsi aider à évaluer le potentiel de risque.
3. Développement d'une stratégie de sécurité intégrative
Après avoir déterminé quelles données doivent être protégées et où elles sont stockées, le défi suivant consiste à comprendre qui a accès aux données, ce qui s'y passe et quels appareils sont utilisés pour y accéder. Une cybersécurité efficace dépend de la capacité à protéger toutes les données sensibles dans n'importe quelle application, sur n'importe quel appareil, n'importe où. À cela s'ajoute une visibilité appropriée de tous les terminaux, destinations Web, appareils et applications, ainsi que des politiques d'accès qui garantissent que seuls les utilisateurs autorisés ont accès aux données sensibles.
L'évaluation détaillée de tous les systèmes informatiques et terminaux de réseau de l'entreprise est nécessaire afin de pouvoir planifier comment les deux unités peuvent combiner leurs systèmes et processus informatiques et assurer le bon fonctionnement des opérations commerciales après l'intégration. Par exemple, il faut déterminer l'effort nécessaire pour réparer les vulnérabilités existantes dans l'architecture de sécurité et rendre l'infrastructure fusionnée résistante aux risques.
Une gestion informatique fiable comme facteur de succès
Une gestion informatique bien organisée simplifie finalement les procédures de diligence raisonnable pour toutes les personnes impliquées et est donc un facteur de succès pour l'activité entrepreneuriale. Afin de pouvoir développer des normes d'évaluation appropriées pour la sécurité et la protection des données, il est important que les entreprises respectent également des normes élevées avec leurs propres systèmes. Sinon, ils risquent d'intégrer leurs propres omissions dans des structures encore plus grandes et de causer de graves dommages. Un paysage informatique géré de manière fiable est donc dans l'intérêt de toutes les entreprises - à la fois celles qui souhaitent se développer et celles qui souhaitent attirer des acheteurs appropriés.
[idboîteétoile=4]