Simplifier et sécuriser les fusions-acquisitions

Accélérer et moderniser l'intégration des technologies de l'information

La perspective des fusions-acquisitions

Face à l'incertitude économique, les entreprises cherchent de nouvelles approches permettant d'atténuer la volatilité commerciale. L'une de ces approches, par exemple, consiste à effectuer une fusion ou une acquisition, qui peut permettre de diversifier les offres de produits, tout en réduisant les menaces liées à la concurrence. Une fusion-acquisition peut également permettre à la société acquéreuse d'incorporer de nouveaux talents techniques et d'accélérer sa transformation numérique.

Cependant, les entreprises qui entreprennent une fusion-acquisition peuvent se trouver confrontées à d'importants risques liés à la cybersécurité tout au long du cycle de la transaction. Les intégrations reposant sur la fusion traditionnelle des réseaux peuvent conduire à des systèmes inefficaces et redondants – et compromettre la sûreté des ressources et des données. Par ailleurs, dans le cadre d'une fusion-acquisition, une intégration moderne des systèmes informatiques, fondée sur les principes de la sécurité Zero Trust, peut être un multiplicateur de force permettant de :

• Minimiser les risques liés à l'informatique, la sécurité et la conformité

• Réduire les coûts permanents et améliorer la productivité

• Accélérer la mise en œuvre de technologies transformatrices

Risques courants liés aux systèmes informatiques

Dans le cadre d'une fusion-acquisition, les décisions antérieures de chaque entreprise en matière de cybersécurité, ainsi que ses systèmes informatiques sous-jacents, ont un impact sur l'autre entreprise. Des acteurs malveillants peuvent cibler les données de l'entreprise en cours d'acquisition ou de cession afin de s'introduire dans l'entreprise acquéreuse plus grande.

Prenons l'exemple de l'avertissement lancé par le Federal Bureau of Investigation (FBI) des États-Unis concernant les acteurs malveillants qui recourent à des rançongiciels pour exploiter les activités de fusion et d'acquisition. Les pirates informatiques exécutent des logiciels malveillants contenant un cheval de Troie pour identifier spécifiquement les informations non publiques susceptibles de perturber le déroulement d'une transaction, si elles venaient à être publiées, puis utilisent ces données pour extorquer de l'argent aux entreprises.

Un cadre sur trois responsable des fonctions de fusion-acquisition au sein d'une entreprise acquéreuse a été la cible d'une violation de données « pouvant être attribuée à l'activité de fusion-acquisition pendant la phase d'intégration ». Un facteur essentiel est l'expansion de la surface d'attaque : dans le cadre du processus, les fichiers et données sensibles sont partagés numériquement, avec une multitude de tiers. Dans le cas de l'acquisition de Graduation Alliance Inc., pour un montant de 130 millions de dollars, des pirates informatiques ont compromis les adresses e-mail de ce cabinet d'avocats, spécialisé dans les fusions et acquisitions, afin de détourner et dérober des paiements destinés aux actionnaires.

Même les intégrations informatiques « finalisées » comportent des risques :

• Vulnérabilités dormantes : si les niveaux de sécurité ne sont pas identiques au moment de l'intégration, le niveau de sécurité de la première entreprise pourrait avoir un impact négatif sur celui de la seconde. À titre d'exemple, des acteurs malveillants avaient déjà compromis le système de réservation des clients de Starwood avant que Marriott ne rachète ce réseau d'hôtels. La faille est passée inaperçue pendant deux ans, exposant près de 500 millions de dossiers de clients.

• Informatique fantôme (Shadow IT) : il faut du temps aux collaborateurs de l'entreprise fusionnée pour se familiariser avec les nouveaux processus et outils intégrés. Pendant cette période de transition, certains employés ou services peuvent adopter des applications non autorisées ou ne pas respecter les nouvelles politiques informatiques.

• Implications réglementaires : si l'une ou l'autre entreprise se trouve dans une région ou un secteur d'activité différent, imposant des réglementations plus strictes en matière de confidentialité des données, des précautions supplémentaires doivent être prises pour garantir la conformité du partage des données. Par exemple, la législation chinoise relative à la protection des informations personnelles (Personal Information Protection Law, PIPL) comporte certaines exigences en matière de notification et de consentement concernant les transferts de données personnelles dans le cadre des fusions-acquisitions ; le non-respect de ces exigences peut entraîner des sanctions allant jusqu'à 1 million de RMB (environ 149 000 dollars).

Des études précédemment publiées ont montré que 70 à 90 % des acquisitions se soldent par un échec. Les organisations qui se préparent à affronter les nouvelles cybermenaces et accomplissent avec succès l'intégration des systèmes informatiques dans le cadre d'une transaction peuvent éviter de devenir une énième statistique d'échec d'une fusion-acquisition.

Réduire le risque informatique lié aux fusions-acquisitions

Lors d'une fusion-acquisition traditionnelle, les entreprises tentent de connecter chaque utilisateur à chaque ressource au sein des deux entreprises accomplissant la fusion. Cette approche suit le modèle de sécurité du « château entouré de douves », selon lequel aucun utilisateur extérieur au réseau ne peut accéder aux données à l'intérieur de celui-ci, mais tout utilisateur présent sur le réseau est libre de les consulter).

Les entreprises peuvent notamment utiliser des pare-feu pour acheminer le trafic entre les deux réseaux ou fusionner deux réseaux en déployant un point de convergence intermédiaire – par exemple, en utilisant la commutation multiprotocole par étiquette (MPLS, Multiprotocol Label Switching) pour connecter leurs datacenters). Elles peuvent également ajouter de nouveaux réseaux privés virtuels (VPN) pour permettre à de nouveaux utilisateurs d'accéder en toute sécurité à leurs ressources. Autrefois, cette approche se montrait suffisante : en effet, les applications professionnelles étaient hébergées sur site, dans des datacenters, et le personnel des entreprises passait le plus clair de son temps au bureau.

Dans les lieux de travail modernes, toutefois, les employés de la « société A » (acquéreuse) et de la « société B » (acquise) doivent disposer d'options leur permettant de se connecter en toute sécurité à une combinaison pratiquement infinie d'applications et de réseaux SaaS hébergés dans le cloud – depuis n'importe quel appareil et n'importe quel site. Cependant, toute compromission de l'un de ces utilisateurs ou appareils peut permettre à un acteur malveillant de franchir les « douves » symboliques.

En d'autres termes, lorsque des environnements de travail hybrides convergent dans le cadre d'une fusion-acquisition, une approche périmétrique traditionnelle s'avère insuffisante.

Cependant, les responsables informatiques et de la sécurité ont aujourd'hui la possibilité de moderniser et réécrire le manuel d'intégration informatique des fusions-acquisitions. Une approche moderne, fondée sur le modèle de la sécurité Zero Trust, permet de garantir que l'ensemble du trafic entrant et sortant de l'entreprise est dûment vérifié et autorisé.

Par exemple, lors de l'intégration, les ressources peuvent être protégées par la solution Zero Trust Network Acces s(ZTNA) – la technologie permettant la mise en œuvre de la sécurité Zero Trust. Une solution ZTNA offre notamment les avantages suivants :

• Elle permet de réduire les risques liés aux menaces, tels que le vol d'informations d'identification et le phishing, en exigeant plusieurs facteurs d'authentification. Par ailleurs, la micro-segmentation (une composante de l'approche Zero Trust) minimise également les dégâts en cas d'attaque, en limitant la faille à une zone restreinte.

• Intégration simultanée avec plusieurs fournisseurs d'identité, permettant d'accélérer l'authentification des utilisateurs externes (c'est-à-dire les employés et sous-traitants de la « société B ») et permettant l'authentification depuis différents comptes d'entreprise ou personnels.

• Les autorisations d'accès sont accordées en fonction de l'identité et du contexte de l'utilisateur, avec des politiques universelles et granulaires, et la solution protège les ressources internes sans ajouter de nouvelles connexions VPN, comportant un risque accru.

Le déploiement de la sécurité Zero Trust facilite l'accès au niveau interne, sans entraîner les complexités liées à la fusion des réseaux ; la solution permet par ailleurs l'intégration plus rapide des employés pendant la transition, tout en sécurisant l'accès pour tous les utilisateurs, dès le « Jour 1 ». Tous ces avantages aident les entreprises à tirer plus rapidement parti des avantages d'une fusion – et dans le domaine des fusions-acquisitions, le temps, c'est de l'argent.

La nécessité d'agir rapidement

Lorsque deux entreprises fusionnent, elles sont soumises à une pression phénoménale et à la nécessité de générer un retour sur investissement immédiat. L'analyse de Bain & Co. (basée sur des données de suivi des activités de fusion-acquisition sur une période de 10 ans) a révélé que 70 % des intégrations de processus et de systèmes échouent dès le début, plutôt qu'à la fin : « La vitesse est très importante. D'ailleurs, selon nos estimations, plus de la moitié des synergies opérationnelles sont souvent tributaires de l'intégration des systèmes. Une intégration plus rapide des systèmes permet de matérialiser plus rapidement ces synergies de revenus et de coûts et d'introduire plus précocement de nouvelles capacités technologiques, mais également de présenter plus rapidement une identité unique au client. »

Néanmoins, l'opération consistant à réunir des systèmes d'entreprise par le biais d'une fusion de réseaux traditionnelle comporte plusieurs difficultés :

• Une période d'intégration prolongée, avec des étapes de mise en œuvre pouvant durer plusieurs mois, telles que la résolution des problèmes potentiels d'incompatibilité et d'évolutivité du réseau, les chevauchements d'adresses IP et d'autres complexités informatiques.

• L'augmentation des frais généraux résultant de la gestion de systèmes distincts, de la maintenance d'applications obsolètes (ou redondantes) et de l'accroissement de la dette technique (la nécessité d'assurer la continuité des opérations avec le matériel existant se traduit pratiquement toujours par des frais généraux plus élevés).

• Une diminution de la productivité résultant du temps consacré à l'ajout, la configuration et la maintenance de nouveaux VPN, par exemple. Et pour le personnel en télétravail, l'utilisation de solutions VPN dans le cloud ajoute de la latence à chaque requête entre l'utilisateur et le réseau.

En tant que couche d'agrégation entourant toutes les applications, la solution ZTNA fournit à tous les utilisateurs un accès sécurisé aux ressources autorisées, tout en simplifiant la mise en œuvre.Par exemple, la solution ZTNA :

• Permet de fournir plus simplement un accès au nouveau groupe d'utilisateurs et d'appareils qui se connectent aux ressources des deux entreprises et aux données stockées à l'intérieur et à l'extérieur du réseau (par exemple, des environnements cloud disparates). Dans de nombreux cas, aucun logiciel dédié aux utilisateurs finaux n'est nécessaire.

• Préserve la productivité et la connectivité des employés – un facteur essentiel si l'on considère que les fusions ont souvent un impact transitoire sur les performances professionnelles et la fidélisation des employés. Une solution Zero Trust offre des contrôles de sécurité moins intrusifs, des flux de travail d'authentification simplifiés et une intégration/une désactivation plus rapide des employés.

• Améliore l'efficacité technologique grâce au remplacement des services de sécurité redondants par une plateforme Zero Trust dans le cloud. Elle réduit également les efforts nécessaires pour provisionner et sécuriser une nouvelle infrastructure (ou corriger les vulnérabilités des systèmes existants), et évite les problèmes liés aux conflits d'adresses IP.

Pour les cessions également

Selon un sondage réalisé par Deloitte en janvier 2023, près de la moitié des professionnels des fusions et acquisitions sont susceptibles d'effectuer une cession (c'est-à-dire la vente ou la scission d'une ligne de produits, d'une division ou d'une filiale) au cours des 12 mois suivant une fusion-acquisition. À l'instar d'autres stratégies de fusion-acquisition, toutefois, les cessions augmentent également le risque que des acteurs malveillants cherchent à accéder à des données sensibles et à des secrets commerciaux. Elles augmentent également la probabilité de configurations erronées et de vulnérabilités survenant pendant la transition des ressources informatiques.

Dans le cas d'une cession, l'entreprise essaimée dispose d'une opportunité de modernisation inédite. La technologie ZTNA est opportune pour l'entreprise essaimée qui l'adopte pendant la période de transition informatique, aussi bien pour minimiser la dette technique que pour réduire la complexité de la transition elle-même. Puisque la solution ZTNA vérifie chaque requête individuelle, elle permet d'éliminer les mouvements latéraux d'éventuels acteurs malveillants. Les applications et les utilisateurs de l'entreprise cédée peuvent également être désactivés efficacement, grâce aux politiques d'accès granulaires de la solution Zero Trust. Cette facilité permet d'accélérer la séparation logique des deux entreprises résultantes, et contribue au respect des conditions de l'accord de séparation dans les délais impartis.

Simplifier et sécuriser les fusions-acquisitions

Dans l'analyse du marché des solutions ZTNA publiée par IDC, la firme d'analystes a classé Cloudflare parmi les Leaders. IDC cite notamment la « stratégie produit agressive de Cloudflare visant à répondre aux besoins de sécurité des grandes entreprises », ainsi que sa capacité à « soutenir les entreprises à différents stades de l'adoption de la sécurité Zero Trust ».

Cloudflare représente l'approche la plus simple pour simplifier l'intégration des systèmes informatiques avec la sécurité Zero Trust ; elle permet de protéger efficacement les applications vitales et les groupes d'utilisateurs à haut risque (tels que les employés et les sous-traitants de l'entreprise acquise) dès le « Jour 1 », puis d'étendre sans effort la solution ZTNA au reste de l'entreprise, au fur et à mesure de sa croissance.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.

Approfondir le sujet

Lisez le rapport 2023 IDC MarketScape for ZTNA pour consulter une analyse détaillée du marché des solutions ZTNA et découvrir les avantages qu'offre Cloudflare face aux 17 fournisseurs inclus.

Points clés

Cet article vous permettra de comprendre les points suivants :

• Cyber-risques courants associés aux fusions-acquisitions

• La complexité de l'intégration traditionnelle des systèmes informatiques

• Les avantages de l'application de la sécurité Zero Trust

Ressources associées

• Rapport IDC MarketScape de 2023 consacré aux solutions ZTNA

• Simplifiez l'intégration informatique en cas de fusion-acquisition

• Qu'est-ce qui rend le modèle Zero Trust indispensable à tout écosystème informatique sécurisé ?

• Webinaire à la demande – Simplifier l'intégration informatique en cas de fusion-acquisition : une rétrospective des écueils véritables liés aux réseaux et à la gestion des identités par rapport à l'approche ZTNA