Dans le monde d'aujourd'hui, la cybersécurité ne se limite pas aux logiciels antivirus et aux logiciels de sécurité des terminaux. La diligence technique est une évidence dans presque toutes les acquisitions ou investissements impliquant des entreprises technologiques. Alors qu'une liste de contrôle de la diligence technologique peut être décourageante pour les acheteurs et les cibles, une nouvelle étude publiée par (ISC) 2 confirme que la vérification de la cybersécurité est, et devrait être, en haut de la liste.
En fait, l'enquête (ISC) 2 sur 250 professionnels des fusions et acquisitions basés aux États-Unis a révélé que 100% des dirigeants et conseillers en fusion interrogés étaient d'accord pour dire que les audits de cybersécurité sont devenus une réalité. pratique courante
Pour comprendre pourquoi les entreprises effectuent des audits de cybersécurité, nous devons d'abord comprendre le risque. Dans la même étude (SAI) 2, il a été constaté que les failles de sécurité révélées au cours du processus de diligence raisonnable peuvent faire dérailler une transaction. en fait, près de la moitié (49%) des participants ont déclaré l'avoir vu.
Sans surprise, 52% des répondants estiment qu'un audit révélant de mauvaises pratiques de sécurité est un désavantage. Le même numéro a déclaré qu'une faille de sécurité post-acquisition dans une société acquise avait affecté la valeur des actions d'une société cotée. Il est clair qu'une brèche de cybersécurité peut affecter de manière significative la valeur pour les actionnaires. Lors de l'intégration des fusions et acquisitions, il est essentiel d'exposer et de gérer les éventuelles faiblesses au sein d'une entreprise cible.
À propos de l'AuteurFred Bals est rédacteur technique senior chez Synopsys.
Mesurer le risque
Le cyber-risque est mesuré en comparant les processus commerciaux d'une entreprise à une certaine forme de norme et en communiquant les résultats. La manière dont cette évaluation est menée varie en fonction de la norme choisie, des effectifs mobilisés et de la crédibilité du rapport, qui repose sur la réputation du cabinet de conseil en matière d'expertise en cybersécurité.
Évaluer la cyber maturité par rapport à une norme largement reconnue est la meilleure option pour la diligence raisonnable technologique. Le cadre de cybersécurité développé par le NIST est de loin la référence la plus fréquemment recommandée. Il devrait être adopté comme base sur laquelle construire une évaluation des cyberrisques. Développé par des experts, il est considéré comme l'étalon-or aux États-Unis et suscite un intérêt considérable en dehors de l'Amérique du Nord.
Le niveau de travail consommé lors d'une évaluation est un autre problème clé. Après avoir signé une lettre d'intention définissant la transaction envisagée, la période de diligence raisonnable typique est de 60 à 90 jours et une évaluation des cyberrisques doit être cohérente avec cette période.
Évaluations de la cybersécurité
Les cyber-évaluations ponctuelles traditionnelles impliquent l'embauche d'une grande société de conseil avec ses propres listes de contrôle exclusives. Un grand nombre d'analystes sont répartis dans toute l'entreprise pour recueillir des informations. À la fin, un rapport complet basé sur une liste de contrôle est fourni.
Mais cette approche traditionnelle est rarement pratique pour une acquisition en cours. La mise en œuvre de la période de diligence raisonnable prend trop de temps, de nouveaux agents temporaires ont introduit des opérations perturbatrices et le processus peut éveiller les soupçons des employés sur une transaction en attente.
Un processus automatisé basé sur des normes reconnues telles que CSF, HIPAA et FFIEC est la solution optimale pour évaluer le cyberrisque lors de la due diligence technique. L'automatisation avec une plate-forme d'audit basée sur ces normes permet de réaliser une évaluation à grande échelle de l'organisation dans un laps de temps beaucoup plus court. La main-d'œuvre consommée est minimisée et la crédibilité du résultat est maximisée.
Le besoin d'audits open source
L'audit de cybersécurité dans le cadre d'une opération de fusion-acquisition doit prendre en compte de nombreux aspects. Par exemple, la cible utilise-t-elle des composants open source dans ses applications? La cible et l'acheteur pourraient être surpris de constater qu'ils ont plus de 90% de chances de l'être.
Des analystes tels que Forrester et Gartner constatent que plus de 90% des entreprises informatiques utilisent des logiciels open source pour les charges de travail critiques, et que les composants open source constituent souvent la majeure partie du code de certaines applications.
Bien que vos applications incluent probablement des composants open source tiers, de nombreuses entreprises ne suivent pas correctement leur utilisation de l'open source car elles s'appuient sur des feuilles de calcul et de leur propre chef. l'autogestion des développeurs s'ils prévoient de les utiliser.
Peu d'entre eux peuvent produire un inventaire précis et à jour (également appelé «dénomination») des composants open source utilisés dans leurs applications, ainsi que des licences, des versions et des correctifs de ces composants. de l'État. En conséquence, ils s'exposent, ainsi que leurs clients et acheteurs potentiels.
Alors que le nombre de vulnérabilités open source est faible par rapport aux logiciels propriétaires, plus de 2018 vulnérabilités open source ont été découvertes rien qu'en 7,000. Plus de 50,000 2018 ont émergé au cours des deux dernières décennies. Parmi les bases de code examinées par l'équipe d'audit Black Duck de Synopsys en 60, 40% contenaient au moins une vulnérabilité open source. Plus de 68% contenaient des vulnérabilités à haut risque et XNUMX% contenaient des composants avec des conflits de licence.
Vulnérabilités Open Source
Seule une poignée de vulnérabilités open source, telles que celles affectant les tristement célèbres Apache Struts ou OpenSSL, peuvent être largement exploitées. Cependant, lorsqu'une telle vulnérabilité se produit, le besoin d'une sécurité open source fait la une des journaux, comme ce fut le cas avec la faille de sécurité des données d'Equifax en 2017.
L'incapacité de l'entreprise à disposer d'un inventaire complet des actifs informatiques a été un facteur majeur de la violation d'Equifax. «Cela a rendu difficile, voire impossible, pour Equifax de savoir s'il y avait des vulnérabilités dans leurs réseaux», conclut un rapport sur l'incident. "Si vous ne trouvez pas une vulnérabilité, vous ne pouvez pas la réparer."
Tout le monde n'apprend pas des erreurs des autres. Dans l'année qui a suivi la brèche d'Equifax, Fortune a publié un article intitulé «Des milliers d'entreprises continuent de télécharger la vulnérabilité qui efface Equifax».
Le suivi des licences open source est un autre aspect de l'utilisation de l'open source auquel l'organisation cible peut ne pas accorder suffisamment d'attention.
Savez-vous si les licences des composants open source inclus dans vos applications sont permissives ou virales? Ces composants utilisent-ils l'une des licences open source les plus populaires ou une seule variante?
À moins qu'une organisation ne se conforme à l'une des exigences et restrictions de licence pour chaque composant open source qu'elle utilise, un acquéreur pourrait théoriquement perdre ses droits sur le code propriétaire ou même contester la propriété. Propriété intellectuelle Au minimum, des problèmes de propriété intellectuelle pourraient, et se sont produits dans le passé, faire dérailler une opération de fusion / acquisition.
Autres types d'audits de cybersécurité
Les audits open source sont un type d'audit que les entreprises effectuent dans le domaine des fusions et acquisitions en amont, mais ce n'est pas le seul. Les acheteurs posent des questions sur de nombreux aspects du risque de sécurité du logiciel qu'ils achètent:
- Y a-t-il des faiblesses de sécurité dans le code propriétaire?
- L'architecture est-elle bonne?
- Les processus de développement logiciel de la cible prennent-ils en compte la sécurité?
- L'application appelle-t-elle des API externes qui l'exposent à des risques supplémentaires?
En fin de compte, l'objectif de la diligence raisonnable technologique est d'éliminer les surprises une fois la transaction conclue. Selon le rapport (ISC) 2, 57% des répondants ont été surpris par une violation de données non signalée au cours du processus d'audit. Dans les fusions et acquisitions, la découverte de ces problèmes avant la fin de la transaction aide l'acquéreur non seulement à définir les termes de la transaction, mais également à planifier les coûts, les priorités et les temps d'intégration après la transaction.
Fred Bals est rédacteur technique senior chez Synopsys.