Minimiser votre surface d'attaque lors de fusions et acquisitions et de cessions
La due diligence commerciale minimise les risques et donne au conseil d'administration d'une organisation la confiance nécessaire pour entamer les négociations relatives à l'acquisition ou à la vente d'une partie de l'entreprise. Cependant, la cybersécurité occupant une place de plus en plus importante dans le processus d'évaluation, les équipes informatiques peuvent-elles réellement mener à bien la transition vers un nouveau propriétaire sans exposer l'entreprise à des niveaux de risque indésirables ?
Dans un récent Rapport Forescout, l'acquisition de technologies a été considérée comme une priorité absolue de la stratégie de fusions et acquisitions et les deux tiers des personnes interrogées ont déclaré que les préoccupations liées à la cybersécurité avaient incité leur entreprise à regretter d'avoir conclu une opération de fusions-acquisitions.
Ces mouvements d'entreprise ou ces changements dans l'appareil gouvernemental s'accompagnent souvent d'incitations incitant la direction à terminer dans des délais serrés. Les objectifs évidents du simple fait d'apporter un 3rd placer les systèmes d'une partie dans le giron, ou séparer les systèmes faisant l'objet d'une cession, semble une bonne idée sur le papier, mais lorsque les doigts touchent le clavier, ce sont les équipes chargées de la sécurité informatique, des réseaux et de l'infrastructure qui ont la lourde tâche de mener à bien cette activité.
L'acquisition de cyberrisques peut être considérée comme un aspect négatif des fusions et acquisitions. Cependant, lorsqu'il est mis en œuvre correctement, un programme de cybersécurité constitue un atout dans les fusions et acquisitions et un facteur important lorsque vous êtes le vendeur.
Les modifications apportées à la composition commerciale et au fonctionnement informatique sont monnaie courante et constituent des cibles opportunes pour les acteurs malveillants qui souhaitent bénéficier de la perturbation du statu quo. Sans Zero Trust, la sécurité déjà recherchée des deux côtés de la table des négociations, l'exploitation de failles de sécurité préexistantes et une augmentation surface d'attaque peut signifier que le changement de propriétaire peut agir comme un « cheval de Troie », où tout achat effectué après la clôture ransomware, un logiciel malveillant, une attaque ciblée ou une menace persistante avancée (APT) existante se propageant dans et entre les activités de l'acheteur.
Selon la même étude, plus de la moitié des personnes interrogées ont déclaré avoir été confrontées à un problème ou à un incident critique de cybersécurité lors d'une opération de fusion et d'acquisition qui avait mis celle-ci en péril.
Considérations concernant la sécurité des acquisitions
Avant ou après la signature d'un accord, il est particulièrement pertinent de déterminer le risque lié à l'hygiène de sécurité des centres de données au sein des applications acquises et des centres de données cloud hybrides. Centre de cybersécurité de l'Australie conseille aux organisations qui entreprennent de telles activités de comprendre l'environnement d'exploitation et les contrôles de sécurité qui protègent les données et les systèmes afin de garantir une protection équivalente ou supérieure dans le nouvel environnement d'exploitation. Il existe également des conséquences financières potentielles pour les parties impliquées en ce qui concerne la conformité réglementaire et la législation sur la confidentialité.
N'ayant que peu ou pas de contrôle sur les applications héritées d'une acquisition, les équipes informatiques se demandent le plus souvent : de quoi venons-nous d'hériter ? Utilisent-ils des technologies d'infrastructure différentes de celles que nous utilisons, telles que Kubernetes ou d'autres clouds publics ? Quelle protection des données, quelle application, sécurité des terminaux et les pratiques de gestion des vulnérabilités ont-elles été suivies ? Et que signifie l'ingestion de ces charges de travail pour notre surface d'attaque actuelle ?
Les équipes de sécurité de l'acheteur sont souvent entravées dans toute évaluation par un manque de visibilité sur les actifs du centre de données qu'ils achètent et par le manque de possibilités d'identifier les failles existantes permettant un mouvement latéral et l'exposition de données sensibles. Si elles ne comprennent pas comment les applications et les charges de travail sont connectées et communiquent, les sociétés acquéreuses risquent de désactiver les applications et de perturber le service lors de la migration ou lors de la sécurisation des applications acquises une fois reçues. De plus, comme les acquisitions n'impliquent pas toujours l'achat d'applications totalement complémentaires, cette compréhension est tout aussi importante pour l'adoption progressive de la réception et de l'intégration des systèmes dans le centre de données, pour identifier les chevauchements de redondance et de mise hors service, puis pour aboutir à la valeur ajoutée entre les systèmes pour laquelle la fusion et l'acquisition a été conçue.
Considérations relatives à la sécurité liées à la cession
L'acquisition de cyberrisques peut être considérée comme un aspect négatif des fusions et acquisitions. Cependant, lorsqu'il est mis en œuvre correctement, un programme de cybersécurité constitue un atout dans les fusions et acquisitions et un facteur important lorsque vous êtes le vendeur. Dans un enquête menée par ISC2, 95 % des professionnels des fusions et acquisitions interrogés considéraient la cybersécurité comme un actif tangible qui repose sur l'infrastructure technique de l'application ou du service mais qui s'étend au programme plus large de sécurité et de gestion des risques. Un solide programme de cybersécurité peut être utilisé comme facteur de différenciation et comme valeur ajoutée dans le processus de fusions-acquisitions. Un investissement dans ce domaine rend non seulement votre vente plus attrayante, mais pourrait également entraîner un prix plus élevé.
Bien que l'on puisse penser que le fait d'être du côté « à vendre » devrait simplifier le processus (car vous devriez en savoir plus sur votre propre environnement), la dette technique et la nature interconnectée des systèmes au sein de vos propres centres de données constituent un défi pour identifier et démêler et éliminer les actifs à vendre. Il peut être difficile de répondre à vos propres questions, telles que les charges de travail qui exécutent les applications ou la partie de l'entreprise vendue, et savons-nous à quoi ces systèmes sont connectés et qui y accède aujourd'hui ?
Vous pouvez également être contraint par les contrôles existants pour élever la sécurité au niveau requis par l'acquéreur ou qui ferait pencher la balance en votre faveur lors des négociations. Il est également courant que les obligations contractuelles liées à la vente vous obligent à continuer à faire fonctionner ces systèmes pendant une période prolongée dans votre environnement. Un mécanisme efficace est donc nécessaire pour les démêler et les isoler sans les supprimer complètement.
En résumé, les défis courants liés à l'acquisition et à la cession sont notamment les suivants :
- Manque de visibilité sur les dépendances des applications pour comprendre, migrer et intégrer de nouveaux actifs ou séparer les actifs/charges de travail dans le cadre de la vente.
- Les politiques de sécurité existantes sont le plus souvent statiques, liées à la mise en œuvre de la sécurité de l'infrastructure et du centre de données et ne peuvent donc pas être migrées de manière adaptative avec les charges de travail lorsqu'elles sont transmises entre les entités.
- Il est difficile de migrer des applications inconnues sans compromettre la sécurité ni perturber les services car les applications modernes sont interdépendantes et peuvent être fragiles.
- Il est essentiel de ne pas endommager le logiciel pendant la fin du processus de transition pour maintenir le plus possible les activités habituelles.
- Le risque de compromission des données des clients et de l'entreprise pendant la durée de la migration avec des pare-feux périphériques s'est révélé.
Comment Illumio peut vous aider
La migration des applications sans compromettre la sécurité est essentielle à un résultat réussi, et l'Illumio Plateforme de sécurité adaptative (ASP) joue un rôle fondamental dans la stratégie de fusions et acquisitions de certaines des organisations les plus acquisitives du monde. Illumio ASP résout les problèmes les plus courants en vous permettant de :
- Cartographiez les dépendances des applications au sein de votre propre environnement (cession) ou de celui de la cible (acquisition). Illumio ASP carte des dépendances des applications fournit des informations en temps réel pour aider les entreprises à visualiser les applications acquises ou vendues et leurs charges de travail dans tous les environnements avant la migration. En comprenant les dépendances des applications, les équipes peuvent s'assurer que la migration est efficace et que le comportement des applications n'est pas perturbé.
- Élaborez une politique de segmentation pour isoler l'infrastructure informatique critique, en tirant parti de la carte de dépendance des applications. ceux d'Illumio Générateur de politiques automatise la création de politiques de segmentation grâce à une politique de microsegmentation optimisée qui permet de gagner du temps, d'accélérer les flux de travail de sécurité et de réduire le risque d'erreurs humaines en clôturant les systèmes acquis ou vendus afin de contenir toute violation.
- Protégez votre infrastructure contre les serveurs et les applications de l'entreprise cible. La politique de microsegmentation adaptative s'adapte à l'évolution de l'environnement des applications. La sécurité évolue au fur et à mesure que les applications évoluent. Cela permet de sécuriser les applications avant la migration et d'ajuster automatiquement la politique après la migration, tout en maintenant une protection cohérente et continue pendant le processus de transition.
Que vous achetiez et que vous ayez besoin de la confiance nécessaire pour le faire en toute sécurité, ou que vous vendiez et que vous puissiez augmenter votre prix tout en réduisant les efforts visant à supprimer ces actifs, Illumio ASP réduira les risques liés à vos initiatives commerciales.
Lisez l'histoire d'une organisation du Fortune 500 qui a finalisé sans heurts une acquisition très médiatisée en déployant Illumio ASP sur les 700 serveurs de la société acquise.