Au cours des dernières années, nous avons constaté qu’un bon nombre d’opérations de fusion et acquisition (« F&A ») ont mis un accent de plus en plus important sur la vérification diligente en matière de cybersécurité. C’est là une corrélation directe avec le fait que la plupart des organisations dépendent largement de leurs actifs numériques pour exploiter leurs produits et services et les offrir à leurs clients.
Avant le début d’une opération, il est possible qu’une entité cible (et les sociétés du même groupe) ait, à son insu, des faiblesses importantes au chapitre de la protection des données ou ait été victime auparavant d’un incident de cybersécurité pouvant potentiellement engager la responsabilité de l’acheteur après la clôture de l’opération.
En raison de la pandémie de COVID-19, la plupart des entreprises canadiennes se sont tournées vers le télétravail, ce qui a permis à de nombreux cybercriminels d’accéder aux environnements de technologie de l’information (« TI ») de diverses organisations, augmentant ainsi le profil de cyberrisque d’une entité cible potentielle.
Nous abordons ci-après les aspects clés à considérer lorsque vient le temps de préparer des actifs numériques en vue d’une opération et d’évaluer la posture de l’entité cible en matière de cybersécurité dans le contexte de la décentralisation des activités opérationnelles de celle-ci.
POURQUOI LA COVID-19 REPRÉSENTE-T-ELLE UNE CYBERMENACE?
En mars, la plupart des organisations ont été contraintes, dans un court laps de temps, de mettre en œuvre une transition vers le télétravail pour bon nombre de leurs employés, de même que de maintenir la continuité de leurs activités. Il est probable que de nombreuses organisations ne disposaient pas de systèmes adéquats ou ont dû élargir considérablement leurs protocoles existants relatifs au télétravail. À l’instar de toute situation d’urgence, ce contexte a amené les individus mal intentionnés à tenter d’exploiter ces vulnérabilités.
Nous savons que les cyberattaquants sont capables de tirer profit d’employeurs et d’employés mal préparés, et ce, pour les raisons suivantes :
-
Les nouveaux employés pourraient ne pas avoir reçu une formation adéquate sur la cybersécurité, ce qui les rend plus susceptibles d’être la proie de campagnes d’hameçonnage et de tentatives d’ingénierie sociale (piratage psychologique).
-
Les organisations pourraient ne pas pouvoir compter sur une équipe spécialisée en cybersécurité, une équipe ayant suffisamment de ressources ou un tiers pour répondre à leurs besoins en matière de cybersécurité. Sans un système de soutien robuste, une entreprise peut subir des pertes importantes lorsqu’un cyberincident survient, car elle ne peut pas cerner le problème ou intervenir rapidement et adéquatement.
-
Bon nombre d’organisations pourraient ne pas avoir mis à jour leurs plans d’intervention en cas d’incident pour refléter les cas où leurs employés travaillent à domicile, notamment en ce qui concerne les questions du stockage des données à distance, des transferts de données sécurisés, de la coordination des équipes des TI et de la communication sécurisée au sein de ces équipes lorsque les systèmes sont en panne, de même que l’infrastructure à mettre en place aux fins de l’utilisation des technologies à distance.
-
Compte tenu de leurs ressources limitées, certaines organisations n’ont pas été en mesure de mettre en œuvre des mesures de sécurité telles que l’apport régulier de correctifs et l’authentification à plusieurs facteurs.
Les acheteurs et les vendeurs devraient savoir que les cyberattaquants ont concentré davantage leurs efforts sur les attaques d’hameçonnage ces derniers temps. Un rapport de Microsoft révèle que les tentatives d’hameçonnage en vue de soutirer les identifiants d’utilisateurs ont connu une hausse de 70 % l’année dernière. Les identifiants d’utilisateurs permettent aux cyberattaquants d’obtenir un accès au réseau et de compromettre celui-ci, ce qui entraîne des atteintes à la protection des données, des vols d’identité et des incidents de rançongiciel. Les cyberattaquants continuent de tirer parti de sources accessibles au public, telles que les pages de profils d’employés d’entreprises et les médias sociaux, entre autres, pour créer des profils qui semblent légitimes, augmentant ainsi la probabilité de tromper la vigilance des victimes.
De plus, bien que nous ayons observé peu de changement dans le volume global de maliciels, des preuves démontrent que les cybercriminels profitent de l’attention portée à la COVID-19 à l’échelle mondiale pour mettre au point, au moyen de stratagèmes d’ingénierie sociale, des leurres qui exploitent notre anxiété collective et le déluge d’information liée à la pandémie.
RÉPERCUSSIONS POUR LES F&A
À la lumière de la pandémie, presque toutes les organisations devront revoir et réviser leurs plans d’intervention en cas de cyberincident pour tenir compte du fait que leurs employés travaillent à distance.
Dès le début d’une opération, l’acheteur et le vendeur devraient à tout le moins s’assurer de ce qui suit :
-
Avoir une bonne compréhension des données et des autres actifs technologiques visés par l’opération, plus particulièrement la nature des données et le degré de sensibilité de celles-ci, à savoir si les données sont chiffrées ou anonymisées, la façon dont les données sont stockées et le lieu du stockage, et qui a accès aux données.
-
Déterminer dans quelle mesure les systèmes des vendeurs sont compatibles avec ceux des acheteurs et quelles dépenses devront être engagées pour synchroniser ces systèmes.
-
Évaluer rigoureusement la posture du vendeur en matière de cybersécurité et déterminer son degré de robustesse et si des faiblesses doivent être corrigées.
-
Établir si la couverture des polices d’assurance contre les cyberrisques en vigueur est suffisamment pour inclure les différentes conséquences pouvant résulter d’une atteinte, et déterminer si ces polices d’assurance devront être renégociées après la clôture de l’opération.
-
Vérifier les mesures qui ont été prises par les fournisseurs, les entrepreneurs ou les filiales du vendeur, ou par des tiers, afin de renforcer leurs moyens de cyberdéfense et leur capacité à intervenir efficacement à distance en cas de cyberincident.
-
Déterminer quelles lois en matière de protection des données et de la vie privée s’appliquent au vendeur et à ses filiales, et évaluer la conformité de leurs politiques aux lois pertinentes.
-
Demander de l’information sur toute atteinte à la protection des données dont a fait l’objet le vendeur, ses filiales ou les tiers membres de son groupe. Le vendeur devrait réunir de l’information sur toute atteinte, notamment sur l’emplacement de celle-ci, et indiquer à l’acheteur les changements qui ont été apportés en réponse à cet incident.
Entre le moment où l’opération de F&A devient publique et la clôture de celle-ci, les données du vendeur pourraient requérir davantage d’attention et d’analyse. Il est donc important d’évaluer et de surveiller de manière proactive la façon dont les renseignements sur l’opération seront partagés et transférés, qui contrôlera le processus de transfert des données, et si la cible possède les capacités adéquates pour mettre en œuvre à distance toutes les mesures de manière sécuritaire.
POINTS À RETENIR
Les pratiques déficientes en matière de cybersécurité ou les atteintes peuvent entraîner de nombreuses pertes, y compris des dommages à la réputation, des pertes de profits, une hausse des charges, des coûts supplémentaires liés à l’opération, des frais juridiques, des retards dans la clôture de l’opération, et des responsabilités à l’égard d’atteintes antérieures inconnues ou d’atteintes survenant pendant ou après l’acquisition. Pour éviter de tels coûts, les entreprises devraient adopter une approche proactive quant à la préparation des opérations et poser des questions importantes aux entités cibles relativement à leurs pratiques et politiques en matière de cybersécurité, notamment sur leur capacité à réagir efficacement à distance en cas de cyberincident. Les entreprises devraient voir la situation actuelle liée à la COVID-19 comme une occasion d’améliorer leur processus de vérification diligente en matière de cybersécurité et de protéger leurs intérêts à court et à long termes en se prémunissant contre les cyberincidents et en veillant à la protection des données sensibles dans le cadre d’opérations de F&A.
Pour en savoir davantage, communiquez avec :
Ellie Marshall 416-863-3053
Imran Ahmad 416-863-4329
ou un autre membre de notre groupe Cybersécurité.
Consultez notre Centre de ressources sur la COVID-19 pour en savoir davantage sur les répercussions de la COVID-19 sur votre entreprise.
Ressources connexes
Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet. Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.
Pour obtenir l'autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l'adresse [email protected].
© 2024 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.