Victime d’un incident de sécurité ?

Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

11/10/2023

Cybersecurity Insights

Le risque Cyber, enjeu des opérations d’investissement

Au regard de l’évolution permanente de la cybermenace (ransomware-as-a-service, fuite de données, attaque sur la supply chain…), les acteurs du private equity s’inquiètent de la résilience en cybersécurité de leurs participations actuelles et futures et ont besoin de compléter leurs cartographies des risques avec un prisme « cybersécurité ». Comme le souligne notre partner Pascal Gaden dans le panorama des cybermenaces Almond, « une attaque cyber a désormais des impacts significatifs sur la valorisation à long terme des actifs et du patrimoine des entreprises. Elle peut accroître le risque de défaillance dans les mois qui suivent la cyberattaque (redressement, liquidation judiciaire, réputation dégradée) ». Chez Almond, nous préconisons de parachever les pratiques de contrôle par une approche par les risques pour améliorer la qualité du portefeuille des fonds d’investissement.

Systématiser les évaluations Cyber et IT des cibles d’investissement et participations

La traditionnelle due diligence ou diligence raisonnable d’appréciation d’une cible d’investissement comporte des éléments financiers, juridiques, comptables, fiscaux. Au regard de l’accroissement de la dépendance des activités des entreprises aux Systèmes d’Information, elle se complète désormais d’une appréciation de la qualité et de la robustesse des Systèmes d’Information de l’organisation. Pour rappel, une due diligence est un audit d’acquisition qui permet aux investisseurs d’identifier les forces et faiblesses de leur cible d’investissement. Ce contrôle préalable est un incontournable de toute opération de fusion-acquisition. Almond recommande de déployer un ensemble de pratiques d’évaluation de la maturité Cyber des organisations pour évaluer la fiabilité de leurs cibles d’investissement mais aussi se mettre en position de contrôler par la suite en continu ces dernières lorsqu’elles entrent au portefeuille.

  • Notation cybersécurité :

Les plateformes de notation cybersécurité offrent l’opportunité d’accéder rapidement à une première vision de la sécurité de l’information des cibles d’investissement et participations sans perturber leurs activités et avec un niveau d’interaction réduit à des échanges ciblés.


Board of Cyber met à disposition des fonds d’investissement, une solution SaaS automatisée Security Rating® qui analyse la configuration sécurité des actifs publics d’une organisation, détecte les adresses IP à risque, les protocoles dangereux comme telnet, les services exposés et formalise une notation. Le fonds d’investissement n’a pas besoin de demander le consentement des cibles d’investissement et participations pour lancer un Security Rating® car la solution examine les observables publics. La plateforme consolide dans un tableau de bord les évaluations. Le fonds d’investissement peut suivre en temps réel l’amélioration ou la dégradation de la performance Cyber de son portefeuille. La solution propose un benchmark sectoriel qui permet d’évaluer le positionnement de chaque entreprise par rapport à celles notées dans le même secteur d’activité. Ces éléments peuvent appuyer une prise de décision d’acquisition ou de cession d’entreprise.

  • Evaluation de maturité Cyber :

Cette évaluation fondée sur un référentiel (ISO 27001, NIST, CIS…) permet de saisir le niveau de protection des actifs essentiels (formules, procédés, brevets, technologies, données clients, appareils industriels…), actifs qui vont bien souvent motiver une potentielle acquisition ou le maintien d’une participation au portefeuille. Le responsable de l’évaluation, s’appuyant sur une revue documentaire et des entretiens, collecte et apprécie les mesures de sécurité en place, la gestion des vulnérabilités techniques, la surveillance du risque Cyber, les compétences et ressources IT, OT et Cyber.

Gardez à l’esprit que :

  1. Même un processus évalué comme mature peut être néanmoins mis en défaut par ses dépendances avec des ressources humaines, des outils, l’évolution de l’organisation.
  2. Il convient de considérer qu’un fonds d’investissement et une participation peuvent avoir une appétence au risque différente et cette appétence peut faire différer les visées de leur référentiel d’évaluation et donc leurs évaluations.
  • Audits organisationnels et techniques :

Des audits organisationnels et techniques des cibles d’investissements et participations peuvent être diligentés par les fonds d’investissement afin d’approfondir l’évaluation de maturité cyber par des contrôles sur le terrain, la collecte de preuves et des tests techniques. Ces audits donnent lieu à des recommandations d’audit qui sont partagées avec les participations pour les aider à améliorer leur niveau de sécurité. Les fonds d’investissement prévoient généralement de nouveaux audits auprès de leur portefeuille pour évaluer la progression de la maturité Cyber des participations et s’assurer que les vulnérabilités identifiées lors du premier audit sont en cours de remédiation. Les évolutions constatées sont souvent significatives de la réactivité Cyber des organisations et sont des indicateurs précieux pour les fonds.

Ces différents types d’évaluations sont des instruments d’appréciation et supervision de risques Cyber sous-jacents pouvant affecter la confidentialité, l’intégrité, la disponibilité ou la traçabilité du patrimoine informationnel des cibles d’investissement et participations à long terme. Almond encourage à pousser le curseur plus loin en formalisant les scénarios de risques craints et leur potentielle valorisation afin d’éclairer les décisions d’investissement.

Appréhender et quantifier le risque Cyber afin d’éclairer les choix d’investissement des fonds

L’exercice de l’analyse de risques oblige à identifier les scénarios de risques que les investisseurs pourraient redouter le plus car ils conduiraient à une perte de valorisation de l’entreprise ciblée ou de la participation.

Peu importe la méthode d’analyse de risques employée (EBIOS Risk Manager, FAIR – Factor Analysis of Information Risk – ou une méthode maison compatible avec la norme ISO27005), une analyse de risques débute par :

  • L’identification de ce qui doit être absolument protégé de la cybermenace ;
  • La construction des scénarios de risques probables et portant les dommages les plus conséquents au regard des mesures existantes et de leur niveau de maturité. Les dispositifs de contrôle susmentionnés donnent une bonne perception des mesures existantes au sein des cibles d’investissement ou participations.

Almond conseille aux acteurs du private equity de se concentrer sur les coûts financiers induits par des scénarios de risques catastrophes (compromission de l’Active Directory, exfiltration de données en masse, fuite du code ou d’actifs immatériels stratégiques, perte des bases de données et sauvegardes). En bon investisseur, cette approche vous permettra d’établir une estimation du provisionnement du risque. Des solutions logicielles d’analyse de risques quantitative telles que Citalid génèrent ces estimations financières en s’appuyant sur le profil de l’entreprise pré-renseigné grâce aux inputs collectés en phase de due diligence ou de contrôle permanent.

L’analyse de risques se conclut par un plan de traitement des risques dont l’objet est de :

  • Se prémunir des risques en renforçant le niveau de protection des actifs essentiels ;
  • Préserver au maximum la valeur de l’entreprise si les risques adviennent. Une potentialité non négligeable quand on sait que 148 des 328 sociétés françaises sondées par le CESIN (45%) signalent au moins une cyberattaque réussie en 2022. A cet égard, Almond recommande aux cibles d’investissement d’enrichir le socle de mesures de réduction des impacts des risques (Plan de Continuité d’Activité, sauvegardes, gestion de crise…) plutôt que de focaliser leurs actions sur la réduction de la probabilité des risques. Ceci augmentera leur attractivité auprès des fonds d’investissement.

Conclusion

En définitive, Almond préconise aux fonds d’investissement d’explorer la cybersécurité de leurs futures , de leurs participations actuelles, mais aussi de leurs tiers dans le cadre de Vendor Due Diligence en débutant par deux phases :

  • Contrôler la robustesse et la résilience de leur Système d’Information ;
  • Se projeter dans des scénarios catastrophes et estimer le provisionnement financier nécessaire à leur couverture.

Almond encourage les entreprises ciblées et les participations à réaliser les investissements nécessaires pour présenter un niveau de cybersécurité rassurant et augmenter leurs perspectives d’opportunité auprès des fonds. Les fonds d’investissements sont plus enclins à opérer avec des entreprises pour lesquelles les coûts de remédiation d’une cyberattaque d’ampleur sont absorbables grâce à des efforts de sécurité continus, des compétences et un budget Cyber adaptés.

Sources

Florence EXMELIN

Manager Governance, Risks & Compliance

François EHLY

Manager Governance, Risks & Compliance

Voir les derniers Cybersecurity Insights

13 novembre 2023
Version révisée (Edition 4) de la norme ISO/CEI 27005 : Almond vous propose un top 3 des changements normatifs et des précisions sur leurs implications directes dans les travaux des Risk Managers au sein des organisations.
Read more
19 octobre 2023
C’est ce que tente d’éclairer cet article en explorant les avantages d’une approche ISO 27001 pour structurer les réponses attendues par vos clients dans les questionnaires SSI qu’ils vous transmettent.
Read more
16 octobre 2023
L'authentification multi-facteurs, un sujet toujours d'actualité à ne pas négliger !
Read more
5 octobre 2023
Did you ever imagine that you or your colleagues could be a serious threat to your company? Discover our study: Insider Threat !
Read more
29 septembre 2023
Découvrez la solution SASE de Zscaler avec Benoit Vérove, Partner et Lead Security Integration chez Almond et Reda Nedjar, Principal Sales Engineer chez Zscaler au travers d'une démonstration technique au cœur de l'outil Zscaler Zero Trust Exchange™!
Read more
16 juin 2023
Le SASE en 7 min chrono : décrypter le SASE, sa fonction et ses usages. Pour y voir plus clair, nous vous proposons d’entrer en immersion dans les plateformes SASE des experts du secteur. Découvrons ensemble, la solution SASE proposée par Cato Networks. Joseph Fernando, SE Manager South EMEA, chez Cato Networks réalise une démonstration technique de la solution Cato SASE Cloud, au côté de Benoit Vérove, Partner et Lead Security Integration chez Almond.
Read more
12 juin 2023
Comme chaque année, SWIFT met à jour son standard CSCF et apporte son lot de nouveautés. Nous vous proposons ici quelques clés de lecture associées aux changements fondamentaux apportés par le CSCF v2023
Read more
5 juin 2023
Depuis 2021, tous les clients SWIFT se trouvent dans l’obligation de réaliser une évaluation de conformité dans le cadre du Customer Security Program (CSP) de SWIFT.
Read more
2 juin 2023
Décryptez la technologie SASE, au travers d'une démonstration technique de la solution Harmony Connect proposée par Check Point.
Read more
2 juin 2023
Le 24 mai 2023, le gouvernement Américain a publiquement attribué à la Chine une série d’attaques ciblant des infrastructures critiques situées aux États-Unis ainsi que sur l’île de Guam.
Read more
The crew
Cyber Security
Secure Cloud &
Digital Technology
Almond Institute
News
Join us
We are HIRING
Contactez-nous
Twitter Linkedin Facebook Youtube Instagram
Paris_
STRASBOURG_
NANTES_
RENNES_
LYON_
GENÈVE_
MOVE
FORWARD
WE'LL
WATCH
YOUR
BACK
Politique de confidentialité
Gestion des cookies
© 2023 Almond. Tous droits réservés.
Twitter Linkedin Facebook Youtube Instagram

Jour 1 : Qu'est-ce que la DORA?

  • Réponse 1 : Une jeune exploratrice bilingue
  • Réponse 2 : Un protocole de communication décrit dans le RFC 9364
  • Réponse 3 : Une organisation internationale de régulation de la cybersécurité
  • Réponse 4 : Une règlementation concernant les « entités financières »

Pour y répondre, rendez-vous sur notre page Linkedin ! A vos votes !