11/10/2023
Cybersecurity Insights
Le risque Cyber, enjeu des opérations d’investissement
Au regard de l’évolution permanente de la cybermenace (ransomware-as-a-service, fuite de données, attaque sur la supply chain…), les acteurs du private equity s’inquiètent de la résilience en cybersécurité de leurs participations actuelles et futures et ont besoin de compléter leurs cartographies des risques avec un prisme « cybersécurité ». Comme le souligne notre partner Pascal Gaden dans le panorama des cybermenaces Almond, « une attaque cyber a désormais des impacts significatifs sur la valorisation à long terme des actifs et du patrimoine des entreprises. Elle peut accroître le risque de défaillance dans les mois qui suivent la cyberattaque (redressement, liquidation judiciaire, réputation dégradée) ». Chez Almond, nous préconisons de parachever les pratiques de contrôle par une approche par les risques pour améliorer la qualité du portefeuille des fonds d’investissement.
Systématiser les évaluations Cyber et IT des cibles d’investissement et participations
La traditionnelle due diligence ou diligence raisonnable d’appréciation d’une cible d’investissement comporte des éléments financiers, juridiques, comptables, fiscaux. Au regard de l’accroissement de la dépendance des activités des entreprises aux Systèmes d’Information, elle se complète désormais d’une appréciation de la qualité et de la robustesse des Systèmes d’Information de l’organisation. Pour rappel, une due diligence est un audit d’acquisition qui permet aux investisseurs d’identifier les forces et faiblesses de leur cible d’investissement. Ce contrôle préalable est un incontournable de toute opération de fusion-acquisition. Almond recommande de déployer un ensemble de pratiques d’évaluation de la maturité Cyber des organisations pour évaluer la fiabilité de leurs cibles d’investissement mais aussi se mettre en position de contrôler par la suite en continu ces dernières lorsqu’elles entrent au portefeuille.
- Notation cybersécurité :
Les plateformes de notation cybersécurité offrent l’opportunité d’accéder rapidement à une première vision de la sécurité de l’information des cibles d’investissement et participations sans perturber leurs activités et avec un niveau d’interaction réduit à des échanges ciblés.
Board of Cyber met à disposition des fonds d’investissement, une solution SaaS automatisée Security Rating® qui analyse la configuration sécurité des actifs publics d’une organisation, détecte les adresses IP à risque, les protocoles dangereux comme telnet, les services exposés et formalise une notation. Le fonds d’investissement n’a pas besoin de demander le consentement des cibles d’investissement et participations pour lancer un Security Rating® car la solution examine les observables publics. La plateforme consolide dans un tableau de bord les évaluations. Le fonds d’investissement peut suivre en temps réel l’amélioration ou la dégradation de la performance Cyber de son portefeuille. La solution propose un benchmark sectoriel qui permet d’évaluer le positionnement de chaque entreprise par rapport à celles notées dans le même secteur d’activité. Ces éléments peuvent appuyer une prise de décision d’acquisition ou de cession d’entreprise.
- Evaluation de maturité Cyber :
Cette évaluation fondée sur un référentiel (ISO 27001, NIST, CIS…) permet de saisir le niveau de protection des actifs essentiels (formules, procédés, brevets, technologies, données clients, appareils industriels…), actifs qui vont bien souvent motiver une potentielle acquisition ou le maintien d’une participation au portefeuille. Le responsable de l’évaluation, s’appuyant sur une revue documentaire et des entretiens, collecte et apprécie les mesures de sécurité en place, la gestion des vulnérabilités techniques, la surveillance du risque Cyber, les compétences et ressources IT, OT et Cyber.
Gardez à l’esprit que :
- Même un processus évalué comme mature peut être néanmoins mis en défaut par ses dépendances avec des ressources humaines, des outils, l’évolution de l’organisation.
- Il convient de considérer qu’un fonds d’investissement et une participation peuvent avoir une appétence au risque différente et cette appétence peut faire différer les visées de leur référentiel d’évaluation et donc leurs évaluations.
- Audits organisationnels et techniques :
Des audits organisationnels et techniques des cibles d’investissements et participations peuvent être diligentés par les fonds d’investissement afin d’approfondir l’évaluation de maturité cyber par des contrôles sur le terrain, la collecte de preuves et des tests techniques. Ces audits donnent lieu à des recommandations d’audit qui sont partagées avec les participations pour les aider à améliorer leur niveau de sécurité. Les fonds d’investissement prévoient généralement de nouveaux audits auprès de leur portefeuille pour évaluer la progression de la maturité Cyber des participations et s’assurer que les vulnérabilités identifiées lors du premier audit sont en cours de remédiation. Les évolutions constatées sont souvent significatives de la réactivité Cyber des organisations et sont des indicateurs précieux pour les fonds.
Ces différents types d’évaluations sont des instruments d’appréciation et supervision de risques Cyber sous-jacents pouvant affecter la confidentialité, l’intégrité, la disponibilité ou la traçabilité du patrimoine informationnel des cibles d’investissement et participations à long terme. Almond encourage à pousser le curseur plus loin en formalisant les scénarios de risques craints et leur potentielle valorisation afin d’éclairer les décisions d’investissement.
Appréhender et quantifier le risque Cyber afin d’éclairer les choix d’investissement des fonds
L’exercice de l’analyse de risques oblige à identifier les scénarios de risques que les investisseurs pourraient redouter le plus car ils conduiraient à une perte de valorisation de l’entreprise ciblée ou de la participation.
Peu importe la méthode d’analyse de risques employée (EBIOS Risk Manager, FAIR – Factor Analysis of Information Risk – ou une méthode maison compatible avec la norme ISO27005), une analyse de risques débute par :
- L’identification de ce qui doit être absolument protégé de la cybermenace ;
- La construction des scénarios de risques probables et portant les dommages les plus conséquents au regard des mesures existantes et de leur niveau de maturité. Les dispositifs de contrôle susmentionnés donnent une bonne perception des mesures existantes au sein des cibles d’investissement ou participations.
Almond conseille aux acteurs du private equity de se concentrer sur les coûts financiers induits par des scénarios de risques catastrophes (compromission de l’Active Directory, exfiltration de données en masse, fuite du code ou d’actifs immatériels stratégiques, perte des bases de données et sauvegardes). En bon investisseur, cette approche vous permettra d’établir une estimation du provisionnement du risque. Des solutions logicielles d’analyse de risques quantitative telles que Citalid génèrent ces estimations financières en s’appuyant sur le profil de l’entreprise pré-renseigné grâce aux inputs collectés en phase de due diligence ou de contrôle permanent.
L’analyse de risques se conclut par un plan de traitement des risques dont l’objet est de :
- Se prémunir des risques en renforçant le niveau de protection des actifs essentiels ;
- Préserver au maximum la valeur de l’entreprise si les risques adviennent. Une potentialité non négligeable quand on sait que 148 des 328 sociétés françaises sondées par le CESIN (45%) signalent au moins une cyberattaque réussie en 2022. A cet égard, Almond recommande aux cibles d’investissement d’enrichir le socle de mesures de réduction des impacts des risques (Plan de Continuité d’Activité, sauvegardes, gestion de crise…) plutôt que de focaliser leurs actions sur la réduction de la probabilité des risques. Ceci augmentera leur attractivité auprès des fonds d’investissement.
Conclusion
En définitive, Almond préconise aux fonds d’investissement d’explorer la cybersécurité de leurs futures , de leurs participations actuelles, mais aussi de leurs tiers dans le cadre de Vendor Due Diligence en débutant par deux phases :
- Contrôler la robustesse et la résilience de leur Système d’Information ;
- Se projeter dans des scénarios catastrophes et estimer le provisionnement financier nécessaire à leur couverture.
Almond encourage les entreprises ciblées et les participations à réaliser les investissements nécessaires pour présenter un niveau de cybersécurité rassurant et augmenter leurs perspectives d’opportunité auprès des fonds. Les fonds d’investissements sont plus enclins à opérer avec des entreprises pour lesquelles les coûts de remédiation d’une cyberattaque d’ampleur sont absorbables grâce à des efforts de sécurité continus, des compétences et un budget Cyber adaptés.
Sources
Florence EXMELIN
Manager Governance, Risks & Compliance
François EHLY
Manager Governance, Risks & Compliance