Cyber-résilience en contexte M&A : le moment préféré des attaquants

Demandez à un attaquant de dessiner sa cible idéale. Il rêve d’identités en cours de migration. Ajoutez des équipes IT surchargées et réorganisées. Mélangez des responsabilités floues entre vendeur et acquéreur. Montez des interconnexions temporaires dans l’urgence. Et diffusez une annonce publique qui documente tout cela dans la presse. Voilà le portrait exact d’une opération M&A en cours. Voici pourquoi la cyber-résilience M&A doit être un workstream du programme, et pas un sujet d’après.

Pourquoi la fenêtre M&A est-elle si exposée ?

Trois facteurs se cumulent. D’abord, la surface d’attaque. Pendant la transition, deux SI coexistent, reliés par des passerelles temporaires. En effet, chaque interconnexion TSA est une porte entre deux entreprises. Ensuite, la désorganisation. Les référents sécurité changent, les processus de vigilance se distendent, les signaux faibles passent inaperçus. Enfin, l’ingénierie sociale. L’annonce du deal offre aux attaquants un scénario de phishing clef en main, du type nouvelle procédure de connexion après la fusion. Or des collaborateurs déboussolés y sont plus vulnérables que jamais.

Hériter d’un passif : le risque de l’acquéreur

Acquérir une entreprise, c’est acquérir sa posture de sécurité : vulnérabilités, compromissions dormantes, non-conformités. En effet, plusieurs incidents majeurs de ces dernières années sont entrés par une filiale fraîchement acquise, connectée avant tout audit. La règle est simple : pas d’interconnexion sans audit préalable de l’environnement acquis. Il faut aussi remédier aux écarts critiques avant d’ouvrir les flux. Idéalement, ce travail commence avant le signing, en due diligence IT et cyber.

Cyber-résilience M&A : survivre, pas seulement se protéger

La question n’est pas seulement d’empêcher l’attaque. Il faut aussi y survivre en plein programme. Que devient un plan de continuité issu du groupe vendeur quand l’entité devient autonome ? Qui déclenche la cellule de crise pendant la transition, le vendeur ou l’acquéreur ? Ainsi, il faut redéfinir le dispositif de continuité d’activité et de gestion de crise pour la nouvelle entité. De plus, il faut le tester avant le Day 1. Enfin, il s’adosse aux obligations applicables (NIS2, DORA), qui s’appliquent sans période de grâce.

Cyber-résilience M&A : ce qu’il faut retenir

Dans une opération M&A, la cyber-résilience M&A n’est pas une assurance qu’on souscrit après le déménagement. C’est une composante du plan de séparation ou d’intégration, avec ses jalons, son budget et son responsable. Les attaquants connaissent votre calendrier. Autant qu’il joue pour vous.

Une opération en préparation ? Découvrez comment la cyber-résilience s’intègre aux programmes carve-out et carve-in, ou parlons de votre opération.
Partager cet article
Lien copié