Les entreprises investissent beaucoup du temps et de l’énergie pour intégrer les réseaux et les applications après une acquisition. Cependant, les équipes informatiques, de sécurité et de renseignement de l’acquisition disposent rarement des ressources ou des processus internes pour effectuer une diligence d’investigation sur une cible avant une acquisition. Cela leur permettrait de mieux gérer les risques.
Les questionnaires, les entretiens et la diligence raisonnable en matière de cybersécurité sont couramment utilisés, mais ces efforts ne sont généralement lancés qu’après la mise en place d’une lettre d’intention (LOI) et l’accès à l’organisation et à ses réseaux est accordé. Dans de nombreux cas, les approbations réglementaires peuvent retarder davantage cet accès et ce partage d’informations. Il en résulte un processus souvent précipité et sous-optimal.
Alors que le marché des fusions et acquisitions s’accélère, les acquéreurs doivent modifier cette dynamique pour accélérer le processus de diligence raisonnable et s’assurer que tous les risques associés à la posture de cybersécurité, à la réputation de l’entreprise et au personnel clé sont identifiés, évalués et traités tôt dans le processus.
Voici cinq étapes clés pour une approche plus rapide et plus efficace de la diligence raisonnable des fusions et acquisitions :
Préparez-vous avec une liste d’actions le premier jour, pas le 30
En raison de contraintes ou de la nature précipitée de la diligence traditionnelle, les entreprises découvrent souvent le risque dès le premier jour, lorsque la transaction est conclue.
Il est possible de comprendre les risques importants dès le début du processus grâce à l’utilisation d’une diligence technique et axée sur le renseignement. Cela vous permet de mieux évaluer l’opportunité et de disposer d’équipes d’intégration équipées pour gérer le risque accepté dès le premier jour.
Les fuites de données client et les indicateurs de violations actuelles ou passées peuvent tous être identifiés grâce à une combinaison d’OSINT, d’outils appropriés et d’analyses d’experts.
Vous pouvez commencer une enquête et une évaluation basées sur le renseignement beaucoup plus tôt sans avoir besoin d’un accès au réseau ou d’un partage d’informations. Cette approche est de plus en plus utilisée pour valider, voire remplacer, les questionnaires et les entretiens. La clé est d’ajouter l’intelligence open source (OSINT) au processus de diligence raisonnable. OSINT est basé sur des informations accessibles au public et peut inclure à la fois des sources librement disponibles et sous licence.
En utilisant OSINT et en initiant une diligence raisonnable « de l’extérieur du pare-feu », les acquéreurs et les décideurs de leurs données d’entreprise peuvent commencer leur enquête à tout moment du processus, y compris dans la phase d’identification de la cible. Puisqu’il ne nécessite pas de partage d’informations ni d’accès aux applications et aux réseaux de la cible, les évaluations initiales peuvent également être réalisées beaucoup plus rapidement que la cyber diligence traditionnelle, souvent en quelques semaines.
Identifier les parties prenantes et gérer le processus OSINT
Une fois qu’une organisation décide d’améliorer son processus de diligence avec OSINT, il est important d’identifier les individus ou les organisations qui géreront le processus. Cela dépend de la taille de l’organisation, ainsi que de la prévalence et de la complexité des risques encourus.