RAPPORT DE RECHERCHE

En bref

En bref

  • Le rythme des fusions-acquisitions (F&A) s’accélère dans le secteur du pétrole et du gaz.
  • La cybersécurité est aujourd’hui un aspect essentiel des vérifications nécessaires dans toute opération de F&A.
  • La cybersécurité doit être considérée tout au long du cycle de vie des opérations de F&A, et non uniquement de façon ponctuelle.


Fusions-acquisitions dans le secteur de l’énergie

Ces dernières années, nous observons une recrudescence des fusions-acquisitions (F&A) dans le secteur du pétrole et du gaz, avec notamment une activité importante dans les segments non-conventionnels en Amérique du Nord, en particulier dans le bassin permien, ainsi qu’en témoignent l’acquisition des actifs de BHP par BP en 2018 et l’offre d’Occidental Petroleum faite en 2019 pour l’acquisition d’Anadarko Petroleum. D’autres signes d’activité F&A dans le secteur aval sont évidents, avec notamment le rachat d’Andeavor par Marathon Petroleum en 2018.

La cybersécurité : essentielle pour les F&A

Il fut un temps où, en matière de fusions-acquisitions, les efforts de diligence raisonnable se limitaient à l’examen des grands livres comptables, à l’inspection des équipements et à l’évaluation des risques liés aux zones géographiques concernées. Aujourd’hui, l’équipe chargée de la transaction doit également examiner les cyber-risques potentiels qui seraient hérités de l’opération, et anticiper leur impact sur l’organisation nouvellement créée.

Toutes les entreprises opèrent dans un environnement numérique, marqué par une convergence des technologies de l’information et des technologies opérationnelles - c'est ce que nous appelons communément la « convergence IT/OT ». Des logiciels transmettent les données opérationnelles des différents équipements sur le terrain vers un système de bureau centralisé. En d’autres termes, un ensemble de postes distants installés sur le terrain (sans oublier les chaînes d’approvisionnement étendues constituées avec des partenaires tiers) est intrinsèquement lié au fonctionnement de l’organisation. Une telle configuration rend le cyber-risque extrêmement élevé.

Pour protéger la valeur d’une transaction F&A, une grande rigueur est de mise en matière de sécurité sur l’ensemble de la chaîne de valeur, depuis les logiciels traditionnels des serveurs de messagerie et les systèmes financiers jusqu’aux technologies opérationnelles clés embarquées sur les équipements de terrain.

Le cyber-risque peut être traduit en termes financiers, avec la possibilité de modifier les évaluations, si nécessaire, en fonction du risque présent dans la société cible.

Un facteur de risque souvent négligé

Le risque géopolitique est également un facteur, notamment dans le secteur du pétrole et du gaz, qui joue un rôle dans la sécurité nationale. Dans la neuvième étude annuelle Accenture consacrée au coût de la cybercriminalité (2019), nous constatons « une augmentation significative de l’espionnage économique ». Cela inclut notamment le vol d’actifs de propriété intellectuelle de grande valeur par des acteurs mal intentionnés tels que des États-nations.

Dans le secteur du pétrole et du gaz, les fusions et acquisitions sont bien souvent des cibles idéales pour des attaques commanditées ou soutenues par un État-nation, qui se révèlent être des menaces de nature plus complexe. L’objectif de l’État concerné pourra par exemple être d’avoir accès à des informations privilégiées pour sous-enchérir sur une offre et/ou pour réduire une évaluation afin de remporter le deal.

La cybersécurité : garantie du succès des F&A

La cybersécurité n’est pas une affaire de contrôles ponctuels : c’est au contraire un processus clé qui doit être appliqué tout au long du cycle de vie des opérations de F&A, puis au sein de l’entreprise nouvellement constituée, depuis la sécurité avant et pendant les négociations commerciales, jusqu’aux efforts de transition en préparation du jour 1.

La cybersécurité : identifier les risques en amont

Durant la phase préalable à une opération de F&A, la cybersécurité doit se concentrer sur l’identification des risques et des lacunes éventuels. Cela permettra de mieux comprendre les risques financiers et opérationnels associés aux environnements IT/OT. Nous recommandons d’effectuer ces opérations essentielles de cybersécurité durant la phase préalable à l’opération.

L’objectif est ici de mieux cerner les motivations et les capacités d’un acteur menaçant concernant votre société cible, et d’identifier les vulnérabilités réelles et potentielle pour votre organisation.

Le renseignement sur les cyber-menaces

Cette phase doit permettre d’avoir une vue plus claire des menaces potentielles émanant du dark web et d’autres sources Internet.

La chasse aux cyber-menaces

Conduire une analyse proactive des systèmes IT/OT sur la société cible et la société mère permet d'identifier des indicateurs de compromis, les tactiques, techniques et procédures.

Test d’intrusion externe

Cette procédure vise à tester le périmètre externe pour identifier les vulnérabilités de l’environnement de la cible F&A.

Voir toutes les offres

Cybersécurité lors de la phase de finalisation

Lorsque les négociations sur l’opération de F&A progressent, les activités de cybersécurité doivent se focaliser sur l’élimination des cyber-risques identifiés lors de l’évaluation préalable.

Au cours de cette phase, la sécurité doit également être renforcée autour de la communication de l’équipe de négociation et des données de F&A. Une opération de F&A fait intervenir un large éventail d'acteurs : cadres dirigeants, cadres supérieurs, conseil d’administration et conseillers de confiance. Nos recherches indiquent que « le facteur humain reste le maillon faible » de la cybersécurité des informations et données sensibles.

Un niveau de sécurité renforcé pourra être atteint grâce à une surveillance accrue des individus contribuant à l’opération. Il pourra s’agir d’un protocole de communication spécifiquement défini, d’ententes portant sur le partage des informations et de technologies de protection des données transactionnelles (cryptage, DLP, VPN, etc.). Nous recommandons de mettre en place ces opérations clés de cybersécurité durant la phase de transaction :

  • Activités d’assainissement - Traiter les cyber-risques identifiés au cours des activités préalables à l’opération.
  • Communications sécurisées - Travailler avec des entreprises capables de fournir une infrastructure de communications intégrée et sécurisée pour garantir la confidentialité.
  • Planification du Jour 1 et de la transition - Définir un ensemble de services de cybersécurité devant être opérationnel au jour 1, ainsi qu’un plan de mise en œuvre pour l’intégration des individus, des processus et des technologies.

Durant la finalisation de la transaction, les deux entreprises doivent également élaborer un plan de transition du Jour 1. Ce travail permettra de fixer des échéances pour l’intégration des services de cybersécurité au sein d’une seule opération centralisée. Le projet de modèle opérationnel de la nouvelle entreprise issue de la fusion devra notamment couvrir les structures de reporting, les catalogues de services, la gouvernance des programmes, ainsi que d’autres considérations clés pour assurer un fonctionnement normal des opérations dès le jour 1.

La cybersécurité Jour 1 exécute le plan de transition

Dans le jargon des fusions-acquisitions, le « Jour 1 » désigne le premier jour auquel les deux sociétés nouvellement fusionnées/acquises vont commencer à fonctionner comme une seule et même entité. La cybersécurité Jour 1 consiste donc à appliquer le plan et la feuille de route qui ont été définis dans le cadre du plan de transition. Il s’agit ici de prendre en charge l’intégration des capacités de sécurité pour l’ensemble des personnes, des processus et des technologies mobilisés. Nous recommandons de mettre en place ces opérations clés de cybersécurité :

Transformation de la culture de sécurité

Engager le processus d’adoption de la culture de sécurité souhaitée par un plan visant à intégrer les talents au sein des cycles de vie et des indicateurs de performance.

Alignement des processus

Aligner les politiques, les processus, les normes, les procédures et les règlements des deux organisations en matière de sécurité.

Rationalisation des plateformes

Consolider les applications et les solutions de sécurité clés pour la nouvelle entreprise.

Voir toutes les offres

Après l’opération

Notre étude souligne que la fonction de sécurité est, dans une large mesure, centralisée et que son personnel « est rarement inclus lorsque de nouveaux produits, services et processus - qui génèrent inévitablement des cyber-risques - sont développés ». Une telle approche cloisonnée risque d’induire un certain manque de responsabilisation dans l’organisation, généralisant le sentiment que la cybersécurité n’est pas l’affaire de tous.

Edwin Cisneros

DIRECTEUR EXÉCUTIF, EN CHARGE DU PÔLE CYBERSÉCURITÉ ET ÉNERGIE


Jeffrey Miers

DIRECTEUR EXÉCUTIF – ÉNERGIE – AMÉRIQUE DU NORD

POUR ALLER PLUS LOIN

Cyber resilience in the oil and gas sector
Top trends in the Oil & Gas sector

Inscription
Restez informé avec nos dernières publications Restez informé avec nos dernières publications