Explorez la cybersécurité en amont des F&A
29 Novembre 2019
29 Novembre 2019
Ces dernières années, nous observons une recrudescence des fusions-acquisitions (F&A) dans le secteur du pétrole et du gaz, avec notamment une activité importante dans les segments non-conventionnels en Amérique du Nord, en particulier dans le bassin permien, ainsi qu’en témoignent l’acquisition des actifs de BHP par BP en 2018 et l’offre d’Occidental Petroleum faite en 2019 pour l’acquisition d’Anadarko Petroleum. D’autres signes d’activité F&A dans le secteur aval sont évidents, avec notamment le rachat d’Andeavor par Marathon Petroleum en 2018.
Il fut un temps où, en matière de fusions-acquisitions, les efforts de diligence raisonnable se limitaient à l’examen des grands livres comptables, à l’inspection des équipements et à l’évaluation des risques liés aux zones géographiques concernées. Aujourd’hui, l’équipe chargée de la transaction doit également examiner les cyber-risques potentiels qui seraient hérités de l’opération, et anticiper leur impact sur l’organisation nouvellement créée.
Toutes les entreprises opèrent dans un environnement numérique, marqué par une convergence des technologies de l’information et des technologies opérationnelles - c'est ce que nous appelons communément la « convergence IT/OT ». Des logiciels transmettent les données opérationnelles des différents équipements sur le terrain vers un système de bureau centralisé. En d’autres termes, un ensemble de postes distants installés sur le terrain (sans oublier les chaînes d’approvisionnement étendues constituées avec des partenaires tiers) est intrinsèquement lié au fonctionnement de l’organisation. Une telle configuration rend le cyber-risque extrêmement élevé.
Pour protéger la valeur d’une transaction F&A, une grande rigueur est de mise en matière de sécurité sur l’ensemble de la chaîne de valeur, depuis les logiciels traditionnels des serveurs de messagerie et les systèmes financiers jusqu’aux technologies opérationnelles clés embarquées sur les équipements de terrain.
Le cyber-risque peut être traduit en termes financiers, avec la possibilité de modifier les évaluations, si nécessaire, en fonction du risque présent dans la société cible.
Le risque géopolitique est également un facteur, notamment dans le secteur du pétrole et du gaz, qui joue un rôle dans la sécurité nationale. Dans la neuvième étude annuelle Accenture consacrée au coût de la cybercriminalité (2019), nous constatons « une augmentation significative de l’espionnage économique ». Cela inclut notamment le vol d’actifs de propriété intellectuelle de grande valeur par des acteurs mal intentionnés tels que des États-nations.
Dans le secteur du pétrole et du gaz, les fusions et acquisitions sont bien souvent des cibles idéales pour des attaques commanditées ou soutenues par un État-nation, qui se révèlent être des menaces de nature plus complexe. L’objectif de l’État concerné pourra par exemple être d’avoir accès à des informations privilégiées pour sous-enchérir sur une offre et/ou pour réduire une évaluation afin de remporter le deal.
La cybersécurité n’est pas une affaire de contrôles ponctuels : c’est au contraire un processus clé qui doit être appliqué tout au long du cycle de vie des opérations de F&A, puis au sein de l’entreprise nouvellement constituée, depuis la sécurité avant et pendant les négociations commerciales, jusqu’aux efforts de transition en préparation du jour 1.
La cybersécurité : identifier les risques en amont
Durant la phase préalable à une opération de F&A, la cybersécurité doit se concentrer sur l’identification des risques et des lacunes éventuels. Cela permettra de mieux comprendre les risques financiers et opérationnels associés aux environnements IT/OT. Nous recommandons d’effectuer ces opérations essentielles de cybersécurité durant la phase préalable à l’opération.
L’objectif est ici de mieux cerner les motivations et les capacités d’un acteur menaçant concernant votre société cible, et d’identifier les vulnérabilités réelles et potentielle pour votre organisation.
Cybersécurité lors de la phase de finalisation
Lorsque les négociations sur l’opération de F&A progressent, les activités de cybersécurité doivent se focaliser sur l’élimination des cyber-risques identifiés lors de l’évaluation préalable.
Au cours de cette phase, la sécurité doit également être renforcée autour de la communication de l’équipe de négociation et des données de F&A. Une opération de F&A fait intervenir un large éventail d'acteurs : cadres dirigeants, cadres supérieurs, conseil d’administration et conseillers de confiance. Nos recherches indiquent que « le facteur humain reste le maillon faible » de la cybersécurité des informations et données sensibles.
Un niveau de sécurité renforcé pourra être atteint grâce à une surveillance accrue des individus contribuant à l’opération. Il pourra s’agir d’un protocole de communication spécifiquement défini, d’ententes portant sur le partage des informations et de technologies de protection des données transactionnelles (cryptage, DLP, VPN, etc.). Nous recommandons de mettre en place ces opérations clés de cybersécurité durant la phase de transaction :
Durant la finalisation de la transaction, les deux entreprises doivent également élaborer un plan de transition du Jour 1. Ce travail permettra de fixer des échéances pour l’intégration des services de cybersécurité au sein d’une seule opération centralisée. Le projet de modèle opérationnel de la nouvelle entreprise issue de la fusion devra notamment couvrir les structures de reporting, les catalogues de services, la gouvernance des programmes, ainsi que d’autres considérations clés pour assurer un fonctionnement normal des opérations dès le jour 1.
La cybersécurité Jour 1 exécute le plan de transition
Dans le jargon des fusions-acquisitions, le « Jour 1 » désigne le premier jour auquel les deux sociétés nouvellement fusionnées/acquises vont commencer à fonctionner comme une seule et même entité. La cybersécurité Jour 1 consiste donc à appliquer le plan et la feuille de route qui ont été définis dans le cadre du plan de transition. Il s’agit ici de prendre en charge l’intégration des capacités de sécurité pour l’ensemble des personnes, des processus et des technologies mobilisés. Nous recommandons de mettre en place ces opérations clés de cybersécurité :
Notre étude souligne que la fonction de sécurité est, dans une large mesure, centralisée et que son personnel « est rarement inclus lorsque de nouveaux produits, services et processus - qui génèrent inévitablement des cyber-risques - sont développés ». Une telle approche cloisonnée risque d’induire un certain manque de responsabilisation dans l’organisation, généralisant le sentiment que la cybersécurité n’est pas l’affaire de tous.