Moments forts du webinaire : gestion du risque cyber dans les fusions-acquisitions
À l’occasion d’un nouveau webinaire, des spécialistes de C-Risk et de RiskLens (qui fait désormais parti de Safe Security) ont cherché à apporter un double éclairage : comment éviter les pièges courants ? Comment évaluer plus efficacement les contrôles et leurs effets sur le risque cyber ? Cette discussion est la deuxième d’une série de trois webinaires sur la quantification du risque cyber en termes financiers.
Selon Jacqueline Lebo, consultante senior risque chez RiskLens LLC et spécialiste de la cybersécurité et de la confidentialité pour le secteur de la santé, l’évaluation des contrôles de sécurité peut s’avérer une « entreprise titanesque ». Elle n’est en effet pas compatible avec les délais spécifiques imposés, par exemple, dans le cadre d’un audit d’acquisition. Il est donc essentiel de se focaliser sur le principal.
« Soit on vise l’exhaustivité et on cherche à comprendre tous les risques individuellement, soit on établit des priorités. Il est important de s’appuyer sur un référentiel pour comprendre la sécurité d’une entreprise. Certains grands établissements de santé utilisent déjà la Quantification des risques cyber (CRQ) pour informer leur activité de M&A », constate Jacqueline Lebo.
La CRQ mesure le risque en termes financiers. Elle aide ainsi les entreprises à définir et à modéliser des contrôles en les reliant à des scénarios de risque cyber.
« Dans l’exercice de comparaison du potentiel de perte, par rapport à l’indication d’un risque critique élevé/moyen/faible, la composante CRQ vient véritablement éclairer la prise de décision »,
explique Zack Sumney, consultant senior risque chez RiskLens, spécialiste de la quantification des risques d’entreprise.
Pour Tom Callaghan, cofondateur de C-Risk et coprésident du FAIR Institute Paris, la vue quantifiée des contrôles facilite l’évaluation et la gestion du risque cyber dans le cadre des fusions-acquisitions. Cette vue est précieuse en situation de M&A, en amont de l’acquisition comme en aval. En effet, elle évite de devoir mener un examen inutilement extensif de tout l’environnement des contrôles en se concentrant sur les actifs clés et les scénarios de risque.
Renforcez la cyber-résilience de votre organisation grâce à la quantification des cyber-risques
Nos experts certifiés FAIR vous aideront à hiérarchiser vos investissements en matière de sécurité informatique, à améliorer la gouvernance et à accroître la cyber-résilience de votre organisation.
Retrouvez gratuitement ce webinaire complet de 51 minutes. Vous y découvrirez conseils et bonnes pratiques sur l’évaluation des contrôles de sécurité dans le cadre de la fusion-acquisition :
- Identifier les actifs qui seront les plus précieux dans un modèle d’exploitation post-acquisition.
- Élaborer des scénarios de risque à partir de ces actifs clés et se concentrer sur l’impact financier.
- Cadrer correctement le périmètre des scénarios pour mieux envisager les pertes potentielles.
- Appréhender la stratégie d’acquisition pour bien comprendre les décisions informées par l’évaluation des risques.
Le webinaire inclut des exemples de scénarios réels issus des secteurs de la santé et du commerce de luxe. Il fournit des conseils précieux sur l’évaluation du risque cyber lors d’une acquisition, notamment :
- Pendant l’audit d’acquisition, évaluez la part de technologie existante et déterminez comment elle s’inscrit dans le tableau général des contrôles de sécurité.
- Pouvez-vous quantifier le risque acquis avec ces technologies existantes ?
- Faut-il le prendre en compte et renégocier les conditions ?
Regardez le replay du webinar : ICI.
La diligence raisonnable en matière de cybercriminalité
Le contrôle préalable en matière de cybersécurité est devenu un élément essentiel du processus de fusion et d'acquisition. Face à l'augmentation des risques liés à la cybersécurité, les entreprises acquéreuses et les entreprises cibles doivent évaluer les vulnérabilités potentielles qui pourraient avoir un impact sur la réussite de l'opération, l'évaluation financière et les opérations postérieures à l'intégration.
Les vulnérabilités d'une entreprise en matière de cybersécurité peuvent entraîner d'importants risques financiers, juridiques et de réputation. Par exemple, après l'acquisition, si l'entreprise cible est vulnérable aux menaces cyber, ces risques seront transférés à l'entreprise acquéreuse. L'audit préalable en matière de cybercriminalité permet d'évaluer et d'atténuer les vulnérabilités potentielles avant de conclure un accord. Il existe également d'autres vulnérabilités, telles que les risques liés aux tiers. Il est également essentiel d'évaluer les relations de l'entreprise cible avec ses fournisseurs, ses partenaires et d'autres tiers, car leurs normes de cybersécurité pourraient avoir une incidence sur le profil de risque global.
Avoir des partenaires expérimentés comme les experts de C-Risk à vos côtés lors de processus critiques tels que les fusions-acquisitions ou l'élaboration d'une stratégie globale de cybersécurité permet de prendre des décisions en connaissance de cause. Leur expertise garantit que vous prenez des décisions défendables - celles qui sont basées sur des évaluations de risques solides, la conformité réglementaire et l'alignement avec l'appétit pour le risque spécifique de votre entreprise. Les services de conseil et de consultation de C-Risk offrent un soutien spécialisé pour les projets critiques, y compris la diligence raisonnable en matière de cybersécurité pour les fusions et acquisitions.
Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.
