L’acquisizione di un’azienda può essere un vero colpo di acceleratore per lo sviluppo di un’altra. Il numero di fusioni-acquisizioni nonsmettedi crescere, raggiungendo nel 2021 la cifra record di 62.193[1] (45.000 nel 2020). una cifra impressionante che non ha certo mancato di attirare l’attenzione dei pirati informatici in un contesto in cui, nel 2020, il numero di attacchi informatici si è moltiplicato per 4, secondo l’ANSSI (Autorité nationale de la sécurité des systèmes d’information)[2].
Malgrado una presa di coscienza progressiva tra i decisori, l’argomento della cibersicurezza nell’approccio della “due diligence” non interviene sempre nel momento opportuno e si limita ancora alle dimensioni finanziarie, di marketing, RU, ecc. Ancora peggio, questa fase essenziale può essere incompleta ed esporre quindi le due aziende. Inoltre, la complessità della sfida della cibersicurezza aggiunge un livello di rischio (minacce interne, rischi esterni, rischi normativi)
Pertanto, le domande seguenti diventano legittime: quali sono i rischi in materia di cibersicurezza e le loro conseguenze al momento di una fusione-acquisizione? Come effettuare un audit di sicurezza e conformità efficace e basato su quell’approccio ?
Una due diligence spesso incompleta, secondaria o ignorata
In generale, la nozione di cibersicurezza deve occupare un ruolo più importante nell’ambito di una due diligence. Questa necessità si evidenzia in uno studio del 2021 in cui solo il solo il “25% degli attori finanziari e delle aziende considera la due diligence dei sistemi informatici come molto importante, una cifra che scende rispettivamente al 18% e al 13% quando si tratta di due diligence legata alla cibersicurezza”[3].
Questa raccomandazione è tanto più essenziale se l’azienda oggetto dell’acquisizione gestisce un grande numero di dati o dispone di un vantaggio concorrenziale in relazione a una componente tecnologica importante. Infatti, una falla nella sicurezza informatica può avere esposto dati sensibili o svalutare una proprietà intellettuale, avendola messa illegalmente a disposizione di altre aziende. L’altro problema riguarda la fase in cui si dà importanza alla cibersicurezza. Questa deve concretizzarsi nella fase iniziale di una transazione, non soltanto al momento dell’integrazione, come è ancora troppo regolarmente il caso.
Due diligence e cibersicurezza: le fasi imprescindibili
Ancora una volta, è necessario ricordare un elemento fondamentale: un processo di due diligence sul tema della cibersicurezza non può avvenire senza implicare il DSI e/o l’RSSI (Responsable de la Sécurité des Systèmes d’Information, il responsabile della sicurezza dei sistemi informatici).
Poi un audit deve essere realizzato al fine di raccogliere e analizzare informazioni sulle pratiche di sicurezza, sugli ultimi incidenti di sicurezza, su una cartografia degli strumenti e delle strutture informatiche utilizzate, sui rischi esistenti, sulla formazione dei dipendenti in materia di cibersicurezza, sull’organigramma dei team incaricati della sicurezza informatica, ecc. Non a caso questa fase richiede una grande trasparenza da parte dell’azienda oggetto dell’acquisizione.
Questo audit deve essere completato con azioni concrete e misurabili volte a identificare le vulnerabilità o i pericoli. Questo si può tradurre in una raccolta di database sulle infrastrutture di rete, di test di penetrazione, di analisi del flusso di rete, di ricerche su siti speciali per vedere se l’azienda è stata presa di mira o se fa parte di aziende possibili target da parte di pirati informativi (“hacker”). Queste attività si possono effettuare con il supporto di strumenti automatizzati .
Rischi importanti
Trascurare la cibersicurezza può avere conseguenze molto gravi. Uno degli impatti può essere il deterioramento dell’immagine dell’azienda, come fu con l’acquisto dell’hotel Starwood da parte di Marriott, in occasione del quale i dati di 500 milioni di clienti furono esposti illegalmente[4]. Si potrebbero anche citare altri rischi, come il blocco della produzione, la fuga di dati che prevede sanzioni (RGPD), una riduzione del fatturato, una riduzione dei benefici, persino un impatto sulla reputazione del marchio.
Questa situazione può portare a sanzioni pecuniarie e a procedure giudiziarie. Ricordiamo che, secondo il Ponemon Institute, in collaborazione con IBM, il furto di dati personali o confidenziali costa in media 7,91 milioni di dollari[5].
In generale, l’esistenza di una vulnerabilità riduce il valore dell’azienda e quindi la sua attrattività. Come non riconsiderare la fusione o l’acquisizione di un’azienda se questa è esposta a rischi gravi che possono diffondersi all’altra azienda…
Il processo di fusione-acquisizione non è quindi privo di rischi da un punto di vista della cibersicurezza. Tutt’altro! Una maggiore vigilanza e una metodologia rigorosa sono necessarie al fine di rispettare la due diligence. Le aziende che cercano di essere acquisite hanno interesse a investire su un sistema informatico in grado di resistere agli attacchi informatici e a disporre di collaboratori formati per evitare le insidie più frequenti, attraverso una formazione efficace incentrata sulla “cyber-igiene”. Mentre le aziende che desiderano acquisire altre aziende devono prendere meglio in considerazione la cibersicurezza nella valutazione delle aziende stesse.
Scoprite come Oodrive vi può aiutare nel quadro di una fusione-acquisizione
[2] https://www.bpifrance.fr/nos-actualites/les-cyberattaques-ont-ete-multipliees-par-4-en-2020
[4] https://www.ciodive.com/news/marriotts-cybersecurity-nightmare-a-lesson-in-ma-risks/543387/
[5] https://fr.weforum.org/agenda/2018/07/le-cout-des-failles-de-securite/