Lโacquisizione di unโazienda puรฒ essere un vero colpo di acceleratore per lo sviluppo di unโaltra. Il numero di fusioni-acquisizioni nonsmettedi crescere, raggiungendo nel 2021 la cifra record di 62.193[1] (45.000 nel 2020). una cifra impressionante che non ha certo mancato di attirare lโattenzione dei pirati informatici in un contesto in cui, nel 2020, il numero di attacchi informatici si รจ moltiplicato per 4, secondo lโANSSI (Autoritรฉ nationale de la sรฉcuritรฉ des systรจmes dโinformation)[2].
Malgrado una presa di coscienza progressiva tra i decisori, lโargomento della cibersicurezza nellโapproccio della โdue diligenceโ non interviene sempre nel momento opportuno e si limita ancora alle dimensioni finanziarie, di marketing, RU, ecc. Ancora peggio, questa fase essenziale puรฒ essere incompleta ed esporre quindi le due aziende. Inoltre, la complessitร della sfida della cibersicurezza aggiunge un livello di rischio (minacce interne, rischi esterni, rischi normativi)
Pertanto, le domande seguenti diventano legittime: quali sono i rischi in materia di cibersicurezza e le loro conseguenze al momento di una fusione-acquisizione? Come effettuare un audit di sicurezza e conformitร efficace e basato su quellโapproccio ?
Una due diligence spesso incompleta, secondaria o ignorata
In generale, la nozione di cibersicurezza deve occupare un ruolo piรน importante nellโambito di una due diligence. Questa necessitร si evidenzia in uno studio del 2021 in cui solo il solo il โ25% degli attori finanziari e delle aziende considera la due diligence dei sistemi informatici come molto importante, una cifra che scende rispettivamente al 18% e al 13% quando si tratta di due diligence legata alla cibersicurezzaโ[3].
Questa raccomandazione รจ tanto piรน essenziale se lโazienda oggetto dellโacquisizione gestisce un grande numero di dati o dispone di un vantaggio concorrenziale in relazione a una componente tecnologica importante. Infatti, una falla nella sicurezza informatica puรฒ avere esposto dati sensibili o svalutare una proprietร intellettuale, avendola messa illegalmente a disposizione di altre aziende. Lโaltro problema riguarda la fase in cui si dร importanza alla cibersicurezza. Questa deve concretizzarsi nella fase iniziale di una transazione, non soltanto al momento dellโintegrazione, come รจ ancora troppo regolarmente il caso.
Due diligence e cibersicurezza: le fasi imprescindibili
Ancora una volta, รจ necessario ricordare un elemento fondamentale: un processo di due diligence sul tema della cibersicurezza non puรฒ avvenire senza implicare il DSI e/o lโRSSI (Responsable de la Sรฉcuritรฉ des Systรจmes dโInformation, il responsabile della sicurezza dei sistemi informatici).
Poi un audit deve essere realizzato al fine di raccogliere e analizzare informazioni sulle pratiche di sicurezza, sugli ultimi incidenti di sicurezza, su una cartografia degli strumenti e delle strutture informatiche utilizzate, sui rischi esistenti, sulla formazione dei dipendenti in materia di cibersicurezza, sullโorganigramma dei team incaricati della sicurezza informatica, ecc. Non a caso questa fase richiede una grande trasparenza da parte dellโazienda oggetto dellโacquisizione.
Questo audit deve essere completato con azioni concrete e misurabili volte a identificare le vulnerabilitร o i pericoli. Questo si puรฒ tradurre in una raccolta di database sulle infrastrutture di rete, di test di penetrazione, di analisi del flusso di rete, di ricerche su siti speciali per vedere se lโazienda รจ stata presa di mira o se fa parte di aziende possibili target da parte di pirati informativi (โhackerโ). Queste attivitร si possono effettuare con il supporto di strumenti automatizzati .
Rischi importanti
Trascurare la cibersicurezza puรฒ avere conseguenze molto gravi. Uno degli impatti puรฒ essere il deterioramento dellโimmagine dellโazienda, come fu con lโacquisto dellโhotel Starwood da parte di Marriott, in occasione del quale i dati di 500 milioni di clienti furono esposti illegalmente[4]. Si potrebbero anche citare altri rischi, come il blocco della produzione, la fuga di dati che prevede sanzioni (RGPD), una riduzione del fatturato, una riduzione dei benefici, persino un impatto sulla reputazione del marchio.
Questa situazione puรฒ portare a sanzioni pecuniarie e a procedure giudiziarie. Ricordiamo che, secondo il Ponemon Institute, in collaborazione con IBM, il furto di dati personali o confidenziali costa in media 7,91 milioni di dollari[5].
In generale, lโesistenza di una vulnerabilitร riduce il valore dellโazienda e quindi la sua attrattivitร . Come non riconsiderare la fusione o lโacquisizione di unโazienda se questa รจ esposta a rischi gravi che possono diffondersi allโaltra azienda…
Il processo di fusione-acquisizione non รจ quindi privo di rischi da un punto di vista della cibersicurezza. Tuttโaltro! Una maggiore vigilanza e una metodologia rigorosa sono necessarie al fine di rispettare la due diligence. Le aziende che cercano di essere acquisite hanno interesse a investire su un sistema informatico in grado di resistere agli attacchi informatici e a disporre di collaboratori formati per evitare le insidie piรน frequenti, attraverso una formazione efficace incentrata sulla โcyber-igieneโ. Mentre le aziende che desiderano acquisire altre aziende devono prendere meglio in considerazione la cibersicurezza nella valutazione delle aziende stesse.
Scoprite come Oodrive vi puรฒ aiutare nel quadro di una fusione-acquisizione
[2] https://www.bpifrance.fr/nos-actualites/les-cyberattaques-ont-ete-multipliees-par-4-en-2020
[4] https://www.ciodive.com/news/marriotts-cybersecurity-nightmare-a-lesson-in-ma-risks/543387/
[5] https://fr.weforum.org/agenda/2018/07/le-cout-des-failles-de-securite/