De overname van een bedrijf kan een aanzienlijke stimulans zijn voor de ontwikkeling van een ander bedrijf. Het aantal fusie-acquisities stijgt voortdurend en bereikte in 2021 het record van 62.193[1] (45.000 in 2020). Een indrukwekkend cijfer dat ook de aandacht trekt van hackers in een context waarin, in 2020, het aantal cyberaanvallen met 4 werd vermenigvuldigd volgens de Nationale autoriteit voor de veiligheid van informatiesystemen (Anssi)[2].
Ondanks de geleidelijke bewustwording van besluitvormers blijft de cyberveiligheid in het kader van de โdue diligenceโ benadering achterliggen en beperkt het zich uitsluitend tot financiรซn, marketing, HR enz. Bovendien kan deze essentiรซle fase ook incompleet zijn en zo beide bedrijven blootstellen aan risico’s. De complexiteit van de cyberveiligheidskwestie brengt zelfs extra risico’s met zich mee (interne bedreigingen, externe risico’s, reglementaire risico’s)
Met het oog hierop dienen de volgende vragen gesteld te worden: wat zijn de risico’s met betrekking tot cyberveiligheid en hun gevolgen tijdens een fusie-acquisitie? Hoe kan men een efficiรซnte veiligheids- en nalevingsaudit opzetten en welke benadering moet hiervoor worden gevolgd?
Een due diligence is vaak incompleet, wordt als secundair beschouwd of helemaal genegeerd
Meestal speelt het begrip van cyberveiligheid de grootste rol in due diligence. Dit komt vooral naar voren in een onderzoek uit 2021 waaruit blijkt dat slechts “25% van de financiรซle besluitvormers en bedrijven due diligence van informatiesystemen als belangrijk beschouwen en dit cijfer daalt zelfs tot respectievelijk 18% en 13% wanneer het gaat om due diligence van cyberveiligheid”.[3]
Deze aanbeveling is des te belangrijker als het doelbedrijf een grote hoeveelheid data verwerkt of een concurrentievoordeel heeft dat op een grote technologische infrastructuur berust. Veiligheidsfouten in informatiesystemen kunnen leiden tot gevoelige datalekken en een devaluatie van het intellectueel eigendom indien de data aan andere bedrijven ter beschikking werd gesteld. Een ander probleem heeft betrekking op de fase waar men veel belang hecht aan cyberveiligheid. Dit zou vanaf de eerste fase van een transactie moeten worden gerealiseerd en niet alleen tijdens de integratiefase, zoals nog regelmatig het geval is
Due diligence en cyberveiligheid: de essentiรซle fase
Eens te meer moet worden gewezen op een fundamenteel element: een due diligence proces met betrekking tot cyberveiligheid moet zeer zeker plaatsvinden met medewerking van de Directie IT-systemen en/of de CISO (Manager Beveiliging informatiesystemen).
Vervolgens moet er een audit worden verricht om informatie te verzamelen en analyseren met betrekking tot: de meest recente beveiligingsincidenten, het in kaart brengen van de gebruikte IT-apparatuur en infrastructuur, bestaande risico’s,de opleiding van de werknemers op het gebied van cyberveiligheid, het organigram van de teams die zijn belast met IT-beveiliging enz. Het is geen verrassing dat deze fase een grote mate van transparantie van het doelbedrijf vereist.
Deze audit moet worden aangevuld met concrete meetbare acties die gebreken of gevaren in kaart brengen. Dit kan concreet gebeuren door het verzamelen van databases over netwerkinfrastructuren, hackingtests, analyses van netwerkstromen, onderzoeken op gespecialiseerde websites om te verifiรซren of het bedrijf het doelwit was van hackers of een toekomstig doelwit kan vormen. Deze taken kunnen worden uitgevoerd met behulp van geautomatiseerde tools .
Grote risico’s
Cyberveiligheid naast zich neerleggen kan ernstige gevolgen met zich meebrengen. Een van de mogelijke gevolgen is een aangetast bedrijfsimago, zoals het geval was bij de overname van Starwood Hotels door Marriott. Hierbij werden de gegevens van 500 miljoen klanten illegaal blootgesteld[4]. Er zijn ook andere risico’s zoals productiestilstand, datalekken die (GDPR) boetes als gevolg hebben, daling van de omzet, daling van de winst en zelfs gevolgen voor de reputatie van de merknaam.
Deze situatie kan leiden tot reglementaire boetes en juridische procedures. Zoals Ponemon Institute in samenwerking met IBM aangaf, de diefstal van persoonlijke of vertrouwelijke data kost gemiddeld jaarlijks 7,91 miljoen dollar[5].
Meestal vermindert het bestaan van veiligheidsfouten de waarde van een bedrijf en van haar aantrekkelijkheid. Het is daarom belangrijk om een fusie of acquisitie van een bedrijf met nieuwe ogen te bekijken als de risico’s van het ene bedrijf kunnen worden overgedragen aan het andere…
Fusie-acquisities zijn daarom niet zonder risico vanuit een standpunt van cyberveiligheid. Integendeel! Een grotere waakzaamheid en een strenge methodologie zijn de ingrediรซnten voor een geslaagde due diligence. Bedrijven die willen worden overgenomen hebben er belang bij te investeren in een informatiesysteem dat bestand is tegen cyberaanvallen en die beschikken over goed opgeleide werknemers die de meest voorkomende valstrikken kunnen voorkomen door een efficiรซnte opleiding in “cyberhygiรซne”. Van de andere kant dienen bedrijven die andere bedrijven willen overnemen beter rekening te houden met cyberveiligheid in het beoordelen van deze bedrijven.
Ontdek hoe Oodrive u kan begeleiden in het kader van een fusie-acquisitie
[2] https://www.bpifrance.fr/nos-actualites/les-cyberattaques-ont-ete-multipliees-par-4-en-2020
[4] https://www.ciodive.com/news/marriotts-cybersecurity-nightmare-a-lesson-in-ma-risks/543387/
[5] https://fr.weforum.org/agenda/2018/07/le-cout-des-failles-de-securite/