Lors d’une fusion-acquisition, la DSI doit être embarquée très en amont du projet, que ce soit pour des raisons métier (le business est de plus en plus lié aux plateformes numériques) que techniques (évaluation de la dette technique) et sécuritaire (identification des données sensibles). À cet égard, le cas du groupe hôtelier Marriott devrait inciter les entreprises à réaliser un contrôle préalable sur les données et le SI avant et après une fusion.

Par Norman Girard, VP et directeur Europe continentale, Varonis

Le piratage de Marriott a mis en avant la question du rôle de la DSI et de la SSI lors des opérations de fusion et acquisition. Le groupe a en effet écopé d’une amende de 111 M€ après la fuite des données personnelles de 500 millions de clients issus de l’acquisition de Starwood.

Mais il n’est pas nécessaire d’en passer par une telle catastrophe pour réaliser toute l’importance d’embarquer la DSI et la SSI au plus tôt dans les projets de fusion et acquisition, afin d’être en mesure d’auditer l’existant et déminer des risques encore trop souvent ignorés.

Tout d’abord, d’un point de vue du business, des pans entiers de l’activité reposent désormais sur des plateformes numériques. En termes de SI, il est ainsi vital de déterminer au plus tôt lesquelles seront redondantes, ne pourront être intégrées aisément (et donneront lieu à une charge supplémentaire pour les maintenir), ou ne sont pas alignées avec la stratégie numérique de l’acquéreur. Il en est de même pour les données : il faut déterminer lesquelles deviennent inutiles et devront être supprimées (afin notamment de réduire le risque de conformité réglementaire), et lesquelles devront être rapatriées dans un périmètre clairement identifié afin d’être protégées au juste niveau.

C’est que le rachat d’une entreprise conduit à l’intégration souvent en aveugle de milliers, voire de millions, de fichiers. Et les risques numériques associés à ces fichiers doivent être évalués avant d’en accepter la responsabilité. Dans une entreprise moyenne, environ un fichier sur cinq est accessible à l’ensemble du personnel. Et c’est précisément ce libre accès au contenu sensible qui est à l’origine de fuites majeures et d’autres incidents.

De la spécificité du cloud à l’absence de cartographie

De telles situations existent car les entreprises peinent souvent à savoir où se trouvent leurs données les plus sensibles et comment, précisément, est organisé leur système d’information. Et surtout, quels utilisateurs sont autorisés à y accéder !
Sans compter qu’en cette période de transition numérique, il est courant d’associer des systèmes dans le cloud public et sur site (y compris des annuaires), perdant au passage une vision unifiée sur les données !

De fait, il est désormais très compliqué de procéder à une bonne « due diligence » si l’on ne dispose pas d’une vision limpide des données et du SI que l’on acquiert. Et seules la DSI et la SSI, impliquées au plus tôt, sauront fournir une analyse précise du système d’information étranger, de ses points de faiblesses éventuels et de la nature des données qu’il renferme.

Pour les données en particulier, l’ignorance n’est pas une excuse et ne tient pas la route face aux réglementations récentes telles que le RGPD (ou le CCPA — California Consumer Privacy Act — aux États-Unis). Et impossible de se défausser sur les fautes passées : Marriott, en l’occurrence, n’a pu se justifier en rejetant la faute du piratage sur Starwood.
En clair : intégrer un système d’information lors d’une opération de fusion-acquisition revient à porter tous les risques issus du SI et des données acquises.

Détecter les données toxiques au plus tôt

Il vaut alors mieux s’assurer de l’hygiène du SI et des données acquises avant de les intégrer, plutôt que de le découvrir trop tard par une brèche !

Une évaluation des risques, en recensant les données et en déterminant leur exposition, est une première étape importante. De même, un audit préalable sur la nature du SI, du parc utilisateur, ainsi qu’un contrôle des derniers tests d’intrusion, des analyses de risques et des dernières campagnes de phishing (car l’aspect humain ne doit pas être négligé lui non plus) permettra une première évaluation. Mais pour cela, la DSI et le RSSI doivent être impliqués tôt !

Prenons le cas de cet établissement de santé qui, à la suite d’une fusion, a décidé de migrer ses données vers le cloud. Il ne s’attendait pas à y trouver six millions de dossiers accessibles à tous et près de 30 000 fichiers contenant des données sensibles. Sans parler des milliers de comptes d’utilisateurs obsolètes, mais toujours actifs.

La bonne nouvelle est que les réglementations sur la confidentialité des données telles que le RGPD ont un réel effet et forcent les entreprises à mettre en place de meilleurs contrôles, ou du moins certains contrôles, autour des informations à caractère personnel.

Les entreprises prennent très au sérieux l’incident dont Marriott a été victime. L’évaluation des risques liés aux données devient une composante de plus en plus courante du processus de vérification préalable à une opération de fusion-acquisition. Et pour cela, il est nécessaire d’impliquer la DSI dès le début des discussions !