Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Segmentation sans confiance

Minimiser votre surface d'attaque lors de M&A et de désinvestissements

Andrew Kay
Directeur, Ingénierie des ventes, APJ
Illumio Editorial
Juin 5, 2020
23 min. lire

La due diligence commerciale minimise les risques et donne au conseil d'administration d'une organisation la confiance nécessaire pour négocier l'acquisition ou la vente d'une partie de l'entreprise. Cependant, alors que la cybersécurité devient un élément de plus en plus important du processus d'évaluation, les équipes informatiques peuvent-elles réellement mener à bien la transition vers un nouveau propriétaire sans exposer l'entreprise à des niveaux de risque indésirables ?

Dans un récent rapport de Forescout, l'acquisition de technologies a été reconnue comme une priorité absolue dans la stratégie M&A et deux tiers des personnes interrogées ont déclaré que les préoccupations en matière de cybersécurité avaient fait regretter à leur entreprise la réalisation d'une transaction M&A.

Ces déménagements d'entreprises ou ces changements dans l'appareil gouvernemental s'accompagnent souvent de mesures incitant les dirigeants à respecter des délais très serrés. L'objectif évident qui consiste à intégrer les systèmes d'untiers ou à séparer les systèmes cédés semble excellent sur le papier, mais lorsque les doigts se posent sur les claviers, ce sont les équipes chargées de la sécurité informatique, des réseaux et de l'infrastructure qui ont la lourde tâche de faire en sorte que cette activité se concrétise.

L'acquisition de cyber-risques peut être considérée comme un aspect négatif de M&A. Cependant, lorsqu'il est mis en œuvre correctement, un programme de cybersécurité est un atout dans M&A et un facteur important lorsque vous êtes du côté de la vente.

Les changements apportés à la composition commerciale et au fonctionnement des technologies de l'information sont fréquents et constituent des cibles de choix pour les acteurs malveillants qui profitent de la perturbation des activités habituelles. Sans la sécurité "Zero Trust" déjà recherchée des deux côtés de la table des négociations, l'exploitation de failles de sécurité préexistantes et une surface d'attaque accrue peuvent signifier que le changement de propriétaire peut agir comme un "cheval de Troie", où tout ransomware, logiciel malveillant ou attaque ciblée ou menace persistante avancée (APT) se propage dans et à travers l'entreprise de l'acquéreur.

Selon la même étude, plus de la moitié des personnes interrogées ont déclaré avoir été confrontées à un problème ou à un incident de cybersécurité critique au cours d'une transaction M&A, qui a mis en péril la transaction.

Considérations relatives à la sécurité des acquisitions

Que ce soit avant ou après la signature d'un accord, il est particulièrement pertinent de déterminer le risque lié à l'hygiène de la sécurité des centres de données au sein des applications acquises et des centres de données hybrides en nuage. Le Centre australien de cybersécurité conseille aux organisations qui s'engagent dans une telle activité de comprendre l'environnement opérationnel et les contrôles de sécurité qui protègent les données et les systèmes, afin de garantir une protection équivalente ou supérieure dans le nouvel environnement opérationnel. Il existe également des conséquences financières potentielles pour les parties concernées en ce qui concerne le respect de la réglementation et de la législation sur la protection de la vie privée.

N'ayant que peu ou pas de contrôle sur les applications héritées d'une acquisition, les équipes informatiques se posent le plus souvent des questions : De quoi venons-nous d'hériter ? Utilisent-ils des technologies d'infrastructure différentes des nôtres, telles que Kubernetes ou des clouds publics alternatifs ? Quelles sont les pratiques suivies en matière de protection des données, d'applications, de sécurité des points finaux et de gestion des vulnérabilités ? Et que signifie l'intégration de ces charges de travail pour notre surface d'attaque actuelle ?

Les équipes de sécurité de l'acheteur sont souvent gênées dans leur évaluation par un manque de visibilité sur les centres de données qu'ils achètent et par l'impossibilité d'identifier les failles existantes permettant des mouvements latéraux et l'exposition de données sensibles. Si elles ne comprennent pas comment les applications et les charges de travail sont connectées et communiquent, les entreprises acquéreuses risquent de casser les applications et de perturber le service pendant la migration ou lors de la sécurisation des applications acquises une fois qu'elles ont été reçues. En outre, comme les acquisitions n'impliquent pas toujours l'achat d'applications totalement complémentaires, cette compréhension est tout aussi importante pour l'adoption progressive de la réception et de l'introduction des systèmes dans le centre de données, l'identification des redondances et des chevauchements de mise hors service, puis la création de la valeur ajoutée entre les systèmes que la M&A a été conçue pour réaliser.

Considérations relatives à la sécurité de la cession

L'acquisition de cyber-risques peut être considérée comme un aspect négatif de M&A. Cependant, lorsqu'il est mis en œuvre correctement, un programme de cybersécurité est un atout dans M&A et un facteur important lorsque vous êtes du côté de la vente. Dans une enquête menée par l'ISC2, 95% des professionnels du M&A interrogés considèrent la cybersécurité comme un atout tangible qui repose sur la pile technique de l'application ou du service, mais qui s'étend à un programme plus large de gestion de la sécurité et des risques. Un programme de cybersécurité solide peut être utilisé comme un facteur de différenciation et de valeur ajoutée dans le processus M&A. Un investissement dans ce domaine ne rend pas seulement votre vente plus attrayante, mais peut également vous permettre d'obtenir un prix plus élevé.

Bien que l'on puisse penser que le fait d'être du côté "à vendre" de la clôture devrait simplifier le processus (puisque vous devriez mieux connaître votre propre environnement), la dette technique et la nature interconnectée des systèmes au sein de vos propres centres de données posent un défi à l'identification et à la capacité de démêler et de découper les actifs à vendre. Il peut s'avérer difficile de répondre à vos propres questions, par exemple : quelles charges de travail font fonctionner les applications ou la partie de l'entreprise vendue, et savons-nous à quoi ces systèmes sont connectés et qui y accède aujourd'hui ?

Il se peut également que les contrôles existants vous empêchent de porter la sécurité au niveau requis par l'acquéreur ou de faire pencher la balance en votre faveur lors des négociations. Il est également fréquent que les obligations contractuelles de la vente vous obligent à continuer à utiliser ces systèmes pendant une période prolongée dans votre environnement, de sorte qu'un mécanisme efficace est nécessaire pour les démêler et les isoler sans les supprimer complètement.

En résumé, les défis communs à l'acquisition et à la cession sont les suivants :

  • Manque de visibilité sur les dépendances des applications pour comprendre, migrer et intégrer de nouveaux actifs/charges de travail ou les séparer dans le cadre de la vente.
  • Les politiques de sécurité existantes sont le plus souvent statiques, liées à l'infrastructure et à la mise en œuvre de la sécurité du centre de données et, par conséquent, ne peuvent pas être migrées de manière adaptative avec les charges de travail au fur et à mesure qu'elles sont transférées d'une entité à l'autre.
  • Il est difficile de migrer des applications inconnues sans compromettre la sécurité ou perturber les services, car les applications modernes sont interdépendantes et peuvent être fragiles.
  • Il est essentiel de ne pas interrompre les logiciels pendant le processus de transition afin de maintenir autant que possible les activités habituelles.
  • Risque de compromettre les données des clients et de l'entreprise pendant la durée de la migration avec l'ouverture des pare-feu périphériques.

Comment Illumio vous aide

La migration des applications sans compromis sur la sécurité est l'essence même d'un résultat réussi, et la plateforme de sécurité adaptative (ASP) d'Illumio est à la base de la stratégie M&A de certaines des organisations les plus acquises au monde. Illumio ASP résout les défis les plus courants en vous permettant de :

  1. Cartographier les dépendances des applications dans votre propre environnement (cession) ou dans celui de la cible (acquisition). La carte des dépendances applicatives d'Illumio fournit des informations en temps réel pour aider les entreprises à visualiser les applications acquises ou vendues et leurs charges de travail dans tous les environnements avant la migration. En comprenant les dépendances des applications, les équipes peuvent s'assurer que la migration est efficace et que le comportement des applications n'est pas perturbé.
  2. Élaborer une politique de segmentation pour isoler l'infrastructure informatique critique, en s'appuyant sur la carte des dépendances applicatives. Le générateur de politiques d'Illumio automatise la création de politiques de segmentation avec une politique de microsegmentation optimisée qui permet de gagner du temps, d'accélérer les flux de travail en matière de sécurité et de réduire le risque d'erreurs humaines en clôturant les systèmes acquis ou vendus de manière à contenir toute violation.
  3. Protégez votre infrastructure des serveurs et des applications de l'entreprise cible. La politique de microsegmentation adaptative s'ajuste aux changements de l'environnement applicatif - la sécurité évolue en même temps que les applications. Cela permet de sécuriser les applications avant la migration et d'ajuster automatiquement la politique après la migration, en maintenant une protection cohérente et continue pendant le processus de transition.

Que vous soyez en train d'acquérir et que vous ayez besoin de la confiance nécessaire pour le faire en toute sécurité, ou que vous vendiez et que vous puissiez soutenir votre prix tout en réduisant l'effort nécessaire pour vous séparer de ces actifs, Illumio éliminera les risques de vos initiatives commerciales.

Lisez l'histoire d'une organisation Fortune 500 qui a finalisé de façon transparente une acquisition de premier plan, en déployant Illumio sur les 700 serveurs de l'entreprise acquise. 

Sujets connexes

No items found.

Articles connexes

Pourquoi vous avez besoin à la fois de l'EDR et de la segmentation zéro confiance ?
Segmentation sans confiance

Pourquoi vous avez besoin à la fois de l'EDR et de la segmentation zéro confiance ?

Quelle que soit votre position sur EDR vs XDR, Illumio complète les deux produits avec des politiques de segmentation sans confiance qui laissent peu de marge de manœuvre aux attaquants.

Read more
Recentrez-vous sur la segmentation zéro confiance : Mettez le ZTS en tête de votre liste de projets de planification fiscale
Segmentation sans confiance

Recentrez-vous sur la segmentation zéro confiance : Mettez le ZTS en tête de votre liste de projets de planification fiscale

Une étude menée par Enterprise Strategy Group (ESG) révèle que la confiance zéro est une composante de plus en plus importante d'une stratégie globale de segmentation de la confiance zéro.

Read more
Gerald Caron partage 5 idées sur la confiance zéro pour les agences fédérales
Segmentation sans confiance

Gerald Caron partage 5 idées sur la confiance zéro pour les agences fédérales

Gerald Caron, ancien DSI du ministère américain de la santé et des services sociaux, parle de la confiance zéro et de la mise en œuvre de la cybersécurité dans les agences gouvernementales.

Read more
10 raisons de choisir Illumio pour la segmentation
Segmentation sans confiance

10 raisons de choisir Illumio pour la segmentation

Découvrez comment Illumio rend la segmentation plus intelligente, plus simple et plus solide dans le cadre de votre stratégie de sécurité Zero Trust.

Read more
Comment Illumio a simplifié le projet de microsegmentation à grande échelle d'eBay
Segmentation sans confiance

Comment Illumio a simplifié le projet de microsegmentation à grande échelle d'eBay

Découvrez l'histoire de la réussite d'eBay qui a utilisé Illumio pour déployer la microsegmentation à travers son réseau.

Read more
Au-delà de la visibilité : comment Illumio Insights relie vos points critiques de sécurité
Cyber Resilience

Au-delà de la visibilité : comment Illumio Insights relie vos points critiques de sécurité

Découvrez pourquoi l'observabilité est essentielle pour comprendre et réduire les cyberrisques.

Read more

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more