Merger and acquisition

Le moment le plus dangereux pour la sécurité des entreprises? Un mois après une acquisition

Lucas Morel

La période gênante après la fermeture d’une acquisition et avant que l’entreprise acquise ne soit pleinement intégrée à l’entreprise acquéreuse est désormais une cible de cyberthief supérieure, selon des experts.

La période juste après la fermeture d’une acquisition est le moment le plus dangereux pour la sécurité des entreprises, pour plusieurs raisons, et est la période la plus efficace pour les attaquants. Le dilemme: les entreprises devraient-elles fortement raccourcir cette période de détention ou renforcer les défenses de la nouvelle unité?

Le danger est en partie technologique et en partie psychologique. Au cours de cette période de détention, qui peut se dérouler de quelques mois à plus d’un an, les défenses de sécurité de l’organisation acquise se dégradent presque toujours, ont souligné les spécialistes de la sécurité.

Ils indiquent trois raisons distinctes pour cet affaiblissement de la cybersécurité.

  • Peur de mise à niveau ou acheter une nouvelle technologie de sécurité. Les managers hésitent à investir parce qu’ils ne savent pas ce que la nouvelle société mère décidera et ils ne veulent pas gaspiller de l’argent.
  • Les gens de sécurité talentueux partent, ainsi que les meilleures personnes de chaque unité commerciale. Ils craignent d’être licenciés, alors ils prennent les offres qu’ils peuvent trouver. Composé C’est le fait que la direction hésite à remplacer certaines de ces personnes jusqu’à ce que les décisions d’intégration soient prises.
  • Distractions. Jusqu’à ce que les licenciements et les décisions d’intégration soient prises, la main-d’œuvre est distraite et nerveuse. Cela les rend mûrs pour leur avoir été confronté par les attaquants qui cherchent à voler de l’argent, de la propriété intellectuelle et des références.

Un problème massif

Craig Hoffman, le co-leader de l’équipe nationale de conseil et de cybersécurité du cabinet d’avocats Bakerhostler, a déclaré qu’il avait réalisé à quel point un problème de sécurité était massif alors que son équipe travaillait sur leur rapport de réponse aux incidents de sécurité des données en 2025, qui a été publié mardi.

L’un des principaux points à retenir de ce rapport est qu’il y a eu une forte augmentation des attaques de fraude par fil d’entreprise. « Le montant total des transferts frauduleux est passé de 35 millions de dollars en 2023 à 109 millions de dollars en 2024 », a noté le rapport.

Une grande partie de cette augmentation de la fraude par fil provenait des attaquants tirant parti des périodes de détention post-acquisition, a déclaré Hoffman.

« Nous avons vu (détenir des modèles) avec des plans pluriannuels: » Nous ne vous intégrons pas avant de mettre à niveau. Nous vous exécuterons, mais vous opérez séparément afin que vous ne puissiez pas infecter notre réseau «  », a déclaré Hoffman, paraphrasant les dirigeants des sociétés d’acquérir.

Hoffman a ajouté que la combinaison de pertes de talents, de retards technologiques et d’employés nerveux et distrait, crée la tempête parfaite pour les attaquants.

Et compte tenu des fausses attaques profondes alimentées par l’IA qui sont si populaires auprès des cyberthies de nos jours, en plus du fait que les employés ne connaissent pas les dirigeants de leur nouveau propriétaire, le potentiel de inciter les employés à effectuer des virements filaires frauduleux est important.

« La plupart des acteurs de la menace sont opportunistes. (Les employés de l’entreprise acquise) voient la latence organisationnelle pendant qu’ils attendent de voir ce que le nouveau propriétaire leur demandera », a déclaré Hoffman. Ensuite, ces employés acquis disent: «Je ne veux pas acheter un nouvel (outil de sécurité) si nous devons finalement utiliser l’outil (l’entreprise acquéreuse). Je ne vais pas mettre à niveau pendant que j’attends que vous compreniez tout.»

Conseils des experts

Divers spécialistes de la cybersécurité, dont d’anciens CISO de l’entreprise, ont convenu qu’ils avaient vu ce schéma augmenter ces dernières années. Ce sur quoi ils étaient en désaccord, cependant, c’est comment le réparer.

Fritz Jean-Louis, principal conseiller en cybersécurité du groupe de recherche Info-Tech, a déclaré qu’il conseillait aux clients «d’accélérer l’intégration autant que possible. Laisser leur équipe technologique dans les limbes est une proposition risquée».

« Vous ne pouvez pas vous permettre de prendre votre temps pour effectuer cette analyse. Vous devez faire de l’intégration après la diligence dès que possible », a déclaré Jean-Louis. « Vous devez anticiper que vous n’avez pas l’image complète. »

Steve Zalewski, l’ancien CISO de Levis Strauss, a également occupé des rôles de cybersécurité seniors à la fois Pacific Gas & Electric et Kaiser Permanente. Aujourd’hui, il est conseiller en cybersécurité pour S3 Consulting. En tant que CISO, il a guidé les sociétés tout au long du processus d’acquisition.

Zalewski a déclaré que dans ces situations, il avait besoin de maintenir «des pare-feu durs entre mon entreprise et leur entreprise. Ensuite, je peux établir des plans et un budget pour comprendre ce qu’est vraiment le mariage».

Mais, a-t-il noté, il avait également besoin de créer un plan de 100 jours pour essayer avec précision de gérer les nouveaux risques. « Comment puis-je me blâmer pour toutes les conneries sur lesquelles je n’avais aucun contrôle?

Un autre ancien CISO, Michael Lines, a dirigé les opérations de cybersécurité à PwC, TransUnion et FICO. Il est actuellement directeur de la sécurité heuristique du fournisseur de cybersécurité.

Lui aussi connaît les problèmes de cybersécurité de la période de détention post-acquisition. « C’est quelque chose avec lequel j’ai de l’expérience, à la fois en tant qu’acquéreur et à acquérir », a-t-il déclaré. «Souvent, Infosec est la queue sur le chien de l’acquisition, amenée tard dans le processus, et il y a souvent une attente non déclaré de ne pas secouer le bateau sur l’acquisition. Dans la mesure où les problèmes sont identifiés, il faudrait que l’opération se produise – Infosec est souvent une boîte à vérifier.».

Le message, a-t-il dit, était invariablement: «Nous ne vous toucherons pas tant que ces trous ne seront pas fixés.»

Plus que toute autre chose, la résolution de ce problème nécessite une meilleure communication, a ajouté le PDG de Beauceron Security, David Shipley.

« Il est important qu’il y ait une clarté sur les attentes », a-t-il déclaré. «Réglez la norme et supprimez l’incertitude», car l’incertitude et le stress sont ce qui fait fonctionner ces attaques.

«Tout cela va provenir d’un plan de communication post-acquisition, en se concentrant sur les personnes, les processus et la culture», a-t-il expliqué. «Vous n’allez pas vous sortir de cela. Il y a plus de risques de la transition IT précipitée que ce qu’un attaquant pourrait faire.»

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Hacker with malware code in computer screen. Cybersecurity, privacy or cyber attack. Programmer or fraud criminal writing virus software. Online firewall and privacy crime. Web data engineer.
Skitnet Malware: le nouveau favori des ransomwares
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
You’ve already been targeted: Why patch management is mission-critical
Vous avez déjà été ciblé: pourquoi la gestion des patchs est critique de mission