Le rapport exhorte les OSC à participer à toutes les opérations de fusion ou d’acquisition afin de détecter les appareils informatiques obsolètes ou mal configurés.
Les récentes attaques de ransomware contre des organisations utilisant les VPN SSL SonicWall peuvent enseigner bien plus que la simple nécessité de gérer les correctifs et de contrôler les identités et les accès. Certaines des entreprises victimes disposaient d’appareils SonicWall vulnérables sur leurs réseaux informatiques, héritage de fusions ou d’acquisitions passées, ce qui suggère que les responsables de la sécurité de l’information doivent s’impliquer davantage dans la préparation des opérations de fusion et d’acquisition, sinon leur organisation risque d’être piquée par des pirates informatiques.
C’est la conclusion d’un rapport publié cette semaine par des chercheurs de ReliaQuest.
Ils ont examiné une série d’attaques entre juin et octobre utilisant la souche de ransomware Akira pour cibler les VPN SSL SonicWall et ont trouvé un lien : dans presque chaque incident, des pirates ont pris pied sur un réseau d’entreprise en compromettant un appareil SonicWall hérité d’une petite entreprise acquise.
Lorsqu’on lui a demandé, ReliaQuest n’a pas précisé sur combien d’incidents il avait enquêté. Mais le rapport indique que dans chaque cas, le service informatique ne savait pas que les appareils se trouvaient actuellement dans leur environnement.
« La due diligence standard en matière de fusions et acquisitions ne suffit pas », indique le rapport. « Les équipes de sécurité doivent sécuriser de manière proactive les technologies héritées, en donnant la priorité à une visibilité précoce sur les nouveaux environnements, comme les outils d’accès à distance, pour traiter les configurations à risque et les informations d’identification obsolètes avant que les attaquants ne les exploitent. »
L’avertissement n’est pas nouveau. Les experts disent depuis des années qu’il ne suffit pas d’examiner les finances d’une acquisition potentielle. L’examen minutieux de ses actifs informatiques doit également être impliqué, afin que les conseils d’administration comprennent à la fois les risques financiers et cybernétiques d’une transaction.
Pièce A : La découverte en 2018 par Marriott que les données de centaines de millions de clients du système de réservation de sa chaîne d’hôtels Starwood avaient été volées. Marriott a acheté Starwood en 2016. Son réseau avait été infiltré deux ans plus tôt et la faille n’était pas détectée pendant quatre ans, même après l’acquisition de Marriott.
« Les responsables de la sécurité doivent être impliqués dans le processus de fusion et d’acquisition », a déclaré Fred Chagnon, directeur de recherche principal chez Info-Tech Research, qui a réalisé une étude de cas sur l’incident Marriott-Starwood.
Les responsables informatiques doivent faire passer le message selon lequel le risque de sécurité est un risque pour l’entreprise, a-t-il déclaré.
En fin de compte, a-t-il ajouté, il faut rappeler au conseil d’administration qu’il est responsable de l’évaluation des risques cybernétiques et financiers d’une transaction.
Contenu connexe : Pourquoi et quand les DSI méritent-ils de siéger à la table des négociations en matière de fusions et acquisitions
Si les dirigeants de la sécurité de l’information sont invités à faire partie d’une équipe de fusions et acquisitions, l’évaluation réelle de l’acquisition potentielle devrait être confiée à un expert tiers, a ajouté Chagnon. En effet, l’équipe de sécurité n’aura pas le temps de le faire elle-même et l’autre partie sera probablement plus disposée à divulguer des informations informatiques sensibles à un tiers qu’à un concurrent.
La majorité des activités de fusions et acquisitions suivent toujours une approche de liste de contrôle de sécurité, a noté Ed Dubrovski, directeur des opérations de la société de réponse aux incidents Cypfer, « qui est essentiellement une évaluation glorifiée d’un fournisseur tiers. De telles activités répondent aux exigences de vérification, mais ne font rien pour vraiment résoudre le véritable cœur du problème : le manque d’informations actuelles et pertinentes sur les risques possibles ».
Ceux qui évaluent la cybersécurité d’une acquisition potentielle devraient commencer par un inventaire ou une liste des actifs informatiques avant de demander si l’organisation dispose d’une politique de sécurité de l’information et de politiques sous-jacentes, a-t-il ajouté.
« La réalité est que la position de risque combinée est (seulement) aussi bonne que la partie la plus risquée », a-t-il déclaré.
La posture de cybersécurité d’une acquisition devrait être une priorité élevée pour l’inspection pendant la période de diligence raisonnable, a convenu Fernando Monténégro, vice-président et responsable des pratiques de cybersécurité du cabinet de conseil Futurum, quelle que soit la taille de l’entreprise acquise.
L’équipe de sécurité doit être correctement connectée au reste de l’organisation, y compris au groupe de développement d’entreprise (corpdev) qui dirige généralement les fusions et acquisitions, a-t-il déclaré.
« Le défi ici est que les équipes de sécurité doivent travailler avec corpdev pour disposer du cadre approprié pour analyser ces transactions, y compris des entretiens avec les principaux dirigeants de l’entreprise cible, l’accès à toute documentation d’audit/conformité et un examen approfondi de l’empreinte numérique et de l’état interne de l’entreprise acquise.
Idéalement, a-t-il ajouté, le programme comprend à la fois des perspectives « de l’extérieur vers l’intérieur » et « de l’intérieur vers l’extérieur » sur l’acquisition potentielle, un examen approfondi de leur programme de sécurité, l’historique de tout incident de sécurité, les relations avec des tiers clés qu’ils peuvent entretenir, et bien plus encore.
En plus de cela, de nombreuses considérations seront prises en compte sur ce à quoi ressemblera l’intégration informatique, notamment la connectivité réseau et la connectivité des applications métier.
Dans son rapport, ReliaQuest note que les appareils SonicWall sont souvent utilisés par des petites et moyennes entreprises, qui sont souvent des cibles de fusions et acquisitions pour les grandes entreprises. Cependant, il n’est pas certain que les entreprises aient été ciblées par les opérateurs d’Akira parce qu’elles avaient avalé des organisations dotées d’appareils SonicWall.
Il a indiqué que dans les incidents examinés, une fois dans les réseaux des victimes, les attaquants recherchaient immédiatement des comptes privilégiés, tels que ceux provenant d’anciens fournisseurs de services gérés (MSP) ou de connexions d’administrateur, qui avaient été transférés au cours du processus de fusion et d’acquisition. « Il est important de noter que ces informations d’identification étaient souvent inconnues de l’entreprise acquéreuse et laissées sans surveillance ni rotation après l’acquisition », indique le rapport.
Nous avons demandé à ReliaQuest à quelle fréquence les vulnérabilités technologiques acquises lors d’une fusion et acquisition entraînent des violations ultérieures des contrôles de sécurité. En réponse, un porte-parole a déclaré : « le fait que nous ayons assisté à des violations consécutives d’Akira ciblant des petites organisations où elles exploitent des vulnérabilités signifie que les grandes organisations devraient aborder les risques lors de l’intégration et en comprendre la portée avant d’acheter. »
