De nos jours, la technologie occupe une place prépondérante dans le monde des affaires, et les entreprises n’ont jamais été aussi vulnérables aux cybermenaces comme les atteintes à la protection des données et de la vie privée. Dans le cadre d’une opération de F&A, l’évaluation de la posture de l’entité cible en matière de cybersécurité est devenu un aspect clé de la vérification diligente pour les acheteurs. L’ampleur de la vérification diligente en matière de cybersécurité peut varier selon les activités de la cible et le secteur dans lequel celle-ci évolue. Comme point de départ, nous vous présentons 5 éléments clés à considérer lorsqu’il est question d’évaluer la posture générale d’une entité cible en matière de cybersécurité.
1. CONFORMITÉ AUX LOIS SUR LA PROTECTION DES DONNÉES ET DE LA VIE PRIVÉE
Au cours des dernières années, nous avons constaté non seulement une multiplication des lois sur la protection des données et de la vie privée (à l’échelle nationale et internationale), mais aussi une application plus rigoureuse de celles-ci par les organismes de réglementation. Pour procéder à une vérification diligente dans ce contexte, il faut d’abord déterminer les lois qui s’appliquent à la cible et, au besoin, s’interroger sur les motifs pour lesquels la cible a conclu qu’une loi particulière s’applique ou non à elle. Il n’est d’ailleurs pas rare, compte tenu du nombre de lois sur la protection des données et de la vie privée, et de la complexité de celles-ci, qu’une cible ignore qu’elle est assujettie à certaines lois ayant une portée extraterritoriale (l’application du Règlement général sur la protection des données de l’UE à certaines entreprises canadiennes qui n’ont pas un établissement physique dans l’UE, par exemple).
Une fois que l’acheteur a établi les lois qui s’appliquent à la cible, il peut ensuite entreprendre une évaluation de la conformité. Il peut s’agir, par exemple, de vérifier si les protocoles de notification de la cible en cas d’atteinte respectent les exigences du Canada, des États-Unis ou de l’UE, ou si la cible tient un registre des atteintes aux mesures de sécurité, comme l’exige la Loi sur la protection des renseignements personnels et les documents électroniques. La détection de lacunes à ce stade est souvent un indicateur de l’existence de problèmes de conformité potentiels plus larges qui ne se limitent pas seulement à la protection des données ou de la vie privée.
Un autre élément clé à l’étape de la vérification diligente est de déterminer si des enquêtes réglementaires (ou des litiges) visent actuellement ou guettent la cible, de même que de délimiter leur portée. À la lumière de l’application plus rigoureuse de la loi, les enquêtes réglementaires peuvent non seulement perturber grandement les activités d’une entreprise, mais aussi être très coûteuses sur le plan des mesures de défense ainsi que des amendes et des pénalités potentielles.
2. MESURES DE PROTECTION TECHNIQUES
L’infrastructure technologique de la cible, notamment sa construction et sa maintenance, est l’un des éléments les plus critiques, quoique difficiles, à évaluer au cours du processus de vérification diligente. Cette évaluation devrait, entre autres choses, permettre de cerner clairement la façon dont une cible gère la cybersécurité. Par exemple, la cible est-elle dotée d’une équipe spécialisée responsable de la sécurité ou a-t-elle confié ce rôle à un fournisseur de services? Mène-t-elle régulièrement des évaluations des vulnérabilités ou des tests d’intrusion à l’égard des principales applications? Détient-elle des certifications relatives à la sécurité, comme la certification ISO 27001? Lorsque cela est possible, il est important d’obtenir et d’examiner les documents sous-jacents (rapports, certificats, etc.).
L’acheteur devrait poser des questions sur les politiques de la cible en matière de sécurité, notamment les politiques relatives aux correctifs des applications, les plans d’intervention en cas de cyberincident, etc. De plus, il devrait demander si la cible a été victime d’un cyberincident important au cours des 24 derniers mois et, le cas échéant, chercher à comprendre ce qui est arrivé, à connaître la source de l’incident et à savoir si le problème fondamental a été résolu par la suite. Dans certains cas, il peut être utile de faire appel à une entreprise de cybersécurité qui mènera une évaluation des vulnérabilités en vue de dissiper toute préoccupation d’ordre technique à l’égard de la sécurité des TI de la cible.
3. OBLIGATIONS CONTRACTUELLES
Un examen des ententes commerciales importantes conclues entre la cible et les tiers (à la fois les fournisseurs et les clients) devrait être effectué afin d’établir les obligations contractuelles en matière de cybersécurité auxquelles la cible est liée. Dans le cas des fournisseurs, une attention spéciale devrait être portée aux clauses portant sur l’accès aux données exclusives ou sur les transferts de ces données aux fournisseurs. De même, les contrats conclus avec les principaux clients devraient être examinés afin de comprendre les obligations de la cible relatives à la notification d’un cyberincident et les droits d’indemnisation potentiels du client. Toute disposition accordant un droit à des dommages-intérêts ou à la résiliation du contrat dans l’éventualité d’un cyberincident – considération très pertinente pour l’acquéreur – devrait également être scrutée à la loupe.
Une révision de ces obligations en amont ou en aval procurera à l’acquéreur une meilleure compréhension de l’approche de la cible en matière de cybersécurité à l’égard des fournisseurs, de même que des types d’obligations contractées auprès des clients.
4. CYBERHYGIÈNE DES EMPLOYÉS
Bien que les cyberincidents soient souvent de nature technique, les pirates informatiques utilisent fréquemment des méthodes visant à amener un employé à poser un geste particulier, par exemple, une tentative d’hameçonnage ou de fraude psychologique pour inciter l’employé à cliquer sur un lien ou à modifier des renseignements bancaires. Par conséquent, il est prudent de commencer par une évaluation de l’approche de la cible à l’égard de la formation des employés en matière de cyberprévention. Par exemple, la cible donne-t-elle régulièrement des formations à son personnel sur les pratiques exemplaires à adopter? La cible mène-t-elle des campagnes internes sur l’hameçonnage pour identifier les employés qui ne suivent pas les protocoles?
Les politiques à l’intention des employés, notamment celles concernant l’utilisation acceptable des appareils mobiles et des ordinateurs portables, ainsi que les programmes de formation destinée aux employés portant sur les pratiques de manipulation des données et la sensibilisation à la cybersécurité sont également des indicateurs pertinents de la posture d’une entreprise en matière de cybersécurité. Les attaques étant de plus en plus sophistiquées (campagnes d’hameçonnage et fraudes psychologiques), de nombreux cyberincidents résultent de l’installation par inadvertance d’un maliciel par un employé. Il est à noter que les employés ayant suivi une formation rigoureuse sur la cybersécurité et ayant été sensibilisés à cet égard sont moins susceptibles d’être victimes de certains types de cyberattaques.
En outre, il est important de réviser les contrats d’emploi types de la cible et de cerner toute disposition relative à la façon dont les employés sont tenus de manipuler les renseignements confidentiels et exclusifs.
5. ASSURANCE CONTRE LES CYBERRISQUES
L’assurance contre les cyberrisques devrait être uniquement perçue comme un outil de répartition des risques (et non comme de la cybersécurité en soi). Il s’agit souvent d’un indicateur que la cible a mis en place un nombre minimal de pratiques exemplaires avant de souscrire une telle assurance. En général, afin d’obtenir ce type de couverture d’assurance, l’entreprise doit répondre à un questionnaire qui porte sur ses mesures de protection techniques, administratives et physiques.
De plus, le type de police d’assurance dont bénéficie la cible peut être indicatif de ce qu’elle considère comme des cyberrisques probables et les conséquences potentielles de ceux-ci sur ses activités.
POINTS À RETENIR
De plus en plus, la vérification diligente en matière de cybersécurité devient un aspect important des opérations de F&A. Compte tenu des répercussions financières, de la baisse de productivité et des atteintes à la réputation qui peuvent résulter d’un cyberincident à grande échelle, il est essentiel pour tout acquéreur potentiel de connaître la posture de la cible en matière de cybersécurité, car elle fait partie intégrante du risque global lié à l’opération. L’ampleur de la vérification diligente en matière de cybersécurité dépendent de plusieurs facteurs, tels que la nature des activités de la cible, les obligations législatives et réglementaires auxquelles celle-ci est soumise, de même que la taille de l’opération. Au bout du compte, une vérification diligente complète en matière de cybersécurité atténuera de façon considérable le risque lié à l’opération.
SENSIBILISATION À LA CYBERSÉCURITÉ
Cet article, qui s’inscrit dans le cadre du Mois de la sensibilisation à la cybersécurité, est le troisième d’une série portant sur la façon dont les entreprises peuvent demeurer vigilantes et résilientes, et se protéger dans ce domaine. Le prochain article de cette série traitera des tendances au chapitre des litiges en cybersécurité.
Pour en savoir davantage, communiquez avec un membre de notre groupe Cybersécurité.
Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet. Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.
Pour obtenir l'autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l'adresse [email protected].
© 2024 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.