Le besoin d'audits open source dans les fusions et acquisitions de cybersécurité

0
13

Dans le monde actuel, la cybersécurité ne se limite pas aux logiciels antivirus et aux logiciels de sécurité des terminaux. La diligence technique est une donnée dans presque toutes les acquisitions ou investissements impliquant des sociétés de technologie. Alors qu'une liste de vérification de la diligence technologique peut être décourageante pour les acquéreurs et les cibles, une nouvelle étude publiée par (ISC) 2 confirme que la vérification de la cybersécurité est — et devrait être — en haut de la liste.

En fait, le sondage (ISC) 2 auprès de 250 professionnels des fusions et acquisitions basés aux États-Unis a montré que 100% des dirigeants et des conseillers en fusions interrogés s'accordaient pour dire que les audits de cybersécurité sont devenus une pratique courante.

Pour comprendre pourquoi les entreprises procèdent à des audits en matière de cybersécurité, nous devons d’abord comprendre le risque. Dans la même étude (ISC) 2, il a été constaté que les violations de la sécurité révélées au cours du processus de diligence raisonnable peuvent faire dérailler une transaction. en fait, près de la moitié (49%) des participants ont déclaré l'avoir vu se produire.

Sans surprise, 52% des répondants ont estimé qu'un audit révélant de faibles pratiques en matière de sécurité constituait un handicap. Le même nombre a déclaré qu'une violation de sécurité post-acquisition dans une société acquise avait affecté la valeur des actions d'une organisation cotée en bourse. Il est clair qu'une violation de la cybersécurité peut affecter de manière significative la valeur pour les actionnaires. Lors de l’intégration des fusions et acquisitions, il est essentiel d’exposer et de gérer toute faiblesse potentielle au sein d’une entreprise cible.

A propos de l'auteur

Fred Bals est rédacteur technique principal chez Synopsys.

Mesurer le risque

On mesure le cyberrisque en comparant les processus opérationnels d’une entreprise à une certaine forme de norme et en rapportant les résultats. La manière dont cette évaluation est réalisée varie, en fonction de la norme choisie, de la main-d’œuvre mobilisée et de la crédibilité du rapport, qui repose sur la réputation de la société de conseil pour son expertise en matière de cybersécurité.

Évaluer la cybermaturité par rapport à une norme largement reconnue est la meilleure option en matière de due diligence technologique. Le cadre de cybersécurité mis au point par le NIST est de loin le point de référence le plus souvent recommandé. Il devrait être adopté comme fondement sur lequel bâtir une évaluation des risques cybernétiques. Développé par des experts, il est considéré comme l’étalon d’or aux États-Unis et suscite un intérêt considérable en dehors de l’Amérique du Nord.

Le niveau de main-d'œuvre consommé lors d'une évaluation est un autre problème clé. Après avoir signé une lettre d'intention définissant la transaction envisagée, la période de diligence raisonnable typique est de 60 à 90 jours et une évaluation du cyber-risque doit correspondre à cette période.

Évaluations de la cybersécurité

Les cyberévaluations ponctuelles traditionnelles impliquent le recrutement d'une grande société de conseil disposant de ses propres listes de contrôle propriétaires. Un grand nombre d'analystes se répartissent dans l'ensemble de l'entreprise pour collecter des informations. Au final, un rapport complet basé sur les listes de contrôle est fourni.

Mais cette approche traditionnelle est rarement pratique pour une acquisition en attente. La mise en œuvre de la période de diligence raisonnable prend trop de temps, les nouveaux agents temporaires introduits perturbent les opérations et le processus peut éveiller les soupçons des employés quant à une transaction en attente.

Un processus automatisé basé sur des normes reconnues telles que CSF, HIPAA et FFIEC constitue la solution optimale pour évaluer le cyber-risque lors de la diligence technique. L'automatisation avec une plate-forme d'audit basée sur ces normes permet de réaliser une évaluation complète à l'échelle de l'organisation dans un délai beaucoup plus court. La main-d'œuvre consommée est minimisée et la crédibilité du résultat est maximisée.

Le besoin d'audits open source

L'audit de la cybersécurité dans le cadre d'une opération de fusion et d'acquisition doit prendre en compte de nombreux aspects. Par exemple, la cible utilise-t-elle des composants open source dans leurs applications? La cible et l’acquéreur pourraient être surpris de découvrir qu’ils ont plus de 90% de chances d’être.

Des analystes tels que Forrester et Gartner constatent que plus de 90% des entreprises informatiques utilisent des logiciels open source pour des charges de travail critiques et que les composants open source constituent souvent l’essentiel du code de certaines applications.

Même s'il est probable que leurs applications incluent des composants open source tiers, de nombreuses entreprises ne suivent pas correctement leur utilisation de l'open source, s'appuyant sur des feuilles de calcul et sur l'autogestion des développeurs si elles envisagent de les utiliser.

Peu d’entre elles peuvent produire un inventaire précis et à jour (également appelé «nomenclature») des composants open source utilisés dans leurs applications, ainsi que des licences, versions et correctifs de ces composants. statut. En conséquence, ils s’exposent eux-mêmes, ainsi que leurs clients et acquéreurs potentiels.

Alors que le nombre de vulnérabilités en source ouverte est faible comparé aux logiciels propriétaires, plus de 7 000 vulnérabilités en source ouverte ont été découvertes en 2018 seulement. Plus de 50 000 ont émergé au cours des deux dernières décennies. Parmi les bases de code examinées par l'équipe des services d'audit de Black Duck de Synopsys en 2018, 60% contenaient au moins une vulnérabilité open source. Plus de 40% contenaient des vulnérabilités à haut risque et 68% des composants avec des conflits de licences.

Vulnérabilités Open Source

Seules une poignée de vulnérabilités Open Source, telles que celles qui affectent infâmes Apache Struts ou OpenSSL, risquent d'être largement exploitées. Toutefois, lorsqu'un tel exploit se produit, le besoin de sécurité open source fait la une des journaux, comme ce fut le cas pour la violation de la sécurité des données d'Equifax en 2017.

L’incapacité de la société à disposer d’un inventaire complet des actifs informatiques a été un facteur important de la violation d’Equifax. «Cela a rendu difficile, voire impossible, pour Equifax de savoir si des vulnérabilités existaient sur ses réseaux», conclut un rapport sur l'incident. "Si une vulnérabilité ne peut pas être trouvée, elle ne peut pas être corrigée."

Tout le monde n'apprend pas des erreurs des autres. Dans l’année qui a suivi la brèche d’Equifax, Fortune a publié un article intitulé «Des milliers d’entreprises continuent de télécharger la vulnérabilité qui a anéanti Equifax».

Le suivi des licences Open Source est un autre aspect de l’utilisation Open Source à laquelle l’organisation cible n’accorde peut-être pas assez d’attention.

Savent-ils si les licences des composants open source inclus dans leurs applications sont permissives ou virales? Ces composants utilisent-ils l’une des licences open source les plus populaires ou une variante unique?

À moins qu'une organisation ne se conforme à aucune des obligations et restrictions des licences pour chaque composant open source qu'elle utilise, un acquéreur pourrait théoriquement perdre les droits sur du code propriétaire ou même faire remettre en question la propriété de la propriété intellectuelle. À tout le moins, des questions relatives à la propriété intellectuelle pourraient – et ont eu lieu par le passé – faire dérailler une transaction de fusion / acquisition.

Autres types d'audits de cybersécurité

Les audits Open Source sont un type d’audit que les entreprises effectuent en matière de contrôle préalable des fusions et acquisitions, mais ce n’est pas le seul. Les acquéreurs posent des questions sur de nombreux aspects du risque de sécurité des logiciels qu’ils acquièrent:

  • Existe-t-il des faiblesses de sécurité dans le code propriétaire?
  • L'architecture est-elle bonne?
  • Les processus de développement logiciel de la cible prennent-ils en compte la sécurité?
  • L'application appelle-t-elle des API externes qui l'exposent à des risques supplémentaires?

En fin de compte, l'objectif de la diligence raisonnable en matière de technologie est d'éliminer les surprises après la conclusion de la transaction. Selon le rapport (ISC) 2, 57% des répondants avaient été surpris par une violation de données non signalée au cours du processus d'audit. Dans les fusions et acquisitions, la découverte de ces problèmes avant la fin de la transaction aide l’acquéreur non seulement à définir les conditions de la transaction, mais également à planifier les coûts, les priorités et les délais d’intégration après la transaction.

Fred Bals est rédacteur technique principal à Synopsys.

Les offres de produits Hi-tech en rapport avec cet article

Laisser un commentaire