Auparavant, j’ai exploré pourquoi l’importance d’évaluer la cybersécurité avant les fusions et acquisitions et les couches de gestion de la sécurité que cela implique. Cependant, la stratégie de sécurité va au-delà de la compréhension de ce qui est impliqué. Des plans doivent également être élaborés pour que la fusion/acquisition non seulement provoque le moins de perturbations technologiques possible, mais évite également les failles de sécurité.

Pour formuler un plan, vous trouverez ci-dessous le strict minimum que les équipes de fusions et acquisitions doivent examiner pendant la diligence, en supposant que votre équipe dispose d’au moins 1 à 3 semaines :

1. Environnement cybernétique existant: L’entreprise acquéreuse doit être hyper consciente de l’environnement dont elle hérite. Étudiez les architectures réseau et système, y compris les systèmes matériels et logiciels connus, les vulnérabilités, l’inventaire des actifs informatiques et OT, le calendrier de correctifs, la gestion des actifs numériques, les services cloud, les politiques mobiles, les vulnérabilités des applications, les flux de données, etc. Par exemple, si une société acquéreuse est principalement un environnement Windows utilisant un centre de colocation et qu’elle acquiert un environnement Linux et open source dans AWS, il s’agit d’un effort d’intégration majeur à planifier.

2. Gestion et protection des données : Comprenez toutes les mesures de traitement des données, la confidentialité des données et les contrôles de sécurité, y compris la manière dont la cible d’acquisition stocke, utilise et élimine les données des clients. Passez en revue toutes les obligations contractuelles, en particulier concernant les données et l’utilisation des sous-traitants que l’entreprise acquise peut avoir avec une autre entreprise.

3. Conformité du stockage des données : Examinez le programme de sécurité de l’entreprise acquise pour vérifier qu’il répond aux exigences réglementaires, aux normes actuelles de l’industrie et aux meilleures pratiques de l’industrie.

4. Évaluations existantes : Tenez compte des résultats des audits et évaluations de sécurité précédents, des analyses de vulnérabilité et des tests de pénétration lors de la formulation des plans de réponse aux incidents et des playbooks. Gardez à l’esprit la croissance et la taille de…