Les menaces cyber devenant de plus en plus prégnantes et agressives, la cyberdéfense est désormais un enjeu vital pour préserver le capital informationnel de l’entreprise et donc son activité.
Nous avons demandé à nos experts Lionel GROS (expert en M&A IT) et Vincent FERRARA (expert en confiance numérique) quelle approche un fonds doit-il avoir pour assurer la sécurité et la valorisation de son portefeuille.
Enjeux et risques cyber au sein du portefeuille ou sur une cible à l’achat
Dans un monde où les violations de données coûtent en moyenne 4,24 millions de dollars par incident, selon le rapport 2021 sur le coût d’une violation de données d’IBM, la cybersécurité n’est plus une option mais une nécessité impérieuse pour tout fonds d’investissement. Avec une augmentation de 300% des cyberattaques signalées depuis le début de la pandémie, selon Interpol, et 60% des petites entreprises mettant la clé sous la porte dans les six mois suivant une cyberattaque, comme le rapporte le National Cyber Security Alliance, l’exposition au risque cyber représente une menace directe non seulement pour la sécurité des données mais également pour la viabilité financière et la réputation de vos actifs d’investissement. Il est essentiel d’intégrer une stratégie robuste de gestion du risque cyber au cœur de vos décisions d’investissement et de due diligence pour protéger et maximiser la valeur de votre portefeuille à long terme. Chaque fonds d’investissement doit donc piloter ce risque et aider ses participations à améliorer leur performance cyber. La valorisation du portefeuille restant l’objectif principal.
Piloter le risque cyber d’un portefeuille avec méthode et outils
Un fonds d’investissement gère par définition plusieurs participations. La gestion du risque cyber dans son portefeuille d’investissements nécessite donc une approche méthodique, stratégique et outillée qui couvre à la fois l’évaluation des risques actuels et la mise en place de procédures pour atténuer les risques futurs. Voici les points clés qu’il est nécessaire de couvrir pour sécuriser, élever le niveau de maturité des entreprises du portefeuille et professionnaliser le suivi.
1. Évaluation initiale du risque cyber
Un bon point de départ consiste à identifier d’où viennent les principales menaces.
- Audit de cybersécurité : Commencer par effectuer un audit de cybersécurité pour chaque entreprise du portefeuille. Cet audit devrait couvrir les infrastructures informatiques, les politiques de sécurité, les pratiques de gestion des données, et l’évaluation des risques. L’utilisation de référentiels (NIS2, 27001, LPM…) peut aider à structurer cette évaluation.
- Identification des actifs critiques : Identifier les actifs numériques critiques pour chaque entreprise (données sensibles, propriété intellectuelle, etc.) et évaluer leur vulnérabilité aux attaques cyber.
2. Développement d’une stratégie de gestion des risques
- Stratégie personnalisée : Développer une stratégie de gestion des risques cyber personnalisée pour chaque entreprise, en prenant en compte sa taille, son secteur, et ses spécificités.
- Formation et sensibilisation : Assurer la formation et la sensibilisation du personnel à tous les niveaux sur les bonnes pratiques de cybersécurité.
3. Mise en œuvre de mesures de sécurité
- Mesures techniques : Implémenter des mesures de sécurité techniques adaptées, comme le chiffrement, la gestion des identités et des accès, la protection contre les malwares, et la sécurisation des réseaux.
- Plan de réponse aux incidents : Élaborer et tester un plan de réponse aux incidents de sécurité pour chaque entreprise, afin de pouvoir réagir rapidement et efficacement en cas d’attaque.
4. Surveillance et réévaluation continues
- Outils de surveillance : Utiliser des outils de surveillance de la sécurité en temps réel pour détecter et réagir aux menaces dès leur apparition.
- Audits réguliers : Effectuer des audits de sécurité réguliers et des tests de pénétration pour identifier et corriger les vulnérabilités.
- Réévaluation des risques : Réévaluer régulièrement le risque cyber à mesure que le portefeuille évolue et que de nouvelles menaces émergent.
5. Intégration de la cybersécurité dans le processus de due diligence
- Due diligence cybersécurité : Intégrer une évaluation de la cybersécurité dans le processus de due diligence pour toute nouvelle acquisition ou investissement. Cela permet d’identifier les risques potentiels avant de finaliser l’opération.
- Critères d’investissement : Considérer la posture de cybersécurité des entreprises comme un critère d’investissement essentiel.
6. Collaboration et partage d’informations
- Partage d’informations : Encourager le partage d’informations sur les menaces et les meilleures pratiques de sécurité entre les entreprises du portefeuille.
- Collaboration avec les autorités : Collaborer avec les autorités nationales et internationales de cybersécurité pour rester informé des dernières menaces et tendances.
En suivant cette méthode, un fonds d’investissement peut non seulement minimiser les risques cyber pour son portefeuille actuel, mais aussi intégrer la gestion de ces risques dans sa stratégie d’investissement globale, ce qui contribue à protéger et à maximiser la valeur à long terme de ses actifs.
La réponse Netsystem : une offre sur mesure pour les fonds d’investissement, un accompagnement pragmatique et outillé
1. Mesure de la performance cyber
Cette partie consiste à analyser en continu la performance cyber de chacune de vos participations et à mesurer le risque lors d’une transaction. Les résultats vous sont proposés sous forme de tableaux de bord (solution Security Rating® éditée par Board of cyber dont Netsystem est partenaire), très faciles à lire et permettant de visualiser en un coup d’oeil les axes d’amélioration.
2. Analyse et évaluation des risques
Consiste en une évaluation continue et précise des risques cyber pour les participations du fonds d’investissement au travers de 6 domaines d’analyse :
3. Reporting et arbitrage
Consiste à apporter au fonds d’investissement et à ses participations l’expertise de Netsystem en gouvernance de la cybersécurité, avec :
- Un tableau de bord multi-sociétés qui permet de mesurer la performance en continu
- Un benchmark sectoriel
- Une gouvernance trimestrielle qui permet d’arbitrer les participations à risques et les décisions à prendre lors de comités de pilotage.
4. Remédiation
Consiste à accompagner les participations dans la mise en place des mesures de remédiation, incluant notamment :
- Pilotage et stratégie
- Exploitation
- Communication SSI (Sécurité Système d’Information)
- Contrôle SSI (Sécurité Système d’Information)
- Cadrage et accompagnement projet
- Détection et réaction aux incidents de sécurité
Si vous gérez un fonds et que vous avez besoin de sécuriser vos participations, n’hésitez-pas à nous contacter pour toute question ou pour une démonstration de notre démarche outillée.
