L’importance de la protection des données lors d’une fusion-acquisition
L’intégration de la base de données complète d’une ou de plusieurs entreprises dans le cadre d’une fusion-acquisition est un exercice difficile. Il est donc primordial de l’encadrer et de le sécuriser au maximum.
Les opérations de fusion-acquisition requièrent toujours un soin méticuleux et une maîtrise experte dans de nombreux domaines : le financement de l’opération, l’optimisation des ressources humaines, les synergies possibles dans les processus de production, sont normalement décortiqués, analysés en amont et traités avec toute la rigueur nécessaire.
L’intégration des bases de données des entreprises concernées demeure quant à elle encore trop souvent un parent pauvre lors de telles opérations. Cette approche doit évoluer sans délai, sous peine de douloureuses déconvenues, qu’elles soient légales, commerciales ou stratégiques.
Un risque de plus en plus sensible
Il serait erroné de penser que le risque d’une fuite de données lors d’une fusion acquisition ne concerne que d’importantes multinationales coutumières de ce type d’opérations, ni que celles-ci y sont forcément mieux préparées d’ailleurs. La dématérialisation des données, tout d’abord, est à l’évidence devenue la norme et même la plus embryonnaire des PME possède aujourd’hui une base de données informatisée, communique par e-mail et effectue ou perçoit des paiements par des moyens digitaux. La quantité de données accessibles via un ordinateur ou un simple mobile n’a jamais été aussi massive. Dans le même temps, le nombre et la sophistication des attaques pirates sont eux aussi en permanente progression.
L’une des premières protections face à de telles attaques réside dans un système de gestion informatique bien organisé et maîtrisé de la part des entreprises. Or, la fusion ou l’intégration de deux systèmes informatisés différents est générateur de désorganisation, voire de chaos, et constituent un moment privilégié pour trouver des failles de sécurité. Fusions qui sont elles-mêmes de plus en plus fréquentes. Près de 38% des employés de bureau en Europe en 2018 avaient déjà vécu une fusion ou une acquisition. Celles-ci touchent également désormais tous les secteurs et toutes les tailles d’entreprises. Il s’agit donc bien d’un problème généralisé auquel il convient d’accorder l’attention qu’il mérite.
Les écueils dont il faut se préserver
Les facteurs de désorganisation du système de données d’une entreprise pendant une fusion ou une acquisition sont très nombreux. Il s’agit de systèmes complexes, mettant en jeu de multiples interactions, impliquant de nombreuses personnes et d’importantes masses de données, auxquels il faut permettre de communiquer immédiatement.
Cela nécessite un plan d’intégration détaillé étape par étape qui peut prendre des mois avant d’être correctement fonctionnel et exige un service informatique adapté à l’ampleur de la tâche : migration et fusion des données, harmonisation des boîtes mail, attribution des droits d’accès à tout ou partie de l’information…
Ces facteurs d’insécurité sont d’autant plus sensibles qu’il peut arriver que l’une des entreprises concernées par la fusion soit elle-même déjà compromise. C’est alors la fiabilité de l’ensemble du nouveau système qui est mise en question si cette possibilité n’est pas traitée avec le soin nécessaire et un audit rigoureux.
Il est enfin notoire que les failles de sécurité d’une entreprise proviennent souvent de négligences humaines. Or, le sentiment que provoque un rachat par un concurrent au sein d’une entreprise génère des émotions bien particulières chez les employés. Une étude d’Iron Mountain en Europe en 2014 a montré que le ressenti des employés comme de l’encadrement dans ce type de situation influence leur gestion plus ou moins responsable de l’information, ce qui vient augmenter le risque d’incident.
Le cadre légal et l’exemple de Marriott
Le règlement général sur la protection des données est entré en vigueur dans l’Union européenne le 25 mai 2018. Il concerne toutes les entreprises et organisations des pays membres ainsi que toutes celles opérant sur le sol de l’UE. Ce système met en place un cadre légal précis et incontournable auquel doit se soumettre toute organisation sous peine de lourdes sanctions, allant jusqu’à 4 % du CA mondial dans le cas d’une violation des règles concernant des personnes physiques.
Cette épée de Damoclès des plus concrètes devrait inciter toute entreprise à la dernière rigueur concernant la protection de ses données. Les contraintes mises en place par le RGPD prévoient notamment que ladite protection doit être assurée à chaque instant, et que le détenteur de données doit avertir les autorités dans les 72 heures suivant une éventuelle fuite.
La chaîne d’hôtels Marriott s’est ainsi vue infliger une amende de 111 millions d’euros en septembre 2018 après avoir laissé fuiter les données personnelles de 383 millions de dossiers clients. Après enquête, il s’est avéré que le rachat du réseau hôtelier Starwood deux ans plus tôt était à l’origine du problème. La base de données de Starwood était compromise depuis déjà quatre ans mais le service IT de Marriott, suite à la mise à pieds des équipes de Starwood, s’est révélé incapable de repérer la faille et de gérer correctement un système de réservations global incluant des milliers de nouveaux hôtels.
Photos : decision-achats.fr / Blog.equancy.com