Cybersécurité dans les transactions

Domenic :
Bienvenue, et merci de vous joindre à nous. Je m’appelle Domenic Marino et je suis leader du groupe Transactions de PwC Canada. Je suis accompagné de Jennifer Johnson, qui est leader, Stratégie et transformation, et de Danny Garwood, qui est associé dans l’équipe Cybersécurité, protection des renseignements personnels et lutte contre la criminalité financière. Aujourd’hui, nous voulons vous donner des informations et des conseils sur la cybersécurité dans le contexte d’une transaction, et plus particulièrement sur la diligence raisonnable efficace, pour vous aider à prendre des décisions éclairées au sein de votre organisation. Nous allons d’abord vous dire comment protéger votre organisation contre la cybercriminalité lorsqu’une transaction a lieu. Nous verrons ensuite comment des mesures efficaces de cybersécurité peuvent s’inscrire dans votre stratégie à long terme. Enfin, nous verrons pourquoi c’est le moment idéal d’investir dans la cybersécurité pour créer de la valeur. Allons-y. Danny, quels sont les principaux cyberrisques auxquels les entreprises sont exposées quand elles participent à une transaction?

Danny :
Bien sûr, Dom. Quand on conclut une transaction, on doit faire attention à certains cyberrisques. D’abord et avant tout, il y a les considérations financières, parce que l’entité acquise devient une cible intéressante pour les cybercriminels. Selon la nature de la transaction, une intégration peut avoir lieu entre la société acquéreuse et la société acquise. Et s’il y a des incohérences, les cyberrisques sont plus élevés. Même si, globalement, une des deux organisations gère bien ces risques, ce n’est peut-être pas le cas pour l’autre, et cela peut représenter une faille importante. C’est pourquoi le processus intégré de diligence raisonnable doit comporter des mécanismes de détection précoce de certains cyberrisques. Après la transaction, de nombreux acheteurs font une évaluation plus approfondie de ces principaux risques pour pouvoir établir un plan d’action dans le but de combler les lacunes relevées.

Domenic :
C’est logique. Merci, Danny. Dans un autre ordre d’idées, Jenn, en quoi une stratégie de lutte contre la cybercriminalité est-elle intéressante à long terme pour les investisseurs?

Jen :
C’est une bonne question, Dom. J’aimerais tout d’abord ajouter quelque chose à ce que vient de dire Danny. On porte désormais une attention accrue aux cyberrisques pendant la phase de diligence raisonnable. Le but, c’est d’avoir un portrait juste de l’entreprise qu’on a ciblée pour une acquisition, et des investissements qu’il faudra potentiellement faire pour l’amener à maturité dans ce domaine. Ces investissements permettent aussi de faciliter l’intégration de l’entreprise, et ainsi de la développer ou de la gérer de manière beaucoup plus rentable. Toutes ces facettes comportent une composante technologique cruciale. Quand on investit dans les technologies et qu’on en fait une priorité, la cybersécurité devient un élément indispensable pour susciter la confiance des parties prenantes de l’entreprise, d’autant plus qu’elle peut augmenter sa valeur. Que vous décidiez de conserver l’entreprise ou d’en sortir d’une manière ou d’une autre – nous y reviendrons plus tard –, vous devez absolument voir la cybersécurité comme l’un des principaux leviers de création de valeur, et vous assurer d’avoir une stratégie globale claire et cohérente. 

Cela dit, la stratégie varie en fonction du type de transaction. Certaines sociétés de capital-investissement privilégient une approche axée sur l’achat, la conservation et la vente de l’investissement, tandis que d’autres ont une vision plus proactive de la cybersécurité. Par exemple, certaines sociétés de capital-investissement et certains régimes de retraite ne se contentent pas d’évaluer les cyberrisques à l’échelle de leur portefeuille : ils le font aussi pour chaque société qui le compose. On fixe des attentes minimales en matière de sécurité, puis on regarde régulièrement si les actifs les respectent, en tenant compte de leur modèle d’affaires et de leurs objectifs d’investissement. Ce faisant, on vise à réduire les risques liés à tous les actifs, mais aussi à soutenir leur stratégie d’investissement pour les aider à se développer ou à intégrer correctement cette composante à leur modèle d’affaires. 

Domenic :
Merci, Jenn. Ce sont là d’excellents points. Danny, en matière de cybersécurité et de fusions et acquisitions, les investisseurs sont de plus en plus protectionnistes. Pourquoi est-ce important pour eux?

Danny :
Oui, c’est vraiment le cas. La cybersécurité occupe une place grandissante dans le processus plus large de diligence raisonnable parce que c’est l’un des principaux risques à évaluer. Grâce à ce processus, qui est transparent, l’acheteur ou l’investisseur voit quels sont les investissements qui devront être faits pour corriger les problèmes pressants de cybersécurité après la transaction. Comme Jenn vient de le dire, de nombreuses organisations connaissent actuellement une transformation, ou une évolution, sur le plan numérique. C’est souvent un facteur de différenciation, peut-être même la raison première de l’acquisition. Plus une organisation dépend des technologies, plus elle court de cyberrisques.

Les compagnies d’assurance posent d’ailleurs de plus en plus de questions sur les cyberrisques quand vient le temps de couvrir une transaction. Elles veulent savoir comment les acheteurs perçoivent ces risques. De plus, dans les sociétés de capital-investissement et les régimes de retraite, en particulier chez ces derniers, il y a une personne qui évalue les cyberrisques pour l’ensemble du portefeuille, et détermine où il faut investir dans ce domaine. Tous ces éléments expliquent pourquoi la cybersécurité est au cœur des préoccupations des investisseurs.

Domenic :
Effectivement. Merci, Danny. Jenn, j’ai encore une question pour toi, sur un point tu as soulevé un peu plus tôt, c’est-à-dire le lien entre la cybersécurité et la création de valeur. Comment les investisseurs peuvent-ils élargir leur analyse pour y inclure la création de valeur lors d’une transaction?

Jen :
Oui, c’est un domaine qui évolue beaucoup en ce moment. Pour revenir à ce dont Danny parlait et à la stratégie d’investissement, aujourd’hui, presque toutes les entreprises ont un programme de numérisation ou de transformation, et la cybersécurité doit en être un pilier. Le risque d’erreur est très important, ce qui peut éroder très rapidement la confiance des parties prenantes. Mais, du point de vue de la création de valeur, comme les moyens financiers des organisations sont souvent limités, elles doivent investir intelligemment dans la cybersécurité. De nombreuses organisations ont considérablement augmenté leur budget de cybersécurité depuis quelques années, et elles commencent vraiment à se demander comment investir cet argent judicieusement. De plus en plus, on effectue ce qu’on appelle une quantification des cyberrisques en recourant à la modélisation pour évaluer son exposition. 

Quand on chiffre l’exposition, on peut voir si on est à l’aise avec ce niveau de risque. Si l’exposition est trop élevée, comme c’est souvent le cas, on peut modéliser l’effet de certaines améliorations, et de cette manière voir dans quelle mesure elles réduisent l’exposition aux cyberrisques. On peut donc établir différents scénarios hypothétiques, ce qui permet de mieux cibler les investissements pour contrer la cybercriminalité et donc maximiser la valeur créée. Par exemple, nous avons travaillé avec une société de capital-investissement qui a acheté un actif dans un secteur à haut risque, et nous avons effectué une évaluation des cyberrisques environ 90 jours après la conclusion de la transaction. Malheureusement, les résultats étaient un peu inférieurs à nos attentes pour ce genre d’entreprise.

L’acheteur a donc dû réviser son évaluation initiale de la valeur de l’entreprise et de ses perspectives. Mais, il y avait aussi des points positifs. L’acheteur s’est servi de la quantification des cyberrisques pour guider ses investissements de manière à maximiser la valeur qu’ils créeraient pour l’entreprise et à réduire son exposition. Aujourd’hui, un peu plus de 12 mois plus tard, on essaie activement d’améliorer la lutte contre la cybercriminalité pour restaurer la valeur perçue comme ayant été minée et créer de la valeur au fil du temps.

Je pense donc qu’il s’agit d’un mal pour un bien, au bout du compte. Si les investissements en cybersécurité sont bien faits, ils peuvent vraiment créer de la valeur pour votre entreprise. Encore une fois, beaucoup de ces stratégies d’investissement se fondent sur l’intégration à une entreprise existante. On parle alors d’interfaces technologiques et d’une croissance reposant sur la numérisation massive. Dans ce cas, la cybersécurité s’avère essentielle pour que ces ambitions deviennent réalité. 

Domenic :
Jenn et Danny, merci à tous les deux pour vos interventions. J’ai particulièrement apprécié la façon dont vous avez abordé, en ce qui concerne la cybersécurité, la question de la défense, mais aussi de l’attaque, dans un environnement de fusions et acquisitions. Merci aussi à nos auditeurs. Vous voulez en savoir plus sur les stratégies entourant la cybersécurité dans les transactions, et avoir de l’aide pour mettre sur pied la vôtre? Nos coordonnées se trouvent au bas de cette page. Nous nous ferons un plaisir de vous donner un coup de main.