Lorsque les entreprises fusionnent ou acquièrent d'autres entreprises, l'accent est traditionnellement mis sur l'alignement de leurs opérations et de leurs finances. Le vol de données chez Marriot (qui a compromis les informations personnelles de 500 millions de clients), l’atteinte à la sécurité chez Yahoo (qui a mis fin à une acquisition imminente) et d'autres violations nous ont appris qu'il était temps que les systèmes informatiques et les contrôles de cybersécurité jouent un rôle central dans la diligence raisonnable lors d’une F&A.

Si vous êtes impliqué dans une F&A, voici certaines questions à poser à l’autre entreprise:

  • Quels systèmes antivirus et de chiffrement sont utilisés?
  • Quels appareils portables sont utilisés par les employés pour accéder au réseau de l'entreprise?
  • À quoi ressemble l'infrastructure du réseau?
  • Utilisent-ils un RPV ou réseau privé virtuel?
  • Combien de dossiers personnels détiennent-ils, incluant ceux des clients et des employés?
  • Quelle est la place des fournisseurs externes de logiciels et de matériel?

Les entreprises de tous les niveaux d’assurance cyber voudront considérer leurs options de couverture avant une fusion ou une acquisition. Dans ce cas, il existe trois options pour l’assurance cyber: inclure la nouvelle entreprise dans votre assurance cyber existante, créer une nouvelle police pour l'entreprise combinée ou laisser les deux polices d’assurance cyber séparées jusqu'au renouvellement.

Lorsque vous fusionnez ou acquérez une entreprise sans assurance cyber, examinez vos propres limites et risques en responsabilité civile. Quel impact leur manque de couverture cyber aura sur vos limites en matière d’assurance cyber dans le cadre de la F&A? Que pouvez-vous faire pour modifier votre police en fonction du nouveau risque?

Si votre entreprise envisage une F&A, assurez-vous d'appliquer les meilleures pratiques de gestion des risques suivantes:

  1. Demandez à voir leur application d’assurance cyber.L'une des meilleures façons d'évaluer les cyberrisques d'une entreprise consiste à examiner sa demande d'assurance. Utilisez les réponses aux questions 5 à 10 de l’application comme guide pour détecter un éventuel risque en responsabilité civile. En cas de problème, vous savez où vous devez dépenser vos ressources. Travailler avec leur courtier en assurance cyber pour parcourir les audits internes qu’ils ont besoin de compléter.
  2. Consultez un avocat spécialisé en droit du cyberespace et de la vie privée.Un avocat travaillant régulièrement sur des violations de données pourra identifier les risques que vous n'avez pas envisagés de la société avec laquelle vous êtes sur le point de fusionner ou d'acquérir.
  3. Travaillez avec l'entreprise pour diminuer les risques, avant la fusion / acquisition. En cas de problème cyber connu ou potentiel, effectuez des tests de pénétration et faites appel à des experts ou à des fournisseurs externes avant la transaction, si nécessaire.
  4. Parlez à votre courtier le plus tôt possible.Votre courtier peut être la dernière personne que vous pensez à informer d'une fusion ou d'une acquisition imminente. Cependant, en les laissant participer à l'accord au moins 30 jours avant, vous aurez plus d'options d'assurance à portée de main.
  5. Envisagez une assurance F&A.Parfois appelée assurance responsabilité des déclarations et garanties, une assurance F&A spécifique fournit une couverture pour l'ensemble du processus de la F&A. Les souscripteurs commencent également à inclure l’exposition aux risques cyber dans la police spécifique aux fusions et acquisitions.

Pour une fusion ou acquisition réussie pour toutes les parties, consultez votre Spécialiste en gestion des cyberrisques HUB.