La cession d’une branche ou d’une division commerciale ne veut pas dire la rupture soudaine de tous les liens avec la maison mère. Il est parfois nécessaire de conserver certains services partagés pendant une période transitoire pouvant s’étendre sur plusieurs années. Il est donc impératif que le DAF de la société mère et celui de l’entité nouvellement créée développent conjointement un plan complet détaillant la manière dont seront séparés leurs infrastructures informatiques et leurs réseaux intégrés. Ce plan doit notamment préciser les conséquences d’un tel démantèlement et d’une telle reconstruction en termes de cyber-vulnérabilités, failles de sécurité, et de conformité.

Alors quelles sont les questions stratégiques de sécurité que les DAF, les RSSI et, plus largement, l’équipe de direction doivent se poser afin de garantir une procédure de cession efficace et sans heurt.

Qui possède quels actifs ?
Au cours d’une procédure de cession, il est important de comprendre quels actifs doivent être séparés et lesquels restent partagés afin de perturber le moins possible l’activité. La question du détenteur des actifs n’est pas le seul point important, il s’agit également de déterminer à qui revient la responsabilité des actifs en question. Si l’identité du responsable de la gestion et de la maintenance de la sécurité du réseau n’est pas clairement déterminée, alors le risque d’une brèche de sécurité augmente considérablement. Il est donc nécessaire de modéliser le provisionnement des accès à un nouveau périmètre de réseau entre les deux entités, pour remédier à ce problème et réduire les risques d’une cyberattaque.

Où se situent les risques ?
Les réseaux informatiques d’entreprise peuvent être très étendus. Lors de leur division, il peut se révéler très problématique de bien appréhender la délimitation des nouveaux périmètres du réseau. Cela est d’autant plus délicat qu’il est probable que des points d’accès entre les deux entités continuent d’exister au-delà de la procédure de cession. Seule une solution procurant une bonne visibilité de l’ensemble du réseau permettra aux entreprises de déterminer où se situe le périmètre du réseau, à quel endroit et de quelle manière supprimer les points de connexion, et quels niveaux de sécurité et de connectivité sont nécessaires ou superflus.
Il est également possible qu’une faille de sécurité se transmette d’une entité à une autre. Afin d’éviter cela, il est important que les équipes de sécurité comprennent bien l’impact attendu et la trajectoire d’une potentielle attaque, et puissent déterminer, à l’aide de la technologie de modélisation de réseau, si les mesures de sécurité préventives mises en place pour défendre l’entreprise sont réellement les plus adaptées.

Comment gérer la répartition des équipes de sécurité ?
Tout comme le réseau informatique, les équipes de sécurité chargées de la protection de la surface d’attaque doivent elles aussi être divisées. Cette opération représente un double défi : chaque nouvelle équipe comprenant un plus petit nombre de collaborateurs, chacune des deux entités sera inévitablement confrontée à des lacunes en matière de connaissances. Il est donc important que tous les employés soient au fait de l’ensemble des risques de sécurité qui pourraient affecter chacune des deux entreprises, ou que du personnel supplémentaire soit recruté, le cas échéant, pour combler ces lacunes. Il est également important de noter que, à nombre d’attaques égales, il y aura désormais moins de collaborateurs pour faire face à ces situations. Comment s’assurer alors de ne pas laisser passer une brèche ? Il existe heureusement des outils permettant de mettre en évidence les risques prioritaires grâce à la corrélation automatisée des données et de recommander les systèmes de défense et de contrôle à mettre en place. Les équipes de sécurité sont ainsi en mesure de prioriser leurs efforts et de faire meilleur usage des ressources humaines disponibles.

Comment s’assurer de sa conformité ?
Dans le cas d’une cession, il faut bien comprendre que l’une des préoccupations majeures du DAF sera l’impact potentiel en matière de régulation. À mesure que s’organise la planification et la mise en place du nouveau périmètre, les équipes de sécurité doivent déterminer si des écarts de conformité se créent. En ce qui concerne les actifs du réseau partagé, il est important de s’assurer que les modifications effectuées n’entraînent pas d’infraction à la règlementation et que les changements sont bien mis en œuvre dans les délais impartis par les organismes réglementaires.

Traditionnellement considérée comme la seule responsabilité du RSSI, la cybersécurité a, grâce à la digitalisation de l’entreprise, infiltré tous les aspects des opérations commerciales, y compris les cessions et autres activités relevant de la compétence du DAF. Les outils de pointe en matière de visualisation des infrastructures réseau et de visualisation des risques permettent de traiter plus rapidement les aspects informatiques des cessions et de faciliter considérablement la vie du DAF. Cette approche facilite les opérations de cession en garantissant la bonne identification, la bonne compréhension et le traitement stratégique des risques liés à la conformité. Elle permet d'éviter tout risque financier et réputationnel lié à une cyberattaque, tant lors de la cession qu’ultérieurement, préservant ainsi l'avenir des deux entreprises.

Par Isabelle Eilam-Tedgui, Directrice des Ventes France & Belux chez Skybox Security