CNA EXPERTS

Considérations fondamentales en matière de cybersécurité dans les opérations de fusion et acquisition

Par Cindy Huang | Date de publication 24 mars 2023

La valeur totale des fusions et acquisitions aux États-Unis et au Canada s’élevait à 1 477 milliard de dollars en 2022, ce qui représente un cumul de 20 965 transactions.[1] Bien que le nombre de transactions ait diminué de 21,2 % par rapport à 2021, les économistes prévoient une hausse en 2023 en raison de la révision des évaluations et de la diminution de la concurrence pour les transactions. Il y a un certain nombre de raisons pour lesquelles une société envisagerait d’acquérir ou de fusionner, par exemple, la capacité de diversifier ses activités, d’accroître sa part de marché, ce qui éliminerait la concurrence, favoriserait l’expansion et la croissance ou serait en mesure d’offrir de nouveaux produits. Cela peut aussi leur permettre d'avoir accès au talent et à la technologie.

 

Les nouvelles plateformes technologiques héritées de la transaction, comme les systèmes numériques, la technologie intelligente et parfois l’intelligence artificielle, entraînent leur propre ensemble de risques liés à la cybersécurité à mesure que la surface de la cyberattaque augmente. Avant la réalisation d’une opération, il est essentiel que l’acquéreur évalue les cyberrisques de la société cible au moyen d’un processus d’audit exhaustif afin de pouvoir quantifier ces risques et y remédier pour éviter les cyberincidents potentiels après l’opération, qui pourraient nuire à sa réputation et perturber ses activités.

 

Considérations relatives à la cybersécurité pour l’acquéreur avant la clôture de l’opération :

 

  • À quoi ressemblent les contrôles de sécurité techniques de l’entité cible? Sont-ils aussi bons ou meilleurs que l’acquéreur? Disposent-ils de mesures de sécurité telles que l'authentification multifactorielle, des outils de détection et d'intervention des points d'extrémité, un outil de gestion des événements de sécurité qui est surveillé par un centre d'opérations de sécurité, etc.?
  • A-t-on effectué une analyse exhaustive de la vulnérabilité et a-t-on remédié à toutes les vulnérabilités?
  • Quels types de renseignements hérités de l'organisation sont-ils protégés par des contrôles de sécurité appropriés? Est-ce que toutes les lois sur la protection des renseignements personnels en ce qui concerne la collecte, l’utilisation, la communication et la conservation des renseignements personnels sont respectées?
  • Quand et comment l’intégration des réseaux se fera-t-elle? Quelles personnes demeureront en poste après l’opération? Le chef de la sécurité de l’information ou le gestionnaire des risques de la société cible seront-ils présents après l’opération pour faciliter l’intégration?

 

Considérations pour le cybercourtier avant la clôture d’une opération :

 

  • L’opération a-t-elle été déclarée au cyberassureur de l’acquéreur?
  • Le contrat de vente précise-t-il si une période de déclaration prolongée doit être achetée pour couvrir les actes fautifs passés de la société cible?
  • Comment la clause d’acquisition incluse  dans la police-cyber s’appliquerait? Existe-t-il un seuil de revenus pour la déclaration de à la  police-cyber à l’intention de  l’assuré acquéreur?
  • Si la société cible doit maintenir une police-cyber, comment la clause de renonciation au contrôle est-elle comprise dans la police d’assurance?
  • Le courtier devra également recueillir des informations sur la société cible, comme les produits, les activités et les pertes.

 

Pour gérer efficacement les risques liés à la protection des renseignements personnels et les cyberrisques dans le cadre d’une opération de fusion et acquisition, l’acquéreur et la société cible doivent tenir compte des risques liés à la protection des renseignements personnels et des cyberrisques tout au long du cycle de vie de l’opération – processus de transaction, audit, entente relative à l’opération et activités postérieures à l’opération, y compris ce qui précède.

 

Afin d’aider les entreprises de toutes tailles à se préparer pour tout type d’opération, CNA Canada offre une gamme de produits de cyberassurance et de ressources de contrôle des risques de premier plan. Nos spécialistes en souscription et en contrôle du risque offrent des protections adaptées au secteur et fournissent les outils et les ressources nécessaires pour aider à comprendre les risques et à gérer les pertes potentielles.

 

[1]Les activités de fusion et d’acquisition ont chuté en Amérique du Nord en 2022 après avoir atteint un niveau record en 2021. S & P Global Market Intelligence. Extrait le 1ᵉʳ mars 2023.

Au Canada, les produits et/ou services décrits sont fournis par Continental Casualty Company, une compagnie d'assurance IARD. Les informations sont destinées à présenter un aperçu général à des fins d'illustration uniquement. Lisez la clause de non-responsabilité générale de CNA.

Cindy Huang
Par Cindy Huang
Directrice de la souscription, Cybersécurité et Responsabilité Professionnelle – Lignes Spécialisées

Cindy Huang est directrice de souscription au sein de l’équipe Responsabilité professionnelle et Cybersécurité de CNA Canada. Cindy est responsable de la gestion du portefeuille et de la stratégie de souscription pour atteindre la croissance. Elle est également responsable de la commercialisation des diverses capacités de CNA et de la formation du personnel subalterne sur les nouvelles tendances en matière de Cybersécurité. Cindy travaille dans le secteur de l’assurance depuis plus de 8 ans. Avant d’entrer au service de CNA en 2018, Cindy a travaillé chez Trisura Guarantee et AIG, où elle a occupé divers postes et assumé diverses responsabilités. Cindy est titulaire d’un baccalauréat en sciences biomédicales de l’Université de Waterloo et a obtenu son diplôme de PAA.