Solutions
22 juin 2026 Astuces .
Fusion-acquisition : vous n'achetez pas une entreprise, vous héritez de sa surface d'attaque
Ce contenu vous plait
Partagez-le sur les réseaux
Quand une entreprise en rachète une autre, tout le monde regarde au même endroit : les comptes, les contrats, les synergies. Presque personne ne regarde ce qui est déjà branché sur Internet du côté de la cible. C'est précisément ce que la due diligence cyber est censée vérifier, et c'est souvent là que se cache la mauvaise surprise.
Pensez à un héritage. Vous récupérez le patrimoine d'un proche : une maison, des comptes, peut-être une entreprise. Sur le moment, vous pensez gain. Mais qui vous dit que ce proche n'était pas endetté ? Que la maison ne cache pas un vice ? En fusion acquisition, c'est exactement pareil. Vous héritez de la surface d'attaque de la cible, et avec elle de toutes ses dettes invisibles : actifs oubliés, failles jamais corrigées, parfois une intrusion déjà installée. Le risque cyber qui en découle ne se limite jamais à la cible : il devient immédiatement le vôtre.
À retenir
En fusion-acquisition, l'acquéreur hérite de toute la surface d'attaque de la cible, y compris des actifs exposés jamais recensés et d'éventuelles intrusions déjà en cours.
Un score de notation de sécurité ne suffit pas : il mesure une réputation, pas l'exposition technique réelle.
Patrowl redécouvre en moyenne 30 à 40% d'actifs exposés en plus que l'inventaire déclaré par l'organisation, un chiffre qui peut grimper jusqu'à 60% selon le contexte.
Le risque se pilote en trois temps : reconnaissance passive avant la signature, découverte exhaustive des actifs au closing, surveillance continue pendant l'intégration.
Marriott-Starwood : une intrusion non détectée pendant quatre ans, environ 339 millions de clients exposés, 18,4 millions de livres d'amende.
Yahoo-Verizon : des brèches révélées pendant l'opération ont fait baisser le prix de 350 millions de dollars.
Deux affaires devenues célèbres montrent à quel point l'addition peut être salée.
Les nouveaux défis des RSSI en 2026
Pour aller plus loin, nous avons consacré un webinar complet aux enjeux qui attendent les RSSI en 2026, avec des retours d'expérience concrets et des perspectives sur l'évolution du métier.
Ce que Marriott a réellement acheté en rachetant Starwood
En septembre 2016, Marriott finalise l'acquisition de Starwood. Ce que le groupe ignore, c'est que le réseau de réservation de Starwood est compromis depuis juillet 2014. L'intrusion ne sera détectée qu'en septembre 2018, puis rendue publique en novembre. Soit deux ans après le rachat, et quatre ans après la première compromission [1].
Le bilan : les données d'environ 339 millions de clients exposées dans le monde, dont 5,25 millions de numéros de passeport non chiffrés. Le régulateur britannique (ICO) a d'abord annoncé une amende de près de 99 millions de livres, finalement ramenée à 18,4 millions [1].
Le point décisif n'est pas le montant, c'est le motif retenu par le régulateur : Marriott n'avait pas conduit une due diligence suffisante au moment du rachat [1]. Le risque acheté n'apparaissait dans aucun score. Il vivait dans la surface d'attaque héritée : une base de données que Starwood ne surveillait plus correctement, et que Marriott n'avait jamais cartographiée.
C'est le proche endetté dont on hérite sans avoir ouvert les relevés.
Un score de notation n'est pas une surface d'attaque
La plupart des due diligences cyber s'appuient aujourd'hui sur des outils de notation. Ils produisent une note synthétique, calculée de l'extérieur à partir de signaux indirects. Pratique pour comparer plusieurs cibles, mais cela répond à une question de réputation, pas de réalité technique. Un score rassure le comité d'investissement. La cartographie de surface d'attaque externe (EASM) protège le système d'information issu de l'opération, ce qu'aucun score ne peut faire à lui seul. Une diligence cybersécurité menée correctement s'appuie, lorsque le contexte le permet, sur un test d'intrusion ciblé plutôt que sur une note déclarative.
Les trois moments où la surface d'attaque décide du risque
Le risque ne se joue pas à un instant unique. Il se déploie sur trois fenêtres : la reconnaissance passive avant la signature, qui inclut la vérification de toute fuite de données déjà associée à la cible, la découverte exhaustive des actifs au moment du closing, et la surveillance continue pendant les cent premiers jours d'intégration, la période la plus exposée puisque les équipes de sécurité de la cible sont souvent réduites au moment où la complexité technique culmine. Mettre en œuvre cette surveillance dès les premiers jours permet aussi de comparer les niveaux de sécurité des deux entités.
Lors de ses propres déploiements, Patrowl redécouvre en moyenne 30 à 40% d'actifs exposés en plus par rapport à l'inventaire fourni par l'organisation, un chiffre qui peut grimper jusqu'à 60% dans certains cas. Le délai moyen mondial de détection et de containment d'une violation est par ailleurs de 241 jours (IBM Cost of a Data Breach 2025), largement supérieur à la durée d'une intégration post-fusion.
Trois profils d'acquéreurs, trois expositions différentes
La fenêtre de risque ne se présente pas de la même façon selon la stratégie de croissance externe de l'acquéreur. Trois cas d'usage concrets illustrent à quel point le bon dispositif dépend du profil.
Une acquisition isolée : cartographier une cible précise
C'est le scénario le plus classique : une entreprise identifie une cible, mène sa due diligence, signe, intègre. Xplor a suivi cette logique lors de ses propres opérations de croissance externe, en s'appuyant sur une cartographie de la surface d'attaque de la cible pour documenter ce qui était réellement exposé avant l'intégration, plutôt que de se reposer uniquement sur les déclarations de la cible elle-même. L'enjeu dans ce cas de figure est ponctuel mais déterminant : un seul périmètre à découvrir, mais une seule chance de bien le faire avant que les systèmes ne commencent à communiquer.
Une stratégie de croissance par acquisitions répétées : industrialiser la découverte
Colas illustre un profil différent : une stratégie de croissance externe active, avec un nombre élevé d'acquisitions menées sur la durée. Dans ce contexte, la cartographie de surface d'attaque ne peut pas rester un exercice ponctuel réalisé à chaque opération. Elle devient un processus répétable, déclenché systématiquement à chaque nouvelle acquisition, pour absorber rapidement et de façon standardisée la surface exposée de chaque nouvelle entité intégrée au groupe. Le risque, pour un acquéreur en série, n'est pas seulement celui d'une cible mal cartographiée : c'est celui de l'accumulation, opération après opération, d'angles morts qui ne sont jamais traités avec la même rigueur que le périmètre historique.
Une fusion entre deux entités de taille comparable : combiner deux périmètres
CNP illustre un troisième cas de figure : la fusion, où il ne s'agit plus d'absorber une cible plus petite mais de combiner deux périmètres déjà matures, chacun avec son propre historique, ses propres outils, ses propres angles morts. Dans une fusion de cette nature, la cartographie ne sert pas seulement à découvrir l'inconnu côté cible : elle sert à établir une vue unifiée et commune de la surface d'attaque combinée, à un moment où les deux organisations doivent rapidement s'aligner sur un référentiel de risque partagé plutôt que de continuer à piloter deux visions séparées de leur exposition.
Ces trois profils, acquisition isolée, croissance par acquisitions répétées, fusion entre pairs, partagent le même besoin de fond : une vue exhaustive et continue de la surface d'attaque réelle, indépendamment de la taille de l'opération.
Yahoo-Verizon : quand l'exposition se paie en dizaines de millions
Si Marriott illustre le coût d'une exposition découverte trop tard, Yahoo illustre son effet direct sur le prix d'une transaction.
En juillet 2016, Verizon s'accorde pour racheter les activités internet de Yahoo à 4,8 milliards de dollars. À l'automne puis en décembre 2016, Yahoo divulgue des brèches massives, portant d'abord sur 500 millions de comptes, puis sur plus d'un milliard. En février 2017, les deux groupes renégocient : le prix baisse de 350 millions de dollars, ramené à 4,48 milliards, avec un partage des responsabilités juridiques. L'opération se conclut en juin 2017 [2].
Trois cent cinquante millions de dollars. C'est ce qu'a coûté, en valorisation pure, une exposition cyber révélée pendant le processus d'acquisition. Le message pour tout dirigeant ou investisseur est limpide : la posture de sécurité d'une cible n'est pas une externalité technique, c'est une composante du prix.
Comment Patrowl répond à ce risque
Sur chacune des trois phases d'une opération de M&A, Patrowl apporte une réponse opérationnelle concrète :
Avant le deal (due diligence) : cartographie passive de la surface d'attaque exposée du target, sans intrusion ni accès interne, donc compatible avec la contrainte légale du pré-closing. Vous identifiez les risques cachés avant de signer, pas après.
Au closing (day one) : découverte automatisée des actifs réellement exposés, comparée à l'inventaire déclaré par le target. Sur les déploiements Patrowl, l'écart constaté atteint en moyenne 30 à 60 % d'actifs non recensés : domaines oubliés, environnements de test exposés, services tiers non documentés.
Pendant l'intégration (100 premiers jours) : monitoring continu de la surface d'attaque combinée, pour détecter en temps réel les expositions créées par la fusion des infrastructures (migration, interconnexion des réseaux, nouveaux sous-domaines).
Le résultat : vous ne découvrez plus l'état réel de la surface d'attaque du target après la signature, mais vous le pilotez à chaque étape de l'opération.
Vous menez une opération de fusion-acquisition ? Patrowl cartographie en quelques jours la surface d'attaque exposée de votre cible, avant la signature.
FAQ
Peut-on auditer la cybersécurité d'une cible avant de signer ?
Avant signature, sans mandat explicite, seule la reconnaissance passive est juridiquement défendable : données ouvertes, empreinte externe, services exposés publiquement, fuites associées. Un audit actif complet suppose une autorisation, généralement obtenue après accord de principe. La reconnaissance passive ne remplace pas l'audit, elle révèle des signaux faibles utiles à la négociation.
Pourquoi un score de notation de sécurité ne suffit-il pas en due diligence ?
Un score évalue une réputation depuis l'extérieur à partir de signaux indirects. Il ne fournit pas l'inventaire des actifs réellement exposés, des vulnérabilités exploitables ni des compromissions en cours. Or c'est cet inventaire qui détermine le risque hérité au closing.
Quel est le moment le plus risqué d'une fusion-acquisition sur le plan cyber ?
La période d'intégration, souvent les cent premiers jours. Les équipes de sécurité de la cible sont fréquemment réduites au moment où la complexité technique est maximale, ce qui favorise la persistance d'intrusions préexistantes, comme dans le cas Marriott-Starwood.
Une exposition cyber peut-elle réellement affecter le prix d'une acquisition ?
Oui. Lors du rachat de Yahoo par Verizon, la révélation de brèches massives a entraîné une réduction du prix de 350 millions de dollars. L'exposition est une composante de la valorisation, pas seulement un sujet technique.
Le bon dispositif de cartographie est-il le même pour une acquisition isolée et pour une stratégie de croissance par acquisitions répétées ?
Non. Une acquisition isolée demande une cartographie ponctuelle mais rigoureuse de la cible. Une stratégie de croissance externe active, avec un grand nombre d'opérations menées sur la durée, demande un processus répétable et standardisé, déclenché systématiquement à chaque nouvelle acquisition pour éviter l'accumulation d'angles morts non traités.
Sources
[1] Information Commissioner's Office (ICO), Royaume-Uni. Déclaration relative à la sanction visant Marriott International : acquisition de Starwood en 2016, compromission non découverte avant 2018, manquement de due diligence relevé par le régulateur. Intention de sanction de 99 millions de livres annoncée en 2019, ramenée à 18,4 millions de livres dans la décision finale de 2020 (environ 339 millions de clients concernés, dont 5,25 millions de numéros de passeport non chiffrés). https://www.edpb.europa.eu/news/national-news/2019/ico-statement-intention-fine-marriott-international-inc-more-ps99-million_en
[2] Verizon Communications Inc. et Yahoo! Inc., communiqué et dépôt auprès de la SEC (formulaire 8-K), 21 février 2017. Réduction du prix d'acquisition de 350 millions de dollars, valorisation ramenée de 4,8 à 4,48 milliards de dollars, partage des responsabilités juridiques. https://www.sec.gov/Archives/edgar/data/0001011006/000119312517049548/d353690dex991.htm
[3] Vladimir Kolla, cofondateur et CTO de Patrowl, webinar « Enjeux RSSI 2026 », mai 2026. Statistique sur le périmètre inconnu redécouvert lors des déploiements clients (30 à 50%, avec des pics jusqu'à 60% selon les organisations).
[4] IBM, Cost of a Data Breach Report 2025. Délai moyen mondial de détection et de containment d'une violation : 241 jours.
html
Nos dernières actualités
-
![]()
- 18 juin 2026
- Astuces
Fournisseur cloud compromis : comment un tiers devient la porte d'entrée de votre SI (TPRM)
-
![]()
- 8 juin 2026
- Astuces
Gestion des vulnérabilités IT : comment bâtir un programme proactif en 2026
-
![]()
- 1 juin 2026
- Astuces
Triforce Patrowl : Automatisation, IA, pentest manuel : pourquoi il faut les 3 (et comment les combiner)
