Fusions-acquisitions : la cyber-sécurité au coeur de la due diligence
Les fusions-acquisitions sont très prisées par les grandes entreprises, mais aussi les PME, tous secteurs confondus. En amont de chaque opération, les entreprises et leurs conseillers réalisent leur due digilence afin de cadrer au mieux la transaction et d'éviter les mauvaises surprises.
Un aspect pourtant essentiel est parfois oublié, ou tout du moins sous-estimé, l'informatique. À l'heure où la transformation numérique a fait basculer les entreprises dans un monde centré sur les données, cet aspect devrait être un des fondamentaux de la due diligence. Par exemple, si le motif principal du rachat porte sur l'acquisition d'un brevet technologique hautement innovant, il est impératif de se renseigner sur de possibles cyberattaques ayant pu exposer - et donc dévaluer - cette propriété intellectuelle.
Car si l'entreprise découvre après la fusion-acquisition l'existence de cyberattaques ou de fuites de données, elle héritera potentiellement des amendes règlementaires allant de pair, voir même de procédures judiciaires dans certains cas. A tout cela peut s'ajouter un effet négatif sur la réputation de l'entreprise, qui sera vue comme incapable de protéger son système informatique et les données de ses clients.
Mais la cyber-sécurité n'est pas le seul élément informatique à prendre en compte, la conformité est également très importante. Si le but principal du rachat est la récupération d'une base de clients, il est intéressant de se demander si l'acquéreur pourra utiliser ou non les bases de données correspondantes. Il n'existe dans ce domaine pas de règle d'or, chaque cas doit être étudié individuellement en fonction des législations en vigueur, de la manière dont l'entité rachetée a récupéré l'accord de ses clients, ou encore de la façon dont l'acquéreur souhaite communiquer envers eux.
Effectuer un audit de sécurité et de conformité
L'entreprise effectuant le rachat doit tout d'abord réaliser un audit, puis établir un plan d'actions pour améliorer, au besoin, la sécurité et la conformité. Au-delà de recherches classiques, cette due diligence passe par des recherches sur le dark web, au sein de groupes de hackers, dans le but de trouver des indices pouvant laisser penser que la société a été un jour la cible de cyberattaques ou qu'elle le sera dans un avenir proche.
Les solutions informatiques d'analyse des menaces doivent également être utilisées pour identifier les possibles failles ou dangers, et agir en conséquence. Des actions immédiates et prioritaires pourront être menées pour renforcer la sécurité à court terme, comme la mise en place d'authentification multiples ou encore l'implémentation de patchs de sécurité.
Il est important que les acquéreurs comprennent qu'il faut exiger plus d'informations et de transparence durant la période de négociations. Ils doivent notamment se renseigner sur la stratégie de cyber-sécurité en place : réponses aux incidents, formations des salariés, outils en place, résultats de tests, ou encore organigramme du service informatique, tous ces éléments sont primordiaux. Il s'agit par ailleurs d'une demande de plus en plus présente chez les compagnies d'assurance souscrites par les entreprises, d'autant plus lorsque celles-ci souhaitent être couvertes au niveau des cyber-risques. Un audit bien conduit et un plan de cyber-sécurité permettra alors aux entreprises de se voir offrir des tarifs plus avantageux de la part des assureurs.
Dans un tel contexte, les entreprises cherchant à être rachetées devraient parier sur un système informatique robuste, avec une conformité et une sécurité optimales. Cela leur permettra de mieux se valoriser et ainsi de pouvoir bénéficier d'une négociation plus favorable lors du rachat.
L'intégration des systèmes informatiques à prévoir
Autre point de vigilance : l'intégration du système informatique de l'entreprise rachetée au sein de l'entité mère. Cette dernière peut s'avérer hasardeuse si elle n'est pas minutieusement planifiée. Deux options existent : l'entreprise rachetée peut conserver son système informatique (SI) propre, auquel cas il faudra assurer une certaine connectivité entre les deux SI afin de faciliter les échanges. Autre option, l'acquéreur décide d'intégrer totalement le système informatique, auquel cas il faudra établir un plan d'intégration et s'assurer de sa faisabilité.
Au-delà de cet aspect " technique ", l'entreprise acheteuse devra s'assurer que l'ensemble des employés ait reçu une formation aux cyber-risques et qu'ils soient conscients des bonnes pratiques.
Ces périodes de transaction et de changement sont une aubaine pour les hackers qui savent que les entreprises seront concentrées sur la finalisation de leur deal. Ces dernières seront donc potentiellement plus vulnérables aux attaques et deviennent pour les hackers "des proies faciles". A fortiori, si une sécurisation de l'ensemble de leurs deux systèmes informatiques n'a pas été mise en place. C'est pourquoi un environnement "zéro confiance" doit être adopté, avec une sécurisation en bout en bout des systèmes et une sensibilisation des collaborateurs.
Comme nous l'avons vu, l'informatique influe directement la valeur d'une opération de fusion-acquisition et ses chances de réussite. À ce titre, des clauses relatives aux cyberattaques et à leurs répercussions doivent être inclues dans la transaction pour protéger les parties prenantes.
Pour en savoir plus
Florent Embarek, Regional Sales Director Southern Europe chez BlackBerry Cylance: il dirige la partie commerciale de Cylance des zones France, Espagne, Italie et Portugal
Sur le même thème
Voir tous les articles Fonction finance