Fusion-acquisition : ne négligez pas la due diligence de cybersécurité !

20 Avr 2021

La due diligence (audit d’acquisition) est une étape et une phase clé dans le processus de fusions-acquisitions. Avec l’accélération de la transformation digitale, un nouvel aspect devient crucial: la cybersécurité. Quels sont les risques cyber et leurs conséquences lors d’une fusion-acquisition ? Quelles sont les précautions à prendre ? Focus sur ce domaine d’investigation devenu essentiel lors d’un audit d’acquisition.

Intervenant en aval de la lettre d’intention, la due diligence préalable permet à l’acquéreur d’évaluer les risques inhérents à l’entreprise cible et de sécuriser la réussite de cet investissement. Il y a encore quelques dizaines d’années, il s’agissait essentiellement d’identifier les forces et les faiblesses de l’entreprise visée dans le domaine de la finance, de la comptabilité, de la gestion des ressources humaines… Aujourd’hui, le risque en matière de cybersécurité relève d’enjeux majeurs qu’il convient d’analyser.

Cybersécurité : des risques accrus en cas de fusion-acquisition

Lors des opérations de fusions-acquisitions, la due diligence en matière de cybersécurité fait partie des nouveaux éléments essentiels à prendre en compte. Trop souvent négligé, le risque cyber représente en effet un enjeu capital.

En effet, le rapprochement de 2 entités augmente significativement la surface d’attaque et les menaces pour chacune d’entre elles. Les risques sont accrus sur plusieurs plans :

  • Menaces internes. L’acquéreur doit surmonter plusieurs difficultés : intégrer des milliers d’actifs et de données, combiner 2 systèmes d’informations en un système unique. Problèmes de compatibilité, uniformisation des profils de sécurité distincts, formation des collaborateurs concernés… Une analyse précise doit être menée en amont pour ne pas aboutir à un échec.
  • Risques externes. Lors d’une fusion-acquisition, les systèmes d’informations des 2 entreprises sont particulièrement vulnérables face à des cyberattaques. Les attaquants potentiels et malveillants peuvent exploiter les vulnérabilités des 2 structures plus exposées. Les portes d’accès aux réseaux des entreprises sont plus nombreuses pour des hackers avertis.
  • Risques réglementaires. Bien au-delà du RGPD, les réglementations en matière de cybersécurité se durcissent en France et à l’échelle mondiale, sans pour autant s’harmoniser. Lors d’une fusac, fusionner des réseaux ne peut se faire sans respecter les normes en la matière et assurer la mise en conformité du processus. Une difficulté supplémentaire à ne pas négliger, sous peine d’amendes.

Bon à savoir : la due diligence peut être menée dans divers domaines : audit financier, audit stratégique (connaissance du marché), due diligence technique, due diligence des ressources humaines, audit commercial (analyse des partenaires commerciaux et du profil des clients)… Plusieurs professionnels sont dédiés à chaque audit : expert-comptable spécialiste, commissaire aux comptes, professionnel du droit… Découvrez en détail les différents champs d’investigation et le déroulement d’un audit d’acquisition.

Le risque cyber lors d’une fusac : de lourdes conséquences

En cas de cyberattaque ou d’échec d’intégration des 2 SI lors d’une fusion-acquisition, les répercussions pour l’acquéreur sont multiples et vont bien au-delà d’un aspect purement informatique :

  • Pertes ou fuites de données sensibles préjudiciables pour la poursuite de l’activité de l’entreprise victime.
  • Pénalités financières conséquentes en cas de non-conformité aux normes de protection en vigueur contrôlées par exemple via l’Autorité Européenne des Marchés Financiers ou la Security and Exchange Commission aux Etats-Unis.
  • Mise à mal de la réputation de l’entreprise jugée incompétente pour protéger les données clients.
  • Dévalorisation de l’entreprise cible et donc une baisse du prix d’acquisition si la cyberattaque est avérée (selon les clauses stipulées dans le contrat entre les deux parties prenantes).

Ces éléments peuvent mettre en péril l’opération de fusac ou la pérennité de la nouvelle entité.

Audit d’acquisition ou due diligence de cybersécurité : la démarche

Lors de l’acquisition d’une société cible, le processus de due diligence en matière de cybersécurité ne peut se faire sans impliquer le DSI (Directeur des systèmes d’information) et/ou le RSSI (Responsable de la Sécurité des Systèmes d’Information).

Leur participation aux négociations en amont permet d’éviter bien des mauvaises surprises ultérieurement. En effet, ces spécialistes sont à même de déterminer les risques en matière de sécurité, de réglementation et de conformité. Ils facilitent également le déroulement de la procédure et peuvent agir avec réactivité en cas de problème de dernière minute pour assurer la réussite de l’opération de fusac.

Voici 2 types d’actions à mener pour réaliser une due diligence de cybersécurité complète et efficace :

  • Effectuer une analyse théorique. L’idée est de récolter des informations quant aux pratiques de sécurité et aux systèmes d’informations mis en œuvre dans la société cible. Plusieurs moyens peuvent être utilisés pour obtenir ces données : questionnaires, entretiens avec les spécialistes internes… Cette approche permet d’avoir une vision générale sur l’existant, mais reste insuffisante car basée uniquement sur les déclarations des personnes concernées.
  • Mener des opérations concrètes (collecte des bases de données sur les infrastructures réseaux, tests d’intrusion). Via des outils automatisés, cette approche pratique permet de créer un référentiel unique, de mettre à l’épreuve les systèmes d’informations et d’identifier des failles existantes.

Cet audit de cybersécurité permet de :

  • Identifier les cyber menaces et de décider en toute connaissance de cause de poursuivre ou non l’opération de fusion-acquisition.
  • Mettre en place des actions correctives pour limiter au maximum les risques et mener la fusac à son terme dans des conditions les plus sécuritaires.

Bon à savoir : si ce n’est l’absence de due diligence de cybersécurité, plusieurs paramètres peuvent conduire à l’échec d’une fusac. Découvrez les 7 erreurs à éviter lors d’une fusion-acquisition à l’international.

Lors d’une fusac, la due diligence financière ne suffit pas ! C’est une réalité : bon nombre de fusions-acquisitions échouent suite à une négligence en matière de cybersécurité. Et les conséquences en cas d’absence d’évaluation du risque cyber peuvent être lourdes (pertes de données sensibles, pénalités financières…). La cyber due diligence n’est donc plus une option. C’est un élément clé à prendre en compte pour assurer la réussite d’une opération de fusion-acquisition.

Pour aller plus loin : découvrez pourquoi la traduction est un atout pour réussir les fusac internationales.