Directeur M&A : ayez le réflexe cyber dans le cadre de vos transactions
Lors de vos opérations M&A, que vous soyez à l’achat ou à la vente, le recours à des cabinets de conseil pour les opérations de due diligence financières est un prérequis dont vous ne sauriez vous passer. Or, la problématique cyber peut elle aussi s’inviter à tous les stades de votre opération. Voici les raisons pour lesquelles vous devriez l’anticiper en amont et l’intégrer plus systématiquement dans vos transactions.
D’après l’étude de (ISC), près de la moitié des entreprises engagées dans une transaction ont vu l’opération échouer en raison de failles non divulguées au moment du deal. Comment maîtriser ce risque, à toutes les étapes de l’opération, que vous soyez vendeur, acquéreur ou fonds d’investissement ?
1- Phase Pré-deal
En phase de pré-deal, la question cruciale est celle de la valorisation : 82% des investisseurs affirment que plus l'infrastructure de cybersécurité d'une entreprise est solide, plus la valeur estimée de l'organisation est élevée ((ISC)² “Cybersecurity Programs Shown to Have Tangible Value in M&A Assessments“).
Lorsque vous êtes à l’achat, la valeur de la cible fait l’objet d’un grand nombre d’évaluations pluridisciplinaires (finance, RH, IT, etc.) et de discussions. Or, il est essentiel d’intégrer la dimension cyber dans vos due diligences. Ces due diligences cyber vont venir évaluer la solidité et la sécurité de l’infrastructure IT - cette dernière tient-elle la route ? L’entreprise regardée possède-t-elle une bonne hygiène en matière de cybersécurité ? A t-elle déjà fait l'objet d’attaques ? Dans cette situation, comment l’entreprise a-t-elle réagi face à ces incidents de cybersécurité ? Existe-t-il des vulnérabilités connues ou non encore identifiées ? Ainsi, plus cette évaluation sera précise, mieux elle permettra aux acquéreurs potentiels d’obtenir une vision claire de la cible et de préciser sa valorisation. En prérequis, une évaluation cyber avant l’opération, qui se base entre autres sur de l’Open Source Intelligence (grâce à des outils comme Threat Watch notamment) et qui va plus loin que du déclaratif, permet de lever certains écueils. Cette évaluation aide également à estimer les pertes que pourraient représenter les failles identifiées voire celles qui pourraient compromettre l’opération ou les activités futures et donc, in fine, d’affiner la valeur de la cible étudiée. Sans cela, le risque majeur pour l'acquéreur serait d’hériter d’une dette technique importante, en intégrant une activité qui met en danger l’existant. Sans due diligence cyber, vous encourez également un risque réputationnel important car vous pourriez faire l’acquisition d’une structure ayant déjà fait l’objet d’attaques.
Lorsque vous êtes à la vente, il est également question de valorisation car il s’agit bien de maximiser la valeur de l’activité cédée. Connaître ses vulnérabilités en amont bien avant le deal, celles qui peuvent constituer une véritable perte de valeur ou qui pourraient être exploitées lors d’une séparation permet de les hiérarchiser, les atténuer ou de les corriger.
2- Durant la transaction
Pendant le processus transactionnel, les deux entités concernées, à l’achat comme à la vente, deviennent plus visibles sur le marché et sont plus exposées aux risques cyber. En effet, la transaction peut s’accompagner d’incertitudes et d’une forme d’instabilité. Dans ce contexte, l’entreprise devient plus vulnérable et sujette à des attaques (fuites de données sensibles sur le marché compromettant l’opération). Aussi, se soucier de la santé cyber de son entreprise bien avant l’opération est vivement conseillé, et la renforcer avant le deal est un pré-requis.
3- En phase Post-deal
Une fois l’opération signée, les vérifications cyber peuvent encore s'avérer très utiles. En effet, en matière de PMI (Post Merger Integration), les dimensions IT et cybersécurité ne devraient pas être négligées car une mauvaise préparation avant l’intégration peut une nouvelle fois impacter négativement la réussite de l’opération.
Lorsque vous intégrez l’activité, il peut être intéressant d’approfondir les analyses réalisées sur la cible en phase préparatoire. En effet, avant la contractualisation de l’opération, l’analyse se fait généralement sur la base de données Open Source. Or il existe des outils qui analysent dans le détail les éventuelles compromissions du système d’informations de l’activité achetée, et qui permettent ainsi de s’assurer de la conformité du SI avant l’intégration.
Lorsque vous vous séparez de votre activité, et dans le cas particulier d’un carve-out, l’opération génère du transitoire accompagnée d’une forme d’insécurité. C’est par essence ce que le RSSI veut à tout prix éviter. Il est alors essentiel d’anticiper, mesurer, encadrer et piloter la dimension cyber lors de l’opération. Votre démarche de cybersécurité revêt alors plus que jamais une importance cruciale car ce faisant, vous sécurisez vos actifs restants, vous garantissez l’étanchéité des données et vous préservez l’intégrité de votre entreprise.
Lorsque le système d’informations constitue la clé de voûte de votre activité, ou de celle de l’activité rachetée, et quel que soit le domaine d’activité ou la taille de l’opération, la cybersécurité devient un impératif.
Directeur M&A, vous avez donc tout intérêt à travailler main dans la main avec votre RSSI, dès les phases préparatoires et durant tout le deal continuum, pour faire de la sécurité un facteur de succès de vos opérations de fusions-acquisitions.