Cybersécurité et due diligence technologique

La cybersécurité est devenue un facteur déterminant dans les opérations de fusion-acquisition. Selon une étude de Forescout (2023), 53 % des acquéreurs ont découvert un problème critique de cybersécurité lors d'une due diligence, et 65 % ont regretté une acquisition à cause de failles non détectées en amont.

Pourquoi la cybersécurité est-elle devenue incontournable en M&A ?

•La valeur des actifs immatériels (données clients, propriété intellectuelle, algorithmes) représente souvent plus de 70 % de la valeur d'une entreprise technologique

•Les réglementations européennes (RGPD, directive NIS2, règlement DORA) imposent des obligations croissantes de conformité

•Un incident cyber post-acquisition peut entraîner une dépréciation massive de la valeur acquise — l'exemple de Verizon/Yahoo (-350 M$ sur le prix) est emblématique

•Les clauses de garantie d'actif et de passif incluent désormais systématiquement des volets cybersécurité

Le contexte français :

L'ANSSI (Agence nationale de la sécurité des systèmes d'information) a publié en 2024 un guide dédié à la cybersécurité dans les opérations de croissance externe. La France est particulièrement exposée : 831 intrusions avérées ont été traitées par l'ANSSI en 2023, soit une hausse de 30 % par rapport à 2022.

Pour les PME françaises, souvent moins bien protégées que les grands groupes, la due diligence cyber constitue un levier de négociation majeur sur le prix de cession. Un audit cybersécurité rigoureux peut révéler des passifs cachés de plusieurs centaines de milliers d'euros.

Pour comprendre le cadre général de la due diligence, consultez La due diligence en acquisition d'entreprise : guide complet.

La première étape d'une due diligence technologique porte sur l'analyse exhaustive de l'infrastructure IT de la cible. Cet audit doit être mené par des experts indépendants, idéalement certifiés ISO 27001 ou PASSI (Prestataires d'Audit de la Sécurité des Systèmes d'Information, qualifiés par l'ANSSI).

Périmètre de l'audit technique :

•Architecture réseau : segmentation, pare-feux, détection d'intrusion (IDS/IPS), VPN, accès distants

•Serveurs et systèmes : inventaire matériel et logiciel, niveaux de mise à jour, fin de support (end-of-life)

•Postes de travail : parc informatique, solutions de protection endpoint, chiffrement des disques

•Cloud et SaaS : contrats d'hébergement, localisation des données (conformité RGPD), réversibilité

•Sauvegardes : politique de backup, tests de restauration, stratégie PRA/PCA

Les indicateurs clés à examiner :

•Taux de vulnérabilités critiques non corrigées (score CVSS ≥ 7)

•Ancienneté du parc : un parc moyen de plus de 5 ans révèle un sous-investissement

•Ratio dépenses IT/CA : en France, la moyenne des PME se situe entre 3 % et 6 % du CA selon le secteur

•Dette technique : coût estimé de mise à niveau des systèmes obsolètes

Méthodologie d'évaluation :

L'audit technique doit suivre une approche structurée en trois temps. Le scan de vulnérabilités automatisé identifie les failles connues sur l'ensemble du périmètre exposé. Le test d'intrusion (pentest) simule une attaque réelle pour mesurer la résistance effective. Enfin, la revue de configuration vérifie le durcissement des systèmes par rapport aux référentiels (CIS Benchmarks, guides ANSSI).

Le coût d'un audit complet pour une PME se situe entre 15 000 et 50 000 euros, un investissement qui peut éviter des pertes bien supérieures en cas de faille non détectée.

Pour la gestion documentaire de ces audits, consultez La data room : outil indispensable pour une cession réussie.

La conformité réglementaire est un volet essentiel de la due diligence technologique. Le Règlement Général sur la Protection des Données (RGPD), entré en application le 25 mai 2018, impose des obligations strictes dont la violation peut entraîner des amendes allant jusqu'à 4 % du chiffre d'affaires mondial ou 20 millions d'euros.

Points de contrôle RGPD :

•Registre des traitements (article 30 du RGPD) : existence, exhaustivité et mise à jour

•Bases légales des traitements : consentement, intérêt légitime, contrat, obligation légale

•Durées de conservation : politique définie et effectivement appliquée

•Droits des personnes : procédures d'exercice des droits (accès, effacement, portabilité)

•Sous-traitants : contrats conformes à l'article 28 du RGPD, transferts hors UE encadrés

•DPO (Délégué à la Protection des Données) : désignation obligatoire dans certains cas (article 37)

•Analyses d'impact (AIPD) : réalisées pour les traitements à risque (article 35)

Directive NIS2 et implications pour les PME :

La transposition française de la directive NIS2, attendue depuis octobre 2024, élargit considérablement le périmètre des entités régulées. Les entités essentielles et entités importantes devront mettre en oeuvre des mesures de gestion des risques cyber. Lors d'une acquisition, il est crucial de vérifier si la cible tombe dans le champ d'application.

Conformité sectorielle :

•Secteur financier : règlement DORA (Digital Operational Resilience Act) applicable dès janvier 2025

•Santé : hébergement de données de santé (HDS), certification obligatoire (article L.1111-8 du Code de la santé publique)

•Défense : habilitations et réglementations spécifiques (Code de la défense)

Impact sur la valorisation :

La non-conformité réglementaire constitue un passif latent qui doit être chiffré et intégré dans la négociation. Le coût de mise en conformité RGPD pour une PME varie de 30 000 à 200 000 euros selon la complexité des traitements. Ce montant doit être déduit de la valorisation ou couvert par une clause de garantie spécifique dans la GAP (garantie d'actif et de passif).

Pour en savoir plus sur la structuration de la garantie, consultez La garantie d'actif et de passif (GAP) expliquée.

Les risques de cybersécurité ont un impact direct et quantifiable sur la valorisation d'une entreprise dans le cadre d'une opération de M&A. Plusieurs méthodes permettent de les intégrer dans le calcul du prix.

Méthode de la décote cyber :

L'acquéreur applique une décote sur la valorisation proportionnelle aux risques identifiés lors de l'audit. En pratique, cette décote peut représenter :

•5 à 10 % pour des faiblesses mineures (retards de mise à jour, absence de politique formalisée)

•10 à 20 % pour des risques significatifs (vulnérabilités critiques non corrigées, absence de PCA)

•20 à 40 % pour des risques majeurs (historique d'incidents non résolus, non-conformité RGPD avérée)

Méthode du coût de remédiation :

Chaque risque identifié est chiffré en termes de coût de correction :

•Mise à niveau de l'infrastructure : 50 000 à 300 000 euros pour une PME

•Mise en conformité RGPD : 30 000 à 200 000 euros

•Mise en place d'un SOC externalisé : 30 000 à 80 000 euros/an

•Souscription d'une assurance cyber : 5 000 à 50 000 euros/an selon le niveau de couverture

Méthode actuarielle des incidents :

Cette approche évalue la probabilité et le coût moyen d'un incident cyber sur l'horizon de la valorisation. Selon IBM (Cost of a Data Breach 2024), le coût moyen d'une violation de données en France est de 4,3 millions d'euros pour les grandes entreprises. Pour les PME, il se situe entre 50 000 et 500 000 euros.

Clauses spécifiques à négocier :

•Garantie spécifique cyber dans la GAP couvrant les incidents antérieurs non déclarés

•Clause de complément de prix (earn-out) conditionné à la mise en conformité

•Séquestre renforcé couvrant les risques cyber identifiés

•Clause de réduction de prix en cas de découverte post-closing

Les retraitements de valorisation liés à la cybersécurité s'inscrivent dans une démarche plus large décrite dans Les retraitements comptables pour la valorisation.

L'intégration de la cybersécurité après la finalisation de l'acquisition est une phase critique qui nécessite un plan d'action structuré. La période des 100 premiers jours est déterminante pour sécuriser les actifs acquis.

Phase 1 — Jours 1 à 30 : Sécurisation d'urgence

•Audit flash des accès administrateurs et comptes à privilèges

•Revue des accès des anciens dirigeants et collaborateurs clés partis

•Activation du monitoring de sécurité sur les systèmes critiques

•Vérification de la couverture assurance cyber pendant la transition

•Communication aux équipes sur les nouvelles politiques de sécurité

Phase 2 — Jours 30 à 60 : Harmonisation

•Alignement des politiques de sécurité entre l'acquéreur et la cible

•Intégration des outils de supervision et de détection

•Migration des accès vers le système d'identité de l'acquéreur (Active Directory, IAM)

•Formation des équipes de la cible aux pratiques de sécurité du groupe

Phase 3 — Jours 60 à 100 : Consolidation

•Pentest de validation de l'infrastructure intégrée

•Mise en place du PCA/PRA unifié

•Déploiement des solutions de sécurité du groupe (EDR, SIEM, SOC)

•Plan d'investissement cybersécurité sur 12 à 24 mois

Budget d'intégration cyber :

L'intégration cybersécurité représente en moyenne 3 à 8 % du montant total de l'opération pour une PME technologique. Ce budget doit être provisionné dès la phase de due diligence et intégré dans le business plan post-acquisition.

Erreurs courantes à éviter :

•Négliger la sécurité des interconnexions réseau entre les deux entités

•Sous-estimer l'impact du shadow IT (outils non référencés utilisés par les équipes)

•Ignorer les contrats fournisseurs IT en cours et leurs implications de sécurité

•Reporter la formation des collaborateurs de la cible aux nouvelles pratiques

Pour structurer l'ensemble de votre plan d'intégration post-acquisition, consultez Les 100 premiers jours du repreneur : plan d'action.

Voici la checklist opérationnelle pour mener une due diligence cybersécurité exhaustive. Cette liste doit être adaptée en fonction du secteur d'activité et de la taille de la cible.

Gouvernance et organisation :

•Existe-t-il une politique de sécurité des systèmes d'information (PSSI) formalisée ?

•Un RSSI (Responsable de la Sécurité des Systèmes d'Information) est-il nommé ?

•Des audits de sécurité réguliers sont-ils réalisés (fréquence, périmètre, prestataire) ?

•La direction générale est-elle impliquée dans la gouvernance cyber ?

Historique des incidents :

•Quels incidents de sécurité ont été enregistrés sur les 3 dernières années ?

•Des notifications à la CNIL ont-elles été effectuées (article 33 du RGPD) ?

•Des plaintes de clients ou partenaires liées à la sécurité ont-elles été reçues ?

•Des actions en justice liées à la cybersécurité sont-elles en cours ?

Protection des données :

•Les données sensibles sont-elles chiffrées au repos et en transit ?

•Les sauvegardes sont-elles testées régulièrement et stockées hors site ?

•L'entreprise est-elle conforme au RGPD (registre, DPO, AIPD) ?

•Les transferts de données hors UE sont-ils encadrés conformément au chapitre V du RGPD ?

Aspects contractuels :

•Les contrats avec les sous-traitants IT incluent-ils des clauses de sécurité ?

•Les SLA (Service Level Agreements) des hébergeurs sont-ils conformes aux besoins ?

•Les licences logicielles sont-elles en règle (risque de contrefaçon — articles L.335-2 et suivants du Code de la propriété intellectuelle) ?

•Les clauses de réversibilité des contrats cloud sont-elles prévues ?

Assurance cyber :

•L'entreprise dispose-t-elle d'une assurance cyber ?

•Quels sont les plafonds de garantie et les exclusions ?

•La police couvre-t-elle le changement de contrôle (clause de transfert) ?

Cette checklist doit être complétée par l'analyse juridique décrite dans L'audit juridique préalable à une acquisition.