Dans un contexte économique où les fusions-acquisitions (M&A) représentent un vecteur principal de croissance et de transformation, la détection et la prévention des risques sont devenues des étapes indispensables.
Deux dimensions exigent une attention particulière : les risques cyber et les risques compliance. Ils peuvent être abordés avec une approche transverse et coordonnée dans les due diligences.
1 - L’importance stratégique de l’identification des risques en M&A
L’acquisition d’une entreprise, l’investissement dans une joint-venture ne se limitent pas à l’évaluation de ses performances financières ou de son positionnement sur le marché. Une mauvaise anticipation des risques peut transformer une opération prometteuse en une source de litiges, de pertes financières et de crises réputationnelles.
La cybersécurité et la compliance représentent des risques majeurs, aux côtés des enjeux d’intégration des systèmes d’information et de continuité des opérations.
L’objectif d’une due diligence approfondie est d’identifier et de mesurer ces risques avant les phases de négociations puis de finalisation de l’opération. Une démarche transversale favorise la synergie des compétences et évite d’omettre des vulnérabilités susceptibles de mettre en péril la valeur de l’acquisition ou de l’investissement.
2 - Maîtriser le risque cyber et compliance dans les opérations de M&A
2.1 Les cybermenaces spécifiques aux fusions-acquisitions
Les cyberattaques peuvent survenir avant, pendant et après une transaction.
Les périodes de transition sont mises à profit par les cybercriminels pour s’introduire dans les systèmes, effectuer des tentatives de fraude ou détourner des informations sensibles. Une cyberattaque peut compromettre la confidentialité des négociations, perturber le fonctionnement de l’entreprise lors de cette période critique (lors d’une attaque par ransomware par exemple), et impacter la valorisation de l’entreprise cible.
De plus, la présence de systèmes obsolètes ou non documentés (Shadow IT) augmente les risques de brèches de sécurité. La non-conformité aux réglementations en vigueur (RGPD, DORA, NIS2) pourrait également exposer l’acquéreur à des pénalités.
Enfin, l’intégration des infrastructures IT peut révéler des incohérences et des failles exploitables par des cybercriminels.
2.2 Les axes d’évaluation des risques cyber
Une due diligence en cybersécurité repose sur divers leviers. Il est fondamental d’évaluer la maturité des dispositifs de cybersécurité, les contrôles techniques et organisationnels, les politiques de sécurité, la gouvernance cybersécurité mais aussi les ressources et les budgets déployés.
