L’objectif de ce livre est de permettre à des non-initiés de comprendre les tenants et les aboutissants des due-diligence en matière de fusions-acquisitions, et plus spécifiquement comment la Cybersécurité fait évoluer, ou non, la valorisation financière des entreprises.
Comment la Cybersécurité peut-elle impacter la valorisation d’une entreprise ? En matière de fusion-acquisition, la complexité des enjeux de Cybersécurité ajoute un niveau de risque remettant en cause l’évaluation classique de la cible. La transformation digitale et la Cybersécurité sont les enjeux principaux de développement et de résilience des entreprises. Faire l’impasse sur l’impact potentiel des risques de Cybersécurité dans les fusions et acquisitions peut exposer un acquéreur à des conséquences désastreuses, pouvant concerner notamment un arrêt de production, une fuite de données entrainant des pénalités (RGPD), une diminution de chiffre d’affaire, une réduction des bénéfices, ou encore un impact sur la réputation de la marque… nécessitant de réinvestir pour redonner confiance aux parties-prenantes, et le tout en gardant le remboursement de la dette par exemple dans le cadre d’un LBO… Finance et Cybersécurité sont des compétences de grandes technicités et dont le jargon peut réfréner les non-initiés. Notre offre de Cyber Due Diligence fait donc le lien entre plusieurs experts et nous intervenons en tant que facilitateurs, avec une méthodologie éprouvée, au bénéfice des dirigeants, entrepreneurs ou repreneurs pour les aider à prendre de la hauteur, comprendre les enjeux, analyser, sélectionner, coordonner les différents professionnels et solutionner les problématiques d’entreprise associées.
Après 15 années évolutives en conseil IT et Digital, Hervé Mafille fonde un cabinet de recrutement et management de transition spécialisé en cybersécurité en 2016. Membre de plusieurs centres de réflexion pour dirigeants et dans le domaine de la cybersécurité, il est également intervenant extérieur en formation Bac+5, et mène en en parallèle des activités de conseil et coaching auprès de dirigeants.
Les ouvrages traitant de due diligence en cybersécurité ne sont pas légion. Pourtant, le risque cyber est devenu un risque financier à part entière que les PME et les fonds d’investissement doivent intégrer dans leurs opérations (croissance externe, revente…).
Dernières sorties, avis, extraits et résumés.
Dans son livre Évaluation d’entreprise au regard des risques de cybersécurité, Hervé Mafille nous livre sa méthode pour intégrer ce risque lors de l’évaluation d’une cible.
L’auteur développe les difficultés liées à l’évaluation de ce risque. En effet, plusieurs facteurs doivent être pris en compte pour une juste valorisation : considérations techniques, procédures, gouvernance, évolution de la menace, écosystème, réputation…
Face à ces multiples défis, l’ouvrage d’Hervé Mafille a le mérite de poser les premières bases pour une juste évaluation des risques cyber.
La cybersécurité n’est plus uniquement un sujet informatique. Elle touche à la résilience de l’entreprise et à la confiance qu’elle inspire à ses parties prenantes. La cybersécurité quitte enfin l’IT pour devenir un sujet de COMEX.
Au cours des phases d’approche de l’entreprise cible, l’identification des risques relatifs à la cybersécurité prend tout son sens. Deux étapes semblent particulièrement pertinentes pour mener une cyber due diligence, la première étape concerne un pré-audit destiné à décider pour l’acquéreur potentiel s’il y a un intérêt à poursuivre la démarche et d’investir du temps et de l’argent dans les audits approfondis (Go-No Go), puis la deuxième étape dans les audits approfondis à proprement parlé afin d’être en mesure de décider de la valeur raisonnable d’acquisition de la cible et des conditions de réalisation.
Post-acquisition, une troisième étape pourrait être envisagée, voire conseillée pour l’acquéreur dès les premiers jours de l’intégration, afin de vérifier la concordance des dires du cédant et d’auditer en profondeur l’entreprise cible ayant fait l’objet de la fusion ou acquisition. Il s’agit à ce stade d’un audit complet nécessitant le plus souvent de l’appui de cabinets de conseils spécialisés en cybersécurité, notamment qualifiés par l’ANSSI de prestataires d’audit de sécurité des SI (PASSI).
Il est à préciser une tendance de fond qui incite les acquéreurs à ne pas finaliser l’opération sur recommandations de leurs conseils à partir d’éléments liés aux données et enjeux de cybersécurité. Les audits de cybersécurité peuvent conduire effectivement à identifier des risques bien supérieurs aux gains espérés comme le montre le schéma ci-dessous :
Selon le cabinet Russel Reynolds, il est possible de catégoriser 4 niveaux de RSSI, en fonction notamment du fait que la problématique cybersécurité en entreprise est considérérée comme un sujet technique IT et / ou de gouvernance :
La phase de due diligence et la dataroom sont des temps très courts, règlementés et astreignants. Il n’est pas possible matériellement de par les ressources internes et externes de l’entreprise cible de répondre ou de mener des audits approfondis en termes d’architecture, de sécurité, de sensibilisation… Soit les audits, analyses de risques, cartographies des risques, PSSI…. existent et ont été tenus à jour, soit ce n’est pas le cas, et dans ce cas le temps imparti ne permettra pas de le faire pleinement. Un premier frein concerne donc le timing.
Les types d’audits doivent s’adapter aux réalités matérielles et au temps disponible, cela pouvant présenter un aléa quant aux résultats :
Afin d’aborder l’apport de la cyber due diligence dans le cadre des fusions acquisitions et de l’associer aux méthodes de valorisation financière, nous proposons trois phases principales présentées dans le schéma ci-dessous. Tout d’abord, une analyse externe pour identifier et mesurer ce qui est visible de l’entreprise et la manière dont celle-ci se protège ou non, ainsi que ce qui est dit sur l’entreprise. Ensuite, l’analyse interne prenant en compte les éléments pouvant favoriser ou défavoriser une démarche de sécurité et de gestion des risques. Enfin, une synthèses des informations retraitées avec un calcul de prime de risque attaché au niveau de sécurité global de l’entreprise.
La démarche d’une cyber due diligence peut comporter différents niveaux, et va dépendre du temps et de l’accès possible à l’information dans le timing alloué. En accompagnant un cédant dans la valorisation de sa société, le temps est moins contraint que dans le cas des due diligence présentant une asymétrie importante entre le cédant et l’acquéreur en contenu et en temps disponible pour une prise de décision. Nous proposons la démarche ci-dessous pour faciliter la démarche :
Un épisode à retrouver sur notre site La Tech à L’envers.
Illustration by Rose Wong
Une fois par mois, on décrypte l’actu Tech & Cyber.
Saisissez votre email
