Article écrit en collaboration avec Elia Ferreira, Associée Financial Advisory, IT, Technologie M&A

Les actifs numériques sont devenus le nerf de la guerre commerciale et un levier majeur d’influence géopolitique. Le cyber-espionnage et le cyber-piratage étant devenus monnaie courante, les entreprises qui manient des données clients, des technologies sensibles ou des secrets industriels doivent être extrêmement vigilantes ; c’est vrai en particulier des start-ups dont tout le business model repose sur un outil numérique ou algorithme précis. La moindre faille de sécurité ou le manquement aux règlementations existantes peut en effet occasionner des pertes financières considérables.

Les questions de cybersécurité se posent d’une façon encore plus critique lors d’une opération de fusion acquisition, des phases préparatoires jusqu’à l’intégration.

Des risques à toutes les étapes du processus de fusion acquisition

Lorsqu’elle intervient en amont du processus de fusion acquisition, une attaque affectera probablement la valorisation même de l’entreprise. On sait à quel point son patrimoine informationnel joue un grand rôle ; sa réputation aussi, en particulier pour les sociétés cotées. Une fuite des données clients peut s’avérer catastrophique : les consommateurs sont aujourd’hui particulièrement attentifs aux enjeux de confidentialité et de souveraineté. Un incident de cybersécurité peut ainsi faire perdre jusqu’à 100 % de sa valeur à un actif.

Ainsi, lorsque Verizon a découvert, lors de l’opération d’achat de Yahoo en 2017, que cette dernière avait fait l’objet d’un piratage des boites mails de plus d’un milliard d’utilisateurs en 2013 et 2014, Yahoo a été dévalorisée de 350 millions de dollars ! En 2013, alors qu’Ares Management était en pleine négociation pour acquérir le détaillant de luxe Neiman Marcus pour 6 milliards de dollars, des cyberattaquants ont compromis la sécurité des systèmes de paiement du détaillant et ont récupéré les données bancaires de centaines de milliers de clients, à l’insu d’Ares Management.

Les phases préparatoires sont aussi des phases de vulnérabilité paticulière puisqu’elles occasionnent une vaste circulation de données – les hackers étant prompts à repérer les maillons faibles de ce type de flux. Une fuite de ces informations sur les marchés s’avèrerait dramatique.

Enfin, une attaque qui interviendrait après la signature d’un deal – ou en amont sans être détectée – serait également dommageable, avec un impact financier important mais aussi difficile à récupérer sous clause d’indemnité.

Des professionnels conscients des enjeux

Un tour d’horizon des enquêtes Cyber et M&A révèle que les parties prenantes sont de plus en plus sensibles à ces questions… Et pour cause : pas moins de 40% des acquéreurs ont repéré une faille de cybersécurité une fois l’accord de fusion acquisition passé – ce qui peut d’ailleurs porter fortement préjudice à leur propre image et valeur. De plus, 85% des interrogés considèrent probable qu’une faille de sécurité affecte le processus.

80% des professionnels estiment ainsi que les enjeux de cybersécurité sont devenus très importants dans les processus de due diligence. Ils sont désormais particulièrement attentifs à l’exposition de la cible, à la sécurisation de ses actifs critiques, aux risques qu’elle encourt – une grande majorité, 70%, relevant de problématiques réglementaires.

Tout incident peut en effet remettre en question la perspective même d’une fusion acquisition : seuls 26% des acquéreurs continuent d’envisager l’achat d’une société qui aurait subi une cyberattaque récemment et 52% l’envisagent avec une décote significative (sources : NYSE, Mergermarket).

Fusion acquisition : l’opportunité de mettre en place une cyber-résilience

Construire une forme de cyber-résilience en matière de fusions acquisitions implique d’être en alerte tout au long du processus, de la due diligence à l’intégration.

La première étape pour l’acheteur consiste bien sûr à identifier les risques, à s’assurer de la robustesse des systèmes d’information et des actifs numériques de l’entreprise visée. Cette évaluation doit être reflétée dans le prix de vente et dans les clauses juridiques des accords.

L’entreprise qui se porte acquéreuse a également tout intérêt à anticiper, dès la transaction, les enjeux réglementaires à venir et à estimer l’impact financier d’une attaque de cybersécurité éventuelle.

Le processus d’intégration des entreprises – et donc la mutation d’un système informatique à l’autre – doit ensuite faire l’objet d’une attention particulière pour que la confidentialité et la protection des actifs numériques soient garanties à tout moment. D’autant plus que l’obsolescence d’un des deux systèmes peut mettre l’ensemble de la structure en péril.

L’entreprise devra enfin réévaluer et adapter sa stratégie en matière de cybersécurité en permanence, et vérifier que son système reste étanche face à des attaques de plus en plus complexes et de plus en plus sophistiquées.