Chamboulant le contenu traditionnel des due diligences, la gestion du cyber-risque change les habitudes des groupes avant, pendant et après la fusion. Yahoo! en a récemment fait les frais.

Le hacking a désormais un prix. Le piratage massif de plusieurs centaines de millions de comptes utilisateurs Yahoo! a contraint le géant américain à revoir à la baisse ses prétentions financières. En pleines négociations avec Verizon, candidat à sa reprise, l’entreprise encore dirigée par Marissa Mayer n’eut d’autre choix que d’accuser le coup. En effet, alerté par ces failles de sécurité répétées, Verizon en a profité pour imposer une réduction de 7 % du prix qu’il avait initialement proposé pour le rachat des activités Internet du groupe. Bilan pour les actionnaires de Yahoo! : un manque à gagner de 350 millions de dollars. 

Éviter les erreurs de valorisation

Longtemps reléguée loin derrière les considérations financières, juridiques ou stratégiques, la cybersécurité est en passe de devenir un élément clé dans la réalisation d’une opération de M&A. La prise de conscience des enjeux induits par les cyber-risques semble générale. Un sondage réalisé au début de l’année par le cabinet Freshfields Bruckhaus Deringer fait ressortir que 90 % des sondés estiment qu’une cyberattaque touchant une cible pourrait entraîner une réduction de son prix d’acquisition. Plus impressionnant, pour 83 % d’entre eux, si cette faille survenait au cours de la phase de due diligence, elle pourrait conduire à l’abandon pur et simple de l’opération. Des chiffres qui reflètent un véritable consensus sur la nécessité d’intégrer un volet « cyber » à la traditionnelle due diligence. Le risque ? Une valorisation totalement faussée et donc un prix astronomique déboursé pour une coquille vide. Ce peut notamment être le cas si la société cible est une start-up dont la technologie constitue la seule valeur. « En cas de piratage informatique, elle perd l'exclusivité de son algorithme. Elle ne vaut alors plus rien », confirme Michael Bittan associé responsable des activités de gestion des risques cyber chez Deloitte.

Délicates « cyber due diligences »

Si la nécessité de mener une étude du niveau de la protection informatique d’une cible ne fait plus débat, la méthode, elle, demeure assez nébuleuse. Hormis quelques secteurs sensibles (comme la défense ou le monde bancaire), il n’existe pas, pour le moment, de norme universelle en la matière, par opposition aux autres volets d’une due diligence régis par des règles comptables et des principes réglementaires et légaux. Les seuls référentiels disponibles en matière de cybersécurité concernent des standards indiquant comment mettre en œuvre une protection suffisante mais ils ne permettent pas d’évaluer son efficacité in fine. Il ne reste aux dirigeants souhaitant racheter une entreprise qu’à mettre en place une équipe dédiée faisant intervenir des sociétés spécialisées et des experts IT. Loin de se cantonner à la phase de due diligence, ils sont invités à collaborer non seulement en amont de l’opération de fusion-acquisition mais également lors de l’intégration de la cible. L’idée étant de veiller à ce que le niveau de sécurité informatique de la nouvelle entité ne s’aligne pas nécessairement sur celui le plus faible des deux sociétés ayant fusionné. Outre la difficulté à définir une méthode de travail et à réunir l’équipe idoine, le potentiel acquéreur peut se heurter aux réticences du vendeur à communiquer sur des informations relatives à sa cybersécurité. Sans oublier que cet échange de données très sensibles entre acheteur et vendeur peut faire lui-même l’objet de piratage

La tentation de la cyberassurance

L’une des solutions à la portée des chefs d’entreprise consiste à souscrire une assurance spécialisée dans la gestion des cyberattaques. Pourtant, plus que la réparation pécuniaire dont le montant est particulièrement délicat à établir puisqu’une attaque porte préjudice à l’image et la réputation de l’entreprise, ce sont les services annexes qui peuvent séduire les dirigeants. Les contrats d’assurance proposent bien souvent tout un ensemble de prestations accompagnant la traditionnelle compensation financière : outils de prévention, réparation technique après l’attaque ou même gestion de crise. De quoi rassurer des entreprises peu au fait des techniques de lutte contre la cybercriminalité et rassurer lors d’opérations de M&A. Reste à savoir si le montant de ces prestations ne découragera pas les dirigeants. Avec ou sans assurance, les entreprises devront rapidement se saisir du sujet du cyber-risque pour se conformer aux obligations induites par le règlement général de la protection des données qui entrera en vigueur le 25 mai 2018.  

Sybille Vié

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail

{emailcloak=off}