Checklist de la Due Diligence Technologique

Alors que nous continuons à nous éloigner de l'économie traditionnelle pour nous rapprocher des réalités virtuelles, les entreprises sont confrontées à des menaces nouvelles et émergentes telles que les défaillances logicielles, les violations de données, les litiges relatifs à la protection de la vie privée, les problèmes de propriété intellectuelle des logiciels à code source ouvert, les cyber-menaces, la durabilité, parmi une myriade d'autres. Dans ce nouveau paysage numérique, la sécurité et la protection des actifs numériques prennent un nouveau sens. Ainsi, il est plus important que jamais, que vous soyez un investisseur ou un acheteur potentiel, de savoir que l'entreprise qui vous intéresse fonctionne conformément aux meilleures pratiques et a de bonnes bases pour une croissance solide.

Nous aborderons dans cet article les 4 principaux domaines d'une Tech Due Diligence - propriété intellectuelle, logiciels tiers, performance technologique et cybersécurité - et conclurons par les questions clés à poser lors de l'audit technologique préalable.

Propriété intellectuelle

La gestion de la propriété intellectuelle est une composante essentielle de la croissance et du succès d'une entreprise. En outre, l'importance des droits de PI dans la valorisation globale des entreprises est de plus en plus reconnue au niveau mondial. En 1975, les actifs incorporels de propriété intellectuelle ne représentaient qu'environ 17 % de la valeur marchande des entreprises du S&P 500. En 2015, cette proportion était passée à 87 % et, selon une analyse de 2019, les industries qui font un usage intensif des droits de propriété intellectuelle génèrent environ 45 % du PIB de l'UE (6,6 milliards d'euros).

Questions clés sur la propriété intellectuelle

• La société cible a-t-elle pris des mesures pour protéger les droits de propriété intellectuelle du code source de son logiciel en le déposant auprès d'un tiers de confiance ou d'un bureau des droits d'auteur ?
  Les logiciels, comme les œuvres d'art ou de littérature, sont protégés par le droit d'auteur.  Pour faire valoir ce droit, un dépôt du code source et des mises à jour doivent être effectuées auprès d'un tiers de confiance ou du bureau des droits d'auteur.  Un dépôt constitue une preuve de la propriété du code source à un moment donné.
  
•  Des accords de transfert de propriété intellectuelle ont-ils été conclus avec tous les consultants et employés qui ont travaillé ou travaillent au développement du logiciel ?
  Dans certains pays, le transfert de la PI peut être automatique dans les relations employeur-employé, mais ce n'est pas toujours le cas et ce n'est certainement pas le cas en ce qui concerne les consultants. Cela peut créer un risque potentiel de litige et peut, à son tour, avoir des répercussions financières et sur la réputation de l'entreprise.
  
•  L'entreprise possède-t-elle tous les droits nécessaires pour fabriquer, utiliser, vendre ou offrir à la vente ses produits actuels et proposés ?
  L'utilisation de licences tierces à haut risque (copie laissée, droit d'auteur ou droit de propriété) et l'absence d'un processus efficace de gestion de la PI permettant d'identifier et de gérer ces licences et autres droits de PI créent des problèmes potentiels susceptibles de restreindre la liberté de commercialiser le produit final.

Logiciels tiers et risques associés

Les entreprises s'appuient de plus en plus sur des logiciels tiers pour les aider à gérer leurs opérations et/ou à développer leurs produits logiciels. Les logiciels tiers peuvent être des logiciels libres ou des licences commerciales, et dans les deux cas, il existe généralement des licences qui conditionnent leur utilisation. Une mauvaise utilisation des logiciels tiers ou une trop grande dépendance à leur égard peut entraver la croissance d'une entreprise, voire menacer sa survie.

Questions clés concernant les logiciels tiers

• Ont-ils conclu des accords d'escrow qui leur permettent d'accéder au code source des logiciels dont ils dépendent pour leurs activités, par exemple en cas de défaillance ou de faillite du fournisseur (ou de défaillance des serveurs s'ils fonctionnent en mode SaaS) ?
  La dépendance à l'égard de logiciels tiers signifie que l'entreprise est exposée au risque que ces logiciels deviennent obsolètes, ne soient pas maintenus, ne soient pas pris en charge ou même soient mis hors service.  Un contrat de séquestre est essentiel pour poursuivre les opérations et respecter les obligations du client.
  
•  L'entreprise est-elle en mesure d'identifier tous les logiciels libres utilisés dans le produit final ?
  L'intégration de logiciels libres dans le produit final peut limiter la capacité de l'entreprise à commercialiser et à profiter pleinement du produit en raison du non-respect des conditions de licence ou de la violation des droits de propriété intellectuelle.
  
•  Ont-ils mis en place un processus pour vérifier les mises à jour régulières des logiciels libres qu'ils utilisent ?
  Les mises à jour peuvent résoudre les vulnérabilités de sorte que le logiciel continue à fonctionner conformément aux attentes et limite le risque pour les utilisateurs finaux. L'absence de mise à jour peut également restreindre l'utilisation par une entreprise de son produit logiciel en fonction de la licence
  

Performance technologique

Alors que les logiciels deviennent rapidement l'épine dorsale de nombreuses entreprises, un nombre effarant de projets logiciels ne répondent toujours pas aux attentes de l'entreprise en termes de performances, d'évolutivité, de maintenabilité, de coût ou de calendrier de livraison. Plusieurs facteurs entrent en jeu et chacun d'entre eux a un impact variable sur la réussite de la livraison, les performances et la réputation du produit logiciel.

Questions clés sur la performance technologique :

• Un transfert de connaissances adéquat a-t-il été effectué par les développeurs qui ont participé aux premières étapes du développement du produit ?
  La gestion du transfert de connaissances doit se faire tout au long du cycle de vie du développement et de l'utilisation des logiciels. Ne pas avoir accès aux premières étapes du développement peut avoir des effets négatifs sur la maintenabilité et l'évolutivité du produit final.
  
•  L'infrastructure technologique est-elle actuellement prête à évoluer sans autre développement en cas de croissance rapide de la clientèle ?
  Le fait de ne pas disposer d'une infrastructure technologique scalable, c'est-à-dire prête à évoluer en cas de croissance rapide peut engendrer des pannes de système critiques ou des problèmes de fonctionnalité entraînant des pertes financières et des atteintes à la réputation.
  
• Y a-t-il des aspects organisationnels de l'équipe de développement qui peuvent avoir un impact direct sur sa capacité globale à livrer avec succès ?
  Une équipe de développement bien organisée et qui fonctionne bien est essentielle au succès du produit. Quelques éléments clés à garder à l'esprit sont la localisation et la répartition de l'équipe (ne pas être dispersé sur trop de fuseaux horaires ou de bureaux) et les rapports réguliers à la direction (pour s'assurer que les stratégies sont alignées).

Cybersécurité

Le coût mondial de la cyber-criminalité en 2020 a atteint 945 milliards de dollars, et devrait augmenter de 15 % par an, pour atteindre 10 500 milliards de dollars par an en 2025. Chaque jour, de nouvelles failles techniques et de sécurité sont découvertes. Chaque changement d'activité peut créer des vulnérabilités involontaires.  Chaque nouvel employé, consultant ou entrepreneur représente un nouveau risque qu'il faut gérer. Un pirate n'a besoin de réussir qu'une seule fois, alors que les mesures de sécurité d'une entreprise doivent être efficaces 100 % du temps - dans un paysage de menaces en constante évolution. Il ne faut donc pas sous-estimer l'importance d'un solide programme de gestion des cyber-risques.

Questions clés sur la cyber-sécurité :

• Les données des clients sont-elles stockées, consultées ou transmises dans un environnement offshore (dans un pays différent de celui dans lequel ils reçoivent les données des clients) ?
  Les réglementations en matière de confidentialité des données et les lois relatives à la divulgation obligatoire des violations varient considérablement d'un pays à l'autre. Il est donc primordial que les entreprises, en particulier les multinationales, effectuent les vérifications juridiques requises sur les différents marchés afin de s'assurer de leur conformité. En outre, la communication internationale n'est pas nécessairement sûre et présente des risques accrus.
• L'entreprise utilise-t-elle le cryptage pour protéger les données ?     
  Le cryptage rend les données inutilisables et illisibles pour toute partie qui ne possède pas la clé de décryptage. Le cryptage est un moyen de garantir que, même si une violation des données se produit et que les données sont ensuite volées ou copiées, le risque qu'elles soient utilisables est beaucoup plus faible. Il est très difficile de casser le cryptage, ce qui en fait l'une des meilleures mesures de sécurité pour protéger les données.
• Existe-t-il des registres complets, qui sont conservés et tenus à jour, concernant tous les appareils de l'entreprise, y compris les ordinateurs, les tablettes, les mobiles, les portables, etc ?
  Une documentation appropriée permet à une organisation de garder la trace de tous les appareils de l'entreprise.  Il s'agit d'une mesure importante d'atténuation des risques, car elle permet de prévenir les pertes et de réagir rapidement en cas d'incident, par exemple en désactivant à distance les appareils perdus ou volés. Un appareil qui n'est pas répertorié présente un risque pour la sécurité car il peut potentiellement être piraté, ouvrant la porte à une attaque sur les systèmes et les réseaux de l'organisation.

Posez-vous les bonnes questions ?

La Due Diligence en matière de technologie est sans aucun doute l'un des aspects essentiels de toute transaction commerciale moderne. Il est crucial de connaître les éléments à prendre en compte avant de passer à l'étape suivante. Cependant, elle requiert une expertise, une expérience et des connaissances qui sont mieux obtenues auprès d'un tiers indépendant.

Contrairement aux approches traditionnelles de la Due Diligence Technologique, Vaultinum propose un outil de Due Diligence en ligne pour les logiciels. Grâce à une analyse approfondie du code source, examiné par un expert en informatique, la solution analyse la propriété intellectuelle, la cybersécurité, l'évolutivité et les risques liés aux tiers.  Les résultats sont communiqués dans un rapport détaillé, qui comprend des notes, des recommandations et des correctifs.

Forte de 40 ans d'expérience dans les domaines informatique et juridique, chaque étape de la solution Vaultinum a été conçue en collaboration avec des experts de premier plan dans les domaines de la cybersécurité, de la propriété intellectuelle, du développement de logiciels et de la conformité, afin de fournir aux utilisateurs une analyse des risques complète et fiable.

Investissez en toute confiance, avec l'assurance des solutions de Due Diligence Technologique de Vaultinum, conçues sur-mesure pour le monde numérique d'aujourd'hui.