Les 3 principaux risques à connaître dans les opérations de fusion et d'acquisition dans le secteur des hautes technologies

Les 3 principaux risques à connaître dans les opérations de fusion et d'acquisition dans le secteur des hautes technologies

Source : Thomson Financial, analyse de l'Institute for Mergers, Acquisitions and Alliances (IMAA)

1.    Les Cyber-menaces

Les opérations de fusion et d'acquisition constituent un terrain fertile pour les cybercriminels, qui y trouvent des opportunités à court et à long terme.

À court terme, avec des opérations commerciales en transition, les données sont plus vulnérables et risquent davantage d'être ciblées. Plus d'un cadre sur trois interrogés par IBM a déclaré avoir subi des violations de données qui peuvent être attribuées aux activités de fusion et d'acquisition pendant l'intégration. .[2]

À long terme, les opérations de fusion et d'acquisition constituent une excellente occasion d'infiltrer les réseaux de l'entreprise fusionnée ou acquise, souvent au moyen de menaces persistantes avancées (Advanced Persistent Threats ou APT), dans le but d'accéder à l'environnement et aux informations de l'entreprise ciblée sur une longue période.

Il est choquant de constater que plus de 50 % des entreprises interrogées par IBM attendent la fin de l'audit préalable pour procéder à une évaluation technique des transactions de fusion et d'acquisitions.[3]  Les cyber-menaces qui pèsent sur ces transactions soulignent l'importance d'effectuer une vérification préalable des logiciels lors de la phase de pré-acquisition afin de révéler les vulnérabilités cachées.

homme qui traite les cyber menaces

 

2.     Ramifications juridiques

Même si une entreprise peut disposer d'une cyber-sécurité de pointe, si elle acquiert une entreprise dont la sécurité est faible ou qui présente des vulnérabilités, elle peut être tenue responsable de tout dommage résultant d'incidents survenus avant la fusion, comme l'a montré la violation des données du groupe hôtelier Marriott.

Bien que la violation de données ait été découverte en 2018, elle est remontée à une cyber-intrusion survenue en 2014 chez Starwood, un groupe hôtelier qu'elle a acquis en 2016.[4]  Si Marriot avait effectué une Due Diligence en matière de logiciels lors de la pré-acquisition, cette vulnérabilité aurait pu être découverte et/ou des mesures auraient pu être prises en même temps qu'une évaluation révisée.  En outre, l'acquisition d'une société qui peut présenter des vulnérabilités peut revenir à intégrer un cheval de Troie.

En Europe, aux États-Unis et dans le monde entier, les réglementations relatives à la confidentialité des données et les lois sur la divulgation obligatoire des violations varient considérablement, ce qui rend la Due Diligence essentielle sur les différents marchés pour les entreprises, et en particulier pour les multinationales. Le groupe hôtelier Marriott a fait l'objet de nombreuses poursuites et actions réglementaires dans de multiples juridictions, Marriott devant faire face à une amende de 130 millions de dollars rien qu'au Royaume-Uni pour la violation.[5]  

La mise en œuvre du RGPD en Europe a entraîné une augmentation des notifications de sinistres. Selon le cabinet d'avocats Pinsent Manson, entre mars 2019 et mai 2020, un total de 190 amendes RGPD ont été émises par les autorités européennes de protection des données, pour une valeur de près de 500 millions de dollars. .[6] Parmi les plus grosses amendes, on peut citer 57 millions de dollars pour Google en France et 41 millions de dollars pour H&M Allemagne.[7]

Aux États-Unis, les litiges relatifs aux violations de données se multiplient, les cabinets d'avocats et les sociétés de financement juridique cherchant activement à intenter des recours collectifs, encouragés par de récentes décisions de justice telles que celle concernant la violation de données de Capital One, dans laquelle un rapport d'expertise cybernétique réalisé à la suite d'une violation de données a été utilisé pour tenir l'entreprise responsable.  Bien que ces rapports soient utiles, voire nécessaires, pour qu'une entreprise victime comprenne ce qui s'est passé, cette décision signifie que d'autres personnes, comme des clients ou des utilisateurs, peuvent accéder à un tel rapport pour tenir les entreprises responsables des violations de données.

3.     Propriété et évolutivité de la propriété intelectuelle

L'importance des droits de propriété intellectuelle dans l'évaluation globale des entreprises est de plus en plus reconnue au niveau mondial. En 1975, les actifs incorporels liés à la propriété intellectuelle ne représentaient qu'environ 17 % de la valeur marchande des entreprises du S&P 500. En 2015, cette proportion était passée à 87 % et, selon une analyse réalisée en 2019, les industries qui font un usage intensif des droits de propriété intellectuelle génèrent environ 45 % du PIB de l'UE (6,6 milliards d'euros).[8]

Si vous achetez ou investissez dans une société qui commercialise des logiciels, il est essentiel de vérifier qu'elle est bien propriétaire du logiciel.  Des logiciels sont créés à un rythme rapide, mais il est rare que ces logiciels soient à 100 % originaux pour le créateur. Il est de plus en plus courant que les logiciels commerciaux intègrent des morceaux de code provenant d'autres programmes.

Si l'utilisation du code d'un tiers, qu'il soit commercial ou open source, permet de gagner du temps et de réduire les coûts, elle créer également des problèmes potentiels qui peuvent restreindre la liberté de commercialiser le produit final. Ces limitations peuvent empêcher une société de logiciels de profiter pleinement des avantages de ses propres créations.  En outre, l'utilisation abusive de logiciels tiers ou une trop grande dépendance à leur égard peut entraver la croissance d'une entreprise, voire menacer sa survie.

De même, même si l'entreprise cible ne commercialise pas de logiciels, si elle utilise des logiciels qui intègrent des logiciels tiers, il pourrait y avoir de sérieux problèmes d'évolutivité et de maintenabilité. Ces logiciels sont fournis sous forme de programmes téléchargeables pour des machines ou des services ou sous forme de service hébergé et sont généralement concédés sous licence aux entreprises plutôt que d'être vendus. En d'autres termes, les entreprises s'appuient sur des logiciels qu'elles ne possèdent pas mais qu'elles louent.

Cela a plusieurs implications qui peuvent annuler les avantages de l'utilisation du logiciel en premier lieu.

1)  Cela signifie que des restrictions s'appliquent à l'utilisation et au déploiement du logiciel.

2)  Il créer des dépendances entre l'entreprise et son fournisseur de logiciels et pose la question de savoir ce qui se passerait si le fournisseur faisait faillite ou mettait le logiciel hors service.

3)  Il créer des risques de sécurité. En effet, le fait de ne pas avoir accès au code source ou de ne pas avoir la possibilité de le scanner pour détecter les bogues ou les problèmes crée un risque inhérent pour les opérations de l'entreprise qui l'utilise.

 

3.     Importance de la Due Diligence Technologique

La technologie ou les logiciels d'une entreprise, tout comme les documents financiers ou les contrats juridiques, sont constitués de divers éléments qui, considérés individuellement et dans leur ensemble, témoignent de leur robustesse face à une multitude de risques.

Alors que de plus en plus d'entreprises s'appuient sur des logiciels, que ce soit pour faire fonctionner leurs opérations ou comme produit final, il ne suffit pas pour un investisseur potentiel d'analyser les considérations juridiques, financières et stratégiques.  La Due Diligence en matière de technologie est un moyen systématique d'évaluer et d'atténuer le risque technologique du point de vue de l'entreprise ou de l'investissement.

Un rapport complet de Due Diligence en matière de technologie doit fournir des informations sur les points forts d'une organisation, des recommandations concrètes pour l'améliorer et des conseils pour faire face aux risques courants.

NOS SOLUTIONS DE DUE DILIGENCE TECHNOLOGIQUE
logo Know Your Software

La solution Know Your Software de Vaultinum

Qu'il s'agisse de préparer la vente d'une entreprise, d'obtenir des investissements, de capter de nouveaux clients ou d'améliorer les structures opérationnelles, l'objectif de la suite de solutions Know Your Software est de fournir aux entreprises et aux investisseurs les outils nécessaires pour acquérir une connaissance critique de la technologie d'une entreprise, atténuer les risques et faciliter la croissance.

La solution Know Your Software de Vaultinum est une approche à plusieurs volets de l'audit logiciel.  À un premier niveau, les enquêtes d'auto-évaluation en ligne Know Your Software évaluent la gestion, le fonctionnement et l'utilisation des logiciels, révélant les problèmes potentiels liés à la propriété intellectuelle, à la cybersécurité, à l'évolutivité et à la maintenabilité.  Au niveau suivant, l'audit complet de Know Your Software analyse le code source à la recherche de menaces et de vulnérabilités courantes.

Ensemble, Know Your Software fournit une image complète du logiciel et des processus de gestion technologique de l'organisation.

 

EN SAVOIR PLUS

[1] Institute for Mergers, Acquisitions and Alliances (IMAA), https://imaa-institute.org/m-and-a-by-industries/

[2] Benchmark Insights (2020) Assessing cyber risk in M&A. IBM Corporation.

[3] Idem.

[4] Brewster, T. “Revealed: Marriott's 500 Million Hack Came After A String Of Security Breaches”. Forbes, 3 Dec. 2018, https://www.forbes.com/sites/thomasbrewster/2018/12/03/revealed-marriotts-500-million-hack-came-after-a-string-of-security-breaches/

[5] Dobie, G., Whitehead, J. (2020). Managing the impact of increasing interconnectivity: Trends in Cyber Risk. Allianz Global Corporate & Specialty.

[6] Dobie, G., Whitehead, J. (2020). Managing the impact of increasing interconnectivity: Trends in Cyber Risk. Allianz Global Corporate & Specialty.

[7] Idem

[8] International Chamber of Commerce (ICC). “The ICC Intellectual Property Roadmap”, 14th edition, 2020.