M&A : Principaux risques pour les entreprises tech

1. Le risque Cyber

Les opérations de fusion-acquisition constituent un terrain fertile pour les cybercriminels, qui y trouvent des opportunités à court et à long terme.

À court terme, lors d'une fusion, les données échangées sont plus vulnérables et risquent donc d'être davantage ciblées. Plus d'un cadre sur trois interrogé par IBM a ainsi déclaré avoir subi des violations de données qui peuvent être attribuées aux activités de fusion-acquisition pendant l'intégration. [2]

À long terme, les opérations de fusion-acquisition constituent une excellente occasion d'infiltrer les réseaux de l'entreprise fusionnée ou acquise, souvent au moyen de menaces de type Advanced Persistent Threats (ou APT), dans le but d'accéder à l'environnement et aux informations de l'entreprise ciblée. Ce type d'attaque est souvent détectée longtemps après l'infiltration.

Un constat nous a choqués : selon IBM, plus de 50 % des entreprises interrogées attendent la fin des discussions engagées sur la transaction pour procéder à une évaluation technique de l'entreprise cible.[3]  Les cyber-menaces qui pèsent sur ces transactions soulignent l'importance d'effectuer une vérification des logiciels bien plus tôt, lors de la phase de pré-acquisition afin de révéler les vulnérabilités cachées et d'avoir le temps de les corriger avant la fusion.

En outre, au cours de l'année écoulée, on a assisté à une augmentation notable des attaques par ransomware visant des entreprises de taille moyenne rachetées par des sociétés de private equity. Ces entreprises constituent des cibles lucratives en raison de leurs liquidités et, plus important encore, leurs défenses en matière de cybersécurité ont tendance à être moins solides.

Ce scénario représente un risque cyber encore plus grand, compte tenu de la possibilité d'un effet domino au sein de la structure de l'entreprise. Les cybercriminels exploitent souvent les vulnérabilités de ces entreprises nouvellement acquises et moins sûres comme porte d'entrée. Une fois à l'intérieur, ils peuvent étendre leur champ d'action aux entités mères plus sûres du portefeuille. Cette vulnérabilité interconnectée souligne le besoin critique de mesures de cybersécurité approfondies et proactives lors de la pré-intégration.

2. Enjeux juridiques

Une entreprise peut avoir mis en place une cybersécurité élevée, si elle acquiert une entreprise dont la sécurité présente des vulnérabilités, elle peut être tenue responsable de tout dommage résultant d'incidents survenus avant la fusion, comme l'a montré le cas du groupe hôtelier Marriott. Bien que la violation de données ait été découverte en 2018, elle est remontée à une cyber-intrusion survenue en 2014 chez Starwood, un groupe hôtelier acquis par Marriott en 2016.[4]. Si Marriott avait effectué une Due Diligence technologique de son logiciel en phase de pré-acquisition, cette vulnérabilité aurait pu être découverte et/ou des mesures auraient pu être prises pour corriger le problème.

Par ailleurs, l'acquisition d'une société qui peut présenter des vulnérabilités peut revenir à introduire un cheval de Troie dans son propre système.

En Europe, aux États-Unis et dans le monde entier, les réglementations relatives à la confidentialité des données et les lois sur la divulgation obligatoire des violations varient considérablement. les entreprises multinationales ont donc tout intérêt à mener une due diligence pour établir les risques sur chaque marché. Le groupe hôtelier Marriott a fait l'objet de nombreuses poursuites et actions réglementaires dans de multiples juridictions, Marriott devant faire face à une amende de 130 millions de dollars rien qu'au Royaume-Uni pour cette violation.[5]  

La mise en œuvre du RGPD en Europe a entraîné une augmentation des notifications de sinistres. Selon le cabinet d'avocats Pinsent Manson, entre mars 2019 et mai 2020, un total de 190 amendes RGPD ont été émises par les autorités européennes de protection des données, pour une valeur totale de près de 500 millions de dollars.[6] Parmi les plus grosses amendes, on peut citer 57 millions de dollars pour Google en France et 41 millions de dollars pour H&M Allemagne.[7]

Aux États-Unis, les litiges relatifs aux violations de données se multiplient, les cabinets d'avocats et les sociétés de financement juridique cherchant activement à intenter des recours collectifs, encouragés par de récentes décisions de justice telles que celle concernant la violation de données de Capital One, dans laquelle un rapport d'expertise de cybersécurité, réalisé à la suite d'une violation de données, a été utilisé pour tenir l'entreprise responsable. Bien que ces rapports soient utiles, voire nécessaires, pour qu'une entreprise victime comprenne ce qui s'est passé, cette décision signifie que d'autres personnes, comme des clients ou des utilisateurs, peuvent accéder à un tel rapport pour tenir les entreprises responsables des violations de données.

3. Propriété et évolutivité de la propriété intellectuelle

L'importance des droits de propriété intellectuelle dans l'évaluation globale des entreprises est de plus en plus reconnue au niveau mondial. En 1975, les actifs incorporels liés à la propriété intellectuelle ne représentaient qu'environ 17 % de la valeur marchande des entreprises du S&P 500. En 2015, cette proportion était passée à 87 % et, selon une analyse réalisée en 2019, les industries qui gèrent et valorisent leurs droits de propriété intellectuelle génèrent environ 45 % du PIB de l'UE (6,6 milliards d'euros).[8]

Si vous achetez ou investissez dans une société qui commercialise des logiciels, il est essentiel de vérifier qu'elle est bien propriétaire du logiciel.  Des logiciels sont créés à un rythme rapide, mais il est rare que ces logiciels soient à 100 % originaux. Il est en effet de plus en plus courant que les logiciels commerciaux intègrent des morceaux de code provenant d'autres programmes.

Si l'utilisation du code d'un tiers, qu'il soit commercial ou open source, permet de gagner du temps et de réduire les coûts, elle peut également créer des problèmes potentiels qui peuvent restreindre la liberté de commercialiser le produit final. Ces limitations peuvent empêcher une société de logiciels de profiter pleinement des avantages de ses propres créations.  En outre, l'utilisation abusive de logiciels tiers ou une trop grande dépendance à leur égard peut entraver la croissance d'une entreprise, voire menacer sa survie.

De même, même si l'entreprise cible ne commercialise pas de logiciels, si elle utilise des logiciels qui intègrent des logiciels tiers, il pourrait y avoir de sérieux problèmes d'évolutivité et de maintenabilité. Ces logiciels sont fournis sous forme de programmes téléchargeables pour des machines ou des services ou sous forme de service hébergé et sont généralement concédés sous licence aux entreprises plutôt que vendus. En d'autres termes, les entreprises s'appuient sur des logiciels qu'elles ne possèdent pas mais qu'elles louent.

Cela a plusieurs implications qui peuvent limiter fortement les avantages à recourir à l'utilisation de briques de logiciel tiers.

1)  l'intégration de briques de logiciel tiers peut induire des restrictions à l'utilisation et au déploiement du logiciel développé.

2)  Elle peut créer des dépendances entre l'entreprise et son fournisseur de logiciels et pose la question de savoir ce qui se passerait si le fournisseur faisait faillite ou mettait le logiciel hors service.

3)  Elle peut créer des risques de sécurité. En effet, le fait de ne pas avoir accès au code source ou de ne pas avoir la possibilité de le scanner pour détecter les bugs ou les problèmes crée un risque inhérent pour les opérations de l'entreprise qui l'utilise.

4. Importance de la Due Diligence Technologique

La technologie ou les logiciels d'une entreprise, tout comme les documents financiers ou les contrats juridiques, sont constitués de divers éléments qui, considérés individuellement et dans leur ensemble, témoignent de leur robustesse face à une multitude de risques.

Alors que de plus en plus d'entreprises s'appuient sur des logiciels, que ce soit pour faire fonctionner leurs opérations ou comme produit à commercialiser, il ne suffit plus pour un investisseur potentiel d'analyser les risques juridiques, financières et stratégiques. La Due Diligence Technologique est un moyen d'évaluer de façon complète et systématique la technologie à acquérir pour en limiter les risques.

Un bon rapport de Due Diligence Technologique devra fournir des informations sur les points forts et les faiblesses d'une organisation et de son environnement IT, produire des recommandations concrètes et une roadmap détaillée pour améliorer et éliminer les risques identifiés lors du scan du code et de son analyse.

La solution de Due Diligence Technologique de Vaultinum

Qu'il s'agisse de préparer la vente d'une entreprise, d'obtenir des fonds, de capter de nouveaux clients ou d'améliorer les structures opérationnelles, l'objectif de la Tech Due Diligence de Vaultinum est de fournir aux entreprises et aux investisseurs les outils nécessaires pour acquérir une connaissance critique de la technologie d'une entreprise, atténuer les risques et faciliter la croissance.

La Tech Due Diligence de Vaultinum est une approche innovante de l'audit logiciel, et se fait en plusieurs étapes.  À un premier niveau, les enquêtes de self-assessment (auto-évaluation) en ligne évaluent la gestion, le fonctionnement et l'utilisation des logiciels, révélant les problèmes potentiels liés à la propriété intellectuelle, à la cybersécurité, à la scalabilité et à la maintenabilité.  Au niveau suivant, nous analysons le code source à la recherche de menaces et de vulnérabilités connues, notamment avec l'utilisation d'open source.

La solution de Tech Due Diligence de Vaultinum a été conçue pour vous fournir une image complète du logiciel et des processus de gestion IT de l'organisation.

[1] Institute for Mergers, Acquisitions and Alliances (IMAA), https://imaa-institute.org/m-and-a-by-industries/

[2] Benchmark Insights (2020) Assessing cyber risk in M&A. IBM Corporation.

[3] Idem.

[4] Brewster, T. “Revealed: Marriott's 500 Million Hack Came After A String Of Security Breaches”. Forbes, 3 Dec. 2018, https://www.forbes.com/sites/thomasbrewster/2018/12/03/revealed-marriotts-500-million-hack-came-after-a-string-of-security-breaches/

[5] Dobie, G., Whitehead, J. (2020). Managing the impact of increasing interconnectivity: Trends in Cyber Risk. Allianz Global Corporate & Specialty.

[6] Dobie, G., Whitehead, J. (2020). Managing the impact of increasing interconnectivity: Trends in Cyber Risk. Allianz Global Corporate & Specialty.

[7] Idem

[8] International Chamber of Commerce (ICC). “The ICC Intellectual Property Roadmap”, 14th edition, 2020.

Clause de non-responsabilité

Les opinions, présentations, chiffres et estimations présentés sur le site Web, y compris dans le blog, sont uniquement destinés à des fins d'information et ne doivent pas être considérés comme des conseils juridiques. Pour obtenir un avis juridique, vous devez contacter un professionnel du droit dans votre juridiction.

L'utilisation du contenu de ce site Web, y compris du blog, à des fins commerciales, y compris la revente, est interdite, sauf autorisation préalable de Vaultinum. La demande d'autorisation doit préciser le but et l'étendue de la reproduction. À des fins non commerciales, tout le matériel de cette publication peut être cité ou réimprimé librement, mais une reconnaissance est requise, ainsi qu'un lien vers ce site Web.