Due diligence et risque cyber : quels impacts ?

Il ne se passe par une semaine sans qu'une entreprise annonce avoir fait l'objet d'une cyber-attaque. Dans le cadre d'opérations de M&A, il est devenu primordial lors de la due diligence d'identifier les risques cyber de l'entreprise cible pour prémunir l'acheteur contre les risques multiples qui accompagnent une cyberattaque. La couverture de ces risques reste aléatoire mais leur identification peut permettre de négocier jusqu'à la valeur de l'entreprise.

Risque cyber : un phénomène à prendre au sérieux pour toutes les entreprises

Il y a quelques années, le risque cyber figurait rarement dans les listes de points à auditer si ce n'est pour les opérations pouvant intéresser des acteurs soumis à des règlementations sectorielles spécifiques. Pourtant, la cybercriminalité touche toutes les entreprises, quelle que soit leur taille et leur groupe d'activité : selon l'ANSSI, 831 intrusions ont été déclarées en 2022, dont 46% touchent des PME/ TPE/ ETI et entreprises stratégiques, les attaques se déportant désormais « sur des entités moins bien protégées » que « les opérateurs régulés publics et privés »^[1].

Or, l'usage d'outils faisant appel à l'IA, l'intégration de logiciels open source, l'hébergement sur des serveurs cloud mutualisés, l'externalisation de services auprès d'entreprises de services numériques sans clauses de cybersécurité adaptées, représentent autant de risques pouvant affaiblir une société en pleine opération d'acquisition.

La nécessité d'évaluer le risque cyber lors de la due diligence

Dans le cadre d'une acquisition, le niveau de cybersécurité de l'entreprise cible n'est plus une question résiduelle pour les potentiels acheteurs. Bien au contraire, un audit juridique des mesures mises en place par l'entreprise cible pour faire face au risque cyber permettra de garantir une continuité paisible de son activité post-acquisition, et ce, au profit des intérêts financiers et réputationnels de l'acheteur.

Côté vendeur, une politique solide de résilience face au risque informatique peut se révéler un atout compétitif et un investissement nécessaire pour rassurer des investisseurs parfois frileux.

En premier lieu, l'existence d'une certification^[2] offre un gage de sérieux de la cible et force est de constater que certaines entreprises sont soumises à des obligations sectorielles particulièrement contraignantes (par exemple : dès octobre prochain avec l'obligation de certification de cybersécurité des plateformes numériques destinées au grand public^[3]).

De même, et sans que cela ne puisse constituer un gage de conformité, l'entreprise bénéficie-t-elle d'une assurance cyber solide pouvant la mettre à l'abri des pertes financières et couvrant notamment les pertes d'exploitation, le patrimoine immatériel de l'entreprise ou le paiement d'une rançon ?

Il est également important de vérifier si l'entreprise cible est conforme à la règlementation en vigueur : RGPD, NIS, règlementations sectorielles...) et quelles mesures de gouvernance ont été mises en place par l'entreprise. D'un point de vue purement règlementaire, le travail d'audit consistera à vérifier la documentation de conformité pour s'assurer qu'il n'existe pas de risque de sanction par les autorités. En effet, la CNIL n'hésite pas à sanctionner les mauvais élèves en cas de non-respect de ses obligations de sécurité (on se souvient à cet égard de l'amende d'1,5 millions prononcée à l'égard de Dedalus Biologie pour des défauts de sécurité ayant conduit à la fuite de données médicales de près de 500 000 personnes).

L'audit des contrats avec les différents acteurs intervenant autour des systèmes d'information de l'entreprise est également nécessaire : services informatiques externalisés, logiciels tiers....

Autre sujet d'importance majeure : la cible a-t-elle a déjà fait l'objet d'une cyberattaque, quels ont été les impacts économiques et organisationnels pour l'entreprise, les opérations de rémédiation mises en place, ou encore si des notifications aux autorités ont été effectuées (CNIL, ANSSI, ARS....).

Un événement non déclaré à une autorité ou non corrigé peut être lourd de conséquences pour l'acquéreur qui devra prendre en charge les conséquences financières. Ainsi, un opérateur de service essentiel n'ayant pas notifié un incident de sécurité à l'ANSSI s'expose à une amende de 75 000 euros^[4]. Autre exemple, à partir de janvier 2025, les établissements financiers auront l'obligation de mettre en place des mesures de préventions de risques cyber conformément au règlement DORA (stratégie cyber, documentations, ressources humaines, test du plan de continuité, notification des incidents) et s'exposeront à des sanctions pécuniaires voire pénales pouvant même s'appliquer aux membres de la direction^[5].

L'impact de la cyber-compliance sur la valeur de l'entreprise

Une entreprise ayant fait l'objet de cyberattaques voire de mises en demeure publiques par des autorités de contrôle (CNIL/ANSSI) impacte négativement et de manière évidente la confiance des acquéreurs.

Ces derniers peuvent décider d'imposer des mesures de correction préalablement au closing ou s'ils sont pris par le temps, accepter le risque et en faire un atout de négociation pour diminuer le prix de l'entreprise ou encore obtenir des garanties pour ne pas endosser la responsabilité de ces manquements a posteriori.

Pourtant, quand bien même la société cible aurait mis en place des mesures appropriées, nul n'est à l'abri d'une attaque cyber, dont le risque est par définition très aléatoire. La question n'est en effet pas toujours de savoir si l'entreprise est bien préparée mais si la survenance d'un incident informatique pourrait diminuer sa valeur.

Se pose alors la question savoir si ce risque pourrait faire l'objet de garanties spécifiques dans l'acte d'acquisition ou au mieux, s'il pourrait être garanti par les assureurs de l'acquéreur.

A ce jour, le risque cyber reste encore mal apprécié par les assurances de garantie de passif, mais le marché est en pleine évolution, il n'est donc pas impossible que les pratiques soient amenées à évoluer.

Les auteurs

Elisabeth Marrache est avocate associée, IP/IT et protection des données au sein du cabinet Addleshaw Goddard France. Elle dispose d'une expertise en matière de propriété intellectuelle, droit des nouvelles technologies et données personnelles et intervient sur des opérations complexes en droit du numérique (contrats informatiques, opérations d'outsourcing, droit de l'internet) ainsi qu'en droit des données personnelles et en propriété intellectuelle.

Mathieu Taupin est avocat associé, spécialisé en Corporate M&A, au sein du cabinet Addleshaw Goddard France. Il intervient dans le cadre d'opérations de fusions et acquisitions, de private equity et de réorganisation de groupes. Disposant d'une expertise en droit des sociétés, il a également développé une pratique transactionnelle dans le contexte de situations spéciales ou portant sur des actifs en difficultés, une expertise en matière de traitement des problématiques de conformité dans les opérations de M&A, ainsi qu'en matière de gestion des processus complexes de carve-out présentant des aspects industriels de séparation spécifique.

^{[1] https://www.cert.ssi.gouv.fr/uploads/CERTFR-2023-CTI-001.pdf}

^{[2] Ex : ISO 27001, 27005}

^{[3] Loi n°2022-309 du 3 mars 2022)}

^{[4] Article 9 loi n°2018-133 du 26 février 2018 transposant la directive NIS}

^{[5] DORA dont les articles 50, 52 pour les sanctions}