Avant de signer, vous devez savoir ce que vous achetez : des systèmes, des contrats, des équipes, et parfois des risques. La due diligence IT et cyber transforme ces inconnues en éléments de négociation.
Quatre angles d'analyse, un objectif : donner aux négociateurs et au board une vision chiffrée de ce que l'IT de la cible vaut, coûte et risque.
Applications, infrastructures, cloud, dette technique : ce qui est moderne, ce qui est en fin de vie, ce qui est imbriqué avec le groupe vendeur et devra être séparé ou reconstruit.
Transférabilité des contrats fournisseurs, clauses de changement de contrôle, licences sous-dimensionnées ou non conformes : autant de coûts cachés qui se révèlent au closing si personne ne les a cherchés avant.
Posture de sécurité, incidents passés, vulnérabilités matérielles, exposition NIS2, DORA, ISO 27001 : le passif cyber s'achète avec l'entreprise. Autant le connaître avant d'en fixer le prix.
Compétences clés, prestataires critiques, personnes seules détentrices d'un savoir : la valeur d'un SI tient souvent à quelques individus qu'il faut identifier et sécuriser.
Un SI profondément imbriqué avec le groupe vendeur peut doubler le coût et la durée du carve-out. Chiffré avant le signing, c'est un argument de négociation. Découvert après, c'est votre budget.
Compromission ancienne non détectée, conformité NIS2 inexistante, données personnelles mal protégées : l'acquéreur hérite du passif et de la responsabilité qui va avec.
Sans cartographie des dépendances, impossible de savoir quels services transitoires demander, pour combien de temps et à quel prix. Le vendeur, lui, le sait.
La due diligence IT n'est pas un coût du deal : c'est une assurance sur son prix.
Périmètre d'analyse aligné sur les enjeux du deal et le niveau d'accès disponible : data room seule, entretiens avec le management, ou accès aux environnements.
Revue documentaire, entretiens ciblés, questionnaires structurés, analyse technique quand elle est autorisée. Chaque constat est sourcé et hiérarchisé par criticité.
Constats, coûts de remédiation et de séparation ou d'intégration, points d'attention pour le SPA et le TSA. Un document fait pour décider, pas pour archiver.
La due diligence alimente directement le plan de séparation ou d'intégration : ceux qui ont analysé la cible sont les mieux placés pour piloter la suite. Voir le carve-out
La cartographie des systèmes, des infrastructures et des applications de la cible, l'analyse des contrats et licences (transférabilité, dépendances fournisseurs), l'évaluation des équipes et des compétences clés, l'estimation des coûts de séparation ou d'intégration, et l'évaluation des risques cyber et de conformité.
De 2 à 6 semaines selon la taille de la cible et l'accès aux informations, souvent sous contrainte du calendrier du deal et de la data room. La méthode s'adapte : revue documentaire, entretiens ciblés, analyse des environnements quand l'accès est autorisé.
Parce qu'acquérir une entreprise, c'est acquérir son passif cyber : vulnérabilités, incidents non déclarés, non-conformités NIS2, DORA ou ISO 27001. Un risque cyber matériel découvert avant le signing pèse dans le prix ou dans les garanties ; découvert après, il devient votre coût.
Un rapport exploitable par le board et les négociateurs : constats hiérarchisés par criticité, chiffrage des coûts de remédiation, de séparation ou d'intégration, points d'attention pour le SPA et le TSA, et recommandations pour le plan post-closing.
En un appel de 30 minutes, vous savez ce qu'une due diligence IT et cyber apporterait à votre opération, dans quel délai et à quelles conditions.
→Réserver un appel de qualificationPremier appel gratuit, sans engagement.