Due Diligence IT · Cyber · Pré-signing

Ce qui doit peser dans le prix
ne doit pas se découvrir après le closing.

Avant de signer, vous devez savoir ce que vous achetez : des systèmes, des contrats, des équipes, et parfois des risques. La due diligence IT et cyber transforme ces inconnues en éléments de négociation.

CADRAGE
Périmètre, data room
ANALYSE
Systèmes, contrats, cyber
RAPPORT
Constats chiffrés
NÉGOCIATION
Prix, garanties, TSA
POST-CLOSING
Plan d'exécution
Périmètre

Ce que la due diligence IT et cyber examine.

Quatre angles d'analyse, un objectif : donner aux négociateurs et au board une vision chiffrée de ce que l'IT de la cible vaut, coûte et risque.

Systèmes et architecture

Applications, infrastructures, cloud, dette technique : ce qui est moderne, ce qui est en fin de vie, ce qui est imbriqué avec le groupe vendeur et devra être séparé ou reconstruit.

Contrats et licences

Transférabilité des contrats fournisseurs, clauses de changement de contrôle, licences sous-dimensionnées ou non conformes : autant de coûts cachés qui se révèlent au closing si personne ne les a cherchés avant.

Risques cyber

Posture de sécurité, incidents passés, vulnérabilités matérielles, exposition NIS2, DORA, ISO 27001 : le passif cyber s'achète avec l'entreprise. Autant le connaître avant d'en fixer le prix.

Équipes et dépendances

Compétences clés, prestataires critiques, personnes seules détentrices d'un savoir : la valeur d'un SI tient souvent à quelques individus qu'il faut identifier et sécuriser.

Sans due diligence IT

Ce que coûte l'impasse.

Le coût de séparation explose après le closing.

Un SI profondément imbriqué avec le groupe vendeur peut doubler le coût et la durée du carve-out. Chiffré avant le signing, c'est un argument de négociation. Découvert après, c'est votre budget.

Un incident cyber hérité devient votre crise.

Compromission ancienne non détectée, conformité NIS2 inexistante, données personnelles mal protégées : l'acquéreur hérite du passif et de la responsabilité qui va avec.

Le TSA se négocie à l'aveugle.

Sans cartographie des dépendances, impossible de savoir quels services transitoires demander, pour combien de temps et à quel prix. Le vendeur, lui, le sait.

La due diligence IT n'est pas un coût du deal : c'est une assurance sur son prix.


Parlons de votre opération
La méthode

Un livrable exploitable, dans le tempo du deal.

1

Cadrage sous contrainte du calendrier

Périmètre d'analyse aligné sur les enjeux du deal et le niveau d'accès disponible : data room seule, entretiens avec le management, ou accès aux environnements.

2

Analyse systèmes, contrats, cyber, équipes

Revue documentaire, entretiens ciblés, questionnaires structurés, analyse technique quand elle est autorisée. Chaque constat est sourcé et hiérarchisé par criticité.

3

Rapport chiffré pour le board et les négociateurs

Constats, coûts de remédiation et de séparation ou d'intégration, points d'attention pour le SPA et le TSA. Un document fait pour décider, pas pour archiver.

4

Continuité vers le post-closing

La due diligence alimente directement le plan de séparation ou d'intégration : ceux qui ont analysé la cible sont les mieux placés pour piloter la suite. Voir le carve-out

Prestation à part entière, sur devis, indépendante de toute suite éventuelle : le rapport vous appartient et reste exploitable par qui vous voulez.
Questions fréquentes

Ce qu'on me demande sur la due diligence IT.

Que couvre une due diligence IT en contexte M&A ?

La cartographie des systèmes, des infrastructures et des applications de la cible, l'analyse des contrats et licences (transférabilité, dépendances fournisseurs), l'évaluation des équipes et des compétences clés, l'estimation des coûts de séparation ou d'intégration, et l'évaluation des risques cyber et de conformité.

Combien de temps prend une due diligence IT ?

De 2 à 6 semaines selon la taille de la cible et l'accès aux informations, souvent sous contrainte du calendrier du deal et de la data room. La méthode s'adapte : revue documentaire, entretiens ciblés, analyse des environnements quand l'accès est autorisé.

Pourquoi inclure la cybersécurité dans la due diligence ?

Parce qu'acquérir une entreprise, c'est acquérir son passif cyber : vulnérabilités, incidents non déclarés, non-conformités NIS2, DORA ou ISO 27001. Un risque cyber matériel découvert avant le signing pèse dans le prix ou dans les garanties ; découvert après, il devient votre coût.

Quel livrable produit une due diligence IT ?

Un rapport exploitable par le board et les négociateurs : constats hiérarchisés par criticité, chiffrage des coûts de remédiation, de séparation ou d'intégration, points d'attention pour le SPA et le TSA, et recommandations pour le plan post-closing.

Signez en connaissance de cause.

En un appel de 30 minutes, vous savez ce qu'une due diligence IT et cyber apporterait à votre opération, dans quel délai et à quelles conditions.

Réserver un appel de qualification

Premier appel gratuit, sans engagement.