Failles de cybersécurité et données : le talon d’Achille caché de vos due diligences ?

La cybersécurité et la protection des données personnelles sont devenus des enjeux cruciaux pour les entreprises. L’augmentation des cyberattaques, les nouvelles obligations légales en matière de cybersécurité et de cyber-résilience, ainsi que les risques de sanctions financières des autorités imposent aux organisations de prendre ces sujets très au sérieux. 

En effet, la cyber-malveillance s’intensifie, avec des conséquences opérationnelles et financières de plus en plus lourdes pour les entreprises touchées. Parallèlement, le cadre réglementaire autour de la cybersécurité et de la protection des données personnelles s’est considérablement renforcé ces dernières années, notamment avec l’entrée en vigueur du Règlement général sur la protection des données (RGPD)[1] en 2018 puis les récentes directives européennes NIS 2[2] et REC[3]. Le non-respect de cette réglementation peut désormais entraîner des sanctions financières particulièrement lourdes.

Face à ces enjeux techniques et juridiques, les opérations de fusion-acquisition et de levée de fonds sont également directement impactées. Les failles de sécurité du système d’information de l’entreprise cible et les non-conformités à la réglementation peuvent en effet engendrer des coûts importants, affecter la valorisation de l’entreprise cible et susciter la défiance des investisseurs. Le volet « cyber data » est désormais incontournable dans les rapports de due diligence.

Pour relever ces défis, une approche combinant expertise technique et juridique s’avère indispensable. C’est dans cette perspective qu’un « diagnostic cyber data » peut être mené, permettant d’évaluer la maturité de l’entreprise en matière de cybersécurité et de protection des données personnelles. Ce diagnostic permet d’établir un rapport de synthèse identifiant les risques, formulant des recommandations et définissant un plan d’actions prioritaires à mener.

I. L’importance croissante de la cybersécurité

  • Une recrudescence des cyberattaques

Les chiffres sont alarmants. En France, le nombre de notifications de violations de données reçues par la CNIL a augmenté de 14% entre 2022 et 2023, avec plus de 22% des cas liés à des rançongiciels[4]. Plus de la moitié de ces incidents sont dus à des attaques externes malveillantes. 

Au niveau européen, le baromètre annuel du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) révèle que 49% des cyberattaques atteignent leur objectif et que 65% des entreprises touchées subissent des conséquences sur leur activité[5].

Ces données illustrent une recrudescence inquiétante des cybermenaces, avec des impacts opérationnels et financiers de plus en plus lourds pour les organisations victimes. 

  • Des obligations légales renforcées

Face à la recrudescence des cyberattaques, le cadre réglementaire en matière de cybersécurité et de protection des données personnelles s’est considérablement renforcé ces dernières années et exposent les entreprises qui ne s’y conforment pas à de lourdes sanctions. Or c’est un véritable mille-feuille de textes doivent aujourd’hui prendre en compte.

Parmi les très nombreux textes pouvant comporter des dispositions en matière de cybersécurité, les plus importants à prendre en compte sont les suivants.

Tout d’abord, le RGPD impose notamment aux organisations de mettre en place des mesures techniques et organisationnelles appropriées pour assurer la sécurité et la confidentialité des données personnelles qu’elles traitent. Le non-respect de ces obligations peut désormais mener à des sanctions financières allant jusqu’à 4% du chiffre d’affaires mondial annuel.

Plus récemment, le cadre européen de cybersécurité s’est renforcé avec la directive NIS 2 (Network and Information Systems Security). Celle-ci vise à renforcer la sécurité des réseaux et systèmes d’information essentiels au fonctionnement du marché intérieur. Les sanctions prévues peuvent atteindre jusqu’à 1,4% du chiffre d’affaires annuel mondial, pour les entités importantes et 2% du chiffre d’affaires mondial pour les entités essentielles.

Dans le secteur financier, le règlement DORA (Digital Operational Resilience Act)[6] impose également des obligations spécifiques en matière de résilience numérique, avec pour objectif d’assurer la stabilité du marché européen. Les établissements de crédit, entreprises d’investissement et autres acteurs clés du secteur sont concernés.

Enfin, le Conseil de l’Union européenne a récemment adopté un règlement sur la résilience cyber des produits comportant des éléments numériques, communément appelé « Cyber Resilience Act »[7]. Ce texte vise à renforcer la sécurité des produits informatiques et connectés, en imposant des standards minimaux et des obligations de mises à jour.

Face à cet arsenal réglementaire en constante évolution, les entreprises doivent donc redoubler de vigilance afin d’identifier les textes auxquels elles sont soumises et s’assurer du respect de l’ensemble des obligations qui en découlent, sous peine de s’exposer à des sanctions financières considérables.

II. L’impact sur les opérations de fusions-acquisitions et de levées de fonds

Ces enjeux techniques et juridiques de cybersécurité et de protection des données personnelles ont des répercussions directes dans le cadre des opérations de croissance externe et de financement.

  • Des risques sous-estimés dans les processus de due diligence

Si les failles de sécurité et les non-conformités de la cible n’ont pas été identifiées, l’acquéreur peut être confronté à des coûts significatifs de mise en conformité post acquisition, voire à des sanctions financières des autorités. Ces éléments peuvent donc remettre en cause la valorisation de l’entreprise acquise et même dans certains cas anéantir tous les bénéfices escomptés de l’opération.

Le cas de l’acquisition de Starwood par Marriott en est un exemple emblématique. Les systèmes informatiques de Starwood, qui présentaient une faille de sécurité, ont été compromis par des cyberattaques dès 2014. Marriott, l’acquéreur, n’a détecté cette attaque qu’en 2018, soit deux ans après l’acquisition de 2016, et a dû subir en 2020 une lourde sanction de 18,4 millions de livres sterling de la part de l’autorité de protection des données britannique (ICO).

Ce type de déconvenue illustre l’importance d’anticiper les risques de cybersécurité et de protection des données dans les processus de due diligence. Le volet « cyber data » est désormais incontournable pour déterminer le juste prix d’acquisition. Le niveau de conformité acceptable variera selon l’activité de la cible et la nature des données traitées. Pour une entreprise BtoB, un niveau de maturité plus faible pourra être toléré, contrairement à une société manipulant des données de santé sensibles par exemple. Cette analyse permet de également de négocier des garanties appropriées (indemnités, plan de mise en conformité, etc.) afin de garantir la bonne fin de l’opération.

  • Un enjeu de valorisation et de confiance

Côté vendeur, la conformité au RGPD et aux réglementations en matière de cybersécurité n’est donc pas seulement une exigence légale, c’est aussi un investissement qui permettrait de valoriser au mieux son entreprise.

Avoir identifié ses faiblesses en termes de cybersécurité, ainsi que ses non-conformités à la réglementation cyber data, permet au vendeur de les corriger avant son rachat par une autre société pour maximiser son prix de vente. A tout le moins, cela lui permettra de définir et de commencer à mettre en œuvre un plan d’actions de remédiation et de rassurer l’acquéreur.

III. Le diagnostic cyber data, une approche adaptée et optimisée

Un diagnostic cybersécurité et data présente indubitablement un intérêt majeur, tant pour le vendeur que pour le potentiel acquéreur. Il combine deux approches complémentaires, afin de proposer une réponse adaptée à des enjeux qui sont autant juridiques que techniques. 

La synchronisation des deux analyses technique et juridique (étapes de cadrage, recueil de documentation, entretiens/ateliers et évaluation) permet d’optimiser les coûts et le temps de diagnostic.

L’évaluation permet de recenser les non-conformités de la société cible en matière de cybersécurité et protection des données personnelles et s’incorpore dans les rapports de due diligence côté vendeur (VDD) ou acquéreur/investisseur comme un chapitre désormais indispensable. 

Un volet « recommandations » permet d’établir la liste des actions juridiques, documentaires, organisationnelles et techniques à mettre en œuvre pour remédier aux écarts constatés. Les actions susceptibles d’apporter un bénéfice important en peu de temps/efforts, désignées comme « quickwin », permettent d’organiser et d’optimiser la feuille de route de correction des non-conformités.

Conclusion

Face à la recrudescence des cyberattaques et au renforcement du cadre réglementaire, la cybersécurité et la conformité en matière de protection des données sont des enjeux cruciaux pour les entreprises, y compris lors des opérations de fusions-acquisitions et de levées de fonds. 

Les failles de sécurité et les non-conformités identifiées dans l’entreprise cible peuvent en effet engendrer des coûts importants, affecter sa valorisation et susciter la défiance des investisseurs. Le volet « cyber data » est ainsi devenu incontournable dans les processus de due diligence.

Pour relever ces défis, une approche combinant expertise technique et juridique s’avère indispensable. Un « diagnostic cyber data » permet d’évaluer efficacement la maturité de l’entreprise et d’identifier les risques, afin de formuler des recommandations et de définir un plan d’actions prioritaires. 

Seule une prise en compte sérieuse et proactive de ces enjeux permettra aux entreprises de réussir leurs opérations de croissance tout en assurant leur pérennité face aux menaces cyber grandissantes.

Pour plus d’informations :


[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[2] Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union

[3] Directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques

[4] Source : https://www.cnil.fr/sites/cnil/files/2024-03/cnil_plaquette_cybersecurite_vd_version_web_0.pdf

[5] Source : https://cesin.fr/articles-slug/?slug=2060-9ème+édition+du+baromètre+annuel+du+CESIN

[6] Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier

[7] Règlement (UE) du Parlement européen et du Conseil concernant des exigences de cybersécurité horizontales pour les produits comportant des éléments numériques

Ne manquez pas nos prochaines publications

Votre adresse email est traitée par FÉRAL afin de vous transmettre les publications et actualités du Cabinet. Vous pouvez vous désabonner à tout moment. Pour en savoir plus sur la manière dont sont traitées vos données et sur l’exercice de vos droits, veuillez consulter notre politique de protection des données personnelles.