Les enjeux de la Cyber Due Diligence
Les notions de cybersécurité ou de Sécurité des Systèmes d’Informations sont devenues depuis quelques années des enjeux majeurs pour les entreprises.
Les équipes infrastructures, réseaux et sécurité sont à la fois des compétences rares et fortement sollicitées. Les RSSI représentent la fonction sensible qui porte la stratégie cyber au sein des organisations. Ils coordonnent des expertises techniques et règlementaires, tout en agissant en tant que Business Partner, au service des métiers et de la stratégie globale de l’entreprise
1e axe : les RSSI et les experts de la cybersécurité
La Cyber Due Diligence au service des RSSI et des experts de la cybersécurité
Traduire une problématique cyber en enjeux financiers pour une entreprise
Autant les salaires des métiers du secteur de la cybersécurité ont fortement évolué ces dernières années, autant parfois la question se pose sur la calibration des budgets pour mener les projets essentiels. Défendre des budgets auprès d’une direction générale ou d’une direction financière et savoir argumenter sur l’intérêt d’investir en cybersécurité nécessite de présenter des éléments sur des angles de vue complémentaires à une analyse des risques.
Dans le cadre des fusions-acquisitions, il peut exister un momentum pour que les équipes cyber puissent soulever des éléments importants auprès d’une direction générale. Certains leviers de communication devraient permettre d’interpeler des dirigeants sur ces sujets.
Former les RSSI aux enjeux de finance ?
Classiquement, considérant que la position hiérarchique idéale d’un RSSI au sein d’une organisation serait en lien direct avec la direction générale, il se pose la question de la capacité à présenter des dossiers auprès d’instances dirigeantes.
Nous observons que certains RSSI ou CISO présentent des parcours doublés d’un MBA dans certains grands groupes internationaux. Les formations de finance pour non-financiers se sont également développées et semblent présenter des atouts pour vulgariser un discours et comprendre les leviers de communication et de valorisation des enjeux Cyber.
2e axe : les experts de la finance et de la reprise d’entreprise
La Cyber Due Diligence au service des experts de la finance et de la reprise d’entreprise
Les experts de la finance et de la reprise d’entreprise, les juristes, sans oublier les experts comptables, ce sont une multitude d’expertises qui se mettent au service des stratégies des entreprises et des entrepreneurs.
Au cœur des problématiques stratégiques, financières et juridiques, les métiers sont de haute technicité… Il s’impose désormais une nouveauté : pouvoir comprendre, cadrer et valoriser le risque cyber dans l’exploitation de l’entreprise au quotidien d’une part, et d’autre part dans les opérations de fusions-acquisitions.
Valoriser le risque cyber
Chaque opération de fusions-acquisitions est spécifique. Dès lors, la valorisation du risque cyber est une démarche très technique comprenant obligatoirement une part importante de sur-mesure.
Les experts de la finance doivent pouvoir conseiller les dirigeants à partir d’éléments fiables et étayés. Il faut alors pouvoir faciliter les dialogues entre les experts de la cybersécurité avec à la fois ceux de la Finance et les juristes. C’est ensemble, et non pas en silos, que l’approche du risque cyber pourra présenter un intérêt pour des décideurs.
Défendre les intérêts des cédants et des repreneurs
Derrière chaque opération de fusions ou d’acquisitions se jouent des enjeux de responsabilité forts. Avoir la compréhension des sujets principaux à évoquer entre les cédants et les repreneurs permet de pouvoir poser les bonnes questions, sans arriver au blocage des négociations, ou pire encore, de se retrouver dans une situation désastreuse avec un incident majeur de cybersécurité quelques semaines après la signature du deal.
Identifier les sujets d’importance à prendre en compte avant la signature du deal, de ceux qui pourront être traités le lendemain de la signature sont des atouts pour faciliter les négociations et pour impliquer les équipes bien en amont. D’un point de vue cyber, certaines actions seront peut-être à envisager. D’un point de vue financier, telle prime de risque permettra d’affiner la valeur de l’entreprise au regard des risques de cybersécurité. D’un point de vue juridique, les responsabilités seront affinées : sécuriser les opérations de fusions-acquisitions semble pouvoir franchir un nouveau pas.
3e axe : Les dirigeants et les administrateurs indépendants d’entreprises
La Cyber Due Diligence, nouvelle notion à prendre en compte dans les opérations de fusions-acquisitions
Les dirigeants et les administrateurs d’entreprise sont au croisement de tout ce qui se passe au sein d’une entreprise. Ils doivent prévoir, planifier, piloter, développer, restructurer, embarquer, motiver, challenger, etc. Le monde bouge, les dirigeants font évoluer leurs structures face à des risques et des opportunités.
Pour ce faire, des décideurs décident en fonction d’éléments factuels et de données qui leurs sont fournies. C’est avec leur talent, l’expérience et les faisceaux d’indice que des dirigeants se forgent leur intime conviction et tracent les trajectoires à suivre pour le développement de l’activité.
Faire face au risque cyber
Être dirigeant, c’est notamment faire face, et tirer profit des situations pour le développement de son organisation. C’est également porter une vision et faire adhérer les équipes à ce projet commun.
Le risque cyber est devenu un risque majeur pour l’entreprise et les dirigeants, mais il n’en reste pas moins qu’il n’est qu’un des risques parmi d’autres que des dirigeants doivent prendre en compte.
Dans le cadre spécifique des opérations de fusions-acquisitions, les dirigeants doivent déléguer de nombreux audits et s’appuyer sur des réseaux d’expertises variées. La confiance est maître et le respect des engagements tout autant. Dans le domaine de la cybersécurité, la confiance est également un élément important, et c’est déjà un point de rapprochement pour les dirigeants.
Prendre des décisions éclairées
Avoir un fil directeur, garder l’objectif des avantages recherchés par l’opération et la mettre en perspective des risques-opportunités identifiés, le tout en ayant parfois des concurrents sur la même opération : tel est la partie visible du challenge à mener. Les dirigeants doivent s’assurer de poser les bonnes questions aux experts. Cela leur permettra notamment ensuite d’évoquer les potentiels sujets sensibles avec le cédant lors des négociations.
C’est ce que le livre « Évaluation d’entreprise au regard des risques de cybersécurité » tente d’apporter, en synthétisant et en faisant des liens entre des notions fondamentales. Cela permet de faciliter les échanges avec les différentes expertises sollicitées lors de ces opérations particulièrement engageantes que sont les opérations de fusions-acquisitions.
Ouvrage d’Hervé Mafille aux éditions Arnaud Franel :
Evaluation d’entreprise au regard des risques de cybersécurité