La Dramaturgie de la Data Room
De tous temps capitalistiques, la valorisation des entreprises au moment de leur acquisition ou de leur cession est un exercice excitant, stressant, engageant et limité dans le temps.
Elle fait appel à la vigilance de l’acheteur et renvoie à la vieille expression latine « Caveat Emptor » : que l’acheteur soit vigilant !
Car si l’acquisition se révèle défectueuse, la responsabilité de ce même acheteur qui aurait dû procéder à des contrôles, peut être invoquée dans le règlement d’un potentiel litige, post acquisition.
En conséquence, la célèbre et ancestrale « data room », lieu d’exposition contradictoire des données de l’acquisition qui réunit acheteur et vendeur largement virtualisée aujourd’hui, concentre l’attention avec une intensité dramatique, répondant à la règle des 3 unités édictée par Boileau : « Qu’en un lieu, en un jour, un seul fait accompli tienne jusqu’à la fin le théâtre rempli ».
L’acheteur apportera alors un regard exacerbé sur les éléments fournis par le vendeur, en se posant la question de la fiabilité de tel chiffre ou de tel périmètre, mais surtout en se demandant ce qui manque et pourquoi. Ainsi, le Due Diligence peut-il démarrer par l’ouverture de la data room.
La difficile mesure de l’asset informatique
Or, si le chemin de l’analyse des assets des ressources humaines, du juridique, du business, de la finance, sont parfaitement balisés dans un tel processus, il existe une zone d’inconfort récurrente qui embarrasse nos dirigeants : celle de l’informatique, encore désignée par IT (Information Technology), encapsulée parfois sous le terme « Digital ».
Cet embarras est encore plus important lorsque le produit, constituant le CA de la société convoitée, repose sur le logiciel développé par les équipes de développement internes.
Des difficultés d’analyse peuvent donc rapidement être rencontrées au sein de la Data Room, car les éléments techniques à évaluer sont très variables. Ils demandent une expertise technique souvent maîtrisée par le seul vendeur, et surtout peuvent cacher des défauts majeurs qui nécessiteront des réinvestissements majeurs post acquisition.
Certes, des éléments d’appréciation standards sont apportés dans la Data Room comme les budgets informatiques, organigrammes, roadmaps, contrats fournisseurs, architectures applicatives et techniques, codes sources. Mais aucun de ces éléments ne sera réellement révélateur des pièges non nécessairement volontaires que tendent l’informatique.
Les 3 facteurs aggravateurs de l’évaluation informatique
Nous avons donc affaire à une analyse historiquement difficile de l’asset informatique, qui s’est prodigieusement complexifiée ces dernières années, jusqu’à ces dernières semaines, sous l’effet de 3 facteurs principaux aux allures martiales :
- La révolution informatique de l’usine logicielle et l’avènement du cloud computing
- La guerre réglementaire de la protection des données
- La lutte contre la cybercriminalité
1/ La révolution informatique
La révolution de l’usine logicielle associée à l’avènement du cloud computing a permis de produire plus, plus vite, en mettant en production des applications plus petites mais plus rapidement, en interaction avec d’autres applications par l’intermédiaire de briques Saas, fournies par le Cloud.
En parallèle des infrastructures classiques hébergées en interne ou dans des hébergements privés, sont venues s’hybrider des infrastructures « cloudées » de type Paas ou IaaS. Ces infrastructures hybrides ont été portées à raison par des DSI désireuses de modernité et soucieuses d’embrasser les nouvelles technologies. Elles ont cependant parfois conduit à une réplication de données importante et ont contribué à complexifier et densifier le SI global devenu hybride, augmentant paradoxalement le « Legacy », c’est-à-dire la dette technique du SI qu’il convient d’évaluer.
2 /La guerre réglementaire
Le « Far West » de la donnée personnelle des années 2000 a mené à une riposte réglementaire afin de réguler et protéger la vie privée des individus. Le RGPD à l’initiative de l’UE, adopté par le Parlement le 20 juin 2018, encadre les traitements de données personnelles et facilite les exercices de doits des individus. Ainsi, le consentement, souvent invoqué comme base juridique du RGPD lorsqu’il y a monétisation de la donnée, permet de valoriser l’asset de la donnée au sein de l’entreprise, et demande une analyse fine des conditions et de la fiabilité de la collecte, du traitement et du stockage de cette donnée, dans un contexte réglementaire mouvant avec l’arrivée du DMA (Digital Market Act) qui va renforcer encore plus la régulation.
3/ La lutte contre la cybercriminalité
Comme chacun sait, les menaces informatiques ne cessent de s’accroître. En 2021, l’ANSSI a eu connaissance de 1.082 intrusions critiques au bon fonctionnement du pays. Jamais ce chiffre n’a été aussi élevé. En un an, il a progressé de 37 %. De plus, les tensions internationales actuelles causées par l’invasion de l’Ukraine par la Russie, s’accompagnent d’effets dans le cyberespace. Si les combats en Ukraine sont principalement conventionnels, l’ANSSI constate l’usage de cyberattaques dans le cadre du conflit, pouvant affecter des entreprises françaises.
Dans ce contexte, une analyse de la vulnérabilité des systèmes dans une approche de risque cherchant à préserver la disponibilité, l’intégrité et l’authenticité des données, est indispensable à toute démarche d’acquisition.
Pour une démarche de Due Diligence orientée vers l’évaluation de la donnée
En synthèse, le Due Diligence de l’informatique, préalable à toute acquisition, n’a jamais été un exercice simple, d’autant plus quand cette même informatique contribue fortement au business de la société.
Cependant, cet exercice historique s’est considérablement complexifié en raison de 3 effets conjugués que sont l’avènement du cloud parallèlement à la révolution de l’usine logicielle ; les nouveaux cadres juridiques règlementant la protection de la donnée (RGPD) ; et enfin le développement de la cybercriminalité.
Face à ce défi de l’évaluation technique de l’acquisition, une démarche de Due Diligence centrée sur l’analyse de la donnée ainsi que l’analyse des mesures de sécurité semble la bonne réponse.
Cette analyse de la donnée dans le cadre d’un Due Diligence de l’informatique peut être réalisée sur différents axes : la qualité de la donnée, la répétition de la donnée dans le SI, la conformité réglementaire de la donnée personnelle ou encore la vulnérabilité de la donnée aux menaces intérieures et extérieures à la société qui fait l’objet de l’acquisition.
Une analyse qui doit être indépendante des conséquences de la décision d’achat
Au risque d’un plaidoyer prodomo, une telle analyse ne doit pas être faite en interne par le futur acquéreur. Elle doit être menée par un partenaire extérieur piloté par l’acquéreur, capable de mener un travail d’évaluation et d’en porter les conclusions auprès des dirigeants, indépendamment de toute perspective de réussite ou pas de l’acquisition. Grâce à cette intervention extérieure, l’objectif est d’éliminer tout biais de jugement, et ainsi transformer cette bonne vieille « data room » en «data war room» adaptée aux nouveaux enjeux internationaux.
Laurent Chollat-Namy
Directeur, en charge du développement