Sélectionner une page

Technical Due Diligence

Actualités, Conseil, Formation

Technical Due Diligence (TDD) : 5 points d’analyse pour maîtriser son process

Dans une opération de M&A, la Technical Due Diligence (TDD) est un audit spécialisé de due diligence centré sur la technique et l’IT. Celle-ci est généralement menée par une entité tierce afin qu’elle soit traitée avec objectivité.
L’objectif principal du conseil en charge de cette TDD est de poser les bonnes questions concernant la gestion du patrimoine de donnée et les technologies, usages et fonctions utilisées par l’entreprise en lien avec son positionnement sur le marché.
Compte tenu de la profondeur et de l’étendue des connaissances nécessaires, la TDD, plus communément appelée IT Due Diligence, peut se révéler être un défi dans sa mise en œuvre.
Nous avons élaboré une liste de points d’analyse pour maitriser son processus de TDD. Tour d’horizon au travers de quelques questions clefs.

1. La cohérence de la roadmap technique

Le paysage technologique est en constante évolution. Des services bien établis comme Amazon Web Services cohabitent désormais avec des architectures technologiques innovantes, telles que les micro-services. Cela donne à des entreprises un patrimoine technologique hétérogène, plus difficile à maintenir.
Dès lors, il est important d’identifier les risques de rupture technologique (risque sur la montée de charge, sur les recherches de compétences) et de comprendre la réelle valeur du patrimoine des données (dettes techniques du processus de production de donnée)
Au-delà du simple fait d’évaluer la cohérence de la roadmap, la TDD doit fournir des informations exploitables sur les 24 prochains mois suivant la finalisation du deal ; à savoir les dépendances critiques, les facteurs de risques ainsi que les jalons techniques clés, qui déclencheront les évolutions du produit.

Afin d’évaluer ce que l’équipe technique doit accomplir pour compléter la roadmap, vous aurez à :

    • Comprendre le contexte commercial de la roadmap
    • Comprendre les objectifs commerciaux pour les deux prochaines années ou plus
    • Évaluer les fondements techniques actuels pour déterminer s’ils peuvent soutenir les plans futurs
    • Internaliser les plans d’avenir
    • Évaluer la capacité de l’équipe à mettre en œuvre ces plans et à atténuer les risques

2. Donner sa juste place à la sécurité de son patrimoine de donnée

Avec l’importance de la sécurité et la confidentialité des données, l’entreprise cible doit avoir résolu les vulnérabilités de son système et s’assurer que les pares-feux ainsi que le chiffrement sont en place. L’infrastructure, à savoir le réseau, l’environnement d’hébergement, les outils de surveillance doivent également être évalués. Une revue contractuelle s’avère nécessaire dans la plupart des cas de TDD.
Les dépenses des entreprises en matière de sécurité informatique en Europe atteignent une valeur totale de 37,2 milliards de dollars en 2021. Elles devraient connaître un taux de croissance annuel de 8,2 % sur cinq ans (2020-2025), pour dépasser les 50 milliards de dollars en valeur en 2025. Une entreprise qui n’investit pas suffisamment sur le volet sécurité risque de devenir un actif toxique à court ou moyen terme.
Il convient de souligner le manque de maturité et de procédures de sécurité dans les petites entreprises ou les startups, nécessitant une analyse encore plus précise de la part de l’auditeur. Effectivement, elles se considèrent souvent comme moins exposées aux attaques que les grandes entreprises. C’est une erreur, car elles sont souvent imbriquées avec d’autres entreprises par des mécanismes de sous-traitance ou de fourniture de produits et services.
En toute hypothèse, il est indispensable de répartir le budget sécurité de manière efficiente : la majorité du budget sera consacré aux risques déjà identifiés et 25% du budget sera consacré aux réactions permettant de faire face à des menaces imprévues.

3. Anticiper les enjeux de scalabilité de ses services

L’architecture technologique de l’entreprise cible doit pour s’adapter aux avancées technologiques et aux évolutions fonctionnelles tout en gérant les enjeux de disponibilité et de qualité des services.
L’infrastructure doit être fiable, et démontrer des capacités d’adaptabilité pour gérer une augmentation des volumes sans rencontrer de dysfonctionnements. L’évaluation de l’état de préparation de l’entreprise cible à ces enjeux est un aspect crucial du processus de TDD.
L’évaluation de l’évolutivité ne se limite pas à une perspective technique, mais concerne également l’organisation, les processus et les personnes. Une des questions clés est de savoir si l’entreprise est suffisamment résiliente pour gérer efficacement des centaines de fois plus d’inputs et continuer à générer et maintenir un flux de trésorerie positif à long terme.

4. Vérifier le savoir-faire sur la gestion de crise et d’événements autour de la donnée

Quel est le plan de continuité d’activité en cas d’attaques de logiciels malveillants ou en cas de sinistres/catastrophes naturelles ? L’entreprise cible doit avoir une approche bien définie pour gérer les sinistres et catastrophes naturelles, et plus globalement avoir une vue globale sur la gestion. Comprendre à quel point le système se protège et est résilient aux logiciels malveillants et à d’autres attaques similaires est un élément important lors d’une évaluation technique.
Parallèlement, il est important de comprendre sa politique de sauvegarde, sécurité, capacité de restauration etc… dans le but d’avoir une idée plus claire de la capacité de l’entreprise cible à faire face à toute éventualité.
Disposer d’un processus documenté qui garantit la continuité d’activité avec un minimum de délai d’interruption permet d’examiner et d’évaluer de manière honnête le plan de continuité des activités de l’entreprise cible.

5. Vérifier la conformité aux réglementations relatives aux données à caractère personnelles

Avec les nouvelles réglementations en vigueur dans le monde, une entreprise doit savoir si elle est en conformité avec toutes les exigences légales (par exemple le RGPD et ses déclinaisons internationales). L’expérience amène à faire le constat que c’est une étape qui a tendance à être négligée.
Prenons le cas par exemple de cet établissement de santé (APHP) qui à la suite d’une fusion, a décidé de migrer ses données vers le cloud. Il ne s’attendait pas à y trouver six millions de dossiers accessibles à tous et près de 30 000 fichiers contenant des données sensibles. Sans parler des milliers de comptes utilisateurs obsolètes, mais toujours actifs.
Le piratage de Marriott a mis en avant la question du rôle de la DSI et de la SSI lors des opérations de fusion et acquisition. Le groupe a en effet écopé d’une amende de 111 M€ après la fuite des données personnelles de 500 millions de clients issus de l’acquisition de Starwood.
La bonne nouvelle est que les réglementations sur la confidentialité des données telles que le RGPD ont un réel effet et forcent les entreprises à mettre en place de meilleurs contrôles, ou du moins certains contrôles, autour des informations à caractère personnel.

Le patrimoine numérique et de donnée représente un actif immatériel majeur pour les entreprises. Il est aujourd’hui trop souvent sous-estimé lors des phases d’instruction de dossier ou de war room. Ainsi, le conseil d’un TDD doit fournir en toute indépendance une vision objective de la situation patrimoniale numérique et donnée. Infhotep audite de nombreux systèmes d’information dans le cadre d’opérations de rachats et de fusions. Nos experts sont à votre disposition pour vous accompagner.

Grégoire Pagès

Grégoire Pagès

Consultant