Risques Cyber Pré et Post Acquisition (M&A) : Guide DD

Lorsqu'un acquéreur signe un term sheet à plusieurs centaines de millions d'euros, il achète bien plus qu'un chiffre d'affaires : il hérite d'une dette technique, d'un parc applicatif vieillissant, parfois d'attaquants déjà installés depuis dix-huit mois dans l'Active Directory. Le cyber-risque est devenu, en moins d'une décennie, un facteur déterminant de valorisation, de structuration juridique et d'intégration post-fusion. Le précédent Marriott-Starwood, qui a coûté plus de 700 millions de dollars de provisions et fragilisé la confiance des investisseurs, a définitivement scellé la place de la due diligence cyber au même rang que la due diligence financière, fiscale et environnementale. Cet article expert détaille la méthodologie complète d'évaluation des risques cyber pré et post acquisition : signaux faibles OSINT, structuration de la data room cyber, tests d'intrusion en timeline compressée, modélisation financière FAIR, représentations et garanties dans le SPA, plan d'intégration Day 1 / J+30 / J+90, et retours d'expérience sectoriels (banque, santé, OT industriel). Il s'adresse aux RSSI, directions M&A, juristes corporate et fonds de private equity confrontés à l'évaluation rapide d'une cible technologique.

Pourquoi le cyber-risque est devenu central dans les opérations de M&A

Les statistiques publiées par les grands cabinets de transaction services (PwC, Deloitte, KPMG) convergent : entre 2018 et 2025, le pourcentage d'opérations de M&A intégrant une due diligence cyber dédiée est passé d'environ 15 % à plus de 75 % pour les transactions de taille intermédiaire et supérieure. Cette mutation tient à plusieurs facteurs structurels. D'une part, la valeur des entreprises modernes repose désormais majoritairement sur des actifs immatériels : code source, données clients, propriété intellectuelle, modèles d'apprentissage automatique. La compromission de ces actifs détruit instantanément une fraction significative du goodwill payé. D'autre part, les régulateurs européens (NIS2, DORA, RGPD) ont introduit des obligations de notification et des sanctions financières capables d'amputer plusieurs années d'EBITDA si une violation antérieure non détectée remonte à la surface.

L'évolution la plus marquante des trois dernières années concerne l'apparition de clauses cyber dans les Sale and Purchase Agreements (SPA) sous forme de représentations et garanties spécifiques, complétées par des polices d'assurance Reps & Warranties qui exigent désormais quasi-systématiquement la production d'un rapport de DD cyber certifié. Sans ce livrable, la prime d'assurance grimpe de 30 à 50 % ou la couverture cyber est purement exclue. Cette pression assurantielle a fait émerger un véritable marché de la DD cyber accélérée, capable de produire un avis circonstancié en quatre à six semaines, là où un audit ISO 27001 classique demande six mois.

Cas emblématiques : ce que les grandes opérations ratées nous ont appris

L'affaire Marriott-Starwood reste le cas d'école absolu. Marriott acquiert Starwood en 2016 pour 13,6 milliards de dollars. En novembre 2018, la chaîne annonce que le réseau de réservation Starwood, intégré au système Marriott, hébergeait un attaquant depuis 2014, soit deux ans avant l'acquisition. Plus de 339 millions de dossiers clients sont exfiltrés, dont des numéros de passeport et des données de paiement. Le coût direct dépasse 700 millions de dollars (provisions, amendes ICO de 18,4 millions de livres, recours collectifs aux États-Unis), sans compter la dépréciation du goodwill et la perte de confiance des investisseurs institutionnels. La leçon : aucune DD cyber sérieuse n'avait été conduite côté Marriott, et la phase d'intégration s'est limitée à un branchement réseau sans threat hunting préalable.

L'opération Yahoo-Verizon de 2017 illustre le second scénario : la révélation de deux mégafuites portant sur 1,5 milliard de comptes a déclenché une renégociation. Verizon a obtenu une réduction de prix de 350 millions de dollars (sur 4,83 milliards initialement), un partage à parts égales des coûts post-clôture, et a évité la quasi-totalité du risque réputationnel grâce à une clause d'indemnisation rétroactive. Plus récemment, la cession ratée d'une entreprise française d'ingénierie OT en 2023 (groupe non publié, opération avortée à 280 millions d'euros) a démontré l'impact d'un ransomware découvert pendant la confirmatory due diligence : l'acquéreur s'est retiré, la cible a déposé le bilan dans les neuf mois.

Trois enseignements transversaux émergent : la fenêtre de détection moyenne d'un attaquant avant signature est de 197 jours selon le rapport IBM Cost of a Data Breach 2024 ; la moitié des compromissions découvertes en post-merger l'auraient été par une simple revue OSINT pré-LOI ; le coût moyen d'intégration d'une cible compromise est multiplié par 3,4 par rapport à une cible saine.

Cartographie des phases d'une transaction et des points de contrôle cyber

Une opération de M&A se décompose canoniquement en huit phases : approche, signature de la lettre d'intention (LOI), due diligence, négociation du SPA, signing, clôture (closing), intégration (post-merger integration ou PMI), puis stabilisation. Chacune de ces phases comporte des actions cyber spécifiques. En phase d'approche et de pré-LOI, l'acquéreur travaille sans accès interne et doit s'appuyer sur l'OSINT, les notations externes (BitSight, SecurityScorecard) et les bases de données de fuites. En phase de DD, l'accès à la data room s'élargit progressivement, avec des allers-retours via les questionnaires SIG (Standardized Information Gathering) et des entretiens avec le RSSI cible.

La phase de négociation du SPA cristallise les conclusions cyber en clauses contractuelles : représentations sur l'absence d'incident matériel non divulgué, garanties spécifiques, mécanismes d'ajustement de prix, escrows dédiés. Le signing fige les engagements ; la période entre signing et closing (généralement 60 à 180 jours selon les autorisations réglementaires) doit être mise à profit pour planifier la sécurisation Day 1. Enfin, la phase d'intégration post-clôture est celle où les risques se matérialisent : fusion d'Active Directory, deduplication d'identités, refonte des politiques de sécurité, harmonisation des outils EDR. Cette phase dure typiquement 100 à 365 jours et concentre 70 % des incidents post-merger documentés.

Phase 1 — Pré-LOI : exploiter les signaux faibles sans accès interne

Avant la signature de la lettre d'intention, l'acquéreur ne dispose d'aucun accès aux systèmes de la cible, mais peut collecter une quantité considérable d'informations publiques. La méthode standard combine quatre axes. Premièrement, l'empreinte numérique externe : énumération des domaines, sous-domaines, certificats SSL via les Certificate Transparency logs, identification des plages IP exposées et des ports ouverts via Shodan, Censys ou BinaryEdge. Cette cartographie révèle souvent des actifs oubliés (shadow IT, sous-domaines de filiales rachetées antérieurement, environnements de pré-production indexés par les moteurs).

Deuxièmement, la surveillance des fuites : interrogation de bases telles que Have I Been Pwned, DeHashed, IntelX, et de marketplaces du dark web (Genesis Market, Russian Market avant son démantèlement, BreachForums). Le repérage de credentials d'employés de la cible compromis dans des combolists récents ou la mise en vente d'un accès initial sur un forum cybercriminel est un signal critique. Troisièmement, l'analyse des signaux techniques : versions de logiciels exposées, en-têtes HTTP révélant des CMS obsolètes, configuration DNS (SPF, DKIM, DMARC), exposition de panneaux d'administration, fuites de configuration via robots.txt ou .git.

Quatrièmement, la réputation cyber : scores BitSight ou SecurityScorecard si l'acquéreur dispose d'un abonnement, mentions dans les rapports CTI des grands éditeurs (Mandiant, Recorded Future, Group-IB), historique de vulnérabilités publiées sur les produits de la cible si elle est éditeur logiciel. Le livrable de cette phase est un cyber pre-LOI memo de 5 à 10 pages, rédigé en moins de deux semaines, qui sert de feu vert ou de signal d'alarme avant l'engagement contractuel. Un score externe inférieur à 600 sur l'échelle BitSight, ou la découverte d'une fuite de données récente non divulguée, justifient une réévaluation immédiate du prix proposé ou un arrêt pur et simple du processus.

Phase 2 — Due diligence cyber : organiser la data room et exploiter les questionnaires SIG

Une fois la LOI signée, l'acquéreur accède à une data room virtuelle (VDR) où la cible dépose ses documents. La discipline cyber exige une section dédiée, structurée en huit dossiers : gouvernance et politiques (PSSI, charte informatique, comité sécurité), architecture et inventaire (cartographie réseau, CMDB, schéma applicatif, inventaire AD), contrôles techniques (matrices EDR, SIEM, IAM, MFA, sauvegardes), conformité (rapports d'audits ISO 27001, SOC 2, PCI-DSS, NIS2, DORA, RGPD), gestion des incidents (registre des incidents 36 mois, post-mortems, plans de continuité), gestion des tiers (registre des sous-traitants, contrats DPA, évaluations fournisseurs), analyse de risques ISO 27005 et plan de traitement, ressources humaines sécurité (effectifs, certifications, sous-traitance SOC).

Le questionnaire SIG (Shared Assessments) est le standard de fait pour formaliser les demandes : sa version Lite comporte environ 200 questions, sa version Full plus de 1 000. Pour une DD cyber, on utilise généralement une version personnalisée d'environ 350 à 500 questions, complétée par un questionnaire de second niveau ciblant les zones à risque détectées en phase 1. Les réponses doivent être étayées par des preuves (politiques signées, captures d'écran de configuration, rapports d'audit). L'analyse comparative entre déclarations et preuves révèle souvent les premiers écarts : un MFA déclaré « universel » mais effectivement déployé sur 60 % des comptes seulement, des sauvegardes documentées mais non testées depuis dix-huit mois, un EDR licencié mais non déployé sur les serveurs OT.

Pour structurer cette phase, on s'appuie utilement sur la méthodologie EBIOS Risk Manager de l'ANSSI : identification des biens essentiels (chiffre d'affaires, données critiques, savoir-faire), des sources de risque (cybercriminels, États, concurrents, initiés), des événements redoutés et des scénarios stratégiques. Cette approche structurée permet de hiérarchiser les findings et d'éviter la dilution dans des constats techniques de bas niveau.

Phase 3 — Tests d'intrusion ciblés en timeline compressée

La conduite d'un pentest dans le cadre M&A diffère radicalement d'un pentest annuel récurrent. Le calendrier impose 10 à 20 jours ouvrés, le périmètre doit être priorisé au lieu d'être exhaustif, et la collaboration avec la cible doit rester confidentielle (souvent, les équipes opérationnelles ignorent la transaction en cours). Trois modalités coexistent. La première, dite black box externe, simule un attaquant sans aucune information privilégiée et cible la surface exposée sur Internet : applications web, VPN, services exposés, infrastructure cloud publique. Elle valide ou infirme les conclusions de la phase pré-LOI.

La deuxième, grey box authentifiée, fournit aux pentesteurs des comptes utilisateurs standards et un accès limité afin d'évaluer la résistance face à un compromis initial classique (phishing aboutissant à un poste utilisateur). C'est typiquement à ce stade que l'on mesure la robustesse de l'Active Directory, la segmentation interne, la qualité des politiques de moindre privilège. Les résultats fréquents incluent la découverte de chemins d'élévation de privilèges via Kerberoasting, AS-REP Roasting, ou abus de délégation contrainte.

La troisième, red team ciblée, ne se conduit que pour les opérations à très fort enjeu (au-delà du milliard d'euros) et avec l'accord du conseil d'administration. Elle consiste à simuler un acteur APT ciblant les crown jewels identifiés en phase 2 : code source d'un produit, base CRM, secrets industriels. Les enseignements de cette phase rejoignent souvent les analyses de l'anatomie d'une attaque ransomware, en particulier sur les phases de reconnaissance, élévation et latéralisation. Le livrable précise pour chaque vulnérabilité son exploitabilité réelle, son lien avec les commitments cyber du SPA, et son coût estimé de remédiation.

Phase 4 — Vendor risk assessment et chaîne d'approvisionnement

Les attaques de chaîne d'approvisionnement (SolarWinds, Kaseya, MOVEit, XZ Utils) ont démontré qu'une cible peut être saine intrinsèquement mais exposée par ses fournisseurs critiques. La DD cyber moderne doit donc cartographier le périmètre étendu : sous-traitants IT, éditeurs logiciels critiques, prestataires SaaS hébergeant des données sensibles, fournisseurs de services managés. La méthode consiste à extraire le registre des sous-traitants RGPD (article 30), à le croiser avec la liste des contrats fournisseurs supérieurs à un seuil (typiquement 50 000 € annuels), et à identifier les dépendances mono-fournisseur (single points of failure).

Pour chaque fournisseur tier-1, on évalue : la criticité business, la nature des données partagées, la conformité (ISO 27001, SOC 2 Type 2, HDS pour la santé), la posture cyber externe (notation BitSight ou équivalent), l'historique d'incidents publics. Les fournisseurs tier-2 (sous-traitants des sous-traitants) ne sont généralement explorés que pour les chaînes critiques (cloud, paiement, identité). On documente également les obligations contractuelles : clauses de notification d'incident, droit d'audit, clauses de réversibilité, niveaux de service sécurité.

Une attention particulière doit être portée aux dépendances logicielles open source via une analyse SBOM (Software Bill of Materials). Depuis le décret américain 14028 et l'arrivée du Cyber Resilience Act européen, la production d'un SBOM est devenue un marqueur de maturité. L'analyse d'un SBOM cible révèle souvent des composants vulnérables non patchés, des bibliothèques abandonnées, ou des licences non conformes susceptibles de générer des contentieux IP. Cette analyse complète utilement un audit d'infrastructure classique en explorant la couche logicielle.

Phase 5 — Évaluation de conformité : NIS2, DORA, RGPD, ISO 27001

L'évaluation de conformité poursuit deux objectifs : valider que la cible respecte les obligations en vigueur dans son secteur, et anticiper les coûts de mise en conformité post-acquisition. Pour les entités essentielles ou importantes au sens de la directive NIS2 (transposée en droit français par la loi du 30 octobre 2024), la liste des obligations comprend la gestion des risques, la notification des incidents en 24/72 heures, la responsabilité de la direction, la sécurité de la chaîne d'approvisionnement, la cryptographie, l'authentification à plusieurs facteurs. Les sanctions atteignent 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles.

Le règlement DORA, applicable depuis le 17 janvier 2025 aux entités financières, ajoute des exigences spécifiques sur la résilience opérationnelle numérique : tests de pénétration TLPT (Threat-Led Penetration Testing) tous les trois ans, registre des prestataires TIC, gouvernance par le conseil d'administration, gestion contractuelle des prestataires critiques. Un acquéreur dans le secteur financier qui découvrirait que la cible n'a pas conduit de TLPT alors que son seuil l'y oblige doit budgéter immédiatement 200 000 à 800 000 € pour la première campagne, à imputer dans le business plan post-acquisition.

Pour le RGPD, l'évaluation porte sur le registre des traitements (article 30), la nomination effective d'un DPO le cas échéant, l'existence d'AIPD pour les traitements à risque, le respect des durées de conservation, la gestion des droits des personnes, la documentation des transferts internationaux. La présence d'une violation antérieure non notifiée à la CNIL constitue un drapeau rouge majeur : la prescription de la sanction administrative est de cinq ans, et un acquéreur qui hériterait d'une telle situation pourrait subir une amende portée à 4 % du chiffre d'affaires mondial du groupe consolidé après acquisition, et non du seul périmètre de la cible.

Enfin, la certification ISO 27001 ne doit pas être prise pour argent comptant : il faut examiner la déclaration d'applicabilité (SoA), le périmètre certifié, le rapport d'audit le plus récent, les non-conformités relevées. Une certification dont le périmètre exclut la production ou l'hébergement client n'apporte qu'une garantie limitée.

Phase 6 — Représentations, garanties et clauses cyber dans le SPA

Les conclusions de la DD cyber doivent se traduire en clauses contractuelles précises au sein du Sale and Purchase Agreement. La pratique de marché distingue trois niveaux. Les représentations générales couvrent l'absence de violation matérielle de la législation applicable, la mise en place de mesures de sécurité raisonnables, l'absence d'incident significatif non divulgué dans les trois à cinq dernières années. Ces représentations sont souvent plafonnées (cap, généralement entre 10 et 30 % du prix) et limitées dans le temps (survival period de 12 à 36 mois).

Les représentations spécifiques cyber reprennent point par point les findings de la DD : conformité aux obligations NIS2/DORA/RGPD pertinentes, validité des certifications déclarées, absence de litige en cours ou imminent avec une autorité de protection des données, absence de notification d'incident en suspens, mise en place de sauvegardes immuables et testées, déploiement effectif d'un EDR sur le parc serveurs et postes. Chaque représentation doit être adossée à une preuve archivée et à une clause d'indemnisation calibrée.

Les special indemnities traitent des risques résiduels identifiés mais non résolus à la clôture : par exemple un litige RGPD en cours, une vulnérabilité critique non patchée, un fournisseur compromis dont la sortie est planifiée. Ces clauses échappent souvent aux limitations habituelles (pas de cap, ou cap distinct) et déclenchent un escrow dédié séquestré chez un agent escrow pour 12 à 24 mois. La rédaction doit prévoir avec précision le déclencheur, le mécanisme de calcul du préjudice, et le processus de gestion du litige (qui pilote la défense, qui contracte les conseils, etc.). Un mécanisme de knowledge qualifier (« à la connaissance du vendeur ») doit être bordé : la pratique anglo-saxonne précise les personnes dont la connaissance est imputable, et une investigation raisonnable est généralement présumée.

Phase 7 — Plan d'intégration sécurisée : Day 1, J+30, J+90

L'intégration post-clôture est la phase la plus dangereuse de toute opération de M&A sur le plan cyber. Une étude de Deloitte de 2024 indique que 53 % des incidents matériels dans les transactions étudiées sont survenus dans les 100 jours suivant la clôture. Le plan d'intégration cyber doit donc être préparé entre signing et closing, validé par les RSSI des deux entités, et exécuté avec discipline.

Le Day 1 consiste à isoler logiquement les deux périmètres tout en assurant la continuité métier. Les actions critiques : audit flash des comptes à privilèges (revue de tous les Domain Admins, Enterprise Admins, comptes de service avec privilèges élevés), rotation immédiate des secrets exposés (clés API, certificats, mots de passe partagés), bascule des accès des dirigeants partants, activation d'un monitoring renforcé sur les flux inter-entreprises. Aucune fusion de domaine ne doit avoir lieu en J0 : la règle d'or est « connecter, surveiller, ne pas fusionner ».

Le J+30 doit déboucher sur une cartographie consolidée des risques, un plan de remédiation des findings critiques de la DD, et l'harmonisation des contrôles de niveau 1 (MFA universel, chiffrement des postes, EDR sur tout le parc). Une chasse aux menaces (threat hunting) approfondie est conduite à ce stade par une équipe externe ou un MSSP, focalisée sur les indicateurs de compromission historiques et les techniques connues du paysage de menaces de la cible.

Le J+90 marque la convergence des PSSI, l'unification de l'IAM (généralement sous forme de domaine de confiance plutôt que fusion brutale), la mutualisation du SOC, et la révision des contrats fournisseurs critiques pour bénéficier des effets de volume. La fusion technique complète d'Active Directory ne se planifie qu'à J+180 minimum, après audit complet des SID, des GPO, des relations d'approbation, et idéalement après remédiation des dettes techniques majeures (ADCS, certificats hérités, GPO obsolètes).

Phase 8 — Risques techniques de l'intégration : Active Directory, réseaux, identités

La fusion d'Active Directory est l'opération technique la plus risquée d'une intégration. Plusieurs scénarios sont possibles : fusion par migration (consolidation dans un domaine cible avec ADMT ou Quest Migration Manager), fédération via une relation d'approbation (forest trust), ou refonte complète dans un nouveau domaine cible (modèle preferred par les RSSI matures). Chaque scénario porte ses risques. La migration ADMT préserve les SID-History, ce qui peut perpétuer des privilèges latents oubliés. La relation d'approbation expose chaque domaine aux faiblesses de l'autre (un compromis sur l'un ouvre l'autre via SID-History abuse ou foreign security principals). La refonte complète est la plus saine mais la plus coûteuse et la plus longue (12 à 24 mois).

La fusion réseau pose des problèmes similaires : chevauchement de plages IP RFC1918, segmentation incompatible, doublons d'ASN BGP, fusion de directories DNS. Une bonne pratique consiste à interconnecter via un firewall dédié avec règle default deny et ouvertures justifiées au cas par cas, jusqu'à la stabilisation. La déduplication des identités (un même collaborateur disposant potentiellement de comptes dans les deux entités, ou de doublons hérités d'une identité personnelle convertie) doit être traitée méthodiquement pour éviter les comptes orphelins, vecteurs classiques de persistance pour les attaquants.

Les outils SaaS partagés posent un défi additionnel : licences à fusionner, tenants à consolider, données à exporter ou à migrer. Les Microsoft 365 mergers, en particulier, peuvent durer 6 à 18 mois. Pendant cette période, des règles de boîte aux lettres résiduelles, des permissions d'application déléguées et des connecteurs OAuth oubliés constituent des angles morts critiques. Il est impératif de revoir les app consents, les permissions Graph API, et les règles de transfert automatique avant toute migration de tenant.

Risques sectoriels : banque, santé, OT industriel

Chaque secteur impose des spécificités. Dans la banque, la DD cyber doit intégrer les exigences DORA, le contrôle ACPR sur les délégations de fonctions critiques (BCBS 239 pour le risk data aggregation), les obligations de SWIFT CSP pour les acteurs interconnectés. La fusion de cœurs bancaires (core banking) est l'une des opérations les plus risquées du secteur : une migration ratée déclenche une crise de continuité régulée par l'ACPR avec impact réputationnel immédiat. Les processus de paiement instantané (SEPA Instant) imposent des SLA inférieurs à 10 secondes incompatibles avec une transition mal préparée.

Dans la santé, les contraintes HDS, la sensibilité des données de santé au sens de l'article 9 RGPD, et la criticité opérationnelle des systèmes hospitaliers (Dossier Patient Informatisé, PACS, biomédical) imposent une approche très prudente. Les attaques contre les centres hospitaliers (Corbeil-Essonnes 2022, CHSF, Versailles) montrent qu'un attaquant qui a parasité une cible avant fusion peut mettre en péril la continuité de soin de l'acquéreur. La présence de dispositifs médicaux connectés (IoMT) avec des systèmes d'exploitation embarqués obsolètes (Windows XP Embedded encore courant) est un point de vigilance critique.

Dans l'OT industriel, la priorité est la sécurité des personnes et la continuité des process. Les automates programmables (PLC), les SCADA, les systèmes de sûreté (SIS) ne tolèrent ni redémarrage non planifié, ni patch sans qualification industrielle. Une DD cyber OT doit cartographier la zone de Purdue (niveaux 0 à 5), identifier les protocoles utilisés (Modbus, DNP3, OPC-UA), évaluer la segmentation IT/OT (DMZ industrielle, conduits IEC 62443), et inventorier les accès distants des intégrateurs. La découverte d'un VPN constructeur permanent vers un automate sans authentification forte est un finding de niveau critique justifiant une renégociation de prix.

Méthodologie ANSSI et EBIOS RM appliquée à la due diligence M&A

L'ANSSI a publié plusieurs guides utiles à la conduite d'une DD cyber, notamment le guide « Maîtriser le risque numérique - L'approche par l'analyse de risque » et le guide d'hygiène informatique. Ces référentiels structurent une approche défendable face à des contreparties internationales. La méthodologie EBIOS Risk Manager peut être condensée en cinq ateliers ramassés sur deux à trois semaines. L'atelier 1 (cadrage et socle de sécurité) identifie les biens essentiels et le périmètre de la cible. L'atelier 2 (sources de risque) liste les acteurs malveillants pertinents pour le secteur et la zone géographique. L'atelier 3 (scénarios stratégiques) construit les chemins d'attaque vraisemblables. L'atelier 4 (scénarios opérationnels) descend au niveau technique avec les techniques MITRE ATT&CK. L'atelier 5 (traitement) priorise les remédiations.

L'apport principal d'EBIOS dans un contexte M&A est de fournir un langage commun entre l'acquéreur, le vendeur, les conseils juridiques et l'assureur R&W. Plutôt que de débattre techniquement de la sévérité d'une vulnérabilité, on raisonne en événements redoutés et en valeur business à risque. Cette approche facilite la calibration des indemnités contractuelles. Elle permet également de produire un livrable lisible par un comité d'investissement non technique, condition essentielle pour qu'une DD cyber pèse réellement dans la décision finale d'acquérir ou non.

Modélisation financière du risque cyber : la méthode FAIR

Le cadre FAIR (Factor Analysis of Information Risk) de l'Open Group fournit une approche quantitative pour traduire les findings cyber en pertes financières attendues. Le calcul repose sur deux composantes : la fréquence des événements de perte (LEF, Loss Event Frequency) et la magnitude des pertes (LM, Loss Magnitude). Chacune se décompose : LEF = TEF (Threat Event Frequency) × Vulnerability ; LM = Primary Loss + Secondary Loss. Les pertes primaires couvrent la productivité, la réponse à incident, le remplacement, la concurrence, le préjudice réputationnel court terme. Les pertes secondaires couvrent les amendes, les recours, l'érosion de fonds de commerce.

Pour une DD cyber, la méthode FAIR permet de produire des fourchettes monétaires (par exemple : « la probabilité d'un incident majeur dans les 24 mois est estimée entre 35 et 60 %, avec un coût attendu compris entre 8 et 22 millions d'euros, soit une espérance de perte de 3 à 13 M€ »). Ces ranges, loin d'être des prophéties, donnent à l'acquéreur un outil de négociation : ils peuvent être confrontés au prix proposé, aux caps de R&W, à la couverture cyber souscrite. Une espérance de perte annualisée représentant plus de 5 % du prix justifie une discussion ferme sur le prix ou les indemnités.

FAIR s'articule efficacement avec EBIOS RM : EBIOS produit les scénarios qualitatifs, FAIR les quantifie. Cette combinaison est devenue un standard dans les grandes opérations européennes depuis 2022, soutenue par la montée en puissance des outils dédiés (RiskLens, Axio360, FairCO2). Elle exige néanmoins une discipline méthodologique : la qualité des estimations dépend des données historiques disponibles et de l'expérience des analystes.

Cyber-assurance dans les opérations M&A

Le marché des Reps & Warranties insurance (R&W ou W&I en Europe) couvre les violations des représentations contractuelles découvertes après closing. Pour les volets cyber, les assureurs ont durci leurs exigences depuis 2020 : production obligatoire d'un rapport de DD cyber par un cabinet reconnu, exclusion ou sous-limite spécifique pour les violations RGPD préexistantes, exclusion des incidents connus de l'acquéreur (« known matters »). Une transaction sans rapport cyber se voit imposer une exclusion cyber totale ou une prime majorée de 30 à 50 %.

Au-delà du R&W, l'acquéreur doit évaluer la police cyber de la cible : limite, sous-limites par scénario (ransomware, BEC, perte de données), franchises, exclusions (notamment guerre et État-souverain depuis l'arrêt Merck/ACE en 2023), wait period pour la perte d'exploitation. Une cible disposant d'une police cyber de 5 M€ pour un chiffre d'affaires de 500 M€ est sous-assurée. La renégociation au renouvellement post-acquisition doit être planifiée, avec un effet d'échelle pour aligner la cible sur les standards du groupe acquéreur. La continuité des couvertures pendant la phase d'intégration est un point d'attention contractuel : il convient d'obtenir des avenants confirmant que les nouveaux périmètres connectés sont bien couverts.

Il existe enfin des polices spécifiques de contingent business interruption couvrant les pertes liées à un fournisseur compromis. Pour une cible dépendant de SaaS critiques (Salesforce, Microsoft 365, Workday), ces couvertures contingentes deviennent stratégiques car elles transfèrent un risque très difficile à contrôler en interne. Elles complètent utilement les démarches de réponse à incident internes en finançant les coûts de remédiation et de continuité.

Cas pratique : conduire une due diligence cyber en 30 jours

Considérons une opération de taille intermédiaire : acquisition par un groupe industriel français d'un éditeur de logiciel SaaS B2B, valorisé 180 millions d'euros, environ 220 employés, opérant en Europe et au Royaume-Uni. Le calendrier accordé par le banquier d'affaires est de 30 jours ouvrés entre l'accès à la data room et la remise du rapport final. La méthode déployée illustre les arbitrages typiques.

Semaine 1 (J1-J5). Mobilisation de l'équipe (un partner, deux managers, quatre seniors), envoi du questionnaire SIG personnalisé (380 questions), revue préliminaire de la data room (politiques, certifications, registre des incidents), lancement d'une OSINT externe approfondie (énumération domaines, scan de surface d'attaque, recherche de fuites). Premier comité de pilotage à J+5 pour identifier les zones d'investigation prioritaires. Première restitution intermédiaire au sponsor M&A.

Semaine 2 (J6-J10). Entretiens RSSI, DPO, responsable infrastructure, responsable développement (1h30 chacun, animés par le manager DD), revue détaillée de la data room cyber, examen des rapports d'audit ISO 27001 et SOC 2, revue de l'inventaire AD via export, revue des configurations cloud (AWS Config, Azure Policy). Lancement du pentest externe en black box (5 jours). Identification des dix premiers findings.

Semaine 3 (J11-J15). Restitution du pentest externe, lancement du pentest interne en grey box (5 jours), entretiens avec les fournisseurs critiques (cloud provider, MSSP), revue des contrats sous-traitants, échantillonnage de la mise en œuvre (revue de 30 comptes à privilèges, vérification du déploiement EDR sur 50 serveurs aléatoires, contrôle de la rotation des secrets sur 20 systèmes). Premier draft du rapport.

Semaine 4 (J16-J20). Restitution du pentest interne, traitement contradictoire des findings avec la cible (procédure de réponse), modélisation FAIR des scénarios majeurs, calibration des recommandations contractuelles, validation interne du livrable, présentation au comité M&A de l'acquéreur. Le rapport final, d'environ 80 pages, comporte un résumé exécutif d'une page, une cartographie des risques, le détail des findings hiérarchisés, les recommandations contractuelles (representations à demander, special indemnities à négocier, escrow recommandé), et la trame du plan d'intégration Day 1 / J+30 / J+90.

Outils et plateformes : BitSight, SecurityScorecard, RiskRecon et alternatives

Le marché des plateformes de notation cyber externe s'est consolidé autour de trois acteurs : BitSight (leader historique), SecurityScorecard (challenger agressif sur le mid-market), RiskRecon (filiale Mastercard, forte composante quantification). Ces plateformes scannent en continu les actifs Internet exposés et produisent un score (généralement de 250 à 900 chez BitSight, de 0 à 100 chez SecurityScorecard) ainsi qu'une décomposition par catégorie : Application Security, Network Security, Endpoint Security, Patching Cadence, Email Security, DNS Health, IP Reputation, etc.

Les usages M&A de ces plateformes sont multiples. En phase pré-LOI, on obtient un score externe sans besoin d'accès interne. En phase de DD, on benchmarke la cible contre son secteur (médiane et top quartile). En phase post-acquisition, on suit la trajectoire d'amélioration du score sur 90 et 180 jours pour vérifier l'exécution du plan de remédiation. Les limites doivent être connues : ces scores ne capturent que la posture externe, manquent les angles internes, peuvent générer des faux positifs (notamment sur des actifs hérités d'anciennes filiales), et reposent sur des heuristiques propriétaires.

D'autres outils complètent le dispositif : CyberGRX et OneTrust pour la gestion des questionnaires fournisseurs, Panorays pour les évaluations tierces, Black Kite pour la modélisation financière du risque tiers, UpGuard pour le data leak detection. Les éditeurs européens (Cyrating, BlueVoyant, KYP.ai) gagnent du terrain auprès des acquéreurs sensibles aux enjeux de souveraineté. Pour la phase de threat hunting post-acquisition, les outils dominants sont Microsoft Defender XDR, CrowdStrike Falcon, SentinelOne Singularity, complétés par des plateformes XDR ouvertes (Elastic, Wazuh) chez les acquéreurs disposant d'équipes internes matures.

Anti-patterns, pièges fréquents et gouvernance post-merger

Plusieurs anti-patterns récurrents minent la qualité des DD cyber. Le premier est la checklist orientée conformité qui se contente de vérifier l'existence de documents sans tester leur application. Une PSSI signée par le COMEX mais inconnue des opérationnels n'apporte aucune garantie. Le second est la focalisation périmétrique qui ignore les filiales étrangères, les coentreprises, les acquisitions antérieures non intégrées. Ces périmètres sont souvent les plus à risque, justement parce qu'ils ont échappé aux harmonisations.

Le troisième anti-pattern est la sur-confiance dans les certifications. Une certification ISO 27001 mal scopée, un rapport SOC 2 Type 1 plutôt que Type 2, un audit PCI-DSS limité à un sous-périmètre, ne disent rien de la posture globale. Le quatrième est l'absence d'analyse temporelle : un EDR licencié hier ne protège pas contre un attaquant installé depuis dix-huit mois. La revue des logs historiques, des signes de persistance et des indicateurs anciens est essentielle. Le cinquième est la confusion entre coût et risque : un finding peu coûteux à résoudre n'est pas systématiquement à prioriser, et inversement.

Enfin, l'anti-pattern le plus dangereux est l'omission d'inscrire les findings dans le SPA. Une DD cyber qui livre un rapport remarquable mais dont les conclusions ne sont pas traduites en clauses contractuelles spécifiques (representations, special indemnities, escrows, MAC clauses cyber) ne protège pas l'acquéreur. La discipline d'articulation entre l'équipe cyber et l'équipe juridique M&A est ce qui distingue les acquéreurs matures des acteurs occasionnels.

Une fois la transaction close, la DD cyber doit se transformer en feuille de route opérationnelle. La gouvernance recommandée comprend un comité d'intégration cyber co-présidé par les RSSI des deux entités, réunissant le DSI, le DPO, un représentant juridique et un sponsor de direction générale. La cadence est hebdomadaire les trois premiers mois, bi-mensuelle ensuite. Les indicateurs clés (MFA coverage, EDR coverage, patch latency, taux de comptes à privilèges revus, score externe, coût d'incident à date) sont reportés au comité de direction avec un dashboard partagé.

Au-delà des indicateurs, la gouvernance doit traiter les sujets contractuels : revue des fournisseurs critiques héritages, harmonisation des polices cyber, négociation des avenants R&W si nécessaire. Elle doit également piloter la communication interne (annonce de la fusion des SOC, des nouvelles politiques d'usage, du dispositif de signalement) et externe (réponses aux questionnaires d'audit clients, aux régulateurs sectoriels). Une intégration cyber réussie se mesure 12 à 24 mois après la clôture, par la convergence du score externe, la stabilité opérationnelle et l'absence d'incident matériel issu du périmètre acquis.

Le retour d'expérience, formalisé dans un post-mortem M&A cyber 12 mois après la clôture, alimente les futures opérations de l'acquéreur. Les équipes M&A et corporate development matures industrialisent ce processus : modèles SPA, questionnaires SIG personnalisés, panels de cabinets DD cyber pré-référencés, protocoles d'intégration éprouvés. Cette industrialisation transforme la DD cyber d'un coût exceptionnel en avantage compétitif lors des compétitions d'enchères.

FAQ : questions fréquentes sur la due diligence cyber en M&A

Combien coûte une due diligence cyber dans une opération M&A ?

Les fourchettes observées sur le marché européen en 2025 vont de 40 000 à 80 000 euros pour une opération small-cap (cible inférieure à 50 M€), 80 000 à 200 000 euros pour une mid-cap (50 à 500 M€), 200 000 à 600 000 euros pour une large-cap (500 M€ à 5 Md€), et plus pour les méga-deals. Ce coût comprend la revue documentaire, le questionnaire SIG, les entretiens, un pentest externe et un pentest interne, l'analyse OSINT, le rapport final et la participation au comité M&A. Il s'amortit largement face aux conséquences d'une omission : la grille standard veut que la DD cyber représente entre 0,1 % et 0,3 % du prix de la transaction, contre 0,5 % à 1 % pour la DD financière.

Quel délai prévoir pour une due diligence cyber ?

Une DD cyber complète demande typiquement 4 à 6 semaines en calendrier compressé M&A, contre 2 à 3 mois pour un audit ISO 27001 classique. Les opérations à très fort enjeu peuvent demander 8 à 10 semaines pour intégrer une red team. Le délai minimum incompressible est de 3 semaines : en deçà, on parle de DD cyber « light » qui se limite à l'OSINT, à la revue de la data room et à un pentest externe court. Pour les opérations sous LBO avec timing serré, la pratique consiste à démarrer dès la signature de la NDA renforcée, sans attendre la LOI, en limitant le périmètre à l'OSINT et aux indicateurs externes.

Comment conduire une due diligence cyber sans accès aux systèmes de la cible ?

Il existe une boîte à outils dédiée pour cette configuration, fréquente dans les approches concurrentielles ou hostiles. L'OSINT externe permet de cartographier la surface d'attaque (Shodan, Censys, Certificate Transparency), d'identifier les fuites de données (HIBP, IntelX, dark web monitoring), d'évaluer la posture publique (BitSight, SecurityScorecard), et d'analyser les signaux comportementaux (employés exposés sur LinkedIn, traces de shadow IT, indices de migration cloud). Cette approche fournit déjà 50 à 70 % des findings critiques. Elle se complète, dès l'accès limité accordé, par une revue documentaire ciblée et un nombre restreint d'entretiens. Le piège à éviter : tirer des conclusions définitives à partir de l'OSINT seul, qui ne révèle ni les pratiques internes, ni la culture sécurité, ni les contrôles non exposés.

Comment se prémunir contre des sanctions cachées (RGPD, NIS2) liées à un incident antérieur de la cible ?

Trois leviers contractuels se combinent. Premièrement, des représentations spécifiques sur l'absence de violation matérielle, d'investigation en cours, ou de notification d'incident en suspens auprès des autorités, sur les cinq dernières années. Deuxièmement, une special indemnity dédiée au risque RGPD/NIS2/DORA, échappant aux limitations de cap et de survie habituelles, et adossée à un escrow séquestré sur 24 à 36 mois. Troisièmement, une couverture R&W incluant le périmètre data privacy, ce qui suppose la production d'un rapport DD cyber de qualité. La revue exhaustive du registre des violations (article 33 RGPD), des correspondances avec la CNIL ou autres autorités, et des décisions de justice en cours est indispensable. Une question directe et tracée au RSSI et au DPO sur la connaissance d'événements non documentés constitue une preuve écrite utile en cas de contentieux ultérieur.

Que doit contenir le plan post-merger des 100 premiers jours ?

Le plan se structure autour de trois jalons. À J0-J7, isolation logique des deux périmètres, audit flash des comptes à privilèges, rotation des secrets exposés, monitoring renforcé des flux interentreprises, et communication interne sécurisée. À J+30, cartographie consolidée des risques, déploiement de l'EDR sur l'ensemble du parc acquis, harmonisation MFA, et lancement d'un threat hunting approfondi par un MSSP externe. À J+90, convergence des PSSI sur les contrôles critiques, mutualisation du SOC, revue des contrats fournisseurs critiques et des couvertures cyber, premiers indicateurs consolidés au comité de direction. La fusion technique d'Active Directory n'est pas un objectif de J+100 : elle se planifie sur 6 à 18 mois en fonction de la maturité et des risques résiduels.

Comment intégrer la modélisation FAIR dans le rapport remis au comité d'investissement ?

La pratique consiste à sélectionner trois à cinq scénarios majeurs (par exemple : ransomware sur le SI principal, exfiltration de la base CRM, attaque chaîne d'approvisionnement via un éditeur SaaS critique, fraude au président BEC, intrusion via un fournisseur cloud), et à produire pour chacun une fourchette de pertes attendues sur 24 mois. Le livrable destiné au comité comprend une heatmap qualitative (probabilité × impact) doublée des chiffres FAIR. La somme des espérances de perte est comparée au prix proposé, aux caps R&W envisagés, et à la couverture cyber actuelle. Cette quantification donne au comité M&A un argumentaire concret pour ajuster le prix, demander des indemnités spéciales, ou conditionner la transaction à des engagements de remédiation pré-clôture.