Cybersécurité : quel impact lors de l’acquisition de startup par des grands groupes ?


Les relations entre grands groupes et startup n’ont cessé d’évoluer et de se multiplier ces dernières années. Lors des phases d’acquisition ou de prise de participation, les entreprises se montrent aujourd’hui plus attentives quant à la protection des systèmes et données IT des jeunes pousses ciblées. Loin d’être une menace pour les uns, une contrainte pour les autres, la cybersécurité affirme au contraire son rôle de facilitateur et d’aide à l’intégration, lors des rapprochements ou des acquisitions.

David Luponis

David Luponis

Associé Mazars

Cybersécurité et phase de rapprochement grands groupes / startup : une réflexion en plein essor

Pour les startup, les aiguilles de l’horloge semblent toujours tourner plus rapidement. Une frénésie étroitement liée au fonctionnement même de ces jeunes pousses : dans cette course à l’innovation, l’enjeu est d’être le premier à avoir un impact sur le marché, le premier à faire connaître et reconnaître un nouveau service, algorithme, une nouvelle application ou solution…. avant qu’une idée similaire ne germe dans un esprit voisin. Pour déjouer le temps - et la menace concurrentielle – les startup n’ont pas d’autres choix que de recentrer leurs priorités : leur proposition doit être efficace et répondre aux usages actuels des consommateurs. Si le temps presse et peut parfois manquer, les ressources financières font également souvent défaut. Les revues de sécurité et autres audits IT représentent une dépense onéreuse que peu de jeunes pousses en phase de lancement peuvent se permettre.

Pour les grands groupes, le tempo est différent mais tout aussi soutenu. Longtemps précieusement conservée au sein des pôles R&D des entreprises, l’innovation s’affranchit aujourd’hui des barrières géographiques ou structurelles et naît de manière plus spontanée, moins codifiée, sous l’influence de la révolution numérique. Hors de question néanmoins pour les leaders de leur secteur de se voir dépossédés de talents créatifs et de nouveaux produits ou services : depuis plusieurs années, les grands groupes investissent significativement dans les startup. Le mouvement tend à s’accélérer, notamment sous la forme de prises de participation, pour compléter leur champ d’expertises ou renforcer leur image d’acteur innovant. Mais les effets de cette course à l’acquisition peuvent s’avérer néfastes pour l’acheteur. Faute d’une réelle phase de due diligence, les mauvaises surprises ne tardent pas à se manifester : vulnérabilité face aux cyber-attaques, code informatique obsolète, absence de mises à jour des technologies, dette technologique… Autant de fragilités qui peuvent nuire directement aux deux acteurs lors d’une phase de rapprochement.

Revoir leur temporalité, une même recommandation pour les grands groupes et startup

De plus en plus d’entreprises décident alors de revoir leur processus d’acquisition ou de prise participation, quitte à ralentir le rythme. Vient alors le temps d’un véritable audit IT de la startup visée, plus souvent réalisé par un prestataire indépendant que par la DSI de l’acheteur. Quatre domaines sont notamment passés au crible :

  • La scalabilité du système IT : ce dernier est-il en mesure de supporter un important changement d’échelle, par exemple en termes de traitement de données ?
  • La présence d’un « homme-clé » : l’algorithme, la technologie…sur lequel est basé la startup repose-t-il sur le savoir d’une seule personne et si oui, comment garantir une transmission de l’information ?
  • L’architecture SI et le code informatique : sont-ils suffisamment sécurisés, récents et documentés ?
  • Le niveau de mise à jour des technologies : la startup saura-t-elle s’adapter aux évolutions de technologies, de devices, etc. ?

Un processus qui permet d’identifier les failles, d’amorcer des mesures correctrices et qui pèsera souvent dans la phase de négociation. En cas d’écarts trop importants entre la situation de la startup au moment de l’audit et les exigences à atteindre, en matière de sécurité, pour répondre aux standards d’une grande entreprise, le montant de la prise de participation peut être significativement adapté. Pour les startup, consacrer davantage de temps à la cybersécurité, avant d’être confronté à un projet de rapprochement ou de financement, ne saurait donc être réduit à un effort inutile… mais pourrait bien au contraire se révéler bénéfique au moment de sa valorisation.

Proposer sans contraindre : quand la cybersécurité peut faciliter l’intégration

Une fois ces étapes de due diligence accomplies et l’acquisition réalisée, comment garantir la sécurité des données et des traitements de la startup tout en préservant son agilité ? Pour les grands groupes, contraindre les startup à aligner leur système sur celui de la maison-mère, imposer normes, procédures et calendriers pensés pour des milliers de collaborateurs à une équipe d’une dizaine de personnes peut s’avérer complexe, couteux… et bien souvent peu productif. Basées sur des process agiles, les startup fonctionnent avec des délais raccourcis et une culture du test and learn plus difficile à mettre en place dans une entreprise de taille conséquente.

Pour sortir de l’impasse, certains grands groupes semblent avoir trouvé la solution : faire des enjeux de cybersécurité un axe fort de la stratégie d’intégration, en proposant sans contraindre. Ainsi, des « plateformes d’accueil » voient le jour, en mettant à la disposition des structures ayant récemment rejoint le giron du groupe un monitoring de sécurité, des achats de licences professionnelles, des espaces de stockage contrôlés… Une méthode qui s’inscrit dans la continuité des travaux menés lors de la due diligence et qui répond aux exigences des grands groupes, sans pour autant entraver l’agilité nécessaire aux startup.

Face à la menace cyber, l’heure est à une prise de conscience plus globale pour les entreprises, désireuses de protéger les données de la maison-mère, mais également celles qui s’ajoutent par le biais de rapprochements. Véritable source d’innovation et de créativité, les startup, au sein d’un grand groupe, ont tout à gagner à pallier d’éventuelles vulnérabilités, pour conserver toute leur valeur ajoutée.


Par David LUPONIS, Associé Mazars

Avec 16 années d’expérience dont 8 chez Mazars, David est en charge des questions et thématiques de cybersécurité pour nos clients dans tous les secteurs d’activité. David coordonne et participe à des missions de Conseil ou d’Audit en sécurité des systèmes d’information tant sur des aspects techniques qu’organisationnels. Ses missions l’amènent à accompagner des Directions Financières, des Directions de l’Audit Interne ou du Contrôle Interne mais également les Directions des Systèmes d’Information ou les Responsables Sécurité dans l’évaluation des mesures ou des contrôles de cybersécurité.

Prolongeons la discussion sur les réseaux sociaux !