Par Clément Donzel · Expert Cybersécurité • Référant ANSSI • Tribune issue du podcast La Tech à l’Envers
Un fonds de private equity qui regarde une cible d’investissement ne scrute plus seulement les marges et l’EBITDA. Il regarde aussi l’exposition au risque cyber de ses potentielles cibles. Ce qu’il trouve, ou ne trouve pas, peut faire basculer une valorisation, retarder un closing, voire faire capoter une transaction.
La cybersécurité n’est plus un sujet IT : c’est un enjeu de gouvernance
On a longtemps cantonné la cybersécurité à un sujet purement technique, réservé aux DSI et aux équipes informatiques. Cette époque est révolue. Aujourd’hui, la cyber a fait son entrée dans les comités de direction, dans les due diligences des fonds d’investissement et dans les stratégies ESG des sociétés de gestion.
La raison est simple : une cyberattaque ne détruit pas seulement des données, elle détruit de la valeur. Elle peut paralyser la production pendant des semaines, engendrer des sanctions réglementaires, ternir durablement la réputation d’une entreprise — et réduire à néant des années de travail de structuration.
« La cybersécurité, ce n’est pas juste un sujet technique. C’est un enjeu stratégique. La cyberattaque peut entraîner l’arrêt de l’activité, la perte de données sensibles, des sanctions réglementaires. On touche directement à la continuité de l’activité et à la stratégie de l’entreprise. » – Victor Le Marois, Co-Head Sustainability chez Indefy.
Pour un dirigeant, la bonne posture consiste à piloter le risque cyber comme on pilote un risque financier, juridique ou opérationnel : avec des indicateurs, une gouvernance claire et une capacité à réagir rapidement en cas d’incident.
ESG et cybersécurité : deux sujets qui n’en font plus qu’un
Dans le cadre d’une analyse ESG (Environnement, Social, Gouvernance), la cybersécurité relève du pilier Gouvernance. Elle traduit la capacité d’une organisation à gérer ses risques, à protéger ses actifs immatériels et à assurer la continuité de son activité.
Les fonds qui analysent une cible dans le cadre d’une due diligence ESG s’assurent désormais :
- de l’absence de vulnérabilités majeures non adressées ;
- de l’existence de processus de détection et de réponse aux incidents ;
- de la maturité du management sur ces sujets, au-delà de la DSI.
La réglementation accélère ce mouvement. Les sociétés de gestion ont déjà été confrontées à des obligations de conformité cyber (DORA pour les institutions financières, NIS2 en cours de transposition). La pression se diffuse naturellement à leurs entreprises en portefeuille.
Due diligence cyber en private equity : où en est-on vraiment ?
La réalité du marché est sans ambiguïté : à peine 10 % des transactions en private equity intègrent aujourd’hui un audit cyber dans les due diligences (source La Tech à l’Envers). Cela semble très insuffisant au regard des enjeux.
Ce chiffre est amené à évoluer rapidement. Plusieurs facteurs l’expliquent :
- L’exposition croissante des PME en portefeuille. Une entreprise qui réalise une croissance forte par acquisitions multiplie sa surface d’attaque. Elle intègre des systèmes d’information hétérogènes, des pratiques cyber disparates, de nouveaux vecteurs de risque.
- L’effet “mise sous les projecteurs”. Une PME discrète, peu connue, devient une cible bien plus exposée dès lors qu’elle est adossée à un fonds, médiatisée et en forte croissance.
- Le risque de deal breaker. Un incident cyber survenu pendant la période de détention, ou des vulnérabilités découvertes lors d’un processus de cession, peuvent significativement dévaloriser une entreprise — voire bloquer une transaction.
« J’avais travaillé sur une entreprise industrielle qui s’était fait pirater pendant deux semaines. Une entreprise de cinquante millions d’euros de chiffre d’affaires, avec un demi-siècle d’histoire. La cyber, ce n’était même pas un sujet. Pendant deux semaines, il y a eu une interruption totale de la production. Et trois ans après, lors du processus de revente, c’est devenu un sujet clé, quasiment deal breaker, qui a dévalorisé l’entreprise. » poursuit Victor Le Marois.
Cyber et valorisation : protéger la valeur avant de la créer
La question revient souvent dans les discussions entre dirigeants et investisseurs : une bonne posture cyber permet-elle d’augmenter la valorisation d’une entreprise ?
La réponse est nuancée, mais claire dans ses priorités : la cybersécurité est avant tout un levier de protection de la valeur. Elle évite la dégradation du multiple d’EBITDA en cas d’incident, elle sécurise le parcours de l’entreprise pendant la période de détention, elle rassure les investisseurs lors d’un processus de cession.
Dans certains secteurs, le numérique, les services financiers, les infrastructures critiques, une maturité cyber avérée peut également devenir un avantage concurrentiel réel et se traduire par une prime de valorisation.
Au-delà de la valorisation directe, c’est la notion de cyber-résilience qui prend de l’importance : la capacité d’une organisation à détecter rapidement une attaque, à contenir les dommages et à reprendre son activité. C’est cette capacité que les investisseurs évaluent de plus en plus attentivement.
3 priorités cyber pour un dirigeant qui prépare une levée de fonds ou une cession
Si vous êtes dirigeant d’une PME ou ETI en amont d’une opération de financement ou de cession, voici les trois chantiers à engager en priorité :
1. Faire un audit pour connaître son exposition réelle
Avant toute chose, comprendre ses vulnérabilités. Un audit cyber, même un premier niveau de diagnostic, permet d’identifier les failles les plus critiques et de les corriger avant que les investisseurs ne les découvrent eux-mêmes lors de leurs due diligences.
2. Sécuriser les accès et les systèmes critiques
L’objectif n’est pas la perfection, mais la maîtrise. Sécuriser les accès aux systèmes les plus sensibles, mettre en place une gestion des identités et des droits, réduire la surface d’attaque visible : ces actions concrètes envoient un signal fort de maturité.
3. Être capable de démontrer sa capacité à gérer un incident
Ce que les investisseurs évaluent en priorité, ce n’est pas l’absence totale de risque, qui n’existe pas, mais la capacité du management à détecter, réagir et gérer rapidement une crise cyber. Disposer d’un plan de réponse aux incidents, même simple, est un signal de gouvernance crédible.
À retenir
Si votre niveau de maturité cyber n’est pas encore là où il devrait être, dites-le clairement à vos futurs partenaires financiers. Et cherchez un fonds qui ne se contente pas de mesurer la performance, mais qui peut vous accompagner dans la montée en niveau sur les deux ou trois prochaines années.
Pourquoi les fonds français doivent intégrer le risque cyber dans leur pilotage dès aujourd’hui
Le contexte géopolitique actuel (multiplication des cyberattaques, tensions économiques internationales, dépendance croissante aux systèmes numériques) rend ce sujet incontournable. La cyber est devenue un enjeu de résilience, de souveraineté et de gestion des risques à part entière.
Pour les fonds, cela implique d’intégrer le risque cyber dès la phase d’investissement : évaluer les coûts de mise à niveau, définir un plan d’accompagnement sur la durée de détention, et suivre l’évolution du niveau de maturité à chaque comité de pilotage.
La cyber n’est plus un sujet qu’on peut déléguer à la DSI ou régler avec un bon antivirus. C’est un sujet de board, un sujet de gouvernance, un sujet d’investisseurs et donc un sujet qui mérite une expertise dédiée et un accompagnement structuré.
Vous souhaitez intégrer la cybersécurité dans votre stratégie ESG ou vos due diligences ?
Découvrez comment structurer un programme d’accompagnement cyber adapté aux sociétés de gestion et aux fonds d’investissement. En savoir plus sur notre approche →
