Acquisition de start-up : et la cybersécurité ?

Cybersécurité et phase de rapprochement grands groupes et start-ups : une réflexion en plein essor  

Pour les start-ups, les aiguilles de l’horloge semblent toujours tourner plus rapidement. Une frénésie étroitement liée au fonctionnement même de ces jeunes entreprises : dans cette course à l’innovation, l’enjeu est d’être le premier à avoir un impact sur le marché, le premier à faire connaître et reconnaître un nouveau service, algorithme, une nouvelle application ou solution…. avant qu’une idée similaire ne germe dans un esprit voisin. Pour déjouer le temps –  et la menace concurrentielle – les start-ups n’ont pas d’autres choix que de recentrer leurs priorités : leur proposition doit être efficace et répondre aux usages actuels des consommateurs. Si le temps presse et peut parfois manquer, les ressources financières font également défaut. Les revues de sécurité et autres audits IT représentent une dépense onéreuse que peu de jeunes pousses en phase de lancement peuvent se permettre.

Pour les grands groupes, le tempo est différent mais tout aussi soutenu. Longtemps précieusement conservée au sein des pôles R&D des entreprises, l’innovation s’affranchit aujourd’hui des barrières géographiques ou structurelles et naît de manière plus spontanée, moins codifiée, sous l’influence de la révolution numérique. Hors de question néanmoins pour les leaders de leur secteur de se voir dépossédés de talents créatifs et de nouveaux produits ou services : depuis plusieurs années, les grands groupes investissent significativement dans les start-ups.  Le mouvement tend à s’accélérer, notamment sous la forme de prises de participation, voire même d’acquisition pour compléter leur champ d’expertises ou renforcer leur image d’acteur innovant. Mais les effets de cette course à l’acquisition peuvent s’avérer néfastes pour l’acheteur. Faute d’une réelle phase de due diligence, les mauvaises surprises ne tardent pas à se manifester : vulnérabilité face aux cyber-attaques, code informatique obsolète, absence de mises à jour des technologies, dette technologique… Autant de fragilités qui peuvent nuire directement aux deux acteurs lors d’une phase de rapprochement.

Revoir la temporalité, une même recommandation pour les grands groupes et start-ups

De plus en plus d’entreprises décident alors de revoir leur processus d’acquisition ou de prise de participation, quitte à ralentir le rythme. Vient alors le temps d’un véritable audit IT de la start-up visée, plus souvent réalisé par un prestataire indépendant que par la DSI de l’acheteur. Quatre domaines sont notamment passés au crible :

• La scalabilité du système IT : ce dernier est-il en mesure de supporter un important changement d’échelle, par exemple en termes de traitement de données ?
• La présence d’un « homme-clé » : l’algorithme, la technologie… sur lesquels sont basés la start-up reposent-t-ils sur le savoir d’une seule personne et si oui, comment garantir une transmission de l’information ?
• L’architecture SI et le code informatique : sont-ils suffisamment sécurisés, récents et documentés ?
• Le niveau de mise à jour des technologies : la start-up saura-t-elle s’adapter aux évolutions de technologies, de matériels, etc. ?

Un processus qui permet d’identifier les failles, d’amorcer des mesures correctrices et qui pèsera souvent dans la phase de négociation. En cas d’écarts trop importants entre la situation de la start-up au moment de l’audit et les exigences à atteindre, en matière de sécurité, pour répondre aux standards d’une grande entreprise, le montant de la prise de participation peut être significativement adapté. Pour les start-ups, consacrer davantage de temps à la cybersécurité, avant d’être confrontées à un projet de rapprochement ou de financement, ne saurait donc être réduit à un effort inutile… mais pourrait bien au contraire se révéler bénéfique au moment de sa valorisation.

Proposer sans contraindre : quand la cybersécurité peut faciliter l’intégration

Une fois ces étapes de due diligence accomplies et l’acquisition réalisée, comment garantir la sécurité des données et des traitements de la start-up tout en préservant son agilité ? Pour les grands groupes, contraindre les start-ups à aligner leur système sur celui de la maison-mère, imposer normes, procédures et calendriers pensés pour des milliers de collaborateurs à une équipe d’une dizaine de personnes peut s’avérer complexe, coûteux… et bien souvent peu productif. Basées sur des process agiles, les start-ups fonctionnent avec des délais raccourcis et une culture du test and learn plus difficile à mettre en place dans une entreprise de taille conséquente.

Pour sortir de l’impasse, certains grands groupes semblent avoir trouvé la solution : faire des enjeux de cybersécurité un axe fort de la stratégie d’intégration, en proposant sans contraindre. Ainsi, des « plateformes d’accueil » voient le jour, en mettant à la disposition des structures ayant récemment rejoint le giron du groupe un monitoring de sécurité, des achats de licences professionnelles, des espaces de stockage contrôlés… Une méthode qui s’inscrit dans la continuité des travaux menés lors de la due diligence et qui répond aux exigences des grands groupes, sans pour autant entraver l’agilité nécessaire aux start-ups.

Face à la menace cyber, l’heure est à une prise de conscience plus globale pour les entreprises, désireuses de protéger les données de la maison-mère, mais également celles qui s’ajoutent par le biais de rapprochements. Véritable source d’innovation et de créativité, les start-ups, au sein d’un grand groupe, ont tout à gagner à pallier d’éventuelles vulnérabilités, pour conserver toute leur valeur ajoutée.

En savoir plus sur la cybersécurité