Faut-il s’assurer de la maturité cyber d’une entreprise avant d’acquérir une partie dans son capital social ? Beaucoup d’investisseurs croient encore qu’il s’agit simplement de se prémunir contre les cyberattaques. Erreur : la cybersécurité apporte aussi une assurance de développement commercial et de rentabilité des sommes engagées dans l’acquisition. La maturité cyber : plus qu’une protection, un levier stratégique pour les investisseurs

Un investisseur est-il tenu d’évaluer la qualité de la cybersécurité de la société dont il achète des parts ? L’Autorité des marchés financiers précise qu’« il n’y a pas d’obligation réglementaire pour les sociétés de gestion de portefeuille d’évaluer spécifiquement les risques cyber des émetteurs dans lesquels ils investissent, ces derniers pouvant faire toutefois partie d’une évaluation plus globale des risques ». Elle ajoute ne pas avoir « connaissance de réglementation spécifique en la matière en dehors de l’article 18 du Règlement Délégué AIFM qui précise de manière générique que : « 1. Les gestionnaires font preuve d’un niveau élevé de diligence lors de la sélection et du suivi continu des investissements. » ». Pour autant, certains « émetteurs », c’est-à-dire des entreprises souhaitant lever des fonds, mentionnent parfois les risques cyber dans leur URD (document d’enregistrement universel) et/ou dans des facteurs de risques, au titre de leur obligations d’information du marché.

L’exemple de Saint-Gobain, victime en 2017 du ransomware NotPetya, a pourtant largement démontré l’impact massif du risque cyber. L’entreprise a en effet subi une perte de chiffre d’affaires s’élevant à 250 millions d’euros qui a amputé de 80 millions d’euros son résultat d’exploitation. Les fonds d’investissement portent donc un intérêt réel à la question. Pour Julien Lopizzo, PDG de Semkel, société spécialisée dans l’audit cyber qui a déjà travaillé pour une dizaine de fonds dont PAI Partners, le groupe Archimed ou Adagia Partners, cet enjeu a cessé d’être marginal : « Il est très difficile de savoir combien de fonds évaluent la cybersécurité des entreprises dans lesquelles ils souhaitent investir mais j’estime que la moitié d’entre eux font appel à des acteurs capables de mener des audits de cybersécurité. »

Faut-il lancer un audit cyber ?

Aux investisseurs objectant que l’entreprise qui les intéresse n’a pas de raison particulière d’attirer les cyberattaquants, Jérôme Lopizzo rappelle que les cybercriminels suivent de près leurs décisions : « Si une entreprise fait l’objet d’investissements importants, alors les chances d’en soutirer de l’argent sont d’autant plus fortes. Une entreprise victime d’un ransomware perd en moyenne deux mois d’activité et donc de chiffre d’affaires, voire plus si ses clients subissent un préjudice et décident d’obtenir réparation en lançant une procédure judiciaire. » 

Que faire ? « L’investisseur ou l’acquéreur doit savoir si la cybersécurité a été intégrée dans la gouvernance de l’entreprise, estime Anne Doré, fondatrice et dirigeante de Adhel, cabinet de conseil et organisme formation indépendant dédié à la cybersécurité. Dans une première approche, il faut vérifier si l’entreprise dispose de certifications, générales et/ou spécifiques à son métier. » 

Avant de lancer un audit, des vérifications simples permettent d’avoir une première évaluation du niveau de maturité cyber d’une entreprise, explique Jérôme Lopizzo : « Y a-t-il une politique de sécurité du système d’information, une PSSI ? Un système pour protéger les PC, les Macs, les téléphones des collaborateurs ? Un accord avec une plateforme d’entraînement de lutte contre le phishing qui est l’un des premiers vecteurs d’infiltration des cyberattaquants ? » 

La présence, ou l’absence, d’un RSSI doit faire l’objet d’une attention particulière, souligne Arnaud Boudesseul, ancien directeur des opérations de la société de conseil Guardea Cyberdéfense. « S’il n’y en a pas, cela réduit la capacité de l’entreprise à entrer dans une réelle démarche de cybersécurité. C’est un « petit warning » et il est recommandé de lancer des audits et des tests d’intrusion, notamment, pour voir quelles mesures devront être mises en œuvre. » Si un audit est nécessaire, Raphaël Liotier, avocat et directeur de l’activité Pénal numérique du cabinet Lexing Alain Bensoussan, rappelle qu’il faut le confier à un professionnel : « L ’Anssi a identifié et référencé une liste de ces prestataires et leur a attribué un référentiel Passi. » 

Un risque métier, pas technologique

Même si aucune cyberattaque ne survient, une faible maturité cyber constitue aussi un handicap stratégique, rappelle Anne Doré : « Sur certains marchés, une entreprise incapable de démontrer qu’elle a un niveau suffisant de cybersécurité sera tout simplement écartée de certains appels d’offres. C’est son développement, voire sa pérennité qui sont mis en danger. » Anticiper s’avère d’autant plus crucial que la directive NIS 2 et le Cyber Resilience Act vont considérablement augmenter le niveau de maturité exigé de très nombreuses entreprises (voir plus bas « Le défi de l’évolution réglementaire »).

Si l’attitude des investisseurs va sans doute évoluer, il reste du chemin à faire du côté des dirigeants, déplore Anne Doré : « Dès qu’il est question de cybersécurité, ils orientent leur interlocuteur vers la DSI ou un prestataire. Il faut qu’ils comprennent que la cybersécurité constitue un enjeu stratégique et que le risque cyber est un risque métier. C’est seulement l’élément déclencheur qui est technologique. Le vrai risque, c’est par exemple l’arrêt de leur chaîne de production ou la mise au chômage de leurs salariés ou des risques juridiques liés aux contrats. » S’il fallait une nouvelle cyberattaque massive pour faire évoluer les priorités, une chose est déjà sûre : beaucoup d’entreprises n’y survivraient pas. Selon les chiffres diffusées dans un rapport du Sénat, plus de la moitié des petites entreprises confrontées à une telle situation font faillite dans l’année qui suit. 

Le défi de l’évolution réglementaire

Pour les sociétés avec une faible maturité cyber, la situation sera d’autant plus délicate à gérer que la réglementation se durcit, souligne Raphaël Liotier, avocat et directeur de l’activité Pénal numérique du cabinet Lexing Alain Bensoussan : « Avec l’entrée en vigueur de NIS 2, ces entreprises vont se retrouver dans une situation encore plus difficile car les mesures à mettre en œuvre sont très nombreuses et détaillées. À titre d’illustration, les exigences techniques et méthodologiques annexées au règlement d’exécution n°2024-26904 qui vise une catégorie particulière d’acteurs s’étendent sur près quinze pages. » 

Il faudra y ajouter les coûts inhérents à la révision des contrats afin de les mettre en conformité avec la directive. Les entreprises qui ne rentrent pas dans le périmètre de NIS 2 auraient tort de se réjouir trop tôt. Si l’un de leurs client doit se conformer à la directive, alors les contrats devront être actualisés, rappelle Raphaël Liotier : « La renégociation des contrats va devoir inclure de nouvelles clauses conformes aux exigences de NIS 2 et s’accompagner de plans de mise en conformité pour que les audits de cybersécurité n’aboutissent pas à des notes très négatives. » 

Une autre directive va alourdir la note. Deux mesures du Cyber Resilience Act entrée en vigueur le 10 décembre 2024 vont avoir un effet sur les enjeux de cybersécurité. La première tient à la notion de security by design. « Les fabricants vont devoir prendre en compte la cybersécurité dès la conception de leur produit ou de leur service, précise Vincent Maret, associé KPMG en France et responsable du pôle Cybersécurité et protection des données personnelles. La situation actuelle, qui amène souvent les fabricants à négliger la cybersécurité pour mettre un produit sur le marché aussi rapidement que possible et de s’occuper de la sécurité par la suite, ne pourra pas continuer après le 11 décembre 2027, quand toutes les mesures prévues par le CRA seront appliquées. Il sera nécessaire d’intégrer la cybersécurité dès le début du projet, comme c’est déjà le cas pour les données personnelles à travers le GDPR. »

La seconde mesure prévue par le CRA porte sur l’obligation de diffuser pendant cinq ans des correctifs de sécurité si des failles sont découvertes. « Les clients ne se retrouveront plus avec des produits dont la cybersécurité est déficiente et sans aucun moyen de remédier à cette situation, précise l’associé de KPMG France. Les entreprises et les startups devront intégrer cette contrainte réglementaire dans leur processus de suivi des produits. »

L’investisseur peut-il être mis en cause en cas de cyberattaque ?

La responsabilité de l’investisseur peut-elle être engagée si un risque cyber se matérialise ? Pour Raphaël Liotier, avocat et directeur de l’activité Pénal numérique du cabinet Lexing Alain Bensoussan, le cas de figure ne peut être totalement écarté : « Si l’entreprise subit une cyberattaque et qu’il apparaît qu’elle n’a pas pris toutes les mesures exigées par NIS 2 pour s’en protéger, la responsabilité du dirigeant peut, dans certaines hypothèses, être engagée. Quant à l’investisseur, il risque de perdre une grande partie du capital placé dans cette société. Pour que la responsabilité de l’investisseur soit engagée, il faudrait établir un lien de causalité entre le dommage subi et une faute particulière imputable à l’investisseur ou en tout cas un comportement qui serait la source du dommage constaté. »

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.