- Fusions-acquisitions
- Tribune
Les fonds ne peuvent plus ignorer l’IA et la cybersécurité dans leurs opérations de M&A
Un fonds qui acquiert une cible active dans l’intelligence artificielle (IA) sans auditer ses données et sa surface d’attaque cyber s’expose à des passifs que la documentation contractuelle standard ne couvre pas.
En 2025, près de la moitié des transactions technologiques comportaient une composante IA et un acquéreur sur cinq déclare avoir déjà renoncé à une transaction en raison de l’impact anticipé de l’IA sur le business model de la cible. L’IA et la cybersécurité sont devenues le cœur de la due diligence.
Une due diligence approfondie
L’audit couvre désormais la chaîne de titularité des modèles entraînés, la licéité des datasets, l’intégrité de l’architecture cybersécurité et la robustesse des modèles en conditions réelles. Sur le volet cyber, l’audit cartographie la surface d’attaque, les politiques de gestion des incidents, les tests de pénétration et les certifications (ISO 27001, SOC 2).
La maturité technologique réelle d’une cible «IA-native» peut varier considérablement, de l’ingénierie de requêtes (prompt engineering) basique à l’infrastructure de modèles en production. L’évaluation doit systématiquement faire appel à des experts techniques indépendants, sans se fier aux seuls benchmarks fournis par le management du vendeur.
Un arsenal réglementaire qui redessine les passifs
Sur le plan réglementaire, les opérations impliquant des actifs IA ou numériques s’inscrivent dans un paysage de risques en pleine consolidation. Le règlement européen sur l’intelligence artificielle (AI Act) expose toute entité déployant des systèmes d’IA sur le marché européen à des sanctions pouvant atteindre 35 millions d’euros ou 7% du chiffre d’affaires mondial.
La directive sur la sécurité des réseaux et des systèmes d’information (Directive NIS2 ou SRI2) superpose des obligations de gestion des risques cyber et de notification sous 24 heures, avec responsabilité personnelle des dirigeants. Ces deux régimes partagent une même logique : des manquements précédant la réalisation de l’opération (pré-closing) susceptibles de générer des passifs transférables à l’acquéreur via les déclarations et garanties.
Le règlement sur la cyber-résilience (Cyber Resilience Act) contraint les fabricants de produits numériques à intégrer la sécurité dès la conception, tandis que le règlement sur les données (Data Act) recompose les modèles économiques fondés sur la monétisation de données connectées. Le règlement sur la protection des données personnelles (RGPD) reste, quant à lui, le premier vecteur de passifs hérités transférables à l’acquéreur.
A lire aussi : La maîtrise du risque cyber passe par un dialogue de confiance entre RSSI et conseil
Une valorisation à repenser
Au-delà des trois piliers classiques - données propriétaires, modèles entraînés, capital humain - l’audit juridique doit identifier cinq risques susceptibles d’affecter matériellement la valeur d’entreprise :
- les clauses de changement de contrôle dans les contrats d’hébergement à distance ( ou cloud), pouvant entraîner la perte d’actifs opérationnels critiques à la réalisation de l’opération (closing) ;
- l’incertitude sur la titularité des droits de propriété intellectuelle sur les résultats (outputs) des modèles ;
- le risque réputationnel algorithmique, appelant des mécanismes d’indemnisation distincts ;
- les engagements de niveau de service (SLA ou Service Level Agreements) indexés sur la performance IA, à intégrer dans les mécanismes de complément de prix (earnout) ;
- le risque de désintermédiation pour les intégrateurs de modèles tiers.
Ces risques justifient l’insertion d’engagements spécifiques, de tests de résilience et de garanties spécifiques entre la signature et la réalisation de l’opération.
Les passifs cachés
Cinq risques sont systématiquement sous-estimés :
- la disruption sectorielle rapide par un concurrent ou une décision réglementaire ;
- la sous-performance des modèles hors laboratoire ;
- les passifs RGPD hérités, des autorités ayant déjà sanctionné des acquéreurs pour des manquements antérieurs à l’opération ;
- les exclusions assurantielles croissantes dans les polices d’assurance de garantie de passif (RWI ou Representations and Warranties Insurance) sur la provenance des données et la performance des modèles ;
- le renforcement du contrôle des concentrations sur les transactions impliquant des données critiques.
Des clauses contractuelles sur mesure
La documentation doit prévoir : des compléments de prix (earnouts) indexés sur des indicateurs clés de performance (KPI) IA en production ; un compte séquestre technologique (escrow) couvrant sous-performance et incidents cyber post-réalisation ; des garanties distinctes (propriété intellectuelle, données, cybersécurité) avec plafonds et durées différenciés ; et des engagements interdisant toute modification des données d’entraînement ou des politiques IA entre la signature et la réalisation de l’opération sans consentement de l’acquéreur.
Les fonds en première ligne
Les fonds manipulent en permanence des données hautement confidentielles (informations sur les cibles, valorisations, stratégies d’acquisition) dont la protection relève des standards de la directive sur la sécurité des réseaux et des systèmes d’information (Directive NIS2), et le recours à des outils IA tiers crée des vecteurs d’exposition que peu de fonds ont sécurisés.
Après la réalisation de l’opération, l’intégration d’une société élargit mécaniquement la surface d’attaque. La cybersécurité s’impose comme critère clé : investisseurs et agences de notation font désormais de la maturité cyber un critère d’évaluation à part entière. Un portefeuille exposé à des incidents répétés dégrade le fundraising et les multiples de sortie. L’IA et la cybersécurité sont désormais des déterminants de valeur et de gouvernance à chaque stade du cycle d’investissement.
Plus d'articles du même thème
-
CMA CGM s’offre une filiale de FedEx pour 1,4 milliard de dollars
Le géant du transport maritime se renforce encore dans la logistique en reprenant FedEx Supply Chain. De quoi tripler de taille dans le domaine aux Etats-Unis. -
La course au financement de l'électricité pour alimenter l'IA s'accélère
KKR et Brookfield misent gros sur l’électricité bas carbone pour nourrir l’essor fulgurant de l'intelligence artificielle. -
Le pari de Schneider Electric sur Cognite laisse les investisseurs perplexes
Les analystes reconnaissent l'intérêt stratégique de l'opération mais ils s'interrogent sur le prix payé par le groupe français.
ETF à la Une
KBC AM dévoile trois ETF Ucits
- C'est la fête du slip à la Bourse de Paris
- Scor indemnisera Covéa à hauteur de 488,3 millions de dollars dans le cadre d'une procédure d'arbitrage
- Kering se retrouve sous pression en Bourse avec la montée des doutes d'analystes
- Schneider Electric, Saint-Gobain, L'Oréal : trois modèles d'ambitions du CAC 40 en Inde
- La finance italienne pourrait perdre l'un de ses principaux investisseurs
Contenu de nos partenaires
-
Coût du travail, multinationales, industrie… Les délocalisations ne ralentissent pas, alerte l’Insee
Entre 2021 et 2023, en France, entre 7 500 et 13 000 postes ont été directement supprimés à la suite de délocalisations, annonce l’Insee -
Italie : la droite veut assouplir les règles sur la chasse
Le gouvernement de Giorgia Meloni, qui souhaite ainsi cajoler un électorat rural et vieillissant, pousse une réforme controversée de la chasse, sous la surveillance de Bruxelles -
TribuneRéconcilier performance et engagement : la nouvelle définition du progrès en entreprise – par Les Entreprises s'engagent
Alors que le modèle purement économique montre ses limites, plus de 100 000 entreprises françaises démontrent que performance et responsabilité sociale peuvent converger pour réinventer le progrès