L'actualité & Data du capital-investissement : transactions LBO, M&A, Venture
Corporate Finance et Private Equity

Paroles d'expert

Les nouveaux enjeux des due diligence IT

PAR  | 15 juin 2018 | 1868 mots

La transformation numérique en cours dans tous les secteurs rend d'autant plus cruciale la phase de due diligence IT pour les acteurs du capital-investissement et des fusions-acquisitions. Niveau des dépenses informatiques, réalité de la culture numérique des entreprises au-delà des termes à la mode, détourage et fusion des systèmes d'information... Voici les points à évaluer avant de sauter le pas.

Le retard numérique des entreprises françaises est souligné par de nombreux rapports dont certains  estiment à 10 points de PIB le potentiel atteignable d’ici 2025 en doublant le niveau d’informatisation des seules PME. Ce retard est particulièrement manifeste en matière d’intégration des technologies dans la gestion courante des affaires (outils de collaboration, ERP, CRM, cloud computing, RFID, e-invoicing…).

L’explication semble avant tout culturelle avec une majorité de dirigeants de PME et ETI qui ne sont pas encore convaincus de l’utilité stratégique du numérique. Or, si l’impact IT sur la croissance de l’activité dépend fortement du secteur industriel, il n’en est pas de même en matière de productivité et de marge opérationnelle, où l’informatisation contribue à la compétitivité quel que soit l’industrie et le secteur.

Dans ce contexte, l’évaluation du système d’information d’une entreprise à la veille de son acquisition doit être l’occasion de questionner les liens entre sa stratégie et son intégration technologique, entre la conviction du dirigeant et son potentiel numérique, entre la vision et la réalité IT.

De nouveaux enjeux voient ainsi le jour lors de la conduite d’une due diligence IT en private equity, en tenant singulièrement compte d’une inflation langagière autour du numérique et de la confusion que ces discours peuvent générer pour tout nouvel entrant.

1. Une appréciation de la culture technologique et de sa réalité par des marqueurs qui ne trompent guère

La due diligence IT est une occasion d’évaluer la stratégie de l’entreprise à l’aune de quelques marqueurs directement issus de son environnement informatique au sens le plus large de ce terme.

La culture de l’équipe dirigeante en matière numérique, son implication ou son désintérêt, sa conviction face à l’avenir technologique, constituent les premiers témoins facilement observables lors d’une due diligence IT. Le discours du dirigeant dénote rapidement son appréciation de l’informatique comme un « mal nécessaire », comme un gisement de croissance ou comme un potentiel de productivité. De même, l’importance que l’équipe dirigeante donne au poste de DSI, comme le profil, le parcours et la rémunération de ce dernier, sont des marqueurs qui ne trompent pas et qui peuvent être aisément confrontés à des benchmarks.

Au niveau stratégique, la place du risque s’est déplacée : l’essentiel n’est plus tant de connaître et de maîtriser les risques objectifs actuels (probabilité/impact) que d’anticiper la survenue de ceux que l’on ne connaît pas (disruption). L’anticipation technologique et le regard sur le monde extérieur doivent être appréciés et les risques de désintermédiation, de nouveaux entrants numériques ou de bascule vers la gratuité comptent désormais davantage que les risques d’obsolescence technique ou de pannes. Une revue de la stratégie IT et des projets en portefeuille permet de déceler cette anticipation.

Enfin, le langage courant s’étant désormais emparé de quelques mots valises et d’expressions toutes faites, la due diligence IT doit s’attacher à séparer le gadget du sérieux. Nombre de VDD tiennent un discours enchanteur autour du numérique (IA, IoT, agilité…) qu’il faut savoir challenger avec l’informatique réelle sans laquelle ces concepts demeurent des mots. Une facturation dématérialisée n’est pas nécessairement du e-invoicing ; un algorithme de recherche opérationnelle vieux de vingt ans peut être baptisé « IA » ; un requêteur et une base de données peuvent être qualifié de « big data », une « méthode agile » peut cacher tout et son contraire.

2. Une évaluation de la dépense IT en volume et en destination

Les ratios moyens d’opex IT en fonction du CA se sont généralisés et sont de plus en plus fiables. Ce premier niveau d’analyse demeure un marqueur global intéressant. Il ne doit pas pour autant masquer les singularités sectorielles ou conjoncturelles qui peuvent les faire dévier de la normale. Le montant des capex IT (passés et prévus) est souvent plus significatif encore et démontre le caractère tangible ou inconsistant de la culture technologique.

Pour autant, à montant égal, la pertinence de la dépense et son alignement à la stratégie peuvent être très différents. À cet effet, l’appréciation des ratios opex/capex ou encore du Run/Build pourra s’avérer intéressante. Plus spécifiquement, on retiendra que dans la plupart des dossiers audités en PE, les dépenses IT ne sont que peu pilotées en destination et ne se focalisent pas assez sur quelques fondamentaux qui contribuent à l’élaboration stratégique.

Trois domaines, parmi d’autres, peuvent être ici mis en avant comme des destinations prioritaires de dépenses IT.

(i) La solidité des sous-jacents techniques

La multiplication des couches techniques et des outils associés pour supporter les services applicatifs rend ceux-ci de plus en plus fragiles. Une cartographie applicative telle qu’elle est encore affichée en VDD (quand elle l’est) ne saurait suffire à l’appréciation. Les sous-jacents d’une application (langage, framework, accès aux données, virtualisation, outils de métrologie…) sont aujourd’hui aussi importants que ne l’était hier la réputation du serveur qui l’hébergeait.

Dans le même temps, les contraintes des éditeurs de progiciels et l’apparente facilité d’accès aux outils de développements, ont largement contribué à la réémergence des développements spécifiques réalisés en interne. Si cette tactique est vertueuse dans certains cas (nouveaux business model) et permet de s’affranchir de la rigidité du « tout ERP » d’hier, les pièges y sont nombreux, notamment en raison du foisonnement des langages et des frameworks, de leurs versions et de leurs failles techniques, et des expertises variées que ces développements nécessitent.

Enfin, la cybersécurité, dont on rappelle que l’enjeu ne cessera d’augmenter dans les années à venir, est également liée à ces sous-jacents applicatifs qui constituent la deuxième source de vulnérabilité (derrière les facteurs humains et sociaux et loin devant les infrastructures réseaux et serveurs).

Face à cet environnement technique applicatif, la due diligence IT doit, plus qu’hier, faire appel à une expertise pointue pour auditer le code, évaluer les sous-jacents, leur sécurisation et leur évolutivité (scalability).

(ii) L’ouverture des systèmes, les plateformes et les échanges

La dépense informatique doit également de plus en plus s’orienter vers l’ouverture des systèmes et leur accessibilité à des tiers (clients, fournisseurs, marketplace IoT, edge computing, digital mesh, blockchain…). La construction d’un système d’information fermé n’a plus de sens dans des marchés de plus en plus ouvert à des flux et à la labilité des parties-prenantes. Les API (Application Programming Interface) et les communications entre applications deviennent un enjeu majeur, non seulement à l’intérieur de l’entreprise, mais avec tout son écosystème ; de même, le contrôle des données exposées et la distribution de celles-ci font partie des nouvelles stratégies IT qui doivent être préparées et anticipées par des investissements adéquats.

(iii) Les talents et les compétences

Si le pourcentage de la masse salariale dans l’opex IT est relativement stable dans le temps, les compétences attendues changent considérablement et de plus en plus rapidement. L’effort de mise à jour des compétences (formation, turn-over, externalisation) devient prépondérant. L’agilité intellectuelle de l’équipe informatique en place est un marqueur pertinent de l’évolutivité du SI et de sa capacité à supporter la stratégie. Là encore, les lucioles du numérique ne doivent pas tromper. Si les compétences des équipes « digitales » (veille, innovation, expérimentation) sont aujourd’hui incontournables, elles doivent impérativement se doubler de capacités techniques aptes à expertiser et à industrialiser les innovations. Les équipes digitales devant, avant tout, travailler en « opportunité d’affaire », dans une logique de coût/bénéfice, sans idéologie technique.

La due diligence IT doit ainsi être amenée à évaluer ces compétences, en cherchant à identifier le bon équilibre entre pérennité de la connaissance métier et renouvellement technologique, entre culture de l’innovation et culture de l’expertise.

3. Le piège des IT carve-out et des IT merge

À l’inverse des enjeux précédents, le carve-out (ou le merge) est un enjeu dont l’importance n’a pas varié depuis vingt ans. Détourer un système d’information pour qu’il opère demain en stand-alone ou le fusionner à celui de l’acquéreur demeurent sans aucun doute parmi les projets les plus complexes qui attendent une entreprise, et ce avec ou sans révolution numérique.

Or, nous observons encore de trop nombreux cas qui, post-deal, souffrent considérablement et durablement d’une mauvaise anticipation de ces projets. Les contraintes et les enjeux sont pourtant bien connus (identification de ce qui doit être séparé ou fusionné, dédoublement des moyens ou abandon, problématique des licences et des droits, revues des contrats, résiliations et réversibilité, données et interfaces...). Mais les sous-estimations en budget comme en planning sont quasi systématiques et les VDD, lorsqu’elles abordent ces questions, sont le plus souvent d’une indigence coupable.

La due diligence IT se doit d’alerter sur les investissements nécessaires à ces opérations complexes, sans avoir souvent les moyens de produire seule une analyse contradictoire. En effet, ces projets de carve-out ou de merge doivent impérativement disposer d’un appui consistant des équipes IT du vendeur. Dans le cas de tels projets, il est ainsi hautement recommandable de prévoir une due diligence IT en deux temps, l’un pour l’analyse en red flag classique, l’autre pour approfondir les ajustements potentiels afférents au carve-out ou au merge post-deal.

On le voit, au-delà de ses prérogatives usuelles d’évaluation, la due diligence IT se trouve aujourd’hui confrontée à un discours empreint de révolution numérique et de « digitalisation » dans lequel il faut désormais faire le tri. D’un côté, y déceler les vrais enjeux d’alignement des technologies à la stratégie et de la culture interne à l’innovation numérique ; de l’autre, prendre garde aux nouveaux pièges techniques comme aux discours séduisants et trompeurs.

Voir la fiche de : 1630 CONSEIL (EX LOUVRE ALLIANCE)

Voir la fiche de : Vassileff Ivan

Voir la fiche de : Moineau Bertrand