Due diligence numérique : Sécuriser vos opérations de reprise

15.03.2026

⏱ 8 min de lecture

Trois opérations sur quatre dans le cadre de fusions et acquisitions (M&A) ne parviennent pas à atteindre leurs objectifs de création de valeur – et la cause la plus fréquente n’est pas financière, mais bien liée aux systèmes informatiques. La due diligence numérique analyse de manière systématique, avant la signature de l’acte, l’architecture IT, la dette technologique, la cybersécurité et la qualité des données. Celui qui omet ce volet travaille à l’aveugle.

L’essentiel

70 à 90 % de toutes les transactions M&A ne remplissent pas leurs objectifs de création de valeur – les problèmes d’intégration IT constituent, selon Bain et McKinsey, la deuxième cause la plus fréquente après le « cultural fit ».
La due diligence numérique comme volet égalitaire du processus : six dimensions – architecture IT, dette technologique, maturité en cybersécurité, qualité des données, dépendances vis-à-vis des équipes, verrouillages fournisseurs – doivent être analysées avant la signature.
Les dettes technologiques cachées font augmenter les coûts IT de 10 à 20 % par projet, selon McKinsey Digital – et jusqu’à 60 % de chaque dollar IT dans le cas d’intégrations mal préparées.
Trois signaux d’alerte critiques pouvant faire échouer une transaction : monolithes non documentés, absence de fondamentaux en matière de sécurité, et verrouillages fournisseurs propriétaires sans clauses de sortie.
Retour sur investissement (ROI) de l’audit : une due diligence numérique coûte 0,1 à 0,3 % du prix d’acquisition – et permet d’éviter des coûts d’intégration susceptibles d’en représenter plusieurs fois le montant.

Lorsque la vérification IT est absente : trois cas réels

L’histoire des désastres M&A ressemble à un manuel illustrant les conséquences d’une due diligence IT négligée. Hewlett-Packard a acquis en 2011 l’éditeur britannique de logiciels Autonomy pour 11,1 milliards de dollars américains – puis a procédé à une dépréciation comptable de 8,8 milliards de dollars un an plus tard. La due diligence avait certes examiné les aspects financiers, mais n’avait pas suffisamment interrogé la substance technologique de la plateforme.

Un scénario similaire s’est produit lors de l’acquisition de Nokia par Microsoft en 2013 : un prix d’achat de 7,6 milliards de dollars, suivi d’une dépréciation de 7,6 milliards de dollars. L’écosystème smartphone n’était technologiquement pas compétitif – une conclusion qu’une due diligence technique approfondie aurait dû permettre d’établir. Enfin, Broadcom fait face depuis 2023 à des difficultés d’intégration, à des résiliations de contrats clients et à des hausses de coûts de licence allant jusqu’à 400 %, suite à son acquisition de VMware pour 69 milliards de dollars.

Ce que ces cas ont en commun : les finances avaient été vérifiées, mais pas la technologie. C’est précisément cette lacune que comble la due diligence numérique.

Le piège des 70 % : pourquoi les opérations M&A échouent à cause des systèmes informatiques

McKinsey, Bain et BCG aboutissent depuis des années à des conclusions similaires : 70 à 90 % de toutes les transactions M&A ne parviennent pas à générer la valeur escomptée. La fourchette varie selon les études et la définition retenue pour « succès », mais l’ordre de grandeur reste cohérent.

Ce que ces analyses occultent souvent : la cause n’est presque jamais l’évaluation financière. Selon une étude M&A de Deloitte, les intégrations échouent le plus fréquemment en raison de différences culturelles et d’incompatibilités technologiques. Lorsqu’un rapprochement entre deux entreprises intervient, il faut consolider les systèmes ERP, migrer les bases de données CRM, fusionner les réseaux et harmoniser les architectures de sécurité. Chacun de ces projets peut prendre de 12 à 24 mois – et si aucune planification préalable n’a été effectuée, ce délai peut facilement doubler.

La due diligence financière identifie les risques figurant au bilan. La due diligence juridique met en lumière les écueils réglementaires. Mais qui détecte les bombes à retardement technologiques ? Dans la plupart des transactions : personne.

« La technologie constitue le grand risque caché dans les opérations M&A. La due diligence financière vous indique ce qu’une entreprise a gagné hier. La due diligence technologique vous dit si elle sera capable de générer quoi que ce soit demain.»
– Andy West, Associé principal, McKinsey & Company (McKinsey M&A Insights, 2024)

Ce que vérifie la due diligence numérique : six dimensions

Une due diligence numérique professionnelle examine six dimensions – chacune d’entre elles pouvant devenir un facteur d’échec de la transaction :

1. Architecture IT et capacité d’extension. Monolithique ou microservices ? Nativement cloud ou héritée ? Documentée ou fondée sur des savoirs tacites ? L’architecture détermine la rapidité et le coût d’une intégration. Une pile bien documentée, basée sur des API, peut être intégrée en quelques mois. Un monolithe non documenté mobilise pendant des années une équipe entière de développeurs.

2. Dette technologique. Cadres obsolètes, systèmes non mis à jour, tests absents, fragments de code dupliqués sans plan de maintenance. McKinsey Digital chiffre la surcharge liée à la dette technologique à 10 à 20 % par projet IT. Dans les cibles d’acquisition, ce taux est souvent nettement supérieur, car la dette technologique est souvent volontairement dissimulée. L’Software Improvement Group a constaté, dans une analyse portant sur 531 projets M&A, que 31 % des bases de code acquises présentaient une dette technologique sévère.

3. Maturité en cybersécurité. Des tests d’intrusion ont-ils été réalisés ? Existe-t-il un plan de réponse aux incidents ? La chiffrement de bout en bout est-il mis en œuvre ? Depuis l’entrée en vigueur des réglementations NIS2 et DORA, les failles de sécurité au sein de la cible d’acquisition ne constituent plus seulement un risque opérationnel, mais aussi un risque réglementaire. Une violation de données survenant après l’acquisition retombe sur l’acheteur.

4. Qualité des données et conformité. Propreté des données clients, conformité au Règlement général sur la protection des données (RGPD), portabilité des données. En reprenant des données clients, on reprend également la responsabilité légale qui y est attachée. L’absence de mécanismes de suppression ou des flux de données non documentés vers des tiers peuvent entraîner des amendes.

5. Équipe et répartition des savoirs. Les dépendances vis-à-vis de personnes clés constituent le risque le plus sous-estimé. Si trois personnes détiennent 80 % des connaissances système, chaque départ devient une crise. La due diligence doit clarifier : combien d’employés sont indispensables, quels sont leurs motifs de fidélisation, et à quelle vitesse pourrait-on les remplacer ?

6. Dépendances vis-à-vis des fournisseurs. Plateformes propriétaires, clauses de changement de propriété dans les contrats SaaS, coûts de licence triplés en cas de changement de propriétaire. Des éditeurs tels qu’Oracle ou SAP incluent systématiquement de telles clauses – celui qui ne les vérifie pas s’expose à des surprises coûteuses.

70-90 %

de toutes les transactions ne parviennent pas à atteindre leurs objectifs de création de valeur (McKinsey/Bain/BCG)

10-20 %

de surcoût par projet IT dû à la dette technologique (McKinsey Digital)

0,1-0,3 %

du prix d’acquisition pour une due diligence numérique (standard sectoriel)

Identifier les signaux d’alerte – et les évaluer correctement

Signal d’alerte n°1 : Absence de documentation. Si l’architecture n’existe que dans la tête de certains employés, toute planification d’intégration relève de la spéculation. En pratique, cela signifie que l’équipe de l’acheteur devra investir plusieurs mois uniquement pour comprendre ce qu’elle a acheté – avant même de pouvoir entamer la moindre intégration.

Signal d’alerte n°2 : Absence de tests automatisés. L’absence de tests signifie que chaque modification est une opération aveugle. Or, l’intégration implique des modifications – aux interfaces, aux modèles de données, aux mécanismes d’authentification. Sans couverture de tests, chaque adaptation devient un jeu de roulette avec la stabilité de la production.

Signal d’alerte n°3 : Développement interne monolithique reposant sur une technologie obsolète. PHP 5.6, .NET Framework 2.0, Java 6 – de tels environnements sont plus courants qu’on ne le pense. Ils immobilisent des ressources de développement pendant des années, uniquement pour la maintenance. Une migration vers des technologies modernes est souvent plus coûteuse qu’un développement entièrement nouveau.

Chaque signal d’alerte isolé devrait conduire à une révision à la baisse du prix d’achat. L’ensemble des trois signaux constitue un motif d’abandon de la transaction – ou exige une réévaluation fondamentale du business case d’intégration.

Planifier l’intégration avant la signature

Phase 1 : Avant la signature. La due diligence numérique quantifie les coûts d’intégration. Il convient de réserver au minimum 5 à 15 % du prix d’acquisition pour l’intégration IT – en tant que poste budgétaire distinct, et non comme simple sous-poste du budget opérationnel. Le Directeur des systèmes d’information (DSI) doit siéger dès le premier jour au sein de l’équipe chargée de la transaction, et non être informé uniquement après la clôture.

Phase 2 : Entre la signature et la clôture. Élaborer une feuille de route d’intégration détaillée : quels systèmes seront consolidés, quels systèmes continueront à fonctionner en parallèle ? Le DSI de l’acheteur collabore directement avec l’équipe technique de la cible d’acquisition. Identifier les risques critiques liés aux ressources humaines et élaborer des packages de fidélisation – avant le « Jour un », et non après.

Phase 3 : Premiers 100 jours. Mettre en œuvre rapidement des mesures de sécurité : segmentation du réseau, consolidation des droits d’accès, harmonisation des plans de réponse aux incidents. Puis stabiliser. Éviter tout remplacement précipité de la plateforme. La règle d’or : « Acquérir pour créer de la valeur, pas pour accélérer l’intégration. » Celui qui modifie la plateforme durant les 100 premiers jours déstabilise précisément ce pour quoi il a payé.

Ce que coûte une due diligence numérique – et ce qu’elle évite

Une due diligence numérique professionnelle coûte entre 30 000 et 150 000 euros – selon la complexité du paysage IT de la cible d’acquisition. Dans le cadre d’une opération à trois chiffres en millions d’euros, cela représente 0,1 à 0,3 % du prix d’acquisition.

Ce qu’elle évite : des coûts d’intégration dépassant largement le budget prévu, des violations de sécurité entraînant des pertes de plusieurs millions d’euros, des départs de personnes clés retardant les projets de plusieurs années, et des risques réglementaires découlant de lacunes de conformité reprises avec l’acquisition. Le retour sur investissement (ROI) d’une due diligence numérique est généralement de 10:1 ou plus.

L’alternative – acheter sans vérification technique – revient à acquérir une maison sans expertise structurelle. La façade peut briller, mais les canalisations situées derrière racontent une autre histoire.

Questions fréquentes

Quel est le coût d’une due diligence numérique, et est-ce pertinent pour les petites opérations ?

Entre 30 000 et 150 000 euros pour des opérations allant de deux à trois chiffres en millions d’euros – soit 0,1 à 0,3 % du prix d’acquisition. Même pour des acquisitions plus modestes (5 à 20 millions d’euros), un audit technique pragmatique à hauteur de 10 000 à 20 000 euros se justifie pleinement. Les surprises les plus fréquentes – dépendances non documentées, contrats de licence arrivant à échéance avec des clauses de changement de propriété, absence de conformité RGPD – surviennent indépendamment de la taille de l’opération.

Combien de temps prend une due diligence numérique ?

De deux à quatre semaines, lorsque l’espace de données est bien préparé et que la cible coopère. Pour des paysages IT complexes comportant plusieurs systèmes, plusieurs sites ou des équipes réparties internationalement, cela peut aller jusqu’à six semaines. Le facteur critique n’est pas l’analyse elle-même, mais l’accès aux informations : si la cible fournit les données avec réticence, tout prend plus de temps – et cela constitue en soi un signal d’alerte.

Faut-il renoncer à la transaction en présence de signaux d’alerte ?

Pas automatiquement. Les signaux d’alerte constituent d’abord des leviers de négociation : réduction du prix d’achat, provisions pour les coûts d’intégration, garanties techniques dans le contrat d’acquisition (« Representations & Warranties »), ou comptes bloqués (escrow) destinés à couvrir les risques IT ultérieurs. On recommande de renoncer à l’opération uniquement si les coûts d’intégration estimés dépassent la valeur stratégique de l’acquisition – ou si la cible refuse de coopérer à la vérification technique.

Qui réalise une due diligence numérique ?

Des cabinets de conseil spécialisés tels que McKinsey Digital, Bain, BCG, EY-Parthenon ou des boutiques spécialisées en due diligence technologique. L’essentiel est que l’équipe dispose à la fois d’une expérience en M&A et d’une expertise technique approfondie. Une équipe purement stratégique ne détectera pas les risques architecturaux, tandis qu’une équipe purement IT ne saura pas traduire ces risques en impact sur la transaction. Les meilleures équipes associent des CTO expérimentés à des spécialistes de l’advisory transactionnel.

Comment l’intelligence artificielle transforme-t-elle la due diligence numérique ?

Les outils d’analyse de code assistés par IA permettent aujourd’hui d’identifier les dettes technologiques et les risques architecturaux nettement plus rapidement que les revues manuelles. Des analyses automatisées détectent en quelques heures – plutôt qu’en plusieurs semaines – les dépendances obsolètes, les vulnérabilités de sécurité et les problèmes de qualité de code. Toutefois, l’évaluation stratégique – dans quelle mesure les résultats affectent-ils la valeur de la transaction ? – reste une tâche humaine. L’IA accélère l’analyse, mais ne remplace pas le jugement.