Media Business
Salle de transaction M&A avec flux de données cybersécurité et IA en surimpression
Cybersécurité & Risques

IA et cybersécurité : ce que les fonds ne peuvent plus ignorer dans leurs opérations de M&A

Entre 50 % et 70 % des acquisitions ne créent pas la valeur attendue pour les acheteurs. Une part croissante de cet écart s'explique par des risques technologiques non détectés en amont : passif cyber, dette IT, exposition aux législations extraterritoriales. En 2026, la due diligence numérique n'est plus une option de précaution. C'est un levier de structuration du prix et de protection du rendement.

AKAOR Editorial · 27 Avril 2026 · 7 min de lecture

Résumé exécutif

Le marché mondial du M&A a atteint 4 900 milliards de dollars en 2025, en hausse de 36 % sur un an. Dans ce contexte de volumes élevés, la qualité de l'analyse amont détermine de plus en plus la performance post-acquisition. L'intégration systématique de la cybersécurité et de la capacité IA dans les processus de due diligence est passée du statut de bonne pratique à celui d'exigence structurelle. Les fonds qui ne l'ont pas encore opérée s'exposent à des risques de valorisation, de remédiation et de conformité difficiles à absorber après closing.

Les faits

Plusieurs données chiffrées posent le cadre de façon précise :

  • 4 900 milliards de dollars : valeur totale des transactions M&A en 2025, soit une progression de 36 % sur un an, l'une des années les plus actives jamais enregistrées selon plusieurs sources sectorielles.
  • 50 à 70 % : part des acquisitions qui ne créent pas la valeur attendue pour les acheteurs, d'après les analyses de KPMG et McKinsey. Un chiffre stable depuis des années, qui pointe un problème structurel d'évaluation pré-deal.
  • 9 000 milliards de dollars : estimation des dommages causés par la cybercriminalité mondiale en 2025, tous secteurs confondus.
  • 80 % : part des cyberattaques dont l'origine est humaine, par phishing, usurpation d'identité ou manipulation de données personnelles. Ce chiffre déplace la focale de l'audit purement technique vers l'évaluation des processus et de la culture interne.
  • 86 % : proportion des organisations qui ont intégré la GenAI dans leurs workflows M&A selon Deloitte. L'IA est désormais un outil standard du processus d'acquisition, pas seulement un objet d'évaluation de la cible.
  • 42 millions d'euros : amende infligée par la CNIL à Free pour une violation de données affectant plus de 24 millions d'abonnés, dont des coordonnées bancaires (IBAN). Un cas concret de passif cyber qui, dans un contexte de cession, aurait représenté un risque post-deal non provisionné.
  • 340 000 utilisateurs : nombre de personnes exposées lors de l'attaque contre France Travail, autre illustration récente des expositions résiduelles que portent des organisations par ailleurs opérationnellement stables.

Analyse stratégique

La due diligence IT traditionnelle s'était structurée autour de deux axes : la dette technique, c'est-à-dire le coût de mise à niveau des systèmes, et l'alignement applicatif, soit la compatibilité entre les SI de l'acquéreur et de la cible. Ces deux dimensions restent pertinentes, mais elles sont désormais insuffisantes.

Trois évolutions ont reconfiguré le périmètre attendu.

Première évolution : la surface d'attaque comme variable de valorisation. Un actif dont le SI présente une exposition externe élevée, des vulnérabilités non patchées ou une gouvernance des accès déficiente porte un passif cyber qui doit être quantifié avant closing. Le coût de remédiation post-acquisition peut représenter plusieurs points de marge sur la durée de détention. Ne pas l'estimer revient à sous-évaluer le prix réel payé.

Deuxième évolution : la souveraineté numérique comme risque opérationnel. La localisation des données, la dépendance à des fournisseurs cloud soumis à des législations extraterritoriales (CLOUD Act américain, réglementations chinoises) et la réversibilité des solutions sont devenues des critères d'évaluation à part entière. Selon Olivier Cazzulo, dirigeant spécialisé en M&A IT, "la souveraineté numérique passe du statut de priorité institutionnelle à celui de priorité opérationnelle et financière dans les transactions". Un actif qui exécute ses traitements de données critiques sur des infrastructures soumises à des droits d'accès étrangers porte un risque réglementaire qui peut compromettre les plans de valeur envisagés.

Troisième évolution : la capacité IA comme critère de croissance. L'IA n'est plus seulement un outil d'optimisation des coûts post-acquisition. Elle est évaluée comme un levier de création de valeur pendant la période de détention. Un SI fragmenté, sans gouvernance de la donnée et sans architecture compatible avec le déploiement de modèles d'IA, rend caducs les business plans construits sur des hypothèses d'automatisation ou d'augmentation des marges par l'IA. La capacité à accueillir des projets IA devient un critère de prime de valorisation ou, à l'inverse, de décote.

Impact business et sectoriel

Trois effets concrets sont identifiables pour les fonds d'investissement et les acquéreurs stratégiques.

Structuration du prix. Intégrer les indicateurs cyber dans la due diligence permet de chiffrer le passif résiduel et d'en tenir compte dans les clauses de garantie d'actif et de passif (GAP) ou d'ajustement de prix. Un acquéreur qui n'a pas réalisé cet audit s'expose à absorber seul les coûts de remédiation après closing, sans recours contractuel.

Réduction du risque post-closing. Les incidents cyber survenus dans les douze à vingt-quatre mois suivant une acquisition sont fréquemment liés à des vulnérabilités préexistantes que l'intégration a momentanément masquées. L'audit pré-deal de l'exposition externe, de la maturité SSI (sécurité des systèmes d'information) et des processus de gestion des accès réduit substantiellement ce risque.

Avantage compétitif à la vente. Pour les vendeurs, la logique est symétrique. Une entreprise capable de documenter un SI maîtrisé, une gouvernance claire, une cybersécurité robuste et une conformité réglementaire anticipée présente un profil de risque inférieur aux yeux des acquéreurs. Cela se traduit par des processus de vente plus rapides, des valorisations mieux défendues et des négociations moins exposées aux ajustements de dernière minute.

Ce qu'il faut retenir

La due diligence cyber n'est plus un module complémentaire que l'on active sur les transactions les plus exposées. Elle est devenue une composante standard du processus d'évaluation, au même titre que l'audit financier ou l'analyse juridique. Quatre indicateurs concentrent l'essentiel de la valeur informative : le niveau d'exposition externe, la maturité en sécurité des systèmes d'information, le passif cyber chiffré et le coût de remédiation estimé.

À ces quatre indicateurs s'ajoute désormais un cinquième : la capacité du SI cible à accueillir des déploiements IA dans un horizon de dix-huit à trente-six mois. Un actif qui ne remplit pas cette condition n'est pas nécessairement dévalorisé, mais les plans de valeur qui en dépendent doivent être révisés en conséquence.

En 2026, sur un marché M&A à nouveau à haut volume, les fonds qui intègreront ces dimensions dans leurs processus standards d'évaluation disposeront d'un avantage informationnel structurel sur ceux qui continueront à les traiter comme des options.

Analyses liées
Google Cloud securite IA
Cybersécurité & Risques

Google Cloud restructure la cybersecurite IA

28 Avril 2026 · 8 min
Claude Mythos Firefox
Cybersécurité & Risques

Claude Mythos corrige 271 failles dans Firefox

22 Avril 2026 · 7 min
Conseil IA cybersecurite
Cybersécurité & Risques

Conseil de l'IA: note sur la cybersecurite

23 Avril 2026 · 7 min
Retour à l'accueil