Le système d’information, actif stratégique au cœur de la création de valeur
Malgré un contexte de prudence voire d’attentisme lié aux tensions géopolitiques et un environnement économique national incertain, les sujets numériques et digitaux ont confirmé qu’ils restent un des sujets majeurs d’intérêt et de préoccupation des investisseurs et des dirigeants, tant par l’opportunité d’en faire un levier de transformation et de création de valeur que d’y voir un facteur de risque s’ils ne sont pas associés à un niveau de sécurité et de conformité suffisant.
Bilan 2025
La maturité du SI et l’IA comme éléments différenciants dans les transactions
En 2025, le niveau d’exigence des due diligences IT s’est profondément renforcé. Les acquéreurs, fonds comme stratégiques, attendent désormais une vision plus qualitative du Système d’Information des cibles qu’ils étudient. La simple évaluation de la dette technique et la revue superficielle du paysage applicatif ne suffisent plus à démontrer la capacité du SI à soutenir les opérations, à créer de la valeur lors de la période de détention et à accompagner les projets IA.
« Ces sujets se mesurent par une appréciation précise de l’adéquation entre les services offerts par le SI et les besoins des métiers, des moyens humains et financiers qui y sont alloués et de la faculté de la société dans son ensemble à poursuivre sa digitalisation. », souligne Lionel GROS, Directeur de la Practice M&A IT au sein de Netsystem.
Par ailleurs, souvent débordées par les initiatives IA portées par les métiers et rattrapées par l’accélération des évolutions technologiques, les DSI peinent à évoluer, notamment dans les PME et ETI. C’est pourquoi ce numérique à 2 vitesses représente un risque pour les entreprises et, par conséquent, pour les investisseurs. Bien adressée, une due diligence IT apportera les réponses sur la maturité de la cible sur l’ensemble de ces questions.
Un enjeu majeur : la cybersécurité
La cybercriminalité représente en 2025 un marché (dommages et pertes) estimé à 9 000 milliards de dollars. Sur le marché français, entreprises et organisations doivent faire face à une prolifération des attaques.
En 2025, une attaque contre La Banque Postale a rendu les services en lignes indisponibles pendant plusieurs heures en période de Noël très intense en termes d’activité.
Une attaque contre France Travail a exposé les données personnelles de plus de 340 000 utilisateurs.
De nombreux groupes de ransomware internationaux continuent de viser des entreprises françaises, parfois via des services de ransomwares-as-a-service (RaaS).
Dans le secteur privé, la fuite de données chez Free a été un évènement retentissant de par son ampleur (une attaque informatique qui a conduit à l’accès aux données personnelles de plus de 24 millions d’abonnés, y compris des IBAN et d’autres informations sensibles) mais aussi de ses conséquences sur le plan des sanctions de la CNIL (42 millions d’euros d’amende).
Au-delà de ces cas médiatiques, les PME/ETI ne doivent pas se considérer à l’abri de tels risques car la cybercriminalité a embrassé le virage de l’industrialisation depuis longtemps et que ce phénomène s’est accéléré ces 3 dernières années avec le développement de l’IA qui offre une puissance et une force de frappe monumentales.
Il faut bien avoir à l’esprit que 57 % des TPE/PME ont été victimes d’au moins une attaque ces 12 derniers mois selon différents baromètres 2025.
Ce taux élevé s’explique notamment par un manque de maturité cyber globale et des défenses souvent basiques (pare-feu, antivirus sans solutions avancées) voire une mauvaise connaissance des risques et des bonnes pratiques.
Pour conséquence, la réglementation européenne et française évolue dans le sens de la diffusion des bonnes pratiques et de la protection d’un risque d’effondrement systémique : la montée en puissance des réglementations NIS2, DORA, RGPD, IA Act est également un argument qui milite en faveur de due diligence IT et Cyber bien exécutées. Et même si la pression réglementaire souvent décriée fait l’objet de moratoire ou de simplification (19/11/2025 : publication du digital omnibus package).
Vendeurs, préparez-vous !
Le corollaire de ce qui précède est la préparation des cessions d’actifs. Lors d’une mise sur le marché, le vendeur aura grand intérêt à rassurer les candidats à l’investissement et à démontrer dans une vendor due diligence IT que son actif répond aux exigences actuelles :
- Résilience du SI
- Maîtrise de la dette technique
- Maturité de l’organisation
- Conformité réglementaire
- Maîtrise des données
- Maîtrise du portefeuille projet (impacts, couts, roadmaps)
Les investisseurs stratégiques : acteurs clés en 2025 du M&A
Autre tendance forte observée en 2025 : les projets de consolidation dans plusieurs secteurs d’activité et les repositionnements stratégiques. Les projets d’intégration ou de carve-out IT se multiplient et exigent une préparation et une exécution de plus en plus minutieuses, toujours dans un contexte de contraintes de sécurité fortes, d’accès aux données limitées au strict cadre légal et un délai de réalisation de plus en plus court.
Les plateformes Buy & Build ont professionnalisé et structuré leur approche en apportant de la méthode, notamment en matière de Système d’Information. Cette transformation est un levier de création de valeur par la mise en place d’une gouvernance renforcée, de processus opérationnels homogénéisés et d’un Système d’Information unifié.
La complexité de ce type d’opérations rend leur impact sur les opérations important pour peu que les enjeux n’aient pas été identifiés dès les phases initiales des négociations. Un projet d’intégration ou de mise en autonomie réalisé dans l’urgence et la précipitation entraine régulièrement des surcoûts à court et moyen terme, une défocalisation des métiers de leurs préoccupations premières (business) et un report sine die des vrais projets de transformation à forte valeur ajoutée.
Les projets qui ont réussi sont ceux qui ont été anticipés dans leur préparation et exécutés avec méthode et organisation.
Perspectives 2026
Vers des M&A IT plus exigeantes et plus stratégiques
2026 : année de la souveraineté
Autres sujets portés par l’actualité, la résilience des organisations.
Si la gouvernance par la peur n’apporte pas de solution, il n’en reste pas moins que l’investisseur appréciera de connaître le niveau d’exposition au risque de l’actif dans lequel il envisage d’investir.
Que ce risque soit porté par une faible préparation de l’organisation à faire face à une attaque cyber – nous l’avons dit – ou qu’il provienne de la décision d’un fournisseur de services IT de limiter, de suspendre ses activités ou de changer ses conditions générales d’utilisation sur un marché par simple décision politique peut mettre à l’arrêt une organisation sans délai de prévenance.
En 2026, de nouveaux sujets s’imposeront dans les analyses M&A :
- Dépendance aux fournisseurs technologiques,
- Exposition aux législations extraterritoriales,
- Localisation et gouvernance des données,
- Capacité de réversibilité des solutions cloud et applicatives.
L’Etat français s’empare de la question avec le soutien d’une initiative européenne de production d’un Indice de Résilience Numérique (IRN) visant à mesurer les dépendances numériques et de quantifier les vulnérabilités des organisations (cet outil destiné aux dirigeants des entreprises et des collectivités passe en revue 20 critères pour évaluer l’autonomie technologique, économique et juridique).
« La souveraineté numérique, longtemps perçue comme un sujet institutionnel, est désormais un enjeu opérationnel et financier dans les opérations de croissance externe. », souligne Olivier CAZZULO, CEO de Netsystem.
En 2026, cette tendance va s’amplifier :
- Les due diligence IT seront plus étendues, plus précises et plus transverses
- Les sujets cyber, data, cloud et conformité seront analysés de manière intégrée
- Les fonds du Private Equity chercheront à sécuriser leurs investissements face aux risques technologiques, réglementaires et en matière de souveraineté.
Les entreprises capables de démontrer un SI maîtrisé, une gouvernance claire, une cybersécurité robuste, une conformité anticipée et une mitigation au risque de souveraineté disposeront d’un avantage concurrentiel fort lors des opérations de cession ou d’acquisition.
Dans les années à venir, le succès d’une opération M&A ne se jouera plus uniquement sur la stratégie ou les synergies métiers. Il reposera aussi sur la capacité du Système d’Information à soutenir durablement la croissance, la conformité et la résilience.
