3 février 2026
Par Maïlys MARCON,
Étudiante Master 2 Master 2 Droit bancaire et fintech, Université Côte d’Azur
Membre de l’Association Niçoise des Étudiants Juristes d’Affaires (ANEJA)
et membre de l’AFJE06
Publication proposée dans le cadre du Master 2 Droit Bancaire et Fintech à l’Université Nice Côte d’Azur - Cycle " Droit des assurances approfondi, thème du risque cyber"
L’ère du numérique a fait évoluer la détermination de la valeur des entreprises¹, tout autant que celle de leur exposition au risque. La donnée et la sécurité des systèmes d’information sont devenues des actifs stratégiques, dont la vulnérabilité peut compromettre l’intégralité d’un deal².
La cyber due diligence vise à identifier et évaluer les risques liés aux systèmes informatiques, aux données, à la conformité et à la gouvernance IT³ d’une société « cible ». Elle comprend l’analyse des incidents passés, la robustesse des protocoles de sécurité4, la continuité opérationnelle et la conformité réglementaire, notamment au RGPD.
D’un point de vue juridique, ce processus structuré s’apparente à une obligation de diligence renforcée, proche de la notion de diligence raisonnable en droit civil et commercial français. Il permet de révéler les passifs cachés et de documenter l’état de conformité de la cible, un facteur déterminant dans la négociation du prix et des clauses de garanties d’actif et de passif5. En ce qui concerne le transfert de risques transactionnels à un assureur tiers, les polices Representations & Warranties Insurance6, outil juridique et financier majeur, intègrent depuis peu un volet cyber7, couvrant la découverte postérieure d’incidents informatiques non divulgués, les violations de données, et l’absence de plans de continuité adéquats.
L’acquisition d’une cible non sécurisée peut ainsi générer un passif invisible, rendant la cyberassurance non plus simplement utile, mais véritablement indispensable. Le législateur n’impose actuellement, en France, aucune règle uniforme. Le risque cyber n’est pas spécifiquement encadré. Au niveau européen, les directives NIS28 et DORA9 posent des exigences en matière de sécurité opérationnelle, impactant indirectement les opérations de M&A.
Ainsi, en conditionnant la couverture à la réalisation d’audits de sécurité, la mise
en place de plans de continuité opérationnelle, l’assureur devient un acteur clé
de la conformité et de la résilience organisationnelle.
Les fusions-acquisitions d’aujourd’hui ne se résument plus à la valorisation
financière des actifs tangibles. La garantie cyber, en associant droit des assurances, audit et compliance, participe à l’émergence d’une nouvelle culture transactionnelle, où la vérification et la couverture du risque numérique sont désormais indissociables de la décision d’acquérir.
Références
Cybersécurité et M&A
1 Capgemini, Fusions-Acquisitions : la cybersécurité au coeur des transactions M&A,2024.
Coût des incidents cyber
2 IBM, Cost of a Data Breach Hits Record High During Pandemic, 2021.
Cyber due diligence
3 PwC, Understanding Cyber Due Diligence in M&A, 2022.
4 EY, Cybersecurity Due Diligence in M&A and Divestitures, 2021.
Assurance garantie de passif
5 CMS Francis Lefebvre La lettre Fusions-Acquisitions et du Private Equity
6 Business Insurance, Beyond Due Diligence : Leveraging Insurance to Mitigate Cyber Risks in M&A, 2023.
7 Le Monde du Droit, Representations & Warranties (R&W) et indemnities dans les opérations de M&A, 2023.
Cadre réglementaire européen
8 Directive (UE) 2022/2555, NIS2, 2022.
9 Directive (UE) 2022/2554, DORA, 2022
Maïlys MARCON