← Retour aux offres Due Diligence

Cyber Due Diligence

Analyse rapide et ciblée de la posture cyber et IT d'une cible dans le cadre d'une acquisition, d'un partenariat ou d'un investissement. Un éclairage décisionnel, pas un audit exhaustif.

Quand faire appel à moi

L'exposition cyber d'une cible reste un angle mort dans la majorité des processus de due diligence. Elle peut représenter un risque financier, réglementaire ou réputationnel significatif post-opération.

Acquisition ou fusion d'une cible dont le SI et la posture cyber sont peu connus ou documentés

Partenariat stratégique avec accès aux données ou aux systèmes de votre organisation

Investissement dans une entité avec des actifs numériques significatifs ou une forte dépendance IT

Besoin d'un avis expert indépendant avant ouverture formelle des négociations

Intégration post-acquisition nécessitant une cartographie IT/cyber préalable

Clause contractuelle ou exigence d'assurance imposant une évaluation cyber de la cible

Objectifs de la mission

Évaluer rapidement l'exposition cyber et IT réelle de la cible, sans biais commercial
Identifier les risques significatifs avant signature : données, SI, prestataires, contrats, dettes techniques
Estimer les coûts de mise à niveau cachés susceptibles d'affecter la valorisation
Identifier les points bloquants, négociables ou les conditions à intégrer dans la transaction
Produire un rapport décisionnel clair pour la DG, les actionnaires et les conseils juridiques

Approche

Une mission courte, structurée dès le cadrage, centrée sur l'aide à la décision plutôt que sur l'exhaustivité technique.

Phase 01

Cadrage

Définition du périmètre d'analyse : systèmes, données, prestataires, contrats. Identification des interlocuteurs et des accès disponibles. Alignement sur les critères décisionnels prioritaires de l'acquéreur.

1 jour

Phase 02

Analyse

Revue documentaire : politiques, architecture, contrats prestataires, incidents passés. Entretiens ciblés avec les responsables IT et sécurité de la cible. Analyse de surface : posture cyber, dépendances critiques, dettes techniques visibles.

3 à 10 jours selon complexité

Phase 03

Synthèse

Structuration du rapport : scoring de risque, identification des points critiques, estimation indicative des coûts de mise à niveau. Formulation des recommandations : points bloquants, négociables, conditions post-acquisition.

1 à 2 jours

Phase 04

Restitution

Présentation orale du rapport à la DG, à l'équipe d'investissement ou aux conseils juridiques. Réponses aux questions. Clarification des risques et de leur niveau de criticité. Support éventuel aux négociations sur les clauses IT/cyber.

1 jour

Livrables

Un rapport décisionnel, pas un audit technique à 200 pages.

Rapport de due diligence cyber : synthèse exécutive (5 à 10 pages) et annexes détaillées
Scoring de maturité cyber et IT de la cible par domaine
Identification et qualification des risques majeurs : impact, probabilité, urgence
Estimation indicative des coûts de mise à niveau : fourchette réaliste, à affiner post-acquisition
Note sur les points bloquants, négociables et les conditions ou garanties recommandées
Présentation orale à la direction générale et à l'équipe d'investissement

Modalités & charge

Durée indicative

5 à 15 jours

Selon la taille de la cible, les accès accordés et la documentation disponible. Une cible simple avec documentation complète peut être traitée en 5 à 7 jours. Un périmètre large ou des accès limités allongent la durée.

Format

Mission courte et ciblée

Mission à durée définie, avec livrable final unique. Pas de relation continue post-mission, sauf si une phase d'intégration ou de remédiation est souhaitée.

Prérequis

Cadrage systématique en amont

Un échange préalable est nécessaire pour définir le périmètre, confirmer les accès disponibles et ajuster le niveau de profondeur attendu. Sans accès à la cible, l'analyse est nécessairement limitée.

Ce que je fais — ce que je ne fais pas

Ce que j'apporte

Analyse rapide et structurée de la posture cyber et IT de la cible
Identification des risques significatifs : données, SI, prestataires, contrats, incidents
Rapport exécutif décisionnel, lisible par une DG non technique
Positionnement clair sur les points bloquants, négociables et à surveiller
Présentation orale à l'équipe décisionnelle avec réponses aux questions

Ce que je ne fais pas

Audit technique exhaustif (nécessite des équipes spécialisées de plus grande taille et un accès plus profond aux systèmes)
Test d'intrusion ou pentest : prestation distincte, réalisée par des équipes offensives spécialisées
Engagement sur l'absence de risque résiduel. Une due diligence réduit l'incertitude, elle ne la supprime pas.
Valorisation financière de la cible : mon rôle est d'éclairer, pas de chiffrer la transaction

Engagement

Ce sur quoi je m'engage

Une analyse indépendante et sans conflit d'intérêt avec les parties à la transaction
Un rapport structuré, lisible par des interlocuteurs non techniques, avec un niveau de détail adapté à chaque public
Une formulation honnête des risques, y compris lorsqu'ils sont significatifs ou difficiles à quantifier
Un cadrage préalable systématique pour définir ce qui est réellement analysable dans le délai imparti
Une restitution orale avec disponibilité pour les questions de l'équipe dirigeante

Parlons de votre situation

Un premier échange confidentiel, sans engagement, pour qualifier votre contexte et évaluer si mon profil correspond à vos besoins.

Réserver un créneau Disponibilité en temps réel · Aucune attente

Sur LinkedIn Julien Rousseau Message direct ou demande de connexion

Garanties

Confidentialité absolue. Pas de relance commerciale. Aucun engagement de suite.