OSINT pour due diligence pré-acquisition

Secteur

Technologie B2B · acquéreur opérant en Europe de l'Ouest · cible startup en phase de croissance · opération M&A non annoncée.

Situation initiale

L'équipe M&A de l'acquéreur devait compléter la due diligence financière et juridique par une lecture technique indépendante de la cible, sans contact direct avec son équipe sécurité et avant la publicisation de l'opération. Le délai de livraison était court et la confidentialité absolue.

Approche

Nous avons conçu une due diligence OSINT structurée en cinq blocs : posture technique externe (sous-domaines, certificats, services exposés, configurations faibles), hygiène du code et des secrets dans les dépôts publics, exposition d'identifiants dans des violations historiques associées au domaine de l'entreprise et aux fournisseurs connus, réputation et traçabilité du personnel technique clé, et posture de conformité déclarée comparée aux preuves publiques. Toute l'activité a été passive ou à profil bas, sans interaction avec les actifs de la cible.

Résultat

Nous avons livré un rapport avec 8 constats critiques (3 ayant un impact direct sur la valorisation de l'opération) et 14 constats moyens. Les constats critiques ont donné lieu à des clauses spécifiques de représentations et garanties dans l'accord final, ainsi qu'à un plan d'intégration sur 90 jours après le closing.

Enseignement

La surface publique d'une entreprise en dit plus sur sa maturité de sécurité réelle que n'importe quel questionnaire auto-déclaratif.

Temps et effort

2 à 3 semaines · 40 à 60 heures de conseil · rapport exécutif + rapport technique + matrice de constats.

Mots-clés

OSINT · Due diligence · M&A · Analyse externe · Gestion des risques · Renseignement en sources ouvertes