Comment auditer la viabilité technique et organisationnelle d'une future acquisition ?

Les facteurs organisationnels et technologiques ont également toute leur importance. Ce n’est un secret pour personne, les technologies digitales jouent un rôle de plus en plus grand dans les performances commerciales des entreprises. Par conséquent, leur adoption requiert bien souvent d’adopter un modèle organisationnel plus adapté au rythme du marché.

Cet article vise à détailler notre approche et partager nos retours d’expérience vis à vis de l’analyse de ces deux facteurs clés de succès lors d’audits d’acquisition.

Connaître les principaux enjeux

L’objectif principal de l’audit d’acquisition est d’identifier les points d’appui afin de s’armer contre d’éventuels risques mis en avant lors de ce dernier. Les résultats de l’audit serviront ainsi à établir une base de discussion et justifieront des négociations relatives au prix de cession ainsi que sur la mise en place de garanties.

La réalisation d’un audit technique dans le cadre d’une due diligence prend toute son importance une fois l’étude commerciale et organisationnelle effectuée.

L’auditeur cherchera d’abord à comprendre l’entreprise et son organisation sur la base de la documentation mise à sa disposition (documents de gestion, comptables, etc) mais également via des entretiens (direction, salariés) et des visites sur site. Il pourra également réaliser des études telles que des analyses de marché afin d’avoir une vision claire sur l’écosystème concurrentiel dans lequel évolue l’entreprise, benchmarker son organisation, et identifier les forces et faiblesses de l’entreprise vis-à-vis de la concurrence.

Les conclusions de l’audit commercial et organisationnel se reposant sur de la documentation et des entretiens, il est difficile de voir comment les processus (administratifs, RH, marketing, commerciaux…) de l’entreprise sont réellement mis en œuvre dans ses systèmes.

En effet, l’efficacité des opérations ainsi que les performances de l’entreprise reposent aussi en  grande partie sur le bon fonctionnement de son système d’information. Et pas uniquement : maintenabilité, évolutivité performance technique, sécurité, coût total de propriété (TCO)… l’ensemble de ces facteurs relatifs au système d’information peuvent d’une façon ou d’une autre impacter la viabilité et la rentabilité de l’acquisition.

C’est dans ce cadre qu’un auditeur – disposant d’un solide bagage IT ou accompagné par des spécialistes – peut étudier le patrimoine applicatif de l’entreprise ciblée. De cette manière, il peut identifier le potentiel, les zones de risques, et les axes d’amélioration du système d’information afin de fournir une visibilité encore plus grande aux investisseurs qui le mandatent.

Évaluer et analyser avant d’acquérir : retour d’expérience

Il y a quelques temps, un groupe français opérant dans le secteur du divertissement souhaitait lancer une activité de jeux en ligne. Pour y parvenir, deux options étaient envisageables : acquérir une plateforme existante ou la construire de zéro.

Dans le cadre d’une acquisition, le Groupe avait déjà ciblé une plateforme existante. Un premier contact avait même été initié, notamment pour discuter du coût potentiel de l’opération. Toutefois, avant d’aller plus loin, deux éléments majeurs se devaient d’être analysés :

• La qualité technique de cette plateforme ;
• La capacité à générer des revenus à partir de celle-ci.

C’est à ce moment-là que l’expertise d’ekino a été sollicitée afin de clarifier ces deux points et d’évaluer la complémentarité entre les éléments technologiques et organisationnels.

La méthodologie adoptée 

Afin de juger de la qualité technique de la plateforme (et donc de la viabilité de l’investissement), nous avons défini 4 piliers à faire valoir :

• La sécurité : mécanisme d’authentification, vulnérabilités, sécurité des données ;
• Scalabilité : La capacité de la plateforme à tenir la charge. La plateforme comptait quelques milliers d’utilisateurs, cependant le Groupe avait des ambitions bien plus élevées. Il était donc nécessaire de savoir si la plateforme serait capable d’accueillir un très grand nombre d’utilisateurs en même temps, et si elle était capable de gérer les pics de trafic (événements spéciaux, tournois) ;
• L’évolutivité : La capacité à faire évoluer la plateforme simplement et sereinement, afin de s’assurer que cette dernière soit assez durable pour évoluer avec le business sans nécessiter une refonte complète dans quelques années ;
• Exploitation : La gestion de l’environnement, et le maintien opérationnel de la plateforme, de sa qualité de service. Cela implique par exemple la gestion des back-up afin d’éviter toute perte de données.

Nous avons poursuivi cette analyse en déclinant chacun des piliers à travers les catégories et sous-catégories suivantes :

• Processus : Outils de gestion de projet, accueil des nouveaux membres de l’équipe, processus de revue de code, environnements, etc.) ;
• Backend / Frontend : Documentation, lisibilité du code, licences, tests automatisés, tests de charge, normes de codage, etc.) ;
• Infrastructure : Infra as code, réseau, déploiement, architecture SSL/TLS, monitoring, utilisation AWS, etc.).

Un framework d’analyse a été mis en place, et chacun de ces éléments a été évalué au travers d’un audit, impliquant des entretiens avec les différentes parties prenantes en charge de la plateforme, une étude de la documentation existante, ou encore des tests de performance menés par un architecte logiciel et un expert du Cloud. Les questions relatives à l’organisation et aux processus ont quant à elles été traitées par un consultant technique.

C’est à l’issue de cette analyse qu’une recommandation a été fournie.

Verdict

Dans ce scénario particulier, les analyses qui ont fait surface ont clairement influencé leur décision de ne pas acquérir la plateforme ciblée. L’une des raisons tient au fait de l’absence de back-up. Ainsi, si la plateforme tombait, toutes les données seraient perdues. L’ensemble de l’infrastructure n’étant ni documentée ni automatisée, seul le lead développeur serait en mesure de la reconstruire. De plus, en cas de pic trafic entrant élevé, l’application atteindrait certainement une limite qui ralentirait, voire le rendrait totalement indisponible. 

Du côté de la sécurité, nous avons également pu constater que la plateforme reposait sur une version de Node.js, dont le support avait pris fin en 2016. Nous avons pu observer plusieurs centaines de vulnérabilités backend dues à cette dette technique : Le serveur était donc vulnérable à de multiples attaques et la sécurité des données était potentiellement compromise.

À l’issue de notre audit, nous avons donc estimé qu’il y avait un risque très élevé en ce qui concerne la sécurité des données.

Bien que d’autres éléments aient contribué à la décision finale, il s’agissait là de plusieurs points d’alerte quant au risque de cette acquisition et aux investissements nécessaires pour sécuriser la plateforme.

Réaliser un audit en temps de COVID-19 

Prenons un autre exemple, cette fois-ci où des facteurs externes et inattendus ont perturbé l’ensemble du processus. Ayant l’intention de se développer sur un nouveau marché, un groupe bancaire français souhaitait déterminer s’il pouvait poursuivre ces ambitions avec l’un de ses partenaires étrangers, et ainsi internationaliser la plateforme existante de ce dernier plutôt que de repartir de zéro. Dans cette optique, le Groupe a fait appel à l’expertise d’ekino afin d’évaluer les dimensions suivantes :

• Le niveau de risque et l’identification d’un plan d’amélioration ;
• Les capacités de développement du partenaire ;
• La pérennité de l’organisation et la productivité des partenaires ;
• L’interdépendance des systèmes ;
• La fiabilité et la sécurité de la plateforme ;
• La sécurité des données.

Bien que le partenaire ait démontré une volonté de transparence et d’aller de l’avant dans ce processus, nous avons tous été confrontés à un contexte exceptionnel : le confinement.

Cet événement, auquel nous avons naturellement dû apprendre à faire face, a eu plusieurs impacts sur l’audit :

• Difficulté pour le cédant de faire face aux défis d’organisation du télétravail,  la réalisation d’un sprint, et la participation à des sessions d’évaluation ;
• Moins de place pour la notion de découverte car chaque sujet était préparé à l’avance ;
• Une capacité réduite à entrer en contact avec les équipes du groupe, de se faire une idée de l’atmosphère, et d’ identifier d’éventuelles informations dites “officieuses” ;
• Impossibilité d’accéder au code complet et d’identifier clairement le niveau d’interdépendance entre le code principal du partenaire et le code du groupe d’achat.

La procédure : 3 étapes en 6 semaines

1) Collecter et identifier : la première étape, comme toujours, était la collecte des différents éléments nous permettant de réaliser l’audit : 

• Schéma d’architecture et d’infrastructure (front-end avec multi-client et back-end) ;
• Liste des rituels agiles ;
• Technologies (pile d’applications et infrastructure) ;
• Flux de travail organisationnel (ingénieurs) ;
• Feuille de route 2020, migration et mise à niveau prévues ;
• Liste des incidents de performance et de sécurité 2019 ;
• Organigramme (avec l’équipe globale : PO / Scrum Master et ingénieurs) ;
• Description de la chaîne d’outils CI / CD + outils de qualité et de sécurité ;
• Idéalement, le code source ;
• Liste des outils.

2) Discuter et alimenter : Au cours de notre analyse, des entretiens avec l’équipe ont été menés afin d’obtenir du contexte et de garantir une compréhension claire de la stabilité technique et organisationnelle.

3) Analyser et formaliser : L’étape suivante était de synthétiser et partager les principaux résultats, déterminer le niveau de risque concernant le pivot commercial, et enfin, identifier les actions clés pour atténuer les risques identifiés.    

Verdict

À l’instar du premier cas, c’est un ensemble de circonstances qui a influencé la décision de notre client. L’un des principaux risques identifiés était la dette technique, qui rendrait difficile l’évolution et la performance de la plateforme dans le temps.  Certaines problématiques de performance (latence dans le processus d’accueil, ou chargement lent de pages…) ont également été observées, impactant ainsi la qualité de l’expérience utilisateur et donc la qualité de service.

Sur la base de ces observations, nous avons suggéré à notre client plusieurs options :

• La première était d’améliorer la mise en œuvre actuelle avec le partenaire existant, tout en sécurisant des ressources pour financer et mettre en œuvre un plan d’action.

• La deuxième solution, plus nuancée, consistait à transformer la configuration actuelle par la redéfinition des relations contractuelles et de la plateforme. Il était alors question de maintenir la continuité du service actuel sans évolution ni investissement supplémentaire, tout en mettant en œuvre une nouvelle conception et prestation de services dans un cadre technologique défini par le client.

• Enfin, la dernière option, plus directe, était de repartir de zéro. Dans ce cas, le client est en mesure de définir précisément les besoins et de redéfinir la proposition de valeur en fonction des attentes de la cible.

Notre travail terminé, le client a pris le temps d’examiner les différentes options, et finalement opté pour une solution intermédiaire. Ils ont décidé de conserver la plate-forme existante telle quelle, en la limitant à ses capacités, tout en développant en coulisse une plate-forme entièrement nouvelle qui répondrait mieux aux besoins.

Le facteur clé : une approche humaine de l’audit

Parmi les nombreux défis auxquels on peut être confronté lors d’un audit, il est assez fréquent de rencontrer des difficultés lors de la phase de collecte des informations. Qu’il s’agisse d’informations générales ou d’accès à des outils spécifiques, un temps considérable peut être investi à parcourir la documentation, ralentissant ainsi l’ensemble du processus. Parallèlement, ces contraintes conduisent inévitablement à la formulation d’hypothèses, qui sont théoriques et donc incertaines. 

Sur le plan technique, par exemple, nous avons constaté que l’historique des décisions concernant l’architecture d’une plate-forme n’est pas toujours disponible. Il arrive également que nous découvrons des modèles de conception peu familiers, par exemple dans la manière dont le code a été conçu.

S’il est nécessaire de conserver un esprit ouvert lors de l’analyse des différentes méthodes de conception, la clé de tout audit fructueux repose avant sur la communication et la transparence. En effet, lorsque nous menons des entretiens avec différentes personnes, il n’est pas rare de constater des incohérences dans les discours, voire des opinions opposées sur un sujet donné. 

Ces contraintes font que la collaboration et la dimension humaine doivent être au cœur des réflexions. En effet, la pédagogie facilite grandement l’échange d’informations et, naturellement, plus la communication est aisée, plus les différentes parties sont susceptibles de mieux définir et répondre à leurs besoins. Enfin, nous pouvons souligner que le contexte du COVID-19 n’a fait que renforcer ce phénomène et accroître la nécessité d’une telle approche. 

Pour ce faire, quelques éléments clés nous permettront d’éviter ces obstacles et de rendre le travail auditif plus efficace :

• Avoir des échanges réguliers avec les parties prenantes pour confirmer les progrès et éventuellement obtenir de nouvelles informations.
• Comprendre leur définition de la qualité/acceptabilité.
• Disposer d’un nombre suffisant de personnes et de sources différentes pour recouper les informations et obtenir une image aussi précise que possible.
• Une certaine empathie pour les développeurs et une certaine flexibilité pour accepter la différence, tout en gardant de la rigueur dans le jugement.

Pour conclure

Lorsqu’il s’agit de réaliser un audit comportant autant d’aspects organisationnels que techniques, une méthodologie adaptable à votre secteur et à vos outils est primordiale. Avec des capacités éprouvées dans le domaine, et sur tous types de plateformes, nos méthodes d’audit sont conçues et mises en œuvre afin de répondre aux objectifs de l’entreprise, allant des processus métier aux contrôles des applications et à l’infrastructure technologique. À cet égard, la capacité d’aller au-delà des domaines de contrôle ou d’audit IT standard et de garantir l’alignement entre votre business et votre patrimoine applicatif  présente un atout considérable.