Due diligence technique - sécuriser son investissement dans des startups IT - Part I/II

Ou comment investir puis valoriser son portefeuille de startups

Introduction

Les effets directs ou indirects de la pandémie, bouleversent de nombreuses entreprises et en particulier les startups. Le gouvernement a d’ailleurs débloqué 4 milliards d’euros pour leur venir en aide. Pour la BPI, une des questions sera de savoir sur lesquelles porter les efforts.

De ces bouleversements faits de fragilités, de changements de cap voire d’accélérations font naître des opportunités d’investissement ou de rachat. En particulier pour les entreprises ou les investisseurs dont les liquidités n’auront pas fondu, il y aura des prises de positions à court et moyen terme. Le confinement a obligé certaines startups à muter et les prises de participation évoluent tout en restant dynamiques.

La transformation digitale par la force des choses

Ici dans une série de 2 articles nous tenterons d’apporter des éléments de réponse sur comment sécuriser des investissements dans des startups ou l’IT est partie constituante de son asset. Pour les entreprises investisseuses, nous tenterons d'apporter ensuite des éléments de réponses sur comment valoriser leur portefeuille de startups, comment valoriser leurs assets, comment les accélérer et les aider dans leur quotidien.

Nous nous appuyons sur nos retours d’expérience issus de notre veille et de notre expertise acquise lors de nos audits et due diligence techniques.

Avant d’investir passez au contrôle technique et faites une due diligence technique

Avant de s’engager les investisseurs (entreprises, VC - Venture Capitalist) s’intéressent aux « business models », à la dimension juridique (brevet, territoires d’actions, …) enfin à la partie technique et digitale de la startup. L’objectif est de se rassurer sur sa capacité technique à passer à l’échelle et de sécuriser autant que possible son investissement.

Au fil des années, grâce à notre expertise technologique, méthodologique, UX ou produit, nous avons appris à scanner rapidement un acteur lors d’audits et autres due diligence techniques (Due Dil tech des startups). Nous interviewons les équipes du dirigeant aux équipes de développement et opérons en parallèle un audit du code logiciel produit.

“Notre objectif principal est d’éviter un engagement financier dans une entreprise techniquement risquée. Relativement à l’IT, nous donnons un GO / NO GO sur l’investissement.”

Notre canvas d’analyse 360° s’étend de la roadmap produit à l’infrastructure IT en passant par l’organisation, l’industrialisation des développements ou la sécurité (voir détail plus bas).

Nous savons détecter très vite les tendances de fond pour dire si oui ou non l’acteur est « robuste » techniquement et pour savoir si son système d’information est capable de passer à l’échelle. Nous agissons dans un mode nommé le « red flag ». Le « red flag » est une alarme signalant « attention sur ce critère » il y a des éléments qui risquent de bloquer la progression de la startup dans son développement.

En résumé la due diligence technique consiste à

  • Détecter les “red flags” techniques et en particulier autour de la production logicielle
  • Vérifier que la startup est préparée pour passer à l’échelle
  • Valoriser l’asset IT/ : “Build or Buy Asset IT”
  • Fournir un avis étayé, complété de recommandations pour la startup

La due diligence technique en un dessin

Notre framework d’audit

Notre framework est découpé en 13 thèmes qui vont de la roadmap à la sécurité en passant par la documentation, l’organisation des équipes, le code ou la résilience.

Notre framework due diligence technique

L’ensemble de ces problématiques se télescopent et sont interdépendantes les unes avec les autres. Nous les abordons de manière globale lors de nos entretiens. Seul l’audit du code logiciel peut être opéré de manière indépendante. Ce dernier vient quelquefois infirmer mais le plus souvent confirmer ou préciser nos analyses issues des entretiens. C’est d’ailleurs en croisant les deux, l’audit du code et les entretiens, que nous pouvons au final donner un diagnostic fiable et nous rassurer sur la transparence des équipes rencontrées. 
Enfin, si nous fournissons un avis étayé pour l’investisseur, la plupart du temps et avec son accord, nous complétons notre avis de recommandations pour la startup. Ces recommandations sont partagées et peuvent s’inscrire dans une roadmap co-construite entre l’investisseur et la startup.

Pour pouvoir réaliser de tels audits / due diligence, nous sommes sous NDA - Non Disclosure Agreement. Cela induit un certain nombre d’obligations autour de la suppression de documents ou de la non conservation de codes sources audités, ainsi qu’autour du respect de la propriété intellectuelle, de clauses de non-concurrence, ou de non-débauchage d’employés issus de la startup ...

Rentrons maintenant plus en détail sur les thèmes principaux du framework

Roadmap

Nous commençons toujours par rencontrer les dirigeants pour qu’ils nous racontent leurs parcours : d’où viennent ils et pourquoi ont ils entrepris cette startup. Ensuite, nous leur demandons de nous dévoiler leur roadmap produit à court et moyen terme. C’est un élément important car nous devons ensuite évaluer si la startup est dimensionnée et préparée à absorber cette roadmap d’un point de vue organisationnel et technique. Enfin, nous nous assurons que les équipes techniques sont alignées avec cette roadmap.

Risque RH, méthodes et organisation, industrialisation des développements

Au fil de nos due dil techniques nous avons remarqué que les meilleures startups ont particulièrement des équipes IT talentueuses. De fait, elles s'appuient sur une organisation, une autonomie et une capacité à délivrer un logiciel de qualité, bien architecturé (à l'état de l'art), maîtrisé et raccord avec les objectifs métier. Ces équipes techniques sont par ailleurs alignées sur les objectifs et la vision métier de la startup. Nous avons aussi fait le constat que les équipes les plus matures sont en général celles qui sont les plus humbles et les mieux armées pour s'adapter à un environnement changeant. Elles sont par ailleurs plutôt conscientes des limites de leur organisation et de leur logiciel ([dette technique](https://blog.octo.com/maitriser-sa-dette-technique/; https://blog.octo.com/la-dette-technique-dans-un-si/)) et sont en recherche permanente pour les améliorer dans des processus constants d’apprentissage.

“Le bon niveau technique et organisationnel de ces équipes leur permettra de résoudre les difficultés qu'elles rencontreront au fur et à mesure.”

Les meilleures startups ont très souvent des équipes talentueuses et il est alors important de s’assurer que les personnes clés (surtout en phase d’amorçage) sont bien “incentivées” (parts dans la startup, bonus calculés sur la performance de la startup,...) et que leur “séjour” dans la startup est sécurisé pour qu’ils y restent au moins quelques années.

Enfin, en général, les approches self service, l'automatisation des process opérationnels et de la livraison logicielle sont des drivers forts pour ces équipes. Les équipes de développement sont capables de délivrer du code logiciel régulièrement, fréquemment, de manières sécurisées et directement en production. Les tests automatisés sont parties intégrantes de leurs développements et de plus en plus l’on y croise des profils QA qui assurent une qualité logicielle délivrée encore supérieure.

Au fil des ans, par comparaison avec les meilleures équipes croisées nous enrichissons notre benchmark.

Code et architecture logicielle, pilotage du SI

Nous pratiquons un audit logiciel automatisé par outillage et manuel par carottage dans le code. Rappel : nous sommes toujours sous NDA - Non Disclosure Agreement.

Les codes sources logiciels font l’objet d’un audit de code automatisé au moyen d’outils comme SonarQube, afin de fournir des métriques de qualité logicielle objectives. Ils sont complétés par un audit de code manuel - une revue de code par des experts du développement logiciel. 
En ce qui concerne l’analyse par revue de code, en fonction des technologies utilisées, nous mobilisons des experts du développement logiciel qui suivent et complètent un framework “software craftmanship” Octo .

Extrait d’une grille d'analyse Octo de code logiciel - échelle de notation

Performance et scalabilité, résilience et reprise d'activité

Pour évaluer la capacité d’une startup à passer à l’échelle nous évaluons la capacité de son IT à suivre ce passage et les coûts qu’il induit. Nous mesurons si l’architecture, les composants/plateforme sont en mesure d'encaisser techniquement une montée en charge et les impacts en termes de coût des infrastructures qui en découleront (en particulier sur les infrastructures cloud et / ou sur la sollicitation de partenaires et services tiers par exemple). Si besoin, nous questionnons sur la mise en place de tests de performance et la stratégie de monitoring très rapprochée des performances et des coûts.

Au sein de l’architecture, nous évaluons le monitoring et l’automatisation qui permettent aux équipes de comprendre vite, de réagir vite et d'adapter la plateforme le cas échéant (scalabilité de l'infrastructure, management de services à la volée, déconnexion de composants, absorption de pics de charges...).

S’il y a lieu nous évaluons les protocoles de tests de performance et en particulier la rigueur du protocole de mesure et d’améliorations associées. En ce qui concerne la résilience, nous démarrons la conversation sur la mise en place et les tests d’un PCA (Plan de Continuité d’Activité) et / ou d’un PRA (Plan de Reprise d’Activités).

Gestion et intégrité des données

Sur cette problématique des données, au delà des questions classiques sur la gestion d’intégrité applicative et / ou technique, le lieu d’hébergement ou les sauvegardes, nous questionnons si nécessaire les protocoles mis en place autour de la RGPD : conditions d’accès aux données, traitement, croisement et consentement, droit à l’oubli, personnes référentes RGPD au sein de la startup, ou encore design d’API compatible RGPD ...

Sécurité

Nous ne faisons pas un audit de sécurité à proprement parler. Nous procédons à des vérifications en évaluant la gestion des flux de données (échange de données, sécurisations des APIs, détection d’attaques par analyse des requêtes entrantes...), la gestion des accès au SI (internet, bases, …), la surveillance d’obsolescence des frameworks embarqués ainsi que les mises à jour qui en découlent.

Nous pouvons si besoin pratiquer un audit rapide en suivant les recommandations OWASP (en s’appuyant par exemple sur ZAP). Nous complétons le plus souvent par un scan statique du code (Checkmarx) et par son analyse manuelle (voir point précédent). 
Si nécessaire nous questionnons les dispositifs de sécurité appliqués aux employés - accès aux locaux, protections des portables par chiffrement, utilisation de gestionnaire de mot de passe, mise à disposition d’un WIFI invité….

Conclusion

Pour une entreprise investisseuse, l’objectif principal est d’éviter un engagement financier dans une startup techniquement risquée. Grâce à notre audit nous sommes en mesure d'évaluer le risque et la pérennité technique de la startup. Nous nous appuyons sur notre framework 360° due diligence technique dont l’objectif est de se rassurer sur la capacité technique, organisationnelle d’une startup à passer à l’échelle et ainsi de sécuriser autant que possible l’investissement de l’entreprise.

Une due diligence qui permettra de :

  • Détecter les red flags techniques en particulier autour de la production logicielle
  • Vérifier que la startup est préparée pour passer à l’échelle
  • Valoriser l’asset IT/ : “Build or Buy Asset IT”
  • Fournir un avis étayé, complété de recommandations pour la startup

Enfin, nul n’ignore qu’une pandémie est passée par là. Nous avons eu quelques réflexions en interne et nous avons fait évoluer notre framework d’analyse. Nous pouvons évaluer les évolutions d’une startup pendant cette période de crise aiguë; en particulier dans sa capacité à adapter son produit, son IT ou son organisation. Ce type de crise fait ressortir des gènes profonds de sa culture, de ses dirigeants et de ses employés. En terme de légitimité, nous restons sur notre expertise autour de “la production logicielle” et de l’impact Covid sur cette dernière dans les organisations.

Et maintenant ?

L’investissement effectué, il s’agit désormais d’accompagner les startups pour les voir grandir. Dans le prochain article, nous tenterons donc d'apporter des éléments de réponses aux entreprises investisseuses, sur comment valoriser leur portefeuille de startups, comment valoriser les assets de ces dernières et enfin comment les accélérer et les aider dans leur quotidien.