Mob-Energy clôture sa série A de 10 millions d’euros

La société lyonnaise de deeptech, Mob-Energy, franchit une étape majeure en élargissant ses horizons. Après avoir déménagé dans de nouveaux locaux industriels à USIN Lyon Parilly, elle vient d’annoncer une levée de fonds de 10 millions d’euros pour soutenir sa croissance.

 

Après trois ans depuis son lancement, Mob-Energy voit Charles, le tout premier robot autonome de recharge déployé en Europe, qui permet de charger de 10 à 20 voitures par jour là où elles sont garées avec une seule « borne » mobile, ainsi qu’Eiko, une solution de recharge évolutive pour les parkings privés d’entreprises et d’administrations, les parkings publics, les hubs logistiques et les aéroports, bénéficier d’un soutien financier supplémentaire. Alors que la start-up entame l’industrialisation de ses solutions de recharge, fabriquées en France, à Lyon, elle clôture une importante levée de fonds de 10 millions d’euros, trois ans après avoir réalisé une levée d’amorçage.

 

Cette levée de fonds a été orchestrée par Axeleo Capital et organisée par la banque d’affaires Wagram Corporate Finance. Elle rassemble un consortium d’investisseurs comprenant un fonds géré par Santander AM, Bpifrance, UI Investissement, Crédit Agricole, le Fonds Énergies CMA CGM, EIT InnoEnergy et deux investisseurs privés. Cette levée de fonds marque un tournant important pour l’entreprise, qui envisage également de s’étendre à l’international en dehors de l’Europe dans les années à venir.

 

« L’année 2023 marque un tournant pour Mob-Energy. Cette Série A est notre passeport vers un chapitre excitant et plein de défis : la montée en puissance industrielle. Nous avons fait un choix en 2018 (date de création de l’entreprise, Ndlr) d’avoir une part d’industrie dans notre projet, choix qui aujourd’hui porte ses fruits. Le savoir-faire construit durant ces cinq années, notamment sur le reconditionnement des batteries automobiles usagées, donne beaucoup de force et de sens au projet », stipule Salim El Houat, co-fondateur et président de Mob-Energy.

 

Joffe & Associés (Thomas Saltiel, Charlotte Viandaz et Rudy Diamant) est intervenu en tant que conseil de AXELEO CAPITAL, BPIFRANCE INVESTISSEMENT et SANTANDER ASSET MANAGEMENT dans le cadre de cette opération.

 

Aktid ouvre son capital à Initiative & Finance Tomorrow

Retrouvez l’article original de Les Echos Capital Finance ici.

 

Joffe & Associés (Christophe Joffe, Charlotte Viandaz, Clémence Bressolin et Clément Peillet), conseille  Aktid dans le cadre de l’ouverture de son capital à Initiative & Finance Tomorrow, pour son développement à l’international. 

 

Dans un contexte de prise de conscience croissante en faveur de l’écologie et de contraintes législatives, Aktid, le leader français de la conception de centres de tri, célèbre ses 18 ans en ouvrant pour la première fois son capital à un investisseur financier. Suite à un processus mené par Mazars CF, cette PME basée en Savoie et fondée par Pierre André Payerne en 2005, a choisi de confier entre 30% et 45% de son capital au nouveau fonds mid-cap d’Initiative & Finance, Tomorrow.

 

Ce fonds est spécialisé dans les investissements dans des entreprises de taille intermédiaire (ETI) engagées dans la transition environnementale. Le Crédit Agricole des Savoies, partenaire bancaire historique de l’entreprise, participe également en co-investissant via sa structure de private equity régionale, C2AD, et co-arrange la dette senior avec Arkea et la Caisse d’Epargne Rhône-Alpes.

 

Revendiquant fièrement sa position de numéro un sur le marché de la conception et de la réalisation d’installations de tri et de valorisation des déchets solides non dangereux, Aktid a connu une croissance remarquable de son chiffre d’affaires, lequel a doublé en une seule année, passant de 40 à 80 millions d’euros en 2023. Cette hausse significative s’explique en partie par la forte visibilité de l’entreprise sur son carnet de commandes et sa capacité à anticiper l’augmentation de son activité en recrutant activement une trentaine de collaborateurs au cours des dernières années, portant ainsi son effectif à environ une centaine de salariés.

Le groupe C-Beyond intègre Automatique & Industrie à ses rangs

Retrouvez l’article original de CFNEWS ici.

 

 

Grâce au soutien de Kresk, Isatis et Bpifrance, le cabinet d’ingénierie de Mulhouse, qui génère 65 millions d’euros de revenus, renforce ses compétences en faisant l’acquisition d’Automatique & Industrie basé à Grenoble, qui affiche un chiffre d’affaires de 12,7 millions d’euros. 

 

Après les acquisitions de BTM Consultants, Enerjia et Altitem basés à Toulouse, C-Beyond, la société mère de B-Hive, un cabinet de conseil en ingénierie, poursuit sa croissance en acquérant Automatique & Industrie, basé à Grenoble, pour un montant légèrement supérieur à 20 millions d’euros. Cette opération est rendue possible grâce à des lignes de financement non confirmées qui avaient été prévues lors du LBO de l’année dernière.

 

En 2018, Pascal Mioche, président de la société basée en Isère, avait anticipé la transmission de l’entreprise en mettant en place un OBO (Owner Buy-Out), impliquant les dirigeants Arnaud Vanden Borre et Régis Ruckert, ainsi que la participation de Crédit Agricole Sud Rhône Alpes à hauteur de 10 % du capital, ainsi que la participation de quatre salariés à un niveau très minoritaire. Régis Ruckert, directeur général chez Automatique & Industrie, explique : « Pour accélérer notre croissance et passer d’une PME à une ETI, il était nécessaire de s’adosser à un groupe plus important que le nôtre ».

 

Dans le cadre de cette cession, les membres de l’équipe de direction réinvestissent dans la holding de C-Beyond, tandis que les dirigeants et les salariés conservent leurs postes respectifs. Pascal Mioche, proche de l’âge de la retraite, occupera des fonctions transverses au sein du groupe.

 

Joffe & Associés (Aymeric Dégremont, Romain Soiron) est intervenu en tant que conseil de Automatique & Industrie (A.I) et de ses actionnaires, dans le cadre de cette opération.

 


 

Société cible /  AUTOMATIQUE & INDUSTRIE (AI)

Date opération : 04/07/2023

 

Acquéreur ou Investisseur : C-BEYOND (B-HIVE, BTM CONSULTANTS, ENERJIA, ALTITEM, AUTOMATIQUE & INDUSTRIE ) , Yann Heitz , KRESK DEVELOPPEMENT , Charles Collin , Alexandre Foulon , ISATIS CAPITAL , Yonathan Elmalem , Laurène Sicsic , BPIFRANCE INVESTISSEMENT , Olivier Levy , Valentin Carbonneaux , Sylvie Huss

Cédant : MANAGER(S) :  Pascal Mioche , Régis Ruckert , Arnaud Vanden Borre ,Crédit Agricole Sud Rhône-Alpes 

Société Banquier d’Affaires / Conseil M&A : Mazars Cf, Henry Turquand D’Auzay , Antoine Havret , Hakim Toumani

Société Avocat d’Affaires Corporate : JOFFE & ASSOCIES , Aymeric Dégremont , Romain Soiron

Acquéreur Banquier d’Affaires / Conseil M&A : Advance Capital , Guillaume Philippot , Dylan Carry , Prescillia Dard

Acquéreur Avocat Corporate : Orion Avocats , Carole Baumert , Olivier Bilger , Adeline Bezault

Dette : CAISSE D’EPARGNE GRAND EST EUROPE (CEGEE) , Olivier Leyre , BANQUE POPULAIRE ALSACE LORRAINE CHAMPAGNE (BPALC) , Olivier Petitfrere , CREDIT MUTUEL , Karim Dahmamou

 

Dette Avocat : Gowlings , Danhoé Reddy-Girard

 

FINANCE NUMERIQUE : LES ACTEURS DU SECTEUR FINANCIER DOIVENT ANTICIPER DES MAINTENANT LE NOUVEAU REGLEMENT DORA

Finance numerique : le règlement européen n°2022/2554 sur la résilience opérationnelle informatique du secteur financier (« DORA » pour Digital Operational Resilience Act) a été adopté le 14 décembre 2022 et s’appliquera à compter du 17 janvier 2025.

 

Ce règlement a pour objectif de renforcer la sureté technologique et le bon fonctionnement du secteur financier. Il fixe des exigences de sécurité de sorte que les services financiers puissent résister et se remettre des perturbations et menaces liées aux technologies de l’information et de la communication (« TIC ») dans toute l’Union européenne.

Il s’applique à un large éventail d’acteurs évoluant dans le secteur financier ainsi que leurs partenaires technologiques, tels que notamment les établissements de crédit, entreprises d’investissement, établissements de paiement, sociétés de gestion, entreprises d’assurance et prestataires tiers de services TIC opérant dans les services financiers.

 

Le règlement DORA s’articule autour de cinq chapitres qui fixent un ensemble de règles ayant un impact majeur sur les procédures de sécurités internes et les relations contractuelles des acteurs du secteur financier.

 

Les principales mesures sont les suivantes :

 

1° La gestion des risques informatiques

Le règlement DORA impose l’adoption de cadres de gouvernance et contrôle internes afin de garantir une gestion efficace et prudente de tous les risques informatiques.

Les entités financières devront également mettre en place un cadre de gestion des risques informatiques adapté à leurs activités leur permettant de parer aux risques informatiques de manière rapide et efficiente.

 

Ainsi, à titre préventif, elles devront :

  • Utiliser et tenir à jour des systèmes, protocoles et outils de TIC adaptés, fiables et suffisamment résilients sur le plan technologique ;
  • Identifier toutes formes de risques informatiques ;
  • Assurer un suivi et un contrôle permanent du fonctionnement des systèmes et outils TIC ;
  • Mettre en place des mécanismes de détection d’activités anormales ;
  • Définir des processus et mesures d’amélioration continus, une politique de continuité des activités, une politique de sauvegarde et des procédures et méthodes de restauration et rétablissement.

 

Les entreprises concernées devront disposer de capacités et effectifs pour recueillir des informations sur les vulnérabilités, les cybermenaces et les incidents liés au TIC. A ce titre, elles devront réaliser des examens post-incidents à la suite d’incidents majeurs ayant perturbé leurs activités principales.

Cette nouvelle règlementation impose également la formalisation de plans de communication en situation de crise afin de favoriser une divulgation responsable des incidents majeurs liés au TIC.

 

Il convient de relever que le règlement prévoit un cadre simplifié de gestion du risque lié aux TIC pour certains acteurs de petites tailles comme les petites entreprises d’investissements non interconnectées.

2° Les notifications d’incidents informatiques

 

 

Les entités financières devront formaliser et mettre en œuvre un processus de gestion des incidents informatiques encadrant leur gestion, détection et notification. La règlementation DORA introduit une méthodologie standard de classification des incidents de sécurité selon des critères spécifiques (durée de l’incident, gravité des effets sur les SI, nombres d’utilisateurs touchés, …).

 

Les entités financières seront soumises à une obligation de notification des incidents informatiques classés comme majeurs auprès d’autorités compétentes nationales désignées en fonction du type d’entité financière (notamment l’ACPR et l’AMF en France) et devront leur communiquer un rapport intermédiaire et un rapport final. Ces notifications devront intervenir dans des délais fixés ultérieurement par les autorités européennes de surveillance.

 

Dans le cas où un incident qualifié de « majeur » a une incidence sur les intérêts financiers de clients, les entités financières devront également informer ces derniers, dès qu’elles en ont connaissance, de l’incident et des mesures prises pour en atténuer les effets.

 

3° Les tests de résilience opérationnelle informatique

 

Afin d’évaluer leur état de préparation en cas d’incidents informatiques et de mettre en œuvre le cas échéant des mesures correctrices, les acteurs du secteur financier devront formaliser un programme solide de tests de résilience opérationnelle numérique comprenant une série d’évaluations, de tests, de méthodologies, de pratiques et d’outils à appliquer.

 

Tous les trois ans, ils devront également effectuer des tests de pénétration fondés sur la menace, réalisés par des testeurs indépendants et certifiés.

 

4° La gestion des risques liés aux tiers prestataires de services informatiques

 

Le règlement DORA introduit des principes généraux devant être respectés par les entités financières dans le cadre de leurs relations avec des tiers prestataires de services informatiques.

 

Celles-ci devront adopter une stratégie en matière de risques liés à ces tiers et tenir un registre d’information en rapport avec tous les accords contractuels portant sur l’utilisation de services TIC fournis par des prestataires tiers.

 

Les entités financières devront communiquer au moins une fois par an aux autorités compétentes des informations sur les nouveaux accords relatifs à l’utilisation de services informatiques et devront les informer de tout projet d’accord contractuels portant sur l’utilisation de tels services soutenant des fonctions critiques.

Ce texte impose également aux entreprises visées de ne conclure des contrats avec ces tiers uniquement s’ils respectent des normes adéquates en matière de sécurité de l’information.

 

Les droits et obligations entre les entités financières et les prestataires de services informatiques devront être définies au sein d’un contrat écrit qui devra inclure notamment les conditions suivantes :

  • Une description claire et exhaustive des services fournis ;
  • Les lieux où les services seront fournis et les données traitées ;
  • Des dispositions sur l’accessibilité, la disponibilité, l’intégrité, la sécurité et la protection des données personnelles ;
  • Des descriptions des niveaux de service ;
  • L’obligation pour le prestataire de fournir à l’entité financière, sans frais supplémentaires ou à un cout déterminé ex ante, une assistance en cas d’incident informatique ;
  • L’obligation pour le tiers de coopérer pleinement avec les autorités compétentes ;
  • Le droit de résiliation et le délai de préavis minimal.

 

Lorsque les prestataires tiers fournissent des services informatiques soutenant des fonctions critiques ou importantes, les contrats devront définir des conditions additionnelles parmi lesquelles :

 

  • L’obligation pour le prestataire de coopérer lors des tests de pénétration fondés sur la menace ;
  • L’obligation pour le prestataire de mettre en œuvre des plans d’urgence et de mettre en place des mesures de sécurité fournissant un niveau approprié de sécurité ;
  • Des droits illimités d’accès d’inspection et d’audit par l’entité financière ;
  • Les stratégies de sorties, telles que la fixation d’une période de transition adéquate obligatoire.

 

En outre, la règlementation introduit un cadre de surveillance pour les prestataires de services informatiques tiers critiques pour les entités financières selon une série de critères (effet systémique sur la fourniture des services en cas de défaillance, importance systémique des entités financières qui dépendent de ce prestataire, degré de substituabilité du prestataire, …). Les « prestataires critiques de services informatiques » se verront imposer un cadre de surveillance au regard d’un ensemble de critères : exigences de sécurité, processus de gestion des risques, disponibilité, continuité, modalités de gouvernance, …

 

Ces prestataires feront l’objet d’évaluations effectuées par les entités de supervision qui seront dotées de prérogatives leur permettant d’effectuer des demandes d’information, de procéder à des inspections générales et des contrôles sur place et de formuler des recommandations.

 

5° Le partage d’informations et de renseignements  

 

Le règlement DORA introduit des directives sur les échanges d’information entre entités financières sur les cybermenaces. Ces échanges devront viser à améliorer la résilience opérationnelle numérique des entités financières notamment et s’opérer dans le plein respect de la confidentialité des affaires.  De plus, les entités financières se verront imposer une obligation de notification aux autorités compétentes lors de la participation à des dispositifs d’échanges d’information.

 

Enfin, ce règlement prévoit que les différentes autorités compétentes disposeront de pouvoir de surveillance, d’enquête et de sanctions en cas de non-conformité aux dispositions de ce texte.

 

Ce sont les États Membres qui auront la charge d’arrêter les règles prévoyant les sanctions administratives et les mesures correctives appropriées en cas de violation du règlement et qui veilleront à leur mise en œuvre effective. Il convient de relever que, contrairement au RGPD, ce règlement ne prévoit pas un plafond en cas de sanction pécuniaire mais impose que les sanctions soient « effectives, proportionnées et dissuasives ».

 

Notre équipe IT-Digital et Data de Joffe & Associés se tient à votre disposition pour vous accompagner dans votre démarche de mise en conformité afin d’anticiper au mieux la mise en application de ce règlement, notamment lors de la négociation des contrats avec les prestataires TIC mais aussi pour auditer les contrats en cours. A noter que le règlement DORA a une portée plus large que l’arrêté du 3 novembre 2014.

Avignon Ceramic accueille Capza transition à son capital

Retrouvez l’article original de CFNEWS ici.

 

Joffe & Associés (Christophe Joffe, Océane Christman et Clémence Bressolin) conseille Avignon Ceramic, dans le cadre de l’accueil de Capza Transition en tant qu’investisseur principal. Capza Transition investira entre 10 et 20 millions d’euros pour acquérir la majorité des parts de l’entreprise auprès de l’équipe de direction.

 

Cinq ans après avoir réalisé son premier rachat (buyout) avec Adaxtra et Ouest Croissance, qui avaient investi environ 4 millions d’euros pour acquérir la majorité des parts, le fabricant de pièces céramiques techniques et de noyaux, basé à Chérier, vise à franchir une nouvelle étape avec l’aide de Capza Transition.

 

Le processus de sélection, mené par Mazars CF, a été remporté par ce fonds small cap de la plateforme multi-stratégies, qui prévoit d’investir entre 10 et 20 millions d’euros pour prendre le contrôle de cette PME, en partenariat avec son équipe de direction dirigée par Philippe Coulon.

 

« Le dirigeant a examiné les deux scénarios possibles : l’adossement industriel et un second buyout (LBO bis), avec pour objectif principal de préserver le savoir-faire spécialisé d’Avignon Ceramic en France et en Europe, afin de contrer la domination du principal concurrent américain », explique Matthieu Boyé, associé chez Mazars CF.

 

Fondée en 1870, Avignon Ceramic a connu une évolution progressive, passant de la céramique décorative à une niche industrielle axée sur la conception de noyaux céramiques et de pièces techniques. Ces produits sont principalement destinés à des applications critiques dans les moteurs utilisés dans l’aéronautique civile et militaire, le secteur de la production d’énergie et le domaine médical. Cette PME, basée dans le Cher, prévoit un chiffre d’affaires de 12 millions d’euros cette année, avec une croissance moyenne de 10%, en excluant les effets négatifs de la crise du Covid-19. Plus de la moitié de ce chiffre d’affaires est réalisée dans le secteur aéronautique.

 

L’objectif d’Avignon Ceramic est de poursuivre la diversification déjà entamée dans les turbines pour le secteur de l’énergie, ainsi que dans le domaine médical. En parallèle, l’entreprise étudie des opportunités de croissance externe. Emmanuel Bonnaud, associé chez Capza Transition, qui réalise son treizième investissement dans le cadre de son premier fonds, explique cette stratégie.

 

 


 

Retrouvez les détails de l’opérations et les intervenants ici.

Microoled réalise une levée de fonds de 21 millions d’euros pour ses lunettes augmentées

Le spécialiste de la conception de micro-écrans Oled, signe un troisième tour de table de près de 21 millions d’euros. Conseillés par Joffe & Associés (Thomas Saltiel, Camille Malbezin et Oriana Castelli), Jolt Capital et Bpifrance mènent cette levée de fonds devant des actionnaires historiques, dans le cadre de l’augmentation des capacités de production et l’alimentation de la recherche et développement de Microoled. 

 

Une nouvelle série de lunettes pleine couleur et haute luminosité pour les professionnels et la première pour le grand public. Microoled cherche désormais à justifier un nouveau tour de table pour renforcer et diversifier son développement commercial, près de trois ans après sa série B de 8 millions d’euros.

 

L’industriel grenoblois, emmené directement par Jolt Capital et Bpifrance, a mobilisé le fonds Innovation Défense pour signer un troisième tour de table de 21 millions d’euros.

 

« Nous avons saisi l’opportunité d’investir dans une société de haute technologie qui a déjà une large clientèle industrielle », managing partner chez Jolt Capital, aux côtés d’un actionnaire historique, Cipio Partners, avec qui nous avons déjà investi. » Ventech, entré en 2023 avec le fonds germano-luxembourgeois, remet également au pot. MicroOled, qui a généré près de 23 M€ de chiffre d’affaires en 2021, dont 95 % à l’export dans 25 pays, veut désormais profiter de ses nouveaux capitaux pour augmenter ses capacités de son unité de production à Grenoble.

 

D’autant que les annonces récentes au sujet de nouveaux casques grand public, qui devraient être disponibles en 2024, stimulent le marché global de la réalité augmentée, toutes applications confondues, y compris dans les domaines de l’industrie ou de la sécurité. Et s’il est possible d’utiliser un smartphone ou une tablette comme porte d’entrée vers cette technologie, les lunettes seront à terme incontournables.

 


 

Acquéreur ou Investisseur :  JOLT CAPITAL Pierre Garnier BPIFRANCE INVESTISSEMENT Nicolas Berdou CIPIO PARTNERS VENTECH

Société Avocat d’Affaires Acquéreur :  JOFFE & ASSOCIES Thomas Saltiel Camille Malbezin

Acquéreur Avocat CorporateMAGS AVOCATS Johann Charmette Gabriel Joseph-Deparis

The Independents acquiert le pionnier du marketing CTZAR

Le groupe international de communication The Independents , acquiert CTZAR, agence pionnière du marketing social media et de l’influence. Joffe & Associés (Christophe Joffe, Mathilde Vasseur et Carla Ferron) conseillait Tsartup dans le cadre de cette opération. 

 

Depuis sa création en 2017, The Independents s’est imposé comme un acteur majeur en réunissant des agences de renom à l’échelle mondiale. Le groupe se concentre sur la stratégie, la créativité, l’événementiel, les relations publiques, la gestion des données et l’influence, et incarne l’excellence dans son domaine. Il regroupe des leaders tels que Bureau Betak, K2, Karla Otto, Prodject, Lefty et The Qode.

 

Devenu une agence stratégique et créative experte des réseaux sociaux, du contenu et de l’influence, CTZAR est passé d’un réseau privé de trendsetters en 2008, spécialisé dans le bouche-à-oreille, à une entreprise qui positionne les marques au cœur des conversations pour émerger auprès des communautés digitales.

 

Ce rapprochement offre à CTZAR une plateforme mondiale dans 10 pays pour renforcer sa présence internationale, notamment en Asie, aux États-Unis, au Moyen-Orient et dans plusieurs pays européens. En outre, les synergies avec les autres agences du groupe permettront d’optimiser la gestion des clients et d’apporter l’expertise de chacune pour répondre aux problématiques de manière globale, tout en tenant compte des spécificités culturelles de chaque marché.

 

Camille Olivier et Thomas Silve, co-fondateurs de CTZAR, déclarent : « Nous sommes ravis de rejoindre le groupe The Independents et cette famille d’agences extrêmement prestigieuses. C’est un nouveau chapitre qui s’ouvre dans l’histoire de CTZAR, avec l’ambition de développer notre présence à l’international et de fournir une expertise locale pour les problématiques mondiales de nos clients. La dynamique collaborative entre les agences facilite une prise en charge efficace des clients à tous les niveaux. »

 

The Independents, qui vient de conclure une importante levée de fonds, prévoit de doubler sa taille d’ici 2025 en acquérant de nouvelles agences complémentaires à travers le monde.

Juno réalise une levée de fonds de 3 millions d’euros pour ses solutions SaaS

Retrouvez l’article original de CFNews ici.

 

Juno, une entreprise qui a introduit en janvier 2023 une solution logicielle en tant que service (SaaS) pour la gestion des opérations dans l’industrie, a récemment annoncé une levée de fonds initiale de 3 millions d’euros le 4 juillet. Cette ronde de financement a été réalisée grâce à la participation de Bpifrance, MAIF Avenir, OSS Ventures et plusieurs investisseurs providentiels issus du secteur de l’industrie.

 

L’entreprise, spécialisée dans l’édition de logiciels de gestion des opérations industrielles qui collecte des données de production, vise à ajouter des fonctionnalités d’analyse à sa plateforme. Pour cela, l’entreprise a réussi à lever environ 2 millions d’euros lors de sa phase d’amorçage, avec la participation notable de Maif Avenir et de Bpifrance, qui ont investi via leur véhicule Digital Venture. Deux business angels spécialisés dans le secteur de l’industrie, dont Benjamin Gauchenot (d’Eolane France), ainsi qu’OSS Ventures, un studio de start-up qui a cofondé la société avec Reda Ouafi et Thibaud Godillot au début de 2022, participent également à cette levée de fonds.

 

En plus de cela, un emprunt d’un montant supplémentaire d’un million d’euros a été contracté, portant le financement total à 3 millions d’euros. En août, la jeune entreprise avait déjà réalisé une levée de fonds informelle d’un montant de quelques centaines de milliers d’euros auprès de proches et de membres de la famille (love money). Joffe & Associés (Thomas Saltiel, Charlotte Viandaz et Mathilde Vasseur) est intervenu en tant que conseils des investisseurs dans le cadre de cette opération.

 

La solution développée par Juno est spécifiquement conçue pour la supervision des opérations industrielles et peut être déployée en seulement deux mois. Elle permet de remplacer les processus basés sur des documents papier ou des fichiers Excel. Cette solution est largement utilisée dans les secteurs pharmaceutique et agro-alimentaire. Elle offre concrètement des fonctionnalités telles que la gestion de la création et du partage de documents, les flux de validation, la collecte et l’analyse de données en temps réel, ainsi que la mesure des performances.

 

Juno a déployé sa solution auprès de grandes entreprises internationales françaises et suisses. Avec une équipe composée de douze employés, l’entreprise a généré un chiffre d’affaires de 300 000 euros en 2022. En plus des secteurs pharmaceutique et agro-alimentaire, le logiciel de Juno suscite également l’intérêt des industries aéronautique et automobile. La société prévoit une expansion progressive à l’international en ciblant notamment les filiales américaines, africaines et européennes de ses clients existants. Dans ce marché, Juno fait face à un concurrent notable, Dizisoft, qui a été acquis en février par Fives.

 


 

 

AVOCATS : COMMENT RÉAGIR FACE À UNE CYBER-ATTAQUE TOUCHANT VOS SYSTÈMES D’INFORMATION ?

Retrouvez l’article original publié au « Village de la Justice » ici.

 

Depuis quelques années, les cyber-attaques représentent une menace réelle et croissante pour tous les professionnels dotés d’un système d’information. Les avocats, quelle que soit leur structure d’exercice, ne font pas exception à la règle et doivent en conséquence se saisir rapidement de ces questions.

 

Les risques d’attaques par rançongiciel [1] ciblant les cabinets d’avocats sont en effet d’autant plus élevés du fait qu’ils détiennent des données sensibles et hautement confidentielles sur leurs clients.

 

Or, les conséquences d’une telle attaque peuvent être dramatiques tant pour le client que pour l’avocat.

Si le premier pourrait voir tout ou partie de son dossier divulgué et ses données utilisées à des fins malveillantes (usurpation d’identité, chantage…), le second pourrait subir une suspension de son activité, sans compter les coûts liés à la remédiation de l’incident ainsi que l’atteinte au secret professionnel et à sa réputation.

 

C’est la raison pour laquelle l’ANSSI a publié le 27 juin 2023 un guide [2] relatif à l’état de la menace informatique contre les cabinets d’avocats. Ce guide a pour objectif de sensibiliser les professionnels sur ces questions et leur livrer les mesures de sécurité technique et organisationnelle à mettre en place.

 

Ces mesures de sécurité sont indispensables à la prévention du risque d’attaque ; toutefois comme le risque zéro n’existe pas, il est essentiel de disposer des bons réflexes pour réagir efficacement à une cyberattaque.

Les avocats victimes d’une cyber-attaque devraient donc suivre le plan d’action suivant :

 

1. Prendre une assurance cyber-risque.

 

L’assurance de l’Ordre des avocats du Barreau de Paris ne couvre pas à ce jour les risques liés aux cyber-attaques (vol de données, rançongiciel, etc.). Les cabinets ne doivent pas faire l’économie de souscrire à une assurance cyber-risque qui leur permettra non seulement de bénéficier d’une aide pendant la crise (mise à disposition d’experts en cybersécurité, analyse forensique, définition d’un plan de gestion, etc.) mais également de couvrir les frais liés à la remédiation et à la perte d’exploitation.

 

Dès la découverte de l’attaque cyber et une fois les premières mesures techniques d’urgence prises par le responsable de la sécurité du système d’information du cabinet (sauvegarde, isolement du SI…) ou le prestataire informatique, l’avocat doit contacter son assurance cyber-risque.

 

2. Respecter les obligations de notification et de communication issues du RGPD.

 

Les cabinets d’avocats sont eux aussi soumis au respect du règlement général sur la protection des données (« RGPD ») en tant que responsables de traitement.

Le RGPD prévoit des obligations de notification et de communication à la charge du responsable de traitement en cas de violation de données, étant précisé qu’une violation de données est caractérisée en cas de perte de confidentialité, d’intégrité ou de disponibilité des données personnelles.

 

A titre d’exemple, dans le cas d’une attaque par rançongiciel visant un cabinet d’avocats, la violation de données est caractérisée dès lors que les données personnelles des clients et/ou des collaborateurs et salariés sont cryptées par le cyberattaquant (indisponibilité) voir divulguées (perte de confidentialité).

 

Toute violation de données personnelles devra être notifiée à la CNIL dans un délai de 72 heures maximum après sa découverte, dans le cas où un risque pour les personnes concernées est identifié (article 33 du RGPD).

En cas de risque qualifié d’élevé sur la vie privée des personnes concernées (notamment en cas de divulgation des données personnelles des clients et dans le cas de données sensibles au sens de l’article 9 du RGPD), le cabinet devra compléter cette notification par une communication directe de l’incident aux personnes concernées dans les meilleurs délais. Cette communication peut notamment prendre la forme d’un courriel et doit contenir les mentions obligatoires édictées à l’article 34 du RGPD.

 

L’avocat victime devra alors procéder à une analyse préalable des effets de l’incident sur la vie privée des personnes concernées afin de déterminer s’il doit notifier l’incident à la CNIL et communiquer aux personnes concernées le cas échéant.

 

En tout état de cause, qu’il notifie ou non l’incident à l’autorité de contrôle, l’avocat doit compléter son registre de violation des incidents [3].

 

3. Déposer plainte.

 

L’avocat devra procéder à un dépôt de plainte pénale contenant l’exhaustivité des faits et les fondements juridiques qualifiant les infractions commises dans un délai maximal de 72 heures s’il a souscrit à une assurance cyber. En effet, la loi d’orientation et de programmation du ministère de l’intérieur (LOPMI) du 14 décembre 2022 conditionne désormais le remboursement des rançongiciels au dépôt obligatoire d’une plainte de la victime au plus tard 72 heures après la connaissance de l’atteinte par la victime et ce, afin d’améliorer l’information des forces de sécurité et de l’autorité judiciaire sur les cyber-attaques [4].

 

Cette plainte peut être réalisée :
– Soit par écrit, directement auprès du procureur de la République [5] ;
– Soit auprès d’un service de police/gendarmerie qui renverra à un service spécialisé.

 

Les chefs d’infractions qui fondent généralement une plainte pénale dans le cadre d’une cyber-attaque peuvent être les suivants, selon les faits de l’espèce :

 

  • Atteinte à un système de traitement automatisé de données (« STAD ») [6] :
  • Accès et maintien frauduleux dans un STAD
  • Entrave au fonctionnement d’un STAD
  • Introduction frauduleuse de données dans un STAD
  • Extraction, détention, reproduction, transmission illégitime de données
  • Importation, détention, offre, cession ou mise à disposition d’un équipement d’atteinte aux STAD
  • Participation à un groupe formé ou à une entente établie en vue de commettre des fraudes informatiques

 

  • Escroquerie [7]
  • Vol de données / recel [8]
  • Usurpation d’identité numérique [9]
  • Manquements au RGPD et à la loi n°78-17 du 6 janvier 1978 dite « informatique et liberté » [10].
  • Afin de pouvoir réagir dans les délais, il est recommandé de disposer en amont d’un modèle de plainte pénale rédigé par un conseil spécialisé et/ou de faire appel à l’assistance d’un avocat spécialisé en cybercriminalité.

 

4. Engager la responsabilité civile du prestataire.

 

Des actions en réparation des dommages et intérêts (mise en demeure, assignation) pourront également être exercées dans le cas où l’incident a été causé par un manquement du prestataire informatique à son obligation de sécurité.

 

5. Mettre en place des actions de remédiation.

 

La sortie de crise est l’occasion de tirer les enseignements de l’incident et de repartir sur de bonnes bases.

Il peut être opportun de formaliser ou d’actualiser la politique de gestion des incidents du cabinet. La mise en place d’une politique de gestion des incidents au sein des cabinets d’avocats est non seulement indispensable à la garantie du secret professionnel mais constitue également un gage de confiance vis-à-vis des clients.

 

De même, et plus particulièrement dans le cas où l’incident est le fait du prestataire informatique agissant comme sous-traitant au sens du RGPD, il est fortement recommandé d’auditer les contrats, de vérifier l’existence d’accord sur la protection des données et de les renforcer si besoin. Un audit de sécurité devra également être diligenté auprès du sous-traitant concerné.

A défaut de réaliser ces diligences, la responsabilité du cabinet d’avocats pourrait être engagée pour manquement à son obligation de s’assurer que le sous-traitant a mis en place les mesures techniques et organisationnelles nécessaires à la sécurité et à la confidentialité des données.

 

Les conclusions du rapport de l’expert en sécurité permettront également de mettre à jour ou de renforcer le système d’information du cabinet pour contenir tout nouveau risque d’attaque.

Enfin, la sensibilisation des collaborateurs aux risques cyber ne doit pas être sous-estimée lorsqu’il est notoire que la grande majorité des failles de sécurité sont le fait d’une erreur humaine.

 

 


[1Le rançongiciel ou ransomware consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement.

[3Registre obligatoire conformément à l’article 33.5 du RGPD.

[4Article L12-10-1 du Code des assurances.

[5Pour Paris : Parquet de Paris – 3e division JIS/Junalco – section J3.

[6Article 323-1 et suivants du Code pénal.

[7Article 313-1 du Code pénal.

[8Article 311-1 du Code pénal.

[9Article 226-4-1 du Code pénal.

[10Article 226-18 du Code pénal.

HUB ONE sélectionné pour fournir la connectivité du métro Grand Paris Express

Retrouvez le communiqué de presse officiel ici.

 

L’équipe Droit Public des Affaires de Joffe & Associés (Mathieu Gaudemet, Marie-Alix Mallet et Pierre Delarousse) se félicite d’avoir assisté Hub One dans toutes les étapes de la procédure (passation, négociation et mise au point) ayant permis l’attribution d’un contrat de concession par la Société du Grand Paris, pour la conception, de financement, la réalisation, l’exploitation et la maintenance d’un réseau wifi et d’internet des objets (IoT) dans les emprises des gares du Grand Paris Express.

 

Le contrat a une durée de 14 ans et concernera les gares issues du prolongement de la ligne 14, les gares des nouvelles lignes 15 à 18, ainsi que les rames circulant sur ces lignes. Cette exploitation s’effectuera par le biais d’une société de projet détenue par Hub One et la Banque des Territoires (groupe Caisse des Dépôts et Consignations).

 

La société Hub One, filiale du groupe ADP et opérateur de technologies digitales pour les entreprises, est retenue pour assurer le déploiement du réseau et l’exploitation du réseau wifi et du réseau d’objets connectés dans les gares et les rames du Grand Paris Express. Une société de projet dédiée a vocation à être créée rapidement avec la Banque des Territoires (CDC), en tant qu’actionnaire minoritaire, afin de porter cette concession sur une durée de 14 ans. Elle assurera notamment la connexion des premières gares sur le prolongement de la ligne 14, en juin 2024 en vue des Jeux Olympiques et Paralympiques de Paris 2024.

 

Au-delà de la connexion internet par WiFi, la société de projet proposera également plusieurs services additionnels tels que des offres de WiFi professionnel, la commercialisation d’espaces publicitaires sur le portail de connexion, un service de connexion pour les passagers en provenance de l’étranger et un réseau Internet des Objets (IoT) qui facilitera les services des professionnels.