Au cours d’un dîner dédié aux valeurs technologiques, si l’on veut faire consensus, il suffit d’évoquer son enthousiasme pour le segment de la cybersécurité, tant les vents porteurs sont évidents. Il s’agit presque d’un argument d’autorité.

Cependant, si l’on s’en tient aux fondamentaux et au moral des entrepreneurs de la cyber, la situation au cours des derniers mois semble s’assombrir considérablement. En effet, Fortinet, l’un des géants du secteur, s’est effondré en bourse de 20% au cours du mois d’août après avoir explicitement évoqué que les années à venir seraient beaucoup plus compliquées et que l’environnement économique allait peser.

Rapid7 et Sentinel1, pourtant des acteurs en croissance rapide, cherchent désormais publiquement à se vendre, alors que leur cours de bourse a atteint un point bas. Ces annonces sont à contre-courant de la tendance qui était de se vendre sur des multiples élevés auprès d’acquéreurs qui se manifestaient proactivement, sans avoir besoin de mettre une pancarte «à vendre».

Enfin, Palo Alto Network, dont l’agressivité est légendaire tant sur le plan commercial que des acquisitions - ou de la rémunération de ses dirigeants -, a tenu le cap d’une croissance soutenue au cours du dernier trimestre mais au prix de la mise en place d’une filiale dédiée à l’octroi de crédit pour ses clients, là encore une pratique jusque-là quasi inexistante dans l’industrie.

Entre 2018 et 2022, les grands noms spécialisés de la cybersécurité¹ ont collectivement vu leurs revenus annuels passer de 7,3 milliards de dollars à près de 20 milliards de dollars, soit une croissance annualisée de l’ordre de 22%, sous l’impulsion de quatre réacteurs: (1) l’essor du cloud qui créée de nouveaux besoins, (2) le développement du télétravail lié au choc Covid et les nouvelles vulnérabilités générées, (3) un environnement très favorable aux dépenses informatiques et enfin (4) un contexte délétère sur le plan des tensions géopolitiques.

Concernant les deux premiers points, le cloud et l’intégration du télétravail («hybrid work»), le besoin des entreprises est plutôt derrière que devant nous, puisque la phase d’équipement a eu lieu et de manière synchronisée, toutes géographies et secteurs confondus. Quand bien même la demande resterait soutenue au cours des quatre années à venir et l’industrie rajouterait un incrément de chiffre d’affaires équivalent à celui de la période 2018-2022, la croissance annuelle tomberait en moyenne à 10% sous l’effet de la loi des grands nombres.

La gestion de l’identité devient de plus en plus centrale et la potentielle irruption des «deepfake» enrichis par l’IA générative devrait continuer de porter ce segment, ainsi que tout ce qui consiste à protéger les utilisateurs des usurpations en tout genre. Une seconde tendance est régulièrement annoncée mais nous n’y souscrivons que très partiellement: la consolidation autour des plateformes, qui vendraient une solution «clé en main» ou presque.

Si l’on compare un CISO – Chief Information Security Officer» - avec un allocataire d’actifs spécialiste dans les actions, ce dernier souscrira-t-il un ETF MSCI WORLD, même si la performance est bonne? Cela reste peu probable. Néanmoins, il se pourrait qu’il utilise une plateforme dans deux cas de figure: pour faire baisser le prix de la solution spécialisée, ou pour réduire son budget d’ensemble sur des éléments perçus comme « standardisés».  

Ces deux tendances laissent donc penser que le stock picking aura un rôle important à jouer au sein du secteur au cours des prochaines années, étant donné que la vague de fond sera moins puissante.

La gestion des identités et la protection de l’utilisateur étaient nos thèmes principaux d’investissement ces dernières années dans la cybersécurité, avec des titres comme Mimecast, Sailpoint ou encore ForgeRock, tous rachetés avec des primes élevées. Nous continuons de penser que cela reste le thème le plus porteur dans la cybersécurité. Selon nous, la cyberdéfense - ce qui relève de la cybersécurité à l’échelle des Etats - sera le prochain relais de croissance avec des acteurs comme Booz Allen Hamilton. Néanmoins, il faut désormais regarder la cybersécurité au-delà de sa composante croissance et se pencher sur sa composante défensive/visibilité et forte génération de cash flows: c’est ici que des acteurs comme Akamai ou encore Checkpoint peuvent également rentrer en jeu, et sont parmi les rares acteurs à générer une trésorerie positive, une fois les stocks options retraités.

Gardons à l’esprit que sur l’échantillon de leaders que nous citons, correspondant aux principales capitalisations boursières de la cybersécurité – dont l’ensemble dépasse 150 milliards de dollars – 60% des sociétés considérées ne sont pas bénéficiaires et ne peuvent donc pas se mesurer en P/E. Elles feront face à l’impératif de faire progresser rapidement leurs profits, dans un contexte de ralentissement de la croissance et de potentielle guerre des prix engendrée par les plateformes. Là encore, la sélectivité au sein du secteur sera le seul moyen de générer de la performance.