En 2021, des attaques de rançonnement informatique (ransomware) ont eu lieu toutes les deux secondes dans le monde, selon l’agrégateur de données Cybersecurity Ventures. Les spécialistes du secteur s’attendent à ce que le coût total des rançons payées aux pirates informatiques dépasse tous les records lors de la prochaine décennie, passant de 65 milliards de dollars en 2021 à 265 milliards en 2031.
Les organisations qui veulent économiser ces coûts alloueront très probablement des budgets de plus en plus importants à la lutte contre les logiciels malveillants. Plusieurs providers de solutions informatiques sont bien positionnés pour en profiter. Les investisseurs qui souhaitent s’exposer au secteur de la cybersécurité ont donc de belles opportunités à saisir – à condition de choisir des titres dont les valorisations ne sont pas encore excessives.
Les logiciels d’extorsion de plus en plus imaginatifs
Les cybercriminels ont récemment découvert que les logiciels d’extorsion habituels, ces logiciels malveillants qui peuvent bloquer l’accès aux données et paralyser des appareils, ne suffisent plus à menacer leurs cibles, en raison des sauvegardes et des fortes pratiques de cybersécurité auxquelles se livrent les organisations.
Pour y remédier, les cybercriminels utilisent désormais des tactiques de « double extorsion ». Il s’agit d’abord de voler des informations confidentielles, comme la propriété intellectuelle, des courriels ou des plans d’entreprise, puis de les encoder pour que l’organisation n’y ait plus accès en direct, mais aussi de menacer de rendre ces informations publiques pour augmenter les chances de toucher une rançon.
Ces attaques ont évolué, passant du niveau individuel à celui de réseaux d’agresseurs organisés et développés. Initialement, les lanceurs de menaces dispersaient trop leurs efforts, s’occupant de tout eux-mêmes (élaborer les logiciels, négocier les rançons et les toucher). Aujourd’hui, les cybercriminels exploitent mieux leurs talents en sous-traitant les tâches annexes, faisant de l’extorsion un service.
Le télétravail et les études à distance, provoqués par la distanciation sociale et sanitaire, ont multiplié les opportunités pour les cybercriminels. Les organisations publiques, comme les systèmes scolaires ou les organismes de santé, sont des proies d’autant plus faciles que leurs systèmes de sécurité sont surannés et leurs budgets de personnel modestes.
Des attaques médiatisées
Pendant la crise du Covid-19, quelques organisations cybercriminelles ont annoncé que les hôpitaux ne seraient plus ciblés. Mais d’autres cibles vulnérables, comme l’antenne britannique de l’Armée du Salut, ont continué à être attaquées en 2021. À long terme, nous pensons que le système de santé restera malheureusement une proie idéale pour les pirates informatiques, en raison de l’impact catastrophique d’une désorganisation de leurs systèmes.
Certains pays ont adopté un discours dur, dans l’espoir de dissuader ces attaques – ainsi du Trésor américain, qui a récemment réaffirmé son refus de payer des rançons et incité les acteurs du secteur privé américain à l’imiter. Mais finalement, les entreprises victimes n’ont que très peu de pouvoir de négociation face à une attaque en cours. La seule solution viable est d’essayer de se protéger des menaces en amont.
Des valorisations boursières déjà très élevées
Le secteur de la cybersécurité en général offre une bonne perspective de profitabilité (voir tableau), en raison d’un facteur concurrentiel clef : le coût de substitution pour les utilisateurs. En effet, une fois un système de sécurité intégré à tous les niveaux d’une entreprise et dans tous les process quotidiens, il devient relativement difficile d’en changer pour un produit concurrent. Le secteur regorge d’entreprises dotées d’une excellente expertise technique.
Des attentes de croissance très forte conjuguées à l’engouement général des investisseurs pour le secteur technologique ont suscité des valorisations élevées, chez CrowdStrike, Zscaler et Fortinet par exemple. D’après notre analyse, Check Point Software semble relativement sous-évalué, mais nous pensons que ses perspectives d’appréciation à long terme sont plus limitées que celles de ses pairs. Au final, nos deux titres préférés dans le secteur sont Okta et Palo Alto Networks (voir ci-contre).
Les valeurs préférées de Morningstar
Okta dispose d’un réseau d’intégration robuste, qui simplifie l’accès à deux protocoles : l’identification des employés d’une entreprise et l’identification de ses clients. Les solutions d’Okta seront très demandées, parce que nombre d’organisations recherchent une expérience sans heurts pour leurs employés et leurs clients quand ils accèdent aux applications, tout en s’assurant que leurs réseaux sont protégés. Une force de travail plus dispersée et toujours connectée utilise de plus en plus les ressources du cloud, ce qui aggrave la complexité de la cybersécurité. Le réseau d’intégration d’applications proposé par Okta est assez unique, car il permet aux utilisateurs un accès holistique aux applications, qu’elles soient sur le cloud ou non. Par ailleurs, la société est en train de migrer vers des clients de plus en plus importants et l’accès à ces contrats plus substantiels devrait l’aider dans son plan de croissance. Notre analyse aboutit à une estimation de juste valeur par action de 280 US$ pour Okta.
Palo Alto Networks est devenu un prestataire dominant dans le domaine de la cybersécurité, grâce à son dispositif pare-feu. La société s’est ensuite diversifiée, au-delà de la sécurité des réseaux, dans des domaines comme la protection du cloud. Nous pensons que ses solutions anti-rançongiciel devraient considérablement augmenter ses marges. Là encore, le point fort de Palo Alto est d’offrir une plateforme de sécurité centralisée. Cette solution de consolidation devrait séduire les entreprises complexes, dont les équipes informatiques ont jusque-là mis au point des solutions partielles et parfois disparates face à des menaces spécifiques. Une plateforme unique et consolidée rend également le fournisseur de service de sécurité plus difficile à déloger par d’éventuels concurrents. Notre estimation de juste valeur par action pour Palo Alto Networks est de 490 US$. Le titre mérite donc d’être surveillé, alors qu’un décrochage temporaire pourrait constituer une opportunité d’achat.
