Dans un marché morose pour les valeurs de croissance, la cybersécurité pourrait générer de bons résultats futurs
![](https://www.wisdomtree.eu/-/media/eu-media-files/blog/refresh-images/technology/cybersecurity/blog_1151x564-_0002_background.jpg?h=564&iar=0&w=1151&sc_lang=fr-fr&hash=F00C2DEB94B2A095270A737D71B4E1AC)
Nous avons récemment effectué une tournée commerciale à Milan, Genève, Madrid, Londres et Paris durant laquelle nous avons abordé le thème de la cybersécurité avec les investisseurs. WisdomTree propose une large gamme de stratégies d'investissement thématique sachant que notre société a souvent noué pour chaque thème un partenariat avec des experts dans le domaine concerné. Dans le cadre de cette tournée commerciale, nous avons eu l’occasion de voyager avec Team8, la société qui fournit les données permettant de classifier de l’offre de cybersécurité des entreprises sous-jacentes.
Les attaques se sont poursuivies pendant notre tournée de présentation
Alors que nous étions en déplacement, une violation de certains des systèmes d’Uber a fait l’objet d’une forte médiatisation. La méthode a été particulièrement remarquée car l’attaque a visé à de nombreuses reprises un employé en lui envoyant une demande d’authentification à deux facteurs jusqu’à ce que l’employé finisse par l’accepter1. Cette approche nous rappelle à tous une vérité importante dans le domaine de la cybersécurité : généralement, le chemin le plus simple vers un système passe par un être humain, plus particulièrement si le hacker arrive à le décontenancer ou à le frustrer.
Depuis, l’article intéressant suivant a été publié : « Les marques revoient leurs politiques sur la protection des données après le règlement de 1,2 million de dollars de Sephora » (« Brands Review Data Privacy Policies After $1.2 Million Sephora Settlement »)2.
Nous étions en déplacement en Europe où chaque investisseur avait pleinement conscience de l’existence du règlement général sur la protection des données (RGPD). De nombreux résidents américains pourraient penser que les États-Unis ne disposent pas de telles lois. Or le California Consumer Privacy Act a été voté en 2018 et il est entré en vigueur en 2020. Dès le 1er janvier 2023 et l’entrée en vigueur du California Privacy Rights Act qui étend et amende la loi précédente, de nombreuses entreprises pourraient avoir droit à un réveil difficile.
Plus de 100 entreprises cotées et non cotées ont reçu des lettres du Procureur général de Californie M. Rob Bonta dans le cadre du coup de balais passé parmi les grands distributeurs qui a donné lieu au règlement Sephora, et de nombreuses lettres supplémentaires ont été envoyées depuis.
La protection des données est l’un de nos thèmes clés de cybersécurité et il est intéressant d’examiner toutes les lois qui élargissent le cercle au-delà du RGPD en Europe.
Distinguer le contexte macroéconomique de la mégatendance
Nombre des sociétés de cybersécurité les plus innovantes exercent à l’aide d’un modèle économique de Software-as-a-Service (SaaS) qui a été popularisé dans le secteur de l’informatique dans le cloud. La principale caractéristique de ces entreprises est la manière dont les clients souscrivent à un service durant une période donnée. Les entreprises SaaS couronnées de succès auront tendance à proposer des produits qui fidélisent, c’est-à-dire que les clients vont les souscrire et ne pas en changer rapidement en annulant leur abonnement.
Si l’on tient compte du fait que la durée de rétention moyenne d’un produit est de 5 à 7 ans, une entreprise SaaS peut proposer d’autres services. L’un de ses objectifs est de parvenir à un taux de rétention net supérieur à 100 %. Cela signifie que les clients prolongent non seulement leur service, mais dépensent davantage ou souscrivent des services différents de la gamme de la société. L’autre sujet souvent abordé est le coût d’acquisition des clients. Nous entendons souvent la phrase « ce qui compte avant tout, c’est la croissance ». S’il coûte environ 1 an de revenus tirés d’un client pour acquérir un client et si la durée de rétention moyenne est de 5 à 7 ans, alors il semble logique de dépenser ce montant afin d’accélérer la croissance. Si l’entreprise fonctionne, elle peut éviter cette dépense à l’avenir, une fois acquis plus de clients, et avoir une activité plus rentable.
En résumé, même si le discours actuel porte exclusivement sur la rentabilité plutôt que la croissance, cette dernière demeure importante sur le segment SaaS. En examinant les spécificités de ces activités sous-jacentes, il est clair qu’elles possèdent beaucoup de forces qui peuvent être masquées par un manque actuel de rentabilité.
Les entreprises vont-elles continuer de dépenser ?
Il a été assez facile de convaincre les personnes avec lesquelles nous avons parlé que tout le monde, particuliers ou entreprises, nécessite une cyber-stratégie.
Une statistique très discutée parmi les Directeurs informatiques et de la sécurité des informations est qu’environ 7 à 10 % des dépenses informatiques devraient être consacrées à la cybersécurité3. Ainsi, si nous estimons que les dépenses informatiques générales vont augmenter sur une période donnée, alors les dépenses dans la cybersécurité devraient également suivre cette tendance.
Toutefois, un autre angle de discussion porte sur le nombre de catégories différentes de dépenses informatiques qui peuvent augmenter ou diminuer à différents moments. Il ressort de la situation actuelle que l’environnement des menaces dans le domaine de la cybersécurité est assez important. Les Directeurs de la sécurité informatique de certaines des plus grandes entreprises au monde en ont conscience et agissent en conséquence. La réflexion porte avant tout sur la défense et la protection et sur les dépenses nécessaires afin de les garantir. Ainsi, il peut arriver que dans un environnement marqué par exemple par la crise entre la Russie et l’Ukraine, les budgets de cybersécurité augmentent davantage que les dépenses informatiques générales.
Les thèmes qui sont l’avenir de la cybersécurité
WisdomTree cible sept thèmes clés dans le domaine de la cybersécurité qui représentent les domaines les plus prioritaires à l’avenir. Il est important de réfléchir à ce qui fonctionnera à l’avenir plutôt que ce qui a fonctionné par le passé. Ces thèmes sont les suivants :
- Sécurité du cloud
- Sécurité plus intelligente
- Résilience et reprise
- Sécurité des objets
- Monde sans périmètre
- Sécurité des données
- « Shift-Left » (tests logiciels et tests système effectués plus tôt dans le cycle de vie)
L’une des parties les plus intéressantes de toute discussion sur la cybersécurité est d’examiner comment ces thèmes sont en lien avec le monde dans lequel nous vivons. À titre d’exemple, le concept « Shift-Left » peut donner l’impression que nous avons oublié des mots dans cette expression. Or il s’agit d’une expression utilisée dans le développement de logiciels qui signifie qu’il convient d’envisager la sécurité plus tôt dans le processus de développement des logiciels. Il peut s’agir d’une manière de réduire le risque d’utilisation d’un code non sécurisé qui peut entraîner des « attaques de la chaîne logistique » comme nous avons pu le constater dans le cas de Solar Winds il y a quelques années. Ces attaques informatiques sont pernicieuses car le hacker obtient un accès à une partie du logiciel utilisé par de nombreux clients.
Une autre caractéristique de ces thèmes est que chacun peut avoir son propre échéancier. La sécurité du cloud continue de croître rapidement et elle reste très nécessaire, mais à une certaine date future, nous pourrions constater que tout le monde a déjà opté pour le cloud. Une fois que tout le monde est dans le cloud et doté d’une configuration efficace, il est peut-être temps de se préoccuper d’un autre domaine. La sécurité des données pourrait débuter uniquement lorsque différents pays situés en dehors du continent européen commencent à voter des lois plus strictes concernant la protection des données. Fréquemment, c’est le risque de responsabilité qui conditionne les changements de comportements.
Conclusion : ne laissez pas la performance à court terme vous éloigner de la cybersécurité
2022 a été une année difficile pour la performance de nombreuses valeurs de sociétés Software-as-a-Service et celles spécialisées dans la cybersécurité n’ont pas fait exception. À notre avis, le recul des valorisations observé depuis un an pourrait constituer un point d’entrée plus intéressant pour un investisseur qui a une thèse d’investissement à long terme sur ce thème essentiel.
Sources
1 Source : Davey Winder. « Uber Hack Update: Was Sensitive User Data Stolen & Did 2FA Open Door To Hacker? » Forbes. Le 18 septembre 2022.
2 Source : Patrick Coffee. « Brands Review Data Privacy Policies After $1.2 Million Sephora Settlement. » Wall Street Journal. Le 27 septembre 2022.
3 Source : Bob Violino. « How much should you spend on security? » CSO. Le 20 août 2019.
Blogs associés
+ Why has the Ukraine war put a spotlight on cybersecurity and the energy transition?