Les dernières études s’accordent sur le sujet : les pirates continuent de sévir en 2023 ! L’augmentation des cyberattaques s’inscrit en effet dans une tendance durable, accentuée par la pandémie COVID-19 et la complexification du contexte géopolitique, faisant de la cybersécurité l’un des secteurs stratégiques pour les prochaines années.
Et pour cause, êtes-vous sûr que votre entreprise survivrait au blocage de ses données ? Pourrez-vous faire monter votre famille dans la prochaine voiture autonome sans craindre qu’elle ne se fasse hacker ? Et si le gouvernement chinois pouvait espionner des milliers d’élus via une application mobile ?..
La sécurité informatique est plus que jamais un enjeu majeur pour les organisations, les entreprises, comme les individus. Quels sont les fondamentaux de ce nouveau marché ? Comment y investir ? On fait le point.
À retenir :
La cybersécurité est un secteur porteur dans lequel les besoins d’investissements sont importants et pour lequel le marché dispose d’une grande marge de croissance.
Il est possible d’investir en cybersécurité dans des actions de sociétés cotées en bourse, ou via des ETF, mais les valorisations actuelles sont très élevées.
La seconde option est d’investir dans des sociétés non cotées afin de financer l’innovation ou soutenir la croissance des PME et ETI du secteur. Les performances potentielles sont élevées, mais un travail rigoureux de sélection doit être effectué afin de mieux maîtriser le risque.
Les cyberattaques ont généralement pour objectif d'accéder à des informations confidentielles, de perturber le fonctionnement d’une entreprise ou d’une organisation, ou de soutirer de l’argent à leurs cibles. La lutte contre la cybercriminalité n’est pas nouvelle, mais celle-ci est devenue un enjeu majeur avec l’évolution de la société.
La digitalisation de nos modes de fonctionnement, accélérée par la crise COVID, a augmenté la vulnérabilité des entreprises et des États, alors même que les organisations cybercriminelles sont de plus en plus structurées et les attaques contre les PME de plus en plus fréquentes. Pour preuve, en 2022, ce sont 45% des entreprises qui déclaraient avoir subi au moins une cyberattaque réussie dans l’année(1) !
Les ransomwares sont les cyberattaques les plus courantes pour les entreprises, et celles qui ont le plus augmenté ces dernières années. Un programme pirate est introduit dans le réseau informatique pour crypter les données de l'entreprise ou de l'organisation, le rendant ainsi inutilisable. Les cybercriminels exigent ensuite une rançon pour déchiffrer les données et les rendre à leur propriétaire légitime. L’engouement des pirates pour ce type de cyberattaque a permis aux ransomwares de gagner en sophistication, et on retrouve même des logiciels en SaaS dédiés à cette activité : les “RaaS”, Ransomware-as-a-service, par lesquels n’importe quel hacker peut se procurer tout ce dont il a besoin pour mener des attaques de type ransomware en échange d’un abonnement de quelques dizaines de dollars par mois.
Parmi les cyberattaques les plus communes, on recense aussi le phishing, aussi appelé hameçonnage, qui prend généralement la forme d’un envoi de mail sous une fausse identité (service public ou banque, en général) pour récupérer des informations confidentielles.
Les grands sites web sont également la cible d’attaques DdoS (Distributed Denial of Service), qui vise à les rendre inaccessibles en les submergeant d’un trafic trop important.
De manière plus générale, les cybercriminels s'emploient à exploiter les vulnérabilités des systèmes de sécurité d'entreprises, dans le but de perturber leur activité ou de s'emparer de données confidentielles.
Plusieurs facteurs actuels favorisent les risques cyber :
L’augmentation du télétravail : Le travail à domicile s’est démocratisé depuis la pandémie Covid-19. De surcroît, de nombreux salariés ont recours à leurs propres matériels pour se connecter aux réseaux de l’entreprise. La multiplicité des supports de connexion, associée à l’utilisation d’appareils souvent mal sécurisés, est un terrain favorable aux cyberattaques.
L’émergence de nouvelles technologies : Les objets connectés (montres connectées, systèmes embarqués des voitures, domotique) sont de nouvelles portes d’entrée pour les pirates. Les nouvelles technologies font aussi émerger de nouveaux types d’attaques. L’intelligence artificielle, par exemple, permet la création de fausses photos ou vidéos de plus en plus réalistes. À mauvais escient, cette technologie peut être utilisée dans des attaques de type “deepfake” qui visent à mettre en scène des personnalités dans des situations compromettantes, ou usurper l’identité des personnes ciblées.
Des hackers aux techniques innovantes et mieux organisés : Les pirates se structurent de plus en plus au sein d’organisations criminelles disposant d’importants moyens financiers. Ils développent des méthodes d’attaques toujours plus sophistiquées, et même des “innovations pirates”, tels que les RaaS.
Un contexte géopolitique instable : Les cyberattaques d’État proviennent en majorité de la Chine, de l’Iran, de la Russie et de la Corée du Nord. Les conflits internationaux (guerre en Ukraine, tensions entre la Chine et Hong-Kong et Taïwan, et entre la Corée du Nord et la Corée du Sud…) menacent les pays cible et leurs alliés. Illustrant cette tension croissante, les derniers rapports de Microsoft sur la défense numérique révèlent que le nombre d’alertes envoyées aux clients cible et victimes d’activités d’État a été multiplié par 8 entre 2021 et 2022, passant de 7.500 à 59.500(2). En novembre 2022, par exemple, quelques heures après avoir voté un texte sur la Russie la qualifiant d’“État promoteur du terrorisme”, le Parlement européen a été victime d’une attaque DDOS qui a perturbé le fonctionnement de leur site web. Les assaillants ? Killnet, un groupe de hackers pro-russe, déjà à l’origine d’une attaque similaire à l’encontre de plusieurs sites web d’aéroports américains le mois précédent.
Les conséquences d’une cyberattaque sont multiples, et parfois dramatiques. Il y a dans un premier temps la fuite d’informations confidentielles, qui peuvent être divulguées, revendues à des tiers ou utiliser pour usurper l’identité de son propriétaire. En septembre 2022, des données concernant les patients et le personnel du Centre Hospitalier Sud Francilien (CHSF) ont fuité, suite au refus de l’hôpital de payer la rançon de 10 millions $ exigée par les pirates.
Ces cyberattaques peuvent également avoir d’importantes conséquences sur l’exploitation. L’enquête Opinionway 20231) diligentée par le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) révèle que dans 60% des cas, les cyberattaques ont fortement impacté le business des entreprises, avec un déficit du chiffre d’affaires pour 7% des sondés. Certaines études américaines, sur lesquelles s’appuie le dernier rapport du Sénat portant sur la cybersécurité des entreprises(3), font état d’une situation encore plus grave. D’après celles-ci, entre 50% et 80% des PME aux États-Unis ayant eu leur système d’information bloqué, ou ayant perdu des données informatiques, suite à une attaque de type rançongiciel, font faillite dans les 6 à 12 mois suivant la cyberattaque.
Face à ces risques, les grandes compagnies d’assurance ont commencé à proposer des cyber-assurances. Toutefois, le système se révèle peu efficace, voire contre-productif. Pour les assureurs, le versement de la rançon coûte parfois moins cher que le paiement de l’indemnité au titre de la police d’assurance. Effets secondaires : sûrs d’être payés, les pirates ont ciblé davantage les entreprises ayant souscrit à des cyber-assurances, et les primes d’assurances, elles, coûtent de plus en plus cher.
La meilleure solution pour les entreprises est donc d’avoir accès aux moyens leur permettant de se protéger des risques cyber.
Certains secteurs stratégiques, tels que la défense, le nucléaire, la santé et les services financiers, sont particulièrement touchés par les risques cyber, et nécessitent des investissements majeurs et constants en cybersécurité.
Globalement, les entreprises ont pris conscience du besoin d’investir dans leur sécurité informatique, avec des budgets alloués en hausse chaque année et la volonté affichée d’acquérir de nouvelles solutions pour se prémunir des risques de cyberattaques(1). L’État quant à lui, est également conscient de l'importance des investissements en cybersécurité, comme en attestent les nombreuses études menées sur le sujet ces dernières années, mais également les récents déblocages de fonds pour la sécurité (20 millions € supplémentaires investis pour la protection des établissements de santé suite à la cyberattaque du Centre Hospitalier Sud Francilien, venant s’ajouter aux 25 millions € apportés en 2020 et 2022).
Malgré le coût élevé des attaques, les dépenses consacrées à la cybersécurité restent toutefois insuffisantes. En 2022, les pertes financières mondiales liées à la cybercriminalité ont atteint la somme considérable de 6 904 milliards de dollars. En comparaison, les dépenses consacrées à la sécurité informatique se sont chiffrées à seulement 173 milliards de dollars, soit un montant dix fois inférieur à ce que recommande McKinsey(4). Il y a donc là tout un marché à conquérir pour les acteurs de la sécurité informatique.
Outre les besoins grandissants, le marché de la cybersécurité, comme la cybercriminalité, est porté par l’émergence de nouvelles technologies. L’intelligence artificielle, le machine learning et l’analyse de données, en particulier, accélèrent le développement de nouvelles solutions.
En fin de compte, on constate que la créativité des hackers est sans limites, obligeant les professionnels de la sécurité informatique à sans cesse se renouveler. Le secteur est en perpétuel mouvement, et l’innovation n’est pas une option. La cybersécurité est de ce fait un marché porteur et résilient dans lequel investir.
Si vous choisissez d’investir en cybersécurité en bourse, vous investirez généralement dans des sociétés matures à la capitalisation élevée. Vous pouvez opter pour une ou plusieurs actions de sociétés, ou pour un ETF répliquant la performance d’un indice du secteur.
Sauf à ce que vous achetiez des actions lors de l’introduction en bourse de la société, vous ne contribuez pas au financement de l’entreprise. Votre investissement a pour unique objet d’être un placement financier.
Les plus grandes sociétés cotées en cybersécurité sont généralement américaines, cotées sur le Nasdaq. On retrouve notamment :
Palo Alto Networks (ISIN : US6974351057), spécialisée dans les services de sécurité pour les réseaux et les ordinateurs ;
CloudFare (ISIN : US18915M1071), pionnier du cloud ;
Absolute Software (ISIN : CA00386B1094, entreprise américano-canadienne basée à Vancouver, mais également côté sur le Nasdaq), qui fournit des solutions de récupération d’ordinateurs volés, de protection de données et de localisation sécurisée des équipements mobiles aux professionnels.
Quant aux ETFs, les plus importants du secteur sont :
L&G Cyber Security UCITS (ISIN : IE00BYPLS672) qui reproduit l’index ISE Cyber Security UCITS,
iShares Digital Security UCITS (ISIN : IE00BYPLS672) qui réplique l’index STOXX Global Digital Security.
Ni ces actions, ni ces ETFs, ne sont éligibles au PEA.
Facile d’accès. Investir en bourse se fait facilement via un compte-titres, sans minimum d’investissement.
Frais de gestion inexistants ou faibles. Le rendement des actions n’est pas amputé de frais de gestion et la gestion passive des ETF permet d’avoir des frais de gestion très faibles (entre 0,40% et 0,69% par an pour les ETF cybersécurité).
Très bonne liquidité. En vous orientant vers les plus grandes cotations boursières, vous pourrez acheter et revendre vos actions à tout moment (sauf cas exceptionnels de stress du marché).
Les actions du secteur de la cybersécurité coûtent cher. Comme pour la plupart des sociétés de croissance, les ratios de valorisation sont très élevés. C’est encore plus vrai dans le secteur de la cybersécurité, la majeure partie des actions ayant connu une envolée de leur cours depuis la crise COVID, alors que nombre de ces sociétés ne sont pas encore rentables. Palo Alto par exemple, l’un des leaders du secteur, a eu un PER (“price earning ratio”, c’est-à-dire le cours de l’action rapporté au bénéfice net par action) de -184x en 2022 compte tenu de résultats négatifs, et a un PER estimatif de 244x pour 2023. En comparaison, le PER d’Apple n’était que de 24,6x en 2022.
Forte volatilité. Le prix des actions est corrélé aux résultats de la société, mais également aux événements macroéconomiques. Le secteur de la tech est par ailleurs particulièrement exposé à la spéculation.
Fiscalité lourde. Les dividendes et plus-values sont imposés à la flat tax (30%). Très peu d’actions en cybersécurité sont européennes, et aucun ETF du secteur n’est éligible au PEA.
Risque de perte en capital. La cybersécurité est un secteur jeune, en plein essor. Il n’est pas encore dominé par de grands groupes et il est impossible d’assurer que les leaders d’aujourd’hui seront ceux de demain. En outre, les actions ont un prix d’acquisition élevé, alors que la plupart des sociétés ne sont pas encore bénéficiaires. Ces spécificités augmentent le risque de perte en capital.
Découvrez notre sélection d’ETF ❯❯❯
Seconde solution pour investir en cybersécurité : prendre des participations au capital de sociétés non cotées.
Dans ce cas, deux options s’offrent à vous :
Investir directement dans des entreprises du secteur, ce que nous ne vous recommandons pas, sauf à ce que vous ayez des compétences pointues du marché et beaucoup de temps à consacrer à vos investissements ;
Investir dans un fonds d’investissement spécialisé en cybersécurité. Le fonds, géré par une société de gestion, va collecter les capitaux auprès d’investisseurs privés et/ou institutionnels, puis les investir dans plusieurs sociétés cyber selon la politique d’investissement définie lors de la création du fonds.
Les levées de fonds en cybersécurité ont atteint des records ces dernières années. En 2021, ces levées ont été de 21,7 milliards € dans le monde, dont 1,98 milliard en Europe, soit environ 2,5 fois plus qu'en 2020. Cette dynamique n’est pas étonnante, et devrait se poursuivre. Le secteur est jeune, innovant, en pleine croissance, et les besoins d’investissements sont importants.
Investir dans un fonds d’investissement peut se faire au travers de différents supports :
FCPR (Fonds Commun de Placement à Risque), fonds accessibles à tous, pour investir dans des entreprises en phase de croissance au travers de stratégies de type LBO (leveraged buy-out) ou de Growth Equity,
FPCI (Fond Professionnel de Capital Investissement) et SLP (Société de Libre Partenariat), fonds professionnels accessibles à partir de 100.000 €, au potentiel de performance plus élevé, car moins contraints par les réglementations AMF.
L’investissement peut se faire en nominatif pur, c’est-à-dire directement à votre nom, ou selon les cas via une enveloppe fiscale (assurance-vie française, assurance-vie luxembourgeoise, PEA-PME). Certains placements peuvent également être éligibles au réinvestissement en apport-cession, et à ce titre intégrés au sein d’une stratégie patrimoniale plus globale.
Performance potentielle élevée. Le private equity est une des classes d’actifs les plus performantes (12,2% de performance annuelle nette moyenne entre 2007 et 2021(5)). La SLP Cybersécurité gérée par Tikehau Capital, par exemple, vise un taux de rendement annuel net de frais de plus de 20%.
Investissement dans l’économie réelle. Outre l’intérêt financier, l’argent que vous investissez dans un fonds a un réel impact économique puisqu’il sert à financer le développement des PME et ETI.
Fiscalité allégée. Si vous investissez dans un fonds fiscal, les plus-values seront exonérées d’impôt sur le revenu (hors prélèvements sociaux). Certains fonds peuvent aussi être intégrés dans une enveloppe fiscale avantageuse ou faire partie d’un projet d’apport-cession.
Faible volatilité. Le private equity souffre bien moins de la volatilité que les actions cotées, et bénéficie donc d’une plus grande résilience.
Expertise des sociétés de gestion. Les équipes de gestion des fonds -sous réserve de bien sélectionner le fonds dans lequel vous investissez - bénéficient de compétences techniques pointues. Leur expertise et leur réseau leur permettent de sélectionner les investissements au meilleur potentiel et d’accompagner les entreprises cibles dans leur développement, et par ce biais accroître la valeur des participations en portefeuille.
Diversification. Grâce à la mise en commun des capitaux des investisseurs, le fonds prend des participations au sein de plusieurs entreprises. La multiplicité des prises de participations permet de réduire le risque.
Faible liquidité. La plupart du temps, les sommes investies sont bloquées pendant la durée de vie du fonds (5 à 10 ans, généralement). Il s’agit d’un investissement à long terme.
Risque de perte en capital. Comme tout investissement en private equity, le capital n’est pas garanti.
Importance de la sélection du fonds. Le ratio potentiel de rendement/risques sera plus ou moins favorable selon les stratégies d’investissement déployées et l’expertise de la société de gestion. Chez Sapians, nous effectuons une due-diligence complète de chaque fonds que nous référençons afin de sélectionner ceux qui présentent le meilleur potentiel de création de valeur. Notre expérience et notre connaissance du terrain nous permet de vérifier l’expertise, les moyens à disposition et le track record de la société de gestion.
Frais de gestion plus élevés. Le non-côté nécessite plus de moyens humains que la gestion passive (les rendements cibles présentés par Sapians sont toutefois nets de frais).
Minimum d’investissement. Le ticket d’entrée d’un fonds d’investissement commence à 10.000 € pour un FCPR, et à 100.000 € pour un fonds professionnel.
Découvrez notre sélection de fonds d’investissement en cybersécurité & tech ❯❯❯
Qui est Sapians ? Sapians est le premier family-office digital qui recentre vos possibilités d'investissement. Nous proposons une offre d’investissement globale couvrant à la fois les marchés financiers et les marchés non cotés dont le private-equity, la dette privée et l’immobilier tertiaire.
Grâce à la puissance et au réseau de notre communauté d’investisseurs Ivesta, nous avons accès aux meilleures opportunités investissement.
Retrouvez sur votre compte en ligne une sélection rigoureuse et transparente des meilleures solutions du marché, accédez gratuitement à des outils performants pour gérer vos investissements, et contactez nos experts par mail ou par téléphone pour tout conseil personnalisé.