par Catherine Doyle, Investment sepcialiste au sein de l'équipe Real Return (Newton IM)
Il est impératif pour les investisseurs sensibles aux questions ESG de tenir compte des menaces grandissantes liées à la cybersécurité.
• Aux quatre coins du monde, les entreprises consacrent des sommes de plus en plus importantes à la sécurité informatique afin de se prémunir face à des cyberattaques toujours plus sophistiquées qui pourraient nuire à leur image ou les exposer à d'autres risques.
• Obtenir une exposition directe au secteur de la cybersécurité n'a rien d'une sinécure pour les investisseurs boursiers en raison de sa nature fragmentée et mouvante.
• Une analyse approfondie du profil environnemental, social et de gouvernance (ESG) s'impose afin d'évaluer les risques de cybersécurité auxquels une entreprise est exposée ainsi que les mesures d'atténuation qu'elle a mises en place.
La cybersécurité fait partie des très nombreux facteurs sociaux pris en compte dans l'analyse environnementale, sociale et de gouvernance (ESG). La négliger peut faire plonger une entreprise dans la tourmente médiatique et avoir des conséquences dévastatrices pour sa réputation. Cette discipline est de plus en plus considérée comme une « boîte noire » technologique, dont les experts sont autant de sorciers rompus aux arcanes du cryptage de données. Le secteur présente un profil attrayant : selon un rapport récemment publié par Jefferies, les dépenses mondiales en matière de sécurité informatique devraient se chiffrer à 120 milliards USD en 2020 et croître d'environ 10% par an pour atteindre 158 milliards USD en 2023, soit deux fois le taux de croissance des dépenses informatiques totales [1]. Il suffit de se rappeler des attaques très médiatisées dont ont par exemple fait l'objet Equifax, Twitter et Marriott ou des accusations d'ingérences russes dans le cadre du processus électoral américain en 2016 pour comprendre à quel point la cybersécurité représente un enjeu majeur.
Le groupe hôtelier américain Marriott a ainsi subi d'importants dommages réputationnels en 2018 lorsque des pirates informatiques se sont introduits dans son système de réservation pour voler les données personnelles de près de 500 millions de clients. Un an plus tôt, une faille dans le logiciel de création de site Internet utilisé par le bureau de crédit Equifax avait entraîné la démission de deux dirigeants, bien que l'origine de la brèche n'ait jusqu'ici jamais été expliquée. Sur le réseau social Twitter, ce sont les comptes de grandes personnalités publiques qui avaient été compromis. Citons également les dizaines d'attaques visant des universités et des organisations caritatives au Royaume-Uni, aux États-Unis et au Canada, qui, bien que moins sensationnelles, sont tout aussi préoccupantes. Des années d'efforts pour bâtir une marque et une réputation peuvent être réduites à néant en un rien de temps.
Malgré le profil de croissance attrayant du secteur relativement nouveau de la cybersécurité, il est difficile de s'y exposer directement sur les marchés cotés. Les rendements offerts sont mitigés et de nombreux investisseurs préfèrent adopter une approche de type « panier ». De manière générale, les sociétés de private equity se sont emparées des entreprises les plus intéressantes du secteur, tandis que les start-ups doivent lutter pour faire face aux menaces et aux défis inhérents au paysage actuel de la cybersécurité. Les financements et les opérations ont atteint des volumes record en 2019, avec pas moins de 564 transactions de capital-risque.
Opérations et financements dans le domaine de la cybersécurité 2015-2019 (monde, données annuelles)
Un secteur mûr pour la consolidation
Le secteur est fragmenté et mûr pour la consolidation. Il est possible d'obtenir des capacités de pointe très sophistiquées sans se heurter à d'importantes barrières à l'entrée, comme en témoignent ces adolescents qui déploient leurs compétences à l'échelle mondiale depuis la maison familiale. De plus, l'évolution rapide du secteur implique qu'un avantage concurrentiel n'est presque jamais acquis et que les entreprises finissent inévitablement par livrer des batailles déjà désuètes.
Le modèle en étoile (hub-and-spoke) typique de la cybersécurité est en train de changer. Auparavant, les capacités en matière de sécurité, la puissance de calcul et les données sensibles d'une entreprise étaient centralisées dans un centre de données, mais la popularité croissante des solutions basées sur le cloud a conduit à l'abandon progressif des installations sur site. En effet, les entreprises qui tirent parti de cette tendance, dans tout le spectre des spécialités que compte le monde de la cybersécurité, ont de meilleures chances de sortir gagnantes. Les géants de la technologie ont pour habitude d'acquérir et d'intégrer les acteurs plus modestes qui se distinguent, bien qu'il reste à voir comment ils articulent la cybersécurité à long terme au sein de leurs gammes de produits.
Microsoft illustre parfaitement la situation. Il y a deux ans, la société a annoncé qu'elle investirait 1 milliard de dollars dans son écosystème de cybersécurité. La même année, elle s'est engagée à investir 5 milliards de dollars supplémentaires au cours des cinq prochaines années. Son objectif : réduire sa dépendance aux logiciels tiers et ainsi renforcer sa position vis-à-vis de ses concurrents, tout en liant plus étroitement les appareils hors PC à ses logiciels. Grâce à ces investissements, justifiés par la taille et le potentiel de croissance du marché prometteur des solutions de sécurité, Microsoft s'est imposée comme une force incontournable dans ce domaine. Cette capacité à tirer parti des tendances croissantes et des défis mondiaux caractérise les entreprises susceptibles de prospérer dans le contexte d'un monde en constante évolution.
Des attaques de plus en plus sophistiquées et ingénieuses
La pandémie de Covid-19 a accéléré l'adoption de tendances qui prendraient en temps normal des années à se concrétiser. La « nouvelle normalité » du télétravail prive les entreprises de la visibilité et du contrôle dont elles bénéficiaient auparavant pour sécuriser leurs données, leurs comptes et leurs applications. Les cyberattaques revêtent bien des formes et se font de plus en plus ingénieuses, faisant appel à des techniques sophistiquées telles que l'intelligence artificielle dans le but de subtiliser les données d'identification des utilisateurs et de les amener à télécharger accidentellement des logiciels malveillants. Ces menaces touchent un large éventail d'entreprises et de secteurs et, si les ravages de la pandémie ont dominé l'actualité à court terme, il convient de garder à l'esprit qu'une cyberattaque coordonnée pourrait immobiliser notre société toujours plus dépendante de la technologie. Ce risque majeur devrait être scrupuleusement suivi par toute entreprise.
Compte tenu de la pénurie d'opportunités « pure play » offrant un profil de liquidité intéressant, la meilleure façon d'envisager le thème de la cybersécurité est peut-être de le considérer comme un risque pouvant affecter et ébranler les entreprises de tout secteur, y compris les plateformes informatiques elles-mêmes. Aussi prospère et aussi bien protégée face à un ralentissement économique ou aux pressions concurrentielles soit-elle, une entreprise ne peut jamais totalement se soustraire à la menace d'une cyberattaque, tout au plus l'atténuer à divers degrés grâce à des investissements judicieux. L'analyse approfondie du profil ESG d'un titre nous permet d'évaluer ce risque susceptible de mettre à mal des années de confiance des consommateurs et d'intégrité de marque ainsi que les mesures d'atténuation mises en place par les entreprises, et d'intégrer ces considérations à notre analyse bottom-up en tant qu'investisseurs réfléchis et gardiens du capital de nos clients.
NOTE
- Deep Dive into Security 101: Distilling the Murky Waters of Enterprise Security, Jefferies, 27 juillet 2020