Target, Home Depot, JP Morgan, Sony, Anthem et le service postal des États-Unis. Qu'ont en commun ces sociétés?
Ces entreprises se sont récemment retrouvées dans les médias, et surtout dans le trouble, après que des pirates eurent réussi à déjouer leurs protections informatiques et à s'emparer de données.
De malheureuses exceptions ?
Loin de là. C'est plutôt la pointe de l'iceberg.
La lecture d'un rapport de RBC Marché des Capitaux et d'un autre, de PwC, nous a laissé dans le plus grand des étonnements, il y a quelques jours.
Le hacking (piratage informatique) monte en puissance et a de quoi donner des inquiétudes.
Le sondage de PwC, « The Global State of Information Security Survey 2015 », indique que plus de 74 % des entreprises sondées rapportent au moins un incident de sécurité.
De 2009 à 2014, leur nombre a annuellement augmenté en moyenne de 66 % (hausse de 48 % en 2014). Le total s'établit aujourd'hui à 42,8 millions, ou, si l'on préfère, à 117 339 attaques par jour.
On ne parle pas ici de simples échecs de mots de passe. La perte financière estimée par les entreprises pour chacun des incidents est en moyenne de 2,7 M$ US.
Si l'année 2014 a été celle des bris de sécurité, 2015 pourrait être celle de la réaction et de la prévention, croit l'analyste de RBC, Matthew Hedberg.
Il appuie son raisonnement sur les chiffres dont on vient de faire état, mais aussi sur plusieurs opinions d'experts.
L'un d'eux est le directeur de la National Security Agency, l'amiral Michael Rogers, qui, en décembre, témoignait ainsi devant les parlementaires américains : « La question n'est pas de savoir s'il surviendra une cyberattaque majeure, mais plutôt quand. Il n'est pas difficile d'imaginer ce que pourrait être la situation si l'électricité ou l'eau étaient coupées. Imaginez maintenant ce qui arriverait si un de nos adversaires était capable de mettre en arrêt nos transactions financières. Notre économie serait paralysée. »
De l'avis de l'amiral, les infrastructures américaines sont « extrêmement vulnérables » à une telle attaque.
Pourquoi les incidents de sécurité augmentent-ils ?
La réponse simple, écrit l'analyste, est qu'il n'y a pas de réponse simple.
> Les incidents augmentent parce que les enjeux financiers sont importants, comme en fait foi la hauteur des pertes associées à chaque attaque.
> Des pays commencent en parallèle à utiliser la cyberattaque comme outil de guerre économique.
> Les opérateurs de la menace ne sont plus des ados installés dans leur sous-sol, mais des détenteurs de diplômes spécialisés.
> Il n'a jamais été aussi facile de lancer des logiciels malveillants (malware).
Et ainsi de suite.
Quel est le potentiel du secteur ?
Une question difficile, à laquelle Gartner tente de répondre.
Dans une récente mise à jour d'une étude sur le sujet, la maison estime que, sur l'horizon 2013-2018, les investissements en sécurité informatique dans les entreprises devraient grimper à un rythme annuel composé de 8,3 %. Vu autrement, c'est dire que le marché pourrait grimper de près de 50 % sur quatre ans et atteindre plus de 97 G$ US en 2018.
Faut-il jouer le secteur ? Et quoi jouer ?
Ce n'est pas si évident. Les cyberattaques de 2014 ne sont pas passées inaperçues sur les marchés et les titres antipiratage se négocient à des multiples assez élevés.
La moyenne de l'univers de RBC Marchés des Capitaux est à 28 fois le bénéfice par action 2014 et la médiane, à plus de 23 fois.
Matthew Hedberg entrevoit quand même quelques occasions intéressantes. Dont il revient à chacun d'évaluer le risque. On n'est personnellement jamais partant pour ce genre d'investissement, qui est difficile à comprendre.
Palo Alto Networks (PANW, 134,52 $ US)
Un grand acteur qui offre des solutions de protection aux entreprises et aux gouvernements. Celles-ci sont considérées comme étant de nouvelle génération et particulièrement efficaces du côté des pare-feu. Le prix de l'action par rapport aux flux de trésorerie a historiquement varié de 19 à 40 fois (moyenne à 31,4). Le titre se négocie à plus de 36 fois les bénéfices prévus. La cible de RBC est à 145 $ US.
Proofpoint (PFPT, 55,07 $ US).
Un plus petit acteur, qui offre des solutions qui permettent au client de défendre, de gérer et d'archiver ses données. Il utilise une recette en nuage et permet apparemment de sécuriser à plus faible coût que ne le fait la concurrence. Il n'y a pas d'historique de flux de trésorerie. Le titre s'est cependant échangé dans le passé de 2,5 à 8,5 fois les ventes (moyenne à 5). Il est actuellement à plus de 8,5 fois. La cible est à 60 $ US.
Imperva (IMPV, 41,32 $ US)
Un leader dans la sécurité de données, qui table sur un produit nommé SecureSphere. La société détient apparemment un vaste portefeuille de produits et une importante clientèle. Le titre s'est historiquement négocié de 2,5 à 10 fois les ventes (moyenne à 6,3). Il s'échange aujourd'hui à 5,2 fois. La cible est à 50 $ US.