Avec l’éloignement social et l’adoption accrue du travail à distance par les organisations de toutes tailles, le sentiment est très optimiste chez CyberArk Software Ltd. (NASDAQ:CYBR). Par cet article, je souhaite expliquer ma rationalité quant aux risques que représente pour les investisseurs cette action déjà très chère.

Ma position

Pour être clair, je ne suis pas pessimiste sur le CyberArk Software. La gestion des accès privilégiés est un domaine important de la cybersécurité et n’est actuellement traitée avec le sérieux qu’elle mérite que par très peu d’organisations. Avec le nombre croissant d’organisations qui transforment leur activité en numérique, l’accès des administrateurs à ces systèmes doit être mieux protégé.

Le CyberArk est clairement le leader dans l’espace PAM, et il existe un grand potentiel dans un marché relativement inexploité.

La concurrence se développe dans l’espace PAM, mais c’est une histoire pour un autre jour.

Réductions budgétaires dans le domaine des TI

Des normes récentes indiquent que de nombreuses entreprises réservent environ dix pour cent du budget informatique total à la cybersécurité. C’est la tendance que l’on observe, malgré les arguments des experts en sécurité qui s’opposent à cette pratique.

COVID-19 et la perturbation des activités qui en découle incitent les organisations à introduire les TI réductions budgétaires pour augmenter les liquidités et survivre pendant la pandémie.

(Source : Enterprise Technology Research)

De nombreuses organisations font des investissements pour permettre à leur personnel de travailler à domicile. Mais ces investissements concernent surtout les équipements et les infrastructures :

  1. Ordinateurs portables et autres médias portables

  2. Webcams et la vidéoconférence services

  3. Infrastructure pour soutenir le travail à distance (Cloud, services de virtualisation, etc.)

M. Market n’est pas un expert en matière de technologies logicielles. En conséquence, la majorité des actions technologiques continuent de se négocier à des prix élevés. Il est important de comprendre la différence entre ce qui est essentiel pour permettre le travail à distance et quelle est la les meilleures pratiques pour soutenir le travail à distance à long terme.

La cybersécurité est extrêmement importante pour les organisations de tous types d’industries. Qu’il s’agisse de réduire l’impact réglementaire, financier ou sur la réputation, la sécurité par la conception est essentielle. Cependant, le monde dans lequel nous vivons ne le voit pas encore de cette façon. De nombreux rapports révèlent que la sécurité continue d’être une réflexion après coup dans la transformation numérique. (Rapport de Bloomberg en précisant que la sécurité dans les nuages est une réflexion après coup malgré l’adoption d’un grand nombre de nuages). Malgré des violations massives des données en 2018 et 2019, les responsables de la sécurité de l’information (RSSI) continuent doivent se battre pour leur budget.

Par conséquent, comme on parle beaucoup de réductions budgétaires dans le domaine des technologies de l’information, le budget de la cybersécurité dans les organisations sera également fortement réduit. À mon avis, c’est regrettable, mais il est probable que ce soit la réalité.

La suite de produits du CyberArk

Il est facile de faire croire que toutes les technologies logicielles permettent de travailler à distance. CyberArk fournit des produits logiciels qui protègent et sécurisent l’accès des utilisateurs privilégiés aux plateformes d’entreprise.

(Source)

La suite CyberArk vise à sécuriser les clés du royaume de l’informatique. Cependant, pour la déployer et la rendre fonctionnelle dans une entreprise, elle doit être intégrée à tous les domaines du royaume informatique.

(Source : Présentation aux investisseurs)

Le déploiement et l’opérationnalisation nécessitent une planification et une conception approfondies. Comme l’intégration vise à protéger l’infrastructure existante, elle implique une coordination avec les équipes d’infrastructure associées. Le plus souvent, des services professionnels sont engagés pour aider à la mise en œuvre, ce qui entraîne des coûts supplémentaires. En outre, des campagnes de formation sont nécessaires pour les administrateurs de ces infrastructures afin de les familiariser avec le nouveau processus de connexion et d’accès au CyberArk. Tout cela prend plusieurs mois (voire des années). En outre, l’organisation qui déploie le CyberArk aura besoin de ressources pour posséder et exploiter l’outil (soit par de nouvelles embauches, soit par une offre de services gérés de la part de consultants).

(Source)

À mon avis, les dépenses liées au déploiement de la technologie PAM ne figureront pas en tête de liste des priorités en cette période de crise. Cela est principalement dû au fait que le CyberArk ne permet pas directement aux employés de travailler à distance. Il s’inscrit plutôt dans la lignée des organisations qui établissent des pratiques sécurisées autour de leur infrastructure existante, ce qui sera la prochaine étape logique lorsque l’économie commencera à se stabiliser.

Les grands projets de mise en œuvre qui sont reportés indéfiniment. Les CISO chercheront à mettre en place des outils pouvant être déployés et opérationnalisés rapidement, afin de combler les lacunes essentielles en matière de sécurité. La suite CyberArk ne correspond pas à cette description, ni ne répond à cette exigence. Les infrastructures technologiques telles que le VPN, l’authentification multi-facteur et la gestion des appareils mobiles seraient prioritaires pour le moment, compte tenu du budget disponible.

Problèmes d’évaluation

Les actions du CyberArk se négocient à environ 8x les ventes.

(Source : Seeking Alpha)

(Source : Calculs de l’auteur)

(Source des données : conférence téléphonique de la société 20F et du quatrième trimestre)

Même si les recettes prévues pour 2020 se situent entre 510 et 519 millions de dollars, il est évident que le taux de croissance diminue. C’est ce que l’on attend normalement des leaders du marché dans un domaine technologique spécifique, comme c’est le cas du CyberArk pour PAM.

Toutefois, à mon avis, la société ne sera pas en mesure de respecter ces orientations en matière de recettes en raison du raisonnement exposé dans les sections ci-dessus. J’ai décidé de faire quelques calculs approximatifs sur l’évaluation (multiples des ventes).

(Source : Calculs de l’auteur)

Si le CyberArk continue à se négocier à 8x les ventes, nous pouvons nous attendre à une hausse de 19% par rapport aux prix actuels. Mais je pense que c’est peu probable, puisque les orientations ont été publiées le 12 février, bien avant COVID-19. L’impact commercial dû aux réductions budgétaires n’a pas été pris en compte dans ces calculs.

Avec des taux de croissance plus faibles, en supposant une valorisation des ventes de 8 fois, je vois un très léger avantage pour les investisseurs. Normalement, lorsque la réduction du taux de croissance est constatée par M. Market, le multiple du prix baisse également. Je n’en tiens pas compte dans ma thèse, car il y a beaucoup d’inconnues. Mon article vise seulement à souligner le fait que la croissance des investissements est très faible par rapport au risque potentiel à venir.

Je dois ajouter que je n’anticipe pas le scénario d’une croissance nulle pour l’année en cours. La suite de produits CyberArk est difficile à mettre en œuvre. Mais une fois mise en œuvre, il est très difficile de la faire disparaître. Je ne m’attends pas à ce que les clients actuels réduisent ou remplacent la suite pour le moment. Il est possible pour les clients existants d’acheter des licences supplémentaires pour permettre à une plus grande partie de leur personnel de travailler à distance.

Conclusion

Malgré l’importance de la cybersécurité sur le marché, les CISO seront confrontés à des réductions budgétaires en période de crise économique. Plus la situation de pandémie persistera, plus la croissance à court terme de CyberArk Software sera faible. Je ne pense pas que l’adoption de nouveaux clients soit du même ordre que les années précédentes. Le titre affiche déjà un multiple de valorisation élevé et, à mon avis, la hausse est assez faible. Les risques l’emportent pour l’instant sur la hausse. C’est pourquoi je choisis de rester prudent et d’attendre un meilleur point d’entrée.

Divulgation : Je n’ai/nous n’avons aucune position sur les actions mentionnées et je ne prévois pas d’en prendre dans les 72 heures à venir. J’ai écrit cet article moi-même, et il exprime mes propres opinions. Je ne reçois aucune compensation pour cela (autre que celle de Seeking Alpha). Je n’ai aucune relation d’affaires avec une entreprise dont les actions sont mentionnées dans cet article.


Commencer à trader avec eToro