Newsletter · · Ashutosh Agarwal
Macquarie recommande l'achat de Zscaler tandis qu'Okta s'arme pour les agents IA
Récapitulatif hebdomadaire des podcasts sur les logiciels d'entreprise, le SaaS et la cybersécurité pour la semaine du 30 juin 2026. Macquarie a planté le premier drapeau clair du côté vendeur sur Zscaler, durement malmené en Bourse, Okta et SentinelOne ont mis leurs dirigeants sur le devant de la scène dans la course à l'identité des agents, et FortiBleed a pris une ampleur planétaire alors même que Fortinet menait le classement graphique.
Logiciels d'entreprise, SaaS et cybersécurité à l'ère de l'IA
Semaine du 30 juin 2026 : Macquarie recommande l'achat de Zscaler tandis qu'Okta s'arme pour les agents IA
En bref
- Steve Koenig, de Macquarie, a attribué une recommandation "surperformance" et un objectif de cours de 172 dollars à Zscaler, en baisse de plus de 40 % depuis le début de l'année, qu'il qualifie d'"alternative à Palo Alto" en matière de zero trust. Premier chiffre clair côté vendeur sur le secteur depuis des semaines.
- La course à l'identité des agents a désormais des voix opérationnelles : la responsable de la sécurité IA d'Okta et le PDG de SentinelOne se sont tous deux exprimés publiquement. La semaine dernière, Arora était seul ; désormais, c'est un chœur.
- FortiBleed s'est métastasé, passant de 74 000 appareils Fortinet exposés à une campagne dérobant 110 millions d'identifiants, touchant Oracle, Chevron, FedEx et des sous-traitants de l'OTAN. Pourtant, un bureau d'analyse technique vient de qualifier Fortinet de "titre cybersécurité au meilleur aspect graphique". À méditer deux fois.
Quoi de neuf
Zscaler a enfin obtenu son chiffre. Steve Koenig, de Macquarie, a planté un drapeau sur le titre le plus malmené du secteur : une recommandation "surperformance" et un objectif de cours de 172 dollars pour Zscaler, "en baisse de plus de 40 % rien que cette année". La logique est structurelle : le titre "n'a pas vraiment profité cette année de la dynamique positive de la cybersécurité", mais reste "un fournisseur de plateforme important, une sorte d'alternative à Palo Alto pour sécuriser vos applications et votre réseau dans un environnement zero trust" (Schwab Network, Koenig : la réinitialisation des valorisations logicielles crée une opportunité, ZS solide en cybersécurité), Steve Koenig, Macquarie (commentateur).
Okta affirme que le nouveau périmètre a un cerveau. Harish Peri, responsable de la sécurité IA chez Okta, a livré la formulation la plus nette à ce jour de la thèse de l'identité non humaine, et une réplique directe à la thèse d'Arora sur le réseau comme point d'étranglement. "Un logiciel n'a pas de cerveau. Les agents, eux, en ont un", a-t-il déclaré ; c'est ce caractère non déterministe qui rend la barre "beaucoup plus haute" pour gouverner l'accès d'un agent. La demande vient d'elle-même : "c'est l'un des rares cas où le marché est venu à nous massivement", des clients arrivant il y a environ huit mois en disant "nous savons qu'il y a un risque de sécurité, aidez-nous". Sa lecture pèse dans le débat PANW contre OKTA : il s'agit "d'un problème d'autorisation... qui se situe bien plus dans la couche applicative que dans la couche réseau" (The Road to Accountable AI, Harish Peri (Okta)), Harish Peri, VP AI Security, Okta (opérationnel).
"Un logiciel n'a pas de cerveau. Les agents, eux, en ont un." Harish Peri, Okta
Le PDG de SentinelOne a chiffré le SOC agentique. Tomer Weingarten a livré la donnée opérationnelle la plus concrète de la semaine : Purple AI réduit le tri des alertes "d'heures et de jours à littéralement quelques minutes", avec une précision qui "s'apparente... à celle d'une équipe humaine expérimentée", en résorbant un arriéré de 100 alertes quotidiennes "dans la même journée". Son avertissement est en réalité la thèse haussière inversée : la prochaine surface d'attaque, ce sont les agents eux-mêmes. "Il n'est pas nécessairement besoin d'une faille zero-day pour convaincre, modifier ou injecter des instructions dans une charge de travail IA autonome en cours d'exécution", et chacun d'eux "peut basculer à tout moment". L'automatisation ne rapporte à grande échelle qu'avec des données consolidées, exactement l'argument de vente des acteurs historiques (Tech Disruptors, le PDG de SentinelOne sur les évolutions de la sécurité et les agents IA), Tomer Weingarten, PDG, SentinelOne (opérationnel).
FortiBleed est passé d'incident à réquisitoire contre le modèle des boîtiers. La campagne que nous avions signalée il y a une semaine à environ 74 000 appareils a désormais pris une ampleur planétaire : les rapports de cette semaine l'estiment à plus de 430 000 appareils Fortinet et environ 110 millions d'identifiants dérobés. Network Break a cité une exposition chez Oracle, Chevron, FedEx et des sous-traitants de l'OTAN, avec ce constat sans détour : "tous vos fournisseurs de sécurité vont devenir des cibles majeures." Un argument structurel contre les boîtiers de périmètre, et discrètement en faveur du Zero Trust (Network Break, une attaque par force brute sur les mots de passe frappe Fortinet), Scott Robohn (commentateur) ; et (Cybersecurity Today, FortiBleed : Fortinet affirme que ce n'est pas un bug), David Shipley (commentateur).
L'identité comme faille, rendue explicite. Kevin Surace, PDG de TokenCore, a rattaché la thèse de la demande à une statistique implacable : environ 90 % des intrusions réussies dans les données Unit 42 de Palo Alto "ont piraté l'identité, et presque toutes concernaient des applications MFA et d'authentification". Son argument : le MFA et les applications d'authentification sont une infrastructure vieille de vingt ans, et ce n'est que maintenant, depuis que Salesforce et Microsoft ont commencé à les imposer, que les attaquants les industrialisent avec des relais de phishing générés par IA, "d'une précision pixel près". "Presque tous les piratages majeurs se font essentiellement de la même manière. Et tout tourne autour de l'attaque de l'identité" (The ITSPmagazine Podcast, la faille d'identité derrière presque chaque violation), Kevin Surace, PDG, TokenCore (opérationnel).
Le débat
Thèse haussière. L'IA élargit le marché adressable de la sécurité (davantage de surface d'attaque, davantage d'agents, davantage de données à inspecter) et renforce les leaders de plateforme, car l'automatisation ne rapporte à grande échelle qu'avec des données consolidées. PANW, CRWD et ZS voient leurs budgets clients s'élargir, pas se réduire.
Thèse baissière. Les nouveaux entrants IA-natifs et les outils gratuits ou intégrés des hyperscalers font s'effondrer l'économie du prix par poste. Pourquoi payer X dollars par terminal quand un SOC agentique associé à un forfait Microsoft E5 accomplit 80 % du travail ? La consolidation budgétaire élague d'abord la pile logicielle historique, pas la nouvelle.
Ma position cette semaine : plutôt haussière, mais le marché n'est pas d'accord, et c'est précisément le signal à retenir. Les fondamentaux pointent dans une direction, une recommandation d'achat sur ZS, deux opérationnels confirmant que le budget dédié à l'identité des agents s'ouvre, FortiBleed générant gratuitement de la demande pour le Zero Trust. Pourtant, un bureau d'analyse technique a qualifié Fortinet, victime de la faille, de "titre cybersécurité au meilleur aspect graphique" parce qu'il a "explosé lors des résultats", tandis que "Palo Alto et CrowdStrike ont plutôt chuté après leurs résultats" (Stock Market Today With IBD), commentateur. Quand le fournisseur de boîtiers piraté mène le classement graphique et que les consolidateurs traînent, la consolidation de plateforme est réelle mais pas encore intégrée dans le consensus, exactement l'écart que pointe Koenig.
Valeurs à suivre
PANW. Haussier : le cadrage d'Okta sur "l'autorisation en couche applicative" concède implicitement que PANW détient la couche réseau ; Unit 42 reste la donnée la plus citée par tous. Baissier : silence des opérationnels, "chute après les résultats". À surveiller : la traction de la passerelle agentique, chiffrée, lors de la prochaine publication.
CRWD. Haussier : "l'identité comme faille" tire l'adoption de la protection d'identité de Falcon. Baissier : aucun commentaire opérationnel, retard après les résultats. À surveiller : l'ARR net nouveau et toute donnée sur Charlotte AI / Falcon Flex.
ZS. Haussier : nouvelle recommandation "surperformance" de Macquarie, objectif de 172 dollars, l'alternative zero trust à PANW, avec FortiBleed comme panneau publicitaire vivant. Baissier : en baisse de 40 % depuis le début de l'année, à la traîne sur toute l'année du côté de la thématique cyber. À surveiller : la réaccélération de l'ARR net nouveau.
OKTA. Haussier : sa propre dirigeante affirme que la demande d'identité des agents "est venue à nous massivement", le marché adressable passant de la théorie à la demande entrante. Baissier : guerre de territoire avec PANW et CyberArk pour savoir qui facture les agents. À surveiller : le cadrage de l'identité non humaine et la vente croisée d'Auth0 d'ici la prochaine publication de résultats.
FTNT. Haussier : leader graphique du secteur malgré la faille. Baissier : 430 000 appareils et 110 millions d'identifiants exposés constituent une taxe réputationnelle sur le modèle des boîtiers. À surveiller : le cycle de réinitialisation des identifiants, déclencheur de renouvellement ou d'attrition.
Effets de contagion
SentinelOne (S). Positif : le PDG a chiffré le SOC agentique de Purple AI, renforçant la douve de l'échelle des données.
Fortinet (FTNT). Mitigé : la faille a pris une ampleur planétaire, pourtant le titre reste la vedette technique du secteur, une divergence rare entre fondamentaux et cours.
Cloudflare (NET). Neutre : mis en avant sur les prises de contrôle de bots, l'IA en périphérie et les jetons d'identité anti-scraping, adjacent à l'identité mais pas au cœur de la thèse.
CyberArk (CYBR). Aucune mention directe, mais l'identité des agents/machines et "l'identité comme faille" sont exactement son terrain, effet de contagion positif.
Hyperscalers (MSFT/GOOGL/AMZN). Silence sur les forfaits groupés ; le seul signal est allé dans l'autre sens, les LLM présentés comme "complémentaires aux principaux fournisseurs de plateformes", coopétition plutôt que substitution.
Ce qui a changé par rapport à la semaine dernière
Trois évolutions. Le banc des opérationnels s'est étoffé : la semaine dernière, Arora portait seul la thèse haussière ; cette semaine, Okta et SentinelOne ont mis leurs dirigeants sur le devant de la scène, tandis que PANW est resté silencieux. Les haussiers ont obtenu un chiffre : la recommandation "surperformance" de Macquarie sur ZS avec un objectif de 172 dollars, premier appel concret côté vendeur depuis des semaines. Et FortiBleed a vu son ampleur multipliée par environ six (de 74 000 à 430 000 appareils), pourtant le titre reste en tête du classement graphique, ce qui accentue la divergence plutôt que de la résoudre. Nouveau thème : la cryptographie post-quantique est devenue concrète, avec une règle fédérale exigeant que les sous-traitants respectent les normes post-quantiques du NIST d'ici le 31 décembre 2030 (Fastest 5 Minutes), et une analyse approfondie sur le schéma "collecter maintenant, déchiffrer plus tard" appelant à l'agilité cryptographique (CISO Tradecraft #290), Marcus Sachs.