Dans le monde, le coût moyen d’une cyber-attaque est estimé à 4,5 millions de dollars. Rien qu’en France, la cybercriminalité aurait coûté pas loin de 100 milliards d’euros en 2023. Partant de ce constat, il est évident que la cybersécurité est un enjeu majeur du XXIè siècle.

C’est donc tout naturellement que des entreprises aient voulu se positionner sur ce secteur proposant une belle perspective d’avenir. Sur le secteur de la cybersécurité, nous pouvons retrouver plusieurs acteurs que nous retrouverons dans la suite de cette analyse.

Aujourd’hui, nous allons nous intéresser à Fortinet, un pur-player de la cybersécurité. L’entreprise commercialise des solutions matérielle et logicielles qui répondent à l’enjeu de la cybersécurité comme des firewall ou des anti-virus. C’est une entreprise qui agit majoritairement en B2B, d’où sa méconnaissance par le grand public.

Nous allons donc faire son analyse et voir ensemble si Fortinet pourrait présenter un bon investissement.

Comme d’habitude pour ce type d’analyse, commençons par analyser la santé financière de l’entreprise afin de détecter d’emblée tout red flag.

Côté rentabilité, l’entreprise se porte très bien avec un ROCE et un ROIC à 24,76% et 18,9% respectivement en moyenne sur les 5 dernières années. C’est excellent et bien au dessus de son WACC (coût du capital) qui est estimé à 10,5% (source: GuruFocus).

L’endettement est lui aussi excellent avec une dette nette négative à -1,94 milliards de dollars, ce qui représente 1,4 fois l’EBITDA (ratio Dette nette / EBITDA à -1,4).

Pour ce qui est de la croissance, elle est tout bonnement excellente ! On a ici une croissance du chiffres d’affaires de 156% et une croissance des Free Cash Flows de 119,8% sur 5 ans, ce qui représente une croissance annualisée de 23,22% et de 19,12% respectivement. Par ailleurs, on note une croissance des Free Cash Flows par actions de 22,34% par an, ce qui montre que Fortinet rachète massivement ses propres actions.

Niveau marges, c’est tout à fait correct là aussi. La marge opérationnelle est de 23,8%, la marge nette est de 22,23% et la marge FCF est de 31,37%.

On se retrouve donc ici avec une copie quasi parfaite. Le seul axe d’amélioration serait d’avoir des marges un peu plus élevées mais on est en phase avec une entreprise comme Apple qui est elle aussi très exposée à la vente de matériel comme Fortinet. On est donc ici en présence d’une entreprise très saine financièrement parlant.

Avant d’aller plus loin, je me dois de faire une introduction à la cybersécurité. La cybersécurité est un domaine assez large et complexe, je devrais donc rester un peu en surface, au risque de rendre l’article bien trop long. Nous allons donc nous concentrer sur les 8 principaux segments de marché, ce qui devrait être amplement suffisant pour comprendre le business de Fortinet. Ces 8 segments de marché sont:

Ce qu’il faut bien comprendre ici c’est que tous ces segments de marché font appel à de multiples domaines d’expertise et corps de métiers. La cybersécurité est présente à tout moment de la durée de vie d’un produit informatique: de sa conception à sa mise hors service.

Ce qu’il est important de comprendre aussi c’est qu’avec l’avènement du Cloud, le nombre de communications augmente de manière exponentielle, engendrant un besoin accru en cybersécurité. En effet, les données transitent en permanence à travers de réseaux et sont accessibles 24h/24, 7j/7, ce qui augmente la probabilité d’une interception et donc augmente la probabilité d’une fuite de données.

Le chiffrement des données, la sécurité applicative, la sécurité des réseaux, la sécurité des endpoints ainsi que la gestion des identités et des accès sont donc des domaines primordiaux pour le futur.

Si l’on reprend le cas Fortinet, l’entreprise est plus ou moins présente sur tous ces piliers avec un ou plusieurs de ces produits. Je ne rentrerais donc pas dans le détail de tout ce que l’entreprise vend puisque cela prendrait trop de temps.

Il existe de multiples acteurs dans le secteur de la cybersécurité. Bien que je resterai par la suite plus concentré sur les acteurs présents sur le même segment que Fortinet pour mieux se rendre compte de l’environnement concurrentiel, je vous propose de jeter un oeil à cette infographie (que je tire de cet article):

Dans les “pure players” de la cybersécurité, on notera la présence de Palo Alto Networks, Fortinet, Check Point, SonicWall, Juniper Networks, Aruba Networks et Cisco sur la partie matérielle. Niveau Software, on peut compter sur CrowdStrike, Qualys, Zscaler ou encore CloudFlare.

Je pense que c’est la question à laquelle vous souhaitez tous une réponse simple et rapide. Fortinet est une entreprise complexe qui paraît simple au premier abord. En réalité, l’entreprise proposent des produits regroupant plusieurs corps de métiers bien distinct et donc il est complexe d’analyser en profondeur chaque produit.

Pour le résumer de manière simple, Fortinet propose des appareils réseauxcomme des firewall, des switchs, des access point et d’autres produits physiques et les équipe avec son système d’exploitation maison, FortiOS qui comprend plein de solutions software.

Le matériel leur permet donc une porte d’entrée chez le client qui prendra ensuite un abonnement aux logiciels fournis avec son matériel. C’est un business model qui est assez connu avec notamment Apple comme plus gros ambassadeur actuellement.

La solution phare de Fortinet sur le plan software est Fortinet Unified SASEqui inclue plusieurs outils comme un pare-feu, des outils de sécurité cloud, des pare-feux spécialisés dans les web app ou dans le cloud ou bien encore des outils de prévention de perte de donnée. Je n’entrerai pas dans le détail car chaque solution nécessiterait un article entier de vulgarisation pour comprendre de quoi l’on parle.

Avant de continuer, plongeons-nous ensemble dans l’histoire de Fortinet pour mieux comprendre la philosophie de l’entreprise et d’où elle vient.

C’est en 2000 que les frères Xie, tous deux passionnés de technologies, fondent la société à Sunnyvale, en Californie. Initialement appelée Appligation, puis Appsecure en décembre 2000, elle finirat par prendre le nom de Fortinet, inspiré de “Fortified Networks” (Réseaux Fortifiés en français).

Ces deux frères avaient auparavant fondé une entreprise spécialisée dans les pare-feux informatiques, NetScreen, qu’ils ont revendue à Juniper Networks en 2004. Fortinet n’était donc pas leur coup d’essai.

Avec Fortinet, leur ambition était de créer des solutions de cybersécurité non seulement efficaces, mais aussi capables de s’adapter aux besoins des entreprises de toutes tailles, dans un environnement numérique en rapide expansion. En 2002, ils lancent leur produit phare, le FortiGate, un pare-feu multifonction équipé de fonctionnalités de prévention contre les intrusions, le filtrage web, et d’autres outils de sécurité intégrés. Le succès de FortiGaterepose notamment sur l’intégration des fonctionnalités de sécurité en un seul dispositif, ce qui permet aux entreprises de simplifier la gestion de leur sécurité tout en maintenant des performances élevées.

Entre 2005 et 2010, le marché de Fortinet s’est rapidement élargi, et l’entreprise a vu ses ventes grimper dans les années suivantes grâce à une expansion géographique et une diversification de ses offres. Durant cette période, Fortinet n’a cessé d’innover, ajoutant de nouvelles fonctionnalités à ses produits phares et introduisant de nouveaux dispositifs comme les FortiSwitch (commutateurs réseau) et les FortiAP (points d’accès sans fil), permettant à Fortinet de proposer des solutions de sécurité complètes couvrant l’ensemble de l’infrastructure réseau.

La décennie 2010 fut marquée par l’arriver du Cloud avec notamment AWS, Azure et GCP, qui ont totalement bouleversé l’approche des entreprise à l’informatique. Fortinet a profité de ce changement d’usages en étandant son portefeuille de solutions pour répondre aux nouvelles exigences de sécurité. Ils ont lancé des produits tels que FortiSandbox (pour détecter les menaces inconnues via une approche de “bac à sable”) et FortiSIEM, un outil de gestion des événements et informations de sécurité. Fortinet a également introduit le Security Fabric, un cadre permettant aux entreprises de centraliser la gestion de leurs outils de sécurité.

Ces dernières années, Fortinet a concentré ses efforts sur le développement d’outils de sécurité basés sur l’intelligence artificielle (IA) et l’automatisation, pour détecter et répondre plus rapidement aux menaces. Fortinet continue de croître à un rythme rapide, en investissant dans la recherche et le développement pour anticiper les nouvelles menaces, et en s’associant avec des entreprises du monde entier pour renforcer leur cybersécurité.

Au niveau de la répartition des ventes, Fortinet est un cas d’étude assez simple. L’entreprise vend à peu près partout dans le monde et segmente comme suit: Americas, EMEA (Europe, Middle East and Africa) et APAC (Asia-Pacific).

Le profil est donc assez balancé, ce qui est appréciable car Fortinet ne dépend pas d’une zone géographique.

Au niveau des ventes par produits, là aussi c’est assez simple puisque Fortinet segmente entre ses produits physiques, ses solutions de cybersécurité purement software, et son support technique et autre revenus.

On peut voir que la répartition est extrêmement équilibrée. Malgré cela, on préfèrerai, en tant qu’actionnaire, voir une croissance des revenus liés aux produits et plus particulièrement aux abonnements cybersécurité car le support technique est une activité difficilement scalable. Cette activité comprend beaucoup de coûts variables tandis que la vente de produits physique peut bénéficier d’effet d’échelle, et que la vente d’abonnement procure une stabilité des revenus avec un revenu récurrent tout en proposant un niveau de marge très attractif lié au fait que cette activité contient quasiment exclusivement des coûts fixes.

Avant de continuer, je souhaiterais faire un petit aparté. Fortinet déclare avoir plus de 500 000 clients à travers le monde. C’est une force énorme en tant que fournisseur de matériel, surtout spécialisé, de se targuer d’avoir autant de clients. En tant qu’actionnaire, on appréciera surtout la non-dépendance à peu de clients ainsi que la diversité de ces derniers, allant des entreprises aux gouvernements.

Passons désormais à l’analyse de l’actionnariat. Les deux frères fondateurs sont toujours aux commandes et sont toujours actionnaires de l’entreprise. Ken Xie est l’actuel CEO et Chairman du board des actionnaires et possède 8,36% de l’entreprise tandis que Michael Xie est CTO et possède 7,43% des parts.

Fait intéressant, on retrouve la présence du fond Fundsmith, le fond d’investissement du super-investisseur Terry Smith, au sein des actionnaires.

En tan qu’actionnaire, on peut déjà apercevoir plusieurs points intéressants avec la présences des fondateurs au capital et dans la price de décision, un vrai “skin in the game” mais aussi avec la présence de Terry Smith via son fonds qui dénote d’une certaine qualité de la valeur.

Passons maintenant à la qualité du management et quoi de mieux que de regarder l’allocation du capital pour en déterminer sa qualité ?

Comme on peut le voir, l’entreprise ne verse pas de dividendes. Au niveau du retour à l’actionnaire, le management préfère se concentrer sur les rachats d’actions. Cependant, avec des multiples de valorisation aussi haut, on peut se poser la pertinence d’avoir autant de rachats d’actions, qui représentent tout de même 102,74% du free cash flow sur la même période. Si l’on met en perspectives, les investissement sont plus de 4,5 fois moindres…

Je trouve personnellement dommage pour une entreprise située dans un secteur si stratégique d’allouer son capital de cette manière, surtout quand il y a encore pleins de produits à developper. Le milieu de la technologie est en plus réputé pour son risque de disruption. On peut cependant noter l’acquisition en 2024 de Next-DLP, qui va venir renforcer l’offre FortiSASEavec des outils puissants de prévention de la perte de données, et de Lacework, entreprise qui a initialement développé une solution de protection d’applications cloud basé sur l’intelligence artificielle.

Si l’on regarde bien le profil de l’entreprise et le secteur où se situe Fortinet, l’avenir semble radieux. En effet, Fortinet surfe sur la méga tendance de la cybersécurité, segment qui devient de plus en plus indispensable au vu de notre dépendance quotidienne à la technologie informatique.

De plus, l’expansion du Cloud créé une demande croissante en solutions de sécurité spécialisées. Fortinet y est d’ailleurs bien implanté avec ses solutions comme FortiGate-VM et FortiCWP. Le potentiel sur ce segment est énorme avec des entreprises cherchant des solutions de sécurité s’adaptant et se mariant bien avec le Cloud hybride.

Un point important que j’ai pu noter lors de mes recherches, c’est la confiance du management dans la transition vers du matériel réseau “sécurisé” au détriment du matériel réseau traditionnel. Il est vrai que les arguments avancés sur l’accroissement des menaces ainsi que le manque de talents spécialisés dans la cybersécurité ne leur donne pas tort et montre à quel point Fortinet est bien positionné pour répondre aux tendances actuelle et futures.

Avec ses investissements dans l’intelligence artificielle et le machine learning, Fortinet aussi semble bien placé pour répondre à la demande croissante en solutions de cybersécurité basées sur l’IA et l’automatisation, permettant de détecter et de répondre aux menaces plus rapidement.

Fortinet pourrait aussi s’étendre aux industriels, tels que les infrastructures critiques, la santé et les télécommunications, qui adoptent de plus en plus les solutions IoT (Internet des objets). En effet, ces produits sont souvent peu sécurisés et représentent une porte d’entrée facile pour un hacker souhaitant s’introduire dans un système.

Bien évidemment, il existe d’autres relais de croissance que Fortinet pourrait utiliser, comme l’évolution vers le SASE (Secure Access Service Edge) poussé par le télétravail et le travail à distance en général, ou bien encore la croissance dans les pays émergents, mais il m’a semblé plus intéressant de développer sur les relais plus importants et significatif que j’ai évoqué plus haut.

Fortinet est positionnée sur un secteur d’avenir en forte concurrence. De plus, Fortinet est présent sur deux tableaux: le hardware et le software. Malgré cela, l’intégration de solutions software au sein de la plateforme de Fortinet leur permet de développer un avantage compétitif notable en poussant la synergie de ses produits.

Je pense donc personnellement qu’il serait idiot de comparer Fortinet avec des acteurs purement hardware ou purement software et de dissocier les deux offres qui sont sensé travailler conjointement. C’est pour cela que je vais me concentrer ici sur les trois concurrents se rapprochant le plus de Fortinet: Palo Alto, Check Point et Cisco.

Les quatre acteurs proposent chacun une offre très compétitive. Cependant, leurs cibles ne sont pas les mêmes et leurs offres comportent chacune leur lot de forces et de faiblesses.

Si l’on prend Cisco et Check Point, les deux entreprises visent plus les très grosses entreprises et les organisations de large envergure. Cisco est réputée pour son expertise réseau et Check Point est très appréciée dans les environnement règlementés comme la finance ou chez les entreprises cherchant des solutions de sécurité robustes et centralisées pour leurs réseaux et leurs datacenters. Cependant, leurs solutions sont très coûteuses, surtout pour les plus petites entreprises. La maintenance nécessite beaucoup de main d’oeuvre pour le matériel Cisco et Check Point accuse d’une interface jugée vieillissante et d’une mauvaise intégration avec les système multi-cloud (ou cloud hybride).

Palo Alto et Fortinet quand à elles ont un panel d’entreprises clientes bien plus étendu. Les produits de cybersécurité nouvelle génération, avec une forte orientation cloud et IA pour la détection de menace, de Palo Alto lui confère un attrait particulier dans les secteurs de la santé, de la finance et des services informatiques. Leur approche intégrée et leurs capacités avancées de détection des menaces est idéale dans des environnements où les attaques sont complexes et sophistiquées. Malgré tout, la solution de Palo Alto est parmi les plus coûteuses du marché et peut être complexe à configurer.

Fortinet, quand à elle, est plébiscitée pour sa facilité d’intégration, sa centralisation et ses options multi-cloud avancées. Son offre est aussi beaucoup plus abordable, ce qui la rend particulièrement attrayante pour les entreprises soucieuses de maîtriser leurs coûts. On retrouve d’ailleurs beaucoup de PME clientes de Fortinet pour cette raison.

Comme tout business, Fortinet est sujette à certains risques. Parmi les plus notables, on compte le risque de cybersécurité, le risque de disruption technologique, le risque de supply chain et le risque de cyclicité.

Bien évidemment, Fortinet opérant dans le secteur de la cybersécurité, une faille dans leur système d’exploitation ou même une attaque sur Fortinet serait dévastateur pour l’entreprise. Le préjudice réputationnel serait tel que l’entreprise verrait ses revenus fortement impactés.

Le secteur de la technologie évoluant à toute vitesse, il est normal d’y voir un fort risque de disruption technologique. Une entreprise cessant d’innover se verra rattraper par ses concurrent et ses ventes diminueront. De plus, l’entreprise risquerait de louper les nouveaux tournants, on a eu pas mal d’exemples dans le passé avec notamment Blackberry qui s’est faite disrupter par Apple et l’iPhone ou encore plus récemment avec les difficultés d’Intel.

Fortinet étant une entreprise vendant du matériel, elle est tout naturellement exposée aux risques qui y incombent. Tout d’abord, Fortinet dépend de plusieurs fournisseurs, ce qui fait qu’une pénurie chez un de ses fournisseurs, l’obligera à aller se fournir ailleurs pour plus cher si elle veut continuer à vendre ses produits. Fortinet peut aussi se retrouver avec du stock sur les bras en cas de surproduction, ce qui pèserait sur ses finances et l’obligerait à brader ce dernier, surtout si le matériel n’est pas écoulé rapidement étant donné le possible retard technologique qu’il pourrait avoir.

Fortinet dépend d’ailleurs beaucoup de la vente de son matériel qui peut présenter une certaine cyclicité. Une grosse partie de son chiffre d’affaires est généré par ses ventes d’abonnement et par son support technique. Fortinet pourrait voir ses revenus diminuer si ses clients arrêtent leurs abonnements et/ou de faire appel au service technique.

Niveau valorisation, Fortinet est actuellement valorisée à 47 fois ses bénéfices des 12 derniers mois et 39 fois son Free Cash Flow. Le PE forward à 12 mois quand à lui est de 38.

Si l’on regarde l’historique, la valorisation reste attractive par rapport au pic de 2022 mais reste quand même élevée. Pour partir sur des hypothèses raisonnables, au vu du business de Fortinet et de son secteur, je pense qu’on peut espérer un point d’entrée dans les 25–30 fois le Free Cash Flow, ce qui équivaudrait à un prix de l’action situé entre 50 et 61$, soit une baisse de -23,75% à -37,5%.

Si l’on procède avec un DCF, Fortinet fait actuellement une croissance de ses Free Cash Flow par action de 22,34% et une croissance de ses Free Cash Flows de 19,12% par an. Honnêtement, je pense que Fortinet continuera à bien performer de ce point de vue là. Malgré tout, je me dois de prendre une marge de sécurité et je vais estimer la croissance annuelle moyenne sur les 5 prochaines années à 17% des Free Cash Flows par action.

Si l’on prend ces hypothèses, alors il semblerait que Fortinet ne soit pas si chère que ça. En effet, le marché price une croissance des Free Cash Flows par action de 14,90% par an, ce qui semble assez conservateur par rapport à la croissance passée. Maintenant, Fortinet a connu une légère décroissance de ses Free Cash Flows sur les 12 derniers mois liés notamment aux investissement en R&D et à sa bascule vers un modèle par abonnement.

En prenant une hypothèse pessimiste cette fois, on obtiens un prix situé entre 62 et 76$ avec un DCF et à 67$ avec la méthode par le BPA, soit pas très éloigné du prix actuel.

En conclusion, Fortinet peut paraître surévaluée actuellement avec ses multiples élevés et un peu plus haut que son historique. Cependant, après avoir fait plusieurs scénarios, il semble que le prix actuel soit honnête sans trop laisser de marge de sécurité. Un prix vers 65–75$ semble être un bon compromis pour une entrée sur le titre et on pourrait même envisager les alentours de 60$ pour les plus gourmands et ceux déjà positionnés sur le titre.

Pour revenir sur les multiples, certes, ceux de Fortinet sont élevés mais ce n’est rien en comparaison des autres acteurs du secteur. Palo Alto affiche un multiple de 50 fois les bénéfices et CrowdStrike, pour ne citer qu’eux, affiche une valorisation à 437 fois les bénéfices. Je dirais donc que la prudence reste de mise sur le secteur, les multiples me semblent élevés pour l’ensemble du secteur sans que le marché attende une explosion des bénéfices. J’ai personnellement l’impression que le secteur est un “crowded trade” et qu’il faut faire particulièrement attention.

Je vais être honnête, Fortinet était un dossier qui m’intéressait particulièrement avant le début de cette analyse. Le dossier peut paraître facile à analyser au premier abord mais est en fait très complexe et nécessite une expertise dans le secteur de la cybersécurité que je n’aie pas, malgré ma spécialisation en cybersécurité et IoT que j’ai faite pendant mes études d’ingénieur. Le dossier regroupe plusieurs corps de métier avec chacun leur spécificités ce qui rend particulièrement difficile l’analyse du dossier, en particulier sur ses différences et avantages compétitifs par rapport à ses concurrents.

Malgré tout, le dossier continue de m’intéresser par ses nombreuses qualités, mais, étant déjà fortement exposé au secteur de la technologie, je préfère me concentrer sur des dossiers que je maîtrise bien mieux.

De plus, même si l’avenir me semble vraiment radieux pour Fortinet, je reste sceptique sur l’enthousiasme du management à propos du switch vers du matériel réseau orienté cybersécurité. Même s’ils ont raison sur la pénurie de talents en cybersécurité, la cybersécurité ce n’est pas l’IA. La cybersécurité c’est comme une assurance, on ne la paie pas par gaité de coeur et elle nous coûte souvent plus qu’elle ne nous fait économiser d’argent en cas de sinistre. L’IA quand à elle rapporte déjà de l’argent et est voué à générer du cash directement. Les investissement des entreprises dans cette dernière me paraît donc plus facilement justifiable qu’un investissement dans la cybersécurité.

De plus, le matériel réseaux orienté cybersécurité est plus complexe que le matériel traditionnel et les besoin en IA sont tels qu’on a besoin du matériel le plus efficace et le plus simple possible pour éviter toute complexité superflue (entraîner les modèles d’IA générative est déjà suffisamment complexe comme ça).

Cependant, Fortinet reste une entreprise très qualitative avec un bon avantage compétitif. J’apprécie tout particulièrement le business model à la Apple qui vise à vendre du matériel puis à ensuite enfermer le client dans son écosystème grâce à la vente d’abonnements et grâce à la synergie hardware/software.

J’espère que cette analyse vous aura plu, n’hésitez pas à me faire part de vos retours et suggestions pour les prochaines analyses !