Qualys a commencé son histoire en 1999 alors en pleine bulle internet. La société était alors l’une des premières entreprises de sécurité SaaS. La société s’est progressivement bâtie une solide réputation puisque aujourd’hui 46% des entreprises qui composent le Fortune 500 (les 500 entreprises américaines réalisant le plus de chiffre d’affaires) sont clients de Qualys. 

Nous avons affaire ici à un business qui marche bien, très profitable et jouissant d’une croissance naturelle contrairement à la croissance survitaminée de sociétés comme Snowflake ou Cloudflare. Cela explique en partie pourquoi la société s’est développée plus lentement mais aussi plus sûrement. Qualys ne vend pas aux clients ce dont ils n’ont pas besoin, ils s’adaptent à la demande et il en résulte une clientèle satisfaite, fidèle et présente pour du long terme. 

Dans un marché très fragmenté avec beaucoup d’acteurs, Qualys fait partie de la dizaine d'acteurs à avoir réussi à s’extraire de la foule avec une proposition de valeur tout à fait unique. 

Qualys permet de sécuriser les architectures cloud avec des capteurs qui exercent un contrôle continu des systèmes de sécurité. Leur principal produit, la plateforme Qualys Cloud, et ses applications intégrées, aident les entreprises à simplifier les opérations de sécurité et à réduire le coût de la conformité en fournissant des informations de sécurité critiques à la demande et en automatisant l'ensemble de l'audit, de la conformité et de la protection des systèmes informatiques et des applications Web. 

Contrairement aux autres acteurs, et plutôt que de proposer des services de consulting ou des solutions ciblées comme ses concurrents, l’entreprise propose une plateforme scalable qui permet d’intégrer tout l’éventail des solutions de cybersécurité sous un même toit. En fait, la plateforme cloud de Qualys est une sorte de parapluie qui permet de déployer un panel de solutions intégrées qui consolide tous les outils de cybersécurité sur un même portail. 

Le but est de proposer au client un « one-stop shop » facile à installer et à contrôler. La valeur ajoutée pour le client est évidente et différenciante. La plateforme est facile d’utilisation et économique pour le client : il n’y a aucun matériel à acheter ou à gérer et avec tout dans le cloud, il n’ a pas de dépenses en capital, ni ressources humaines. 

Qualys joue ainsi un rôle de « tour de contrôle » dans son secteur. L’entreprise a trouvé son product market fit idéal qui lui confère une position de force par rapport aux concurrents. Il n’y a qu’à voir les marges d’EBITDA supérieures à tous ses pairs pour s’en rendre compte (à 47% contre seulement 13% pour la médiane du secteur). 

Qualys n’a en effet peu de budget R&D car ce sont les concurrents qui doivent investir en R&D pour développer des solutions compétitives. Qualys lui se limite à les intégrer à sa plateforme. C’est un agrégateur de solutions. Les avantages sont multiples pour Qualys mais aussi pour les partenaires : 

  • Pour les concurrents, il devient essentiel d’être intégré à la plate-forme de Qualys pour être retenu par les clients. Cela permet à Qualys d’économiser sur les coûts de développement commercial. C’est aux concurrents de faire l’effort de s’intégrer, pas à eux. D’ailleurs 41% des ventes de Qualys sont indirectes, c’est-à-dire réalisées par les différents fournisseurs de solutions de cybersécurité. 
  • Pour les grands intégrateurs et cabinets de conseil (Accenture ou IBM), c’est plus simple et moins casse-tête d’installer une solution clés en main chez leurs clients. 
  • Pour les grands noms du cloud (Amazon AWS, Microsoft Azure ou Google Cloud), Qualys est une plateforme qui centralise toutes les solutions, limite les problèmes de comptabilité et permet de rassurer les clients. 

C’est la raison pour laquelle Qualys devient stratégique pour bon nombre d'acteurs. La société est à la croisée des chemins avec un positionnement stratégique à haute valeur ajoutée pour tout le monde et tout ceci à moindres frais. Avec cette solution « tour de contrôle » et clés en main, Qualys permet à ses clients de contrôler et surveiller tous les actifs connectés sur un réseau. Les vulnérabilités du réseau sont analysées en temps réel. La société peut ainsi les prévenir et proposer des systèmes de riposte en cas d’intrusion. 

Une histoire entrepreneuriale 

L’entreprise a été développée notamment par Philippe Courtot, entrepreneur franco-américain méconnu chez nous mais véritable génie et parrain de l’industrie tech outre-atlantique. La famille Courtot (depuis son bien triste décès en 2021) détient 9,11% du capital. Devenu CEO de Qualys en 2001 alors que l’entreprise avait été fondée deux ans plus tôt, en pleine bulle internet de 1999. Depuis, l’entreprise est dirigée par le brillant ancien ingénieur Sumedh Thakar dans la société depuis 2003. 

Petit aparté pour expliquer le caractère trempé et visionnaire du monsieur. Philippe Courtot a été PDG de cinq sociétés. D’abord président et chef de direction de Thomson-CGR, une société médicale, qui était à l'époque une filiale de l'une des plus grandes sociétés d'imagerie médicale au monde. En 1988, juste après avoir reçu le prix Benjamin Franklin pour ses efforts dans la création d’une campagne nationale plaidant pour la sensibilisation aux avantages de la détection précoce du cancer du sein par mammographie, il rejoint une société de messagerie appelée cc:Mail en tant que président. Deux ans plus tard, Microsoft a proposé de racheter cc:Mail pour 12 millions de dollars. Il refuse et vend la société 55 millions de dollars un an plus tard à Lotus Software. Il rejoint ensuite Verity en 1993, une société de gestion du capital intellectuel et de logiciels. Il conduit la société jusqu’à son IPO en 1995 puis rejoint Signio en 1997, une société de paiement électronique que Courtot a repositionnée pour devenir un grand fournisseur de paiement sécurisé dans l’industrie électronique en 1999. En 2000, la société se fait racheter par VeriSign pour 1,3 milliards de dollars et Courtot en assure l’intégration quelques temps. Pendant ce temps, Qualys commençait déjà à titiller l'œil du business man français. Courtot avait déjà mis quelques billes dans Qualys dès sa création en 1999, persuadé de la pertinence de sécuriser internet et les données que l’on y laisse. En 2001, il est nommé PDG de Qualys après avoir quitté Signio alors intégré au sein de VeriSign. En 2004, SC Magazine a décerné à Courtot le prix de l'éditeur pour ses efforts dans l'industrie de la sécurité réseau et pour avoir fondé CSO Interchange, un forum qui permet aux utilisateurs de partager des informations dans l'industrie de la sécurité. En 2011, SC Magazine l'a nommé PDG de l'année lors de leur cérémonie de remise des prix européenne. Courtot a conduit Qualys à son IPO en 2012 et est resté PDG jusqu'en mars 2021 (avant de nous quitter quelques mois plus tard). Il reste un entrepreneur hors-pair qui a lancé un bateau à la mer qui ne semble pas près de s'arrêter de si tôt. 

Un potentiel multibagger 

Qualys possède de nombreux critères caractéristiques d’un potentiel multibagger. Vous savez, ce genre de société qui peut voir son cours multiplier par 10, 20 ou 50 dans les années à venir. Nous cherchons ici à identifier des sociétés qui génèrent des rendements élevés et capables de réinvestir continuellement des bénéfices pour doper leur croissance. Ces entreprises offrent généralement un bon retour sur capitaux employés (ROCE) parallèlement à une base croissante de capitaux employés. Qualys affiche un ROCE moyen avoisinant les 25% et une croissance régulière des capitaux employés. 

Les revenus sont dans leur quasi-intégralité de nature récurrente. C’est un très bon point car cela donne une certaine visibilité aux résultats. 

Niveau répartition géographique, 60% du chiffre d’affaires est réalisé aux Etats-Unis et 40% dans le reste du monde. 

On le disait plus haut, ce modèle de plateforme qui intègre les solutions des autres via une interface intuitive et facile d’utilisation permet de limiter les budgets R&D et crée une certaine ubiquité qui se transforme progressivement en avantage compétitif considérable pour Qualys. L’entreprise revendique d’ailleurs une marge d’EBITDA numéro un de son secteur à plus de 47% en 2021 et une marge de free cash-flow avoisinant les 43%, soit une conversion en cash incroyablement élevée ! 

Naturellement, la cybersécurité est en pleine expansion et l’adoption de solutions intégrées est de plus en plus drivée par un impératif de compliance, plus que par un choix discrétionnaire. En effet, ces vents porteurs à long terme (megatrend de la cybercriminalité), sont davantage un impératif imposé par les assurances et les partenaires commerciaux que par la simple volonté du management. 

Le marché de la sécurité cloud est estimé à 36 milliards de dollars en 2022 et Qualys pense que ce sera un marché à 51 milliards de dollars en 2025. 

Cette dynamique se retrouve dans les chiffres avec un chiffre d’affaires multiplié par plus de 5 entre 2011 et 2021. Ce dernier passe de 76 à 411 millions de dollars. 

La force du modèle d’intégrateur se retrouve dans les marges qui sont tout bonnement incroyables (80% de marge brute et 30% de margé opérationnelle) ainsi que dans la rentabilité hors-pair (ROE de 30%, ROA de 16%, ROCE de 25%). 

Vous l’aurez compris, ce modèle d’affaires n’est absolument pas capitalistique. Il pourrait presque tourner sans capitaux propres car les clients paient comptant leur service et en avance sur le modèle SaaS (Software-as-a-Service). 

D’autant que la croissance est quasiment entièrement organique (il n’y a encore eu que très peu d’acquisitions). C’est encore un attribut supplémentaire extrêmement séduisant qui limite le risque d'exécution (la capacité d’intégration) et le risque financier (gérer l’endettement). 

Son bilan est d’ailleurs excellent. Avec une telle génération de cash, Qualys peut facilement lever du capital pour réaliser une acquisition dans les années à venir et ainsi consolider sa position dominante. Encore un bon point. 

Le bilan peut être qualifié de “forteresse” avec une trésorerie qui couvre presque quatre fois le passif complet. Il n’y aucune dette et la structure de coûts est quasiment réduite à néant. Nous avons bien évidemment retraité au bilan les revenus perçus d’avance (que l’on retrouve sous le terme uneanred revenue dans le bilan comptable) comptés au passif comme norme comptable (tant que le service n’a pas été 100% rendu). Cependant, il ne s’agit pas en réalité d’une vraie dette. C’est la raison pour laquelle nous pouvons affirmer qu’il n’y a aucune dette. 

Valorisation 

Le titre se paie actuellement 10 fois le chiffre d’affaires, 54 fois ces bénéfices prévisionnels pour 2022. La mesure qui nous intéresse le plus sur ce genre de société particulièrement bien gérée (rentable et en bonne santé financière) est le FCF Yield. Il est actuellement de 3,8% sur les estimations de 191 millions de dollars de Free Cash-Flow pour 2022. A ce niveau, disons que la qualité est globalement dans le prix. La société ne paraît cependant pas si chère que ça. Il y a encore une petite marge pour rentrer à ce niveau de prix. 

Vous avez dit “obsolescence” ? 

Malgré le caractère technologique de cette société qui nous ferait douter sur la longévité de leur avantage compétitif durable (le moat en anglais), rassurons nous : ce sont plutôt les fournisseurs de service intégrés à la plateforme de Qualys qui souffrent de ce risque, pas Qualys directement. 

Conclusion 

Nous avons affaire là à une société en forte croissante, portée par les vents de la numérisation de la société et la protection de nos données, très rentable, superbement capitalisée et gérée par un management compétent et intègre. Bref, un mouton à cinq pattes comme j’aime les appeler, plutôt rare sur les marchés financiers et bien souvent très rentable pour les actionnaires  qui savent s'asseoir sur leurs titres plusieurs années.