L'IA d'Anthropic, Claude Code Security, a effacé 15 milliards de dollars en bourse en une semaine. CrowdStrike a chuté de 17 %, JFrog de 25 %. Disruption réelle ou surréaction des marchés ?
Le 20 février 2026, Anthropic a lancé Claude Code Security, un agent d'intelligence artificielle capable de scanner de manière autonome des bases de code d'entreprise, d'identifier des vulnérabilités et de déployer des correctifs sans intervention humaine. En quelques heures, les marchés ont réagi avec une brutalité rarément observée dans le secteur technologique : plus de 15 milliards de dollars de capitalisation boursière ont été effacés en l'espace d'une semaine.
L'indice Global X Cybersecurity ETF (BUG) a touché ses niveaux les plus bas depuis avril 2025, enchaînant sept semaines consécutives de baisse — sa plus longue série depuis 2015. Les grandes valeurs du secteur n'ont pas été épargnées : JFrog a chuté de 24,61 % (de 50,07 $ à 37,75 $), CrowdStrike a perdu 17 % en quelques séances, Zscaler et Okta ont reculé de 11 à 13 %, tandis que Palo Alto Networks a cédé 8,6 %.
Selon Forrester Research, l'outil d'Anthropic cible spécifiquement les plateformes d'analyse statique de code (SAST), d'analyse de composition logicielle (SCA) et de gestion de la posture de sécurité des applications (ASPM). Concrètement, il s'agit d'un concurrent direct pour des éditeurs comme JFrog et GitLab dans leur segment de détection des vulnérabilités avant mise en production.
L'analyste de la banque Madeline Brooks (Bank of America) a rapidement émis une note pour tempérer les ardeurs des vendeurs à découvert :
« L'annonce d'Anthropic a ébranlé la confiance des investisseurs dans les valeurs de cybersécurité. Nous ne partageons pas cette vision. »
Brooks précise que Claude Code Security se concentre sur la phase de pré-production — c'est-à-dire aider les développeurs à identifier les failles avant le déploiement. Les plateformes de cybersécurité opérationnelle, qui surveillent les environnements en temps réel et répondent aux incidents actifs, restent hors de portée de l'outil d'Anthropic dans l'état actuel de la technologie.
Les PDG des grandes entreprises de cybersécurité ont riposté publiquement. George Kurtz, directeur général de CrowdStrike, a mis en scène une démonstration en demandant directement à Claude de construire un concurrent à sa plateforme. La réponse de l'IA : « J'apprécie l'ambition, mais créer un remplaçant de CrowdStrike n'est pas quelque chose que je peux faire ici. »
« L'IA est puissante et transformatrice, mais elle n'élimine pas le besoin de cybersécurité — elle l'amplifie. »
Nikesh Arora, PDG de Palo Alto Networks, a exprimé une perplexité similaire, notant que ses clients demandent activement davantage d'IA pour faire évoluer leurs opérations de sécurité. Ce paradoxe apparent — l'IA perçue simultanément comme menace et outil — illustre la complexité du débat.
Pour Jeff Pollard, analyste principal chez Forrester Research, la réaction des marchés suit un schéma familier :
« Les entreprises d'IA cherchent à prouver qu'elles peuvent réduire la fenêtre de disruption de quelques années à quelques mois en utilisant leurs propres innovations. »
Cette dynamique rappelle la stratégie des hyperscalers (AWS, Microsoft, Google) qui ont progressivement intégré des capacités de sécurité dans leurs offres cloud, diluant les marges des acteurs spécialisés. L'analyse de Forrester conclut pourtant que « le marché de la cybersécurité ne va pas se contracter, mais la valeur va se redistribuer » : les solutions de niche pourraient devenir des cibles d'acquisition plutôt que de disparaître.
Dan Ives, analyste chez Wedbush Securities, a qualifié le mouvement de possible « AI Ghost Trade » — une réaction émotionnelle des marchés qui exagère l'impact d'une innovation encore limitée dans son déploiement opérationnel. Il souligne que le code généré par IA augmente en réalité la surface d'infrastructure à surveiller, ce qui bénéficie potentiellement aux plateformes de monitoring.
Le 26 février 2026, Zscaler a publié des résultats trimestriels solides : un chiffre d'affaires de 815,8 millions de dollars au deuxième trimestre de son exercice 2026, en hausse de 26 % sur un an, avec une marge de flux de trésorerie libre de 36 %. Des indicateurs qui, dans tout autre contexte sectoriel, auraient été acclamés.
Malgré ces performances, l'action a reculé de 6 à 11 % après la publication des résultats, en raison notamment :
Zscaler traite pourtant près de 500 milliards de transactions par jour et compte plus de 40 % des entreprises du Fortune 500 parmi ses clients — une profondeur d'intégration que les analystes jugent difficile à répliquer par un agent IA autonome.
Le 24 février 2026, au cœur de la tourmente boursière, CrowdStrike a publié son Global Threat Report 2026. Les données sont saisissantes : le temps moyen de breakout (de la compromission initiale au mouvement latéral) a atteint 29 minutes en 2025. Dans le cas de la campagne GTG-1002, ce délai a été réduit à 27 secondes, avec 90 % du cycle d'intrusion automatisé.
Cette publication a mis en évidence une contradiction inhérente au débat : tandis que les investisseurs paniquaient à l'idée que l'IA remplace les défenseurs, le rapport montrait que les attaquants utilisent déjà l'IA pour industrialiser leurs offensives. La demande en solutions de cybersécurité sophistiquées n'a jamais été aussi forte.
David Brumley, directeur de l'IA chez Bugcrowd, propose une analyse nuancée :
« La réaction des marchés suppose que l'IA effondre la valeur des plateformes. En réalité, elle comprime certaines fonctionnalités tout en élargissant le périmètre global du travail de sécurité. »
Il trace un parallèle avec la radiologie : l'IA a transformé la discipline, amélioré la précision des diagnostics et réduit certaines tâches manuelles, mais n'a pas supprimé les radiologues. La profession a évolué, les volumes ont augmenté, et la spécialisation s'est approfondie.
Ram Varadarajan, PDG d'Acalvio Technologies, résume ainsi : « Plus l'IA se déploie, plus nous avons besoin de cybersécurité. » Une assertion soutenue par les projections de Cybersecurity Ventures : les dépenses mondiales en sécurité informatique devraient dépasser 520 milliards de dollars en 2026, soit le double de 2021.
Pour les épargnants français exposés au secteur technologique via des fonds thématiques, ETF ou assurance-vie en unités de compte, plusieurs éléments méritent attention :
Les prochaines semaines seront déterminantes pour la thèse d'investissement. Plusieurs catalyseurs sont à surveiller :
La semaine du 20 au 28 février 2026 restera dans les annales comme un épisode de panique sectorielle alimenté par une innovation réelle mais mal interprétée. Claude Code Security représente une disruption pour les outils de scanning statique de code — une catégorie spécifique de cybersécurité. Elle ne remet pas en question les plateformes de protection opérationnelle en temps réel qui constituent l'essentiel des revenus des grands acteurs du secteur.
La rationalisation en cours, malgré son caractère brutal pour les portefeuilles à court terme, pourrait créer des opportunités d'entrée pour les investisseurs à long terme, à condition de distinguer les acteurs réellement menacés — les spécialistes SAST monoproduit — des plateformes intégrées dont les fondamentaux restent solides. Le marché a réagi comme si l'IA avait trouvé un antidote universel à toutes les menaces informatiques. La réalité est plus nuancée, et les attaquants eux-mêmes utilisent l'IA pour accélérer leurs offensives — rendant la cybersécurité plus nécessaire que jamais.
