L'IA d'Anthropic déclenche un krach de 15 milliards $ dans la cybersécurité : panique passagère ou rupture structurelle ?
L'IA d'Anthropic, Claude Code Security, a effacé 15 milliards de dollars en bourse en une semaine. CrowdStrike a chuté de 17 %, JFrog de 25 %. Disruption réelle ou surréaction des marchés ?
Le 20 février 2026, Anthropic a lancé Claude Code Security, un agent d'intelligence artificielle capable de scanner de manière autonome des bases de code d'entreprise, d'identifier des vulnérabilités et de déployer des correctifs sans intervention humaine. En quelques heures, les marchés ont réagi avec une brutalité rarément observée dans le secteur technologique : plus de 15 milliards de dollars de capitalisation boursière ont été effacés en l'espace d'une semaine.
L'indice Global X Cybersecurity ETF (BUG) a touché ses niveaux les plus bas depuis avril 2025, enchaînant sept semaines consécutives de baisse — sa plus longue série depuis 2015. Les grandes valeurs du secteur n'ont pas été épargnées : JFrog a chuté de 24,61 % (de 50,07 $ à 37,75 $), CrowdStrike a perdu 17 % en quelques séances, Zscaler et Okta ont reculé de 11 à 13 %, tandis que Palo Alto Networks a cédé 8,6 %.
Les faits : ce que Claude Code Security fait réellement
Selon Forrester Research, l'outil d'Anthropic cible spécifiquement les plateformes d'analyse statique de code (SAST), d'analyse de composition logicielle (SCA) et de gestion de la posture de sécurité des applications (ASPM). Concrètement, il s'agit d'un concurrent direct pour des éditeurs comme JFrog et GitLab dans leur segment de détection des vulnérabilités avant mise en production.
L'analyste de la banque Madeline Brooks (Bank of America) a rapidement émis une note pour tempérer les ardeurs des vendeurs à découvert :
« L'annonce d'Anthropic a ébranlé la confiance des investisseurs dans les valeurs de cybersécurité. Nous ne partageons pas cette vision. »
Brooks précise que Claude Code Security se concentre sur la phase de pré-production — c'est-à-dire aider les développeurs à identifier les failles avant le déploiement. Les plateformes de cybersécurité opérationnelle, qui surveillent les environnements en temps réel et répondent aux incidents actifs, restent hors de portée de l'outil d'Anthropic dans l'état actuel de la technologie.
La réaction des dirigeants du secteur
Les PDG des grandes entreprises de cybersécurité ont riposté publiquement. George Kurtz, directeur général de CrowdStrike, a mis en scène une démonstration en demandant directement à Claude de construire un concurrent à sa plateforme. La réponse de l'IA : « J'apprécie l'ambition, mais créer un remplaçant de CrowdStrike n'est pas quelque chose que je peux faire ici. »
« L'IA est puissante et transformatrice, mais elle n'élimine pas le besoin de cybersécurité — elle l'amplifie. »
Nikesh Arora, PDG de Palo Alto Networks, a exprimé une perplexité similaire, notant que ses clients demandent activement davantage d'IA pour faire évoluer leurs opérations de sécurité. Ce paradoxe apparent — l'IA perçue simultanément comme menace et outil — illustre la complexité du débat.
Analyse approfondie : une réévaluation sectorielle, pas une extinction
Pour Jeff Pollard, analyste principal chez Forrester Research, la réaction des marchés suit un schéma familier :
« Les entreprises d'IA cherchent à prouver qu'elles peuvent réduire la fenêtre de disruption de quelques années à quelques mois en utilisant leurs propres innovations. »
Cette dynamique rappelle la stratégie des hyperscalers (AWS, Microsoft, Google) qui ont progressivement intégré des capacités de sécurité dans leurs offres cloud, diluant les marges des acteurs spécialisés. L'analyse de Forrester conclut pourtant que « le marché de la cybersécurité ne va pas se contracter, mais la valeur va se redistribuer » : les solutions de niche pourraient devenir des cibles d'acquisition plutôt que de disparaître.
Dan Ives, analyste chez Wedbush Securities, a qualifié le mouvement de possible « AI Ghost Trade » — une réaction émotionnelle des marchés qui exagère l'impact d'une innovation encore limitée dans son déploiement opérationnel. Il souligne que le code généré par IA augmente en réalité la surface d'infrastructure à surveiller, ce qui bénéficie potentiellement aux plateformes de monitoring.
Les résultats de Zscaler : un cas d'école
Le 26 février 2026, Zscaler a publié des résultats trimestriels solides : un chiffre d'affaires de 815,8 millions de dollars au deuxième trimestre de son exercice 2026, en hausse de 26 % sur un an, avec une marge de flux de trésorerie libre de 36 %. Des indicateurs qui, dans tout autre contexte sectoriel, auraient été acclamés.
Malgré ces performances, l'action a reculé de 6 à 11 % après la publication des résultats, en raison notamment :
D'un guidance perçu comme conservateur, signalant une potentielle décélération de la croissance organique
D'une « rotation élevée » de clients issus de l'acquisition de Red Canary, finalisée en août 2025
D'une valorisation exigeante : l'action se traitait à plus de 40 fois les bénéfices attendus
Zscaler traite pourtant près de 500 milliards de transactions par jour et compte plus de 40 % des entreprises du Fortune 500 parmi ses clients — une profondeur d'intégration que les analystes jugent difficile à répliquer par un agent IA autonome.
Le rapport CrowdStrike : une ironie de calendrier
Le 24 février 2026, au cœur de la tourmente boursière, CrowdStrike a publié son Global Threat Report 2026. Les données sont saisissantes : le temps moyen de breakout (de la compromission initiale au mouvement latéral) a atteint 29 minutes en 2025. Dans le cas de la campagne GTG-1002, ce délai a été réduit à 27 secondes, avec 90 % du cycle d'intrusion automatisé.
Cette publication a mis en évidence une contradiction inhérente au débat : tandis que les investisseurs paniquaient à l'idée que l'IA remplace les défenseurs, le rapport montrait que les attaquants utilisent déjà l'IA pour industrialiser leurs offensives. La demande en solutions de cybersécurité sophistiquées n'a jamais été aussi forte.
Perspectives d'experts : une menace réelle, mais ciblée
David Brumley, directeur de l'IA chez Bugcrowd, propose une analyse nuancée :
« La réaction des marchés suppose que l'IA effondre la valeur des plateformes. En réalité, elle comprime certaines fonctionnalités tout en élargissant le périmètre global du travail de sécurité. »
Il trace un parallèle avec la radiologie : l'IA a transformé la discipline, amélioré la précision des diagnostics et réduit certaines tâches manuelles, mais n'a pas supprimé les radiologues. La profession a évolué, les volumes ont augmenté, et la spécialisation s'est approfondie.
Ram Varadarajan, PDG d'Acalvio Technologies, résume ainsi : « Plus l'IA se déploie, plus nous avons besoin de cybersécurité. » Une assertion soutenue par les projections de Cybersecurity Ventures : les dépenses mondiales en sécurité informatique devraient dépasser 520 milliards de dollars en 2026, soit le double de 2021.
Implications pour les investisseurs français
Pour les épargnants français exposés au secteur technologique via des fonds thématiques, ETF ou assurance-vie en unités de compte, plusieurs éléments méritent attention :
Différencier les acteurs : Les spécialistes du SAST (JFrog, GitLab) sont plus exposés que les plateformes intégrées (CrowdStrike, Palo Alto Networks, Zscaler)
L'ETF BUG : En recul de 11,57 % sur 10 jours, il offre une exposition diversifiée mais a absorbé l'essentiel de la correction
La dynamique de consolidation : Forrester anticipe des acquisitions des acteurs de niche par les plateformes, créant des primes potentielles
Le paradoxe IA : L'IA générant davantage de code à sécuriser, la demande structurelle pour la cybersécurité reste intacte à long terme
Ce qu'il faut surveiller
Les prochaines semaines seront déterminantes pour la thèse d'investissement. Plusieurs catalyseurs sont à surveiller :
3 mars 2026 : Publication des résultats trimestriels de CrowdStrike — un test décisif pour la narration du secteur
Réponse des entreprises : Palo Alto Networks a annoncé l'acquisition de Koi, une startup spécialisée dans la sécurisation des agents IA autonomes, illustrant la course à l'adaptation
Budgets IT : Les déclarations des directeurs financiers lors des prochains earnings calls indiqueront si les entreprises maintiennent leurs engagements en cybersécurité
Déploiement de Claude Code Security : Son adoption réelle en entreprise déterminera si la menace est systémique ou limitée à un segment
Conclusion
La semaine du 20 au 28 février 2026 restera dans les annales comme un épisode de panique sectorielle alimenté par une innovation réelle mais mal interprétée. Claude Code Security représente une disruption pour les outils de scanning statique de code — une catégorie spécifique de cybersécurité. Elle ne remet pas en question les plateformes de protection opérationnelle en temps réel qui constituent l'essentiel des revenus des grands acteurs du secteur.
La rationalisation en cours, malgré son caractère brutal pour les portefeuilles à court terme, pourrait créer des opportunités d'entrée pour les investisseurs à long terme, à condition de distinguer les acteurs réellement menacés — les spécialistes SAST monoproduit — des plateformes intégrées dont les fondamentaux restent solides. Le marché a réagi comme si l'IA avait trouvé un antidote universel à toutes les menaces informatiques. La réalité est plus nuancée, et les attaquants eux-mêmes utilisent l'IA pour accélérer leurs offensives — rendant la cybersécurité plus nécessaire que jamais.
Sources
Forrester Research, « Claude Code Security Causes A SaaS-pocalypse In Cybersecurity », février 2026
Bank of America Research, note d'analyste de Madeline Brooks, 23 février 2026
CNBC, « Cybersecurity stocks drop for a second day as new Anthropic tool fuels AI disruption fears », 23 février 2026
FinancialContent/MarketMinute, « The Agentic AI Crisis: CrowdStrike Plummets as Markets Reassess the Cybersecurity Moat », 24 février 2026
CrowdStrike Global Threat Report 2026, 24 février 2026
SecureWorld, « Did AI Just Kill Cybersecurity? Industry Leaders Push Back Against Market Panic », février 2026
Benzinga, « Cybersecurity Stocks Are Cratering On AI Threat: Is This A Buy Opportunity? », 23 février 2026
Zscaler Q2 FY2026 Earnings Release, 26 février 2026
Boursorama, « CrowdStrike, Datadog et d'autres titres du secteur de la cybersécurité chutent après le lancement de l'outil d'IA d'Anthropic », 23 février 2026
Cybersecurity Ventures, Global Security Spending Projections 2026
L'équipe éditoriale de France Epargne analyse l'actualité financière pour vous apporter des informations claires et objectives sur l'épargne, l'investissement et la gestion de patrimoine.
Jack Dorsey a annoncé le 26 février 2026 le licenciement de 4 000 employés chez Block (Square, Cash App), invoquant l'IA comme moteur de transformation. L'action XYZ a bondi de 24% en après-marché.
OpenAI a annoncé vendredi la plus grande levée de fonds privée de l'histoire, avec 110 milliards de dollars apportés par Amazon (50 Md$), SoftBank et Nvidia (30 Md$ chacun), portant la valorisation à 730 milliards. Un tournant pour le secteur et pour les investisseurs.