Qualys (QLYS) : la cybersécurité cloud en bourse
2026-06-16 · Par Lubin Danilo, fondateur de Lubin Investment
Qualys est une machine à cash discrète dans un secteur bruyant. Elle obtient 10 sur 10 dans ma méthode : marges FCF de 31 %, croissance régulière, zéro dette nette. La contrepartie : elle se valorise aujourd'hui 25 % au-dessus de mon prix d'achat raisonnable. Qualité évidente, timing à surveiller.
- Qualys obtient 10 sur 10 dans ma méthode d'analyse fondamentale.
- Marge de free cash flow : 31,1 %. Sur 100 dollars de revenus, 31 restent en cash réel après toutes les dépenses.
- L'action se valorise 19,2 fois son free cash flow annuel. Mon prix cible est de 86,03 dollars, contre un cours actuel de 114,65 dollars : surcote de 25 %.
- Qualys a généré des revenus de 175,6 millions de dollars au Q1 2026, en hausse de 10 % sur un an, et a relevé son guidance annuel à 721-727 millions de dollars.
- La trésorerie nette est positive : l'entreprise a plus de cash que de dette, un critère de solidité rare en cybersécurité.
Ce que fait Qualys : scanner les failles avant les pirates
Imagine que ton système informatique soit une maison avec des centaines de fenêtres et de portes. Qualys est l'entreprise qui t'aide à les inspecter toutes, en permanence, pour repérer celles qui sont mal verrouillées avant qu'un cambrioleur ne les trouve.
Techniquement, Qualys opère dans la gestion de vulnérabilités cloud. Son produit phare s'appelle VMDR (Vulnerability Management, Detection and Response) : il scanne en continu les systèmes d'information des grandes entreprises, détecte les failles de sécurité connues, les priorise par niveau de risque et recommande des correctifs. Son produit CSPM (Cloud Security Posture Management) fait la même chose dans les environnements cloud (AWS, Azure, Google Cloud).
Ce qui distingue Qualys de ses concurrents : son architecture est entièrement cloud-native depuis sa fondation en 1999. Elle déploie un agent léger sur les machines de ses clients et centralise tout l'analyse dans le cloud. Pas de matériel à installer, pas de mise à jour manuelle. C'est une plateforme, pas un produit.
Les 10 critères et les piliers de la note maximale
Ma note sur 10 évalue la qualité du business indépendamment du prix. Pour atteindre 10, une entreprise doit exceller sur chacun de mes critères : rentabilité, croissance, solidité du bilan, allocation du capital. Qualys les valide tous.
Sa croissance de revenus sur 5 ans dépasse 12,8 % par an. Son free cash flow (l'argent réellement disponible après toutes les factures) par action a progressé de 16,8 % par an. Elle rachète ses propres actions au rythme de 2,4 % du flottant par an, ce qui augmente mécaniquement la part de chaque actionnaire. Et son bilan affiche une trésorerie nette positive : elle a plus d'argent en caisse que de dettes. C'est rare dans la tech.
Le moat de Qualys : pourquoi les grandes entreprises ne partent pas
Le moat de Qualys repose sur deux piliers. Premier pilier : les coûts de changement. Déployer Qualys dans une organisation de 50 000 postes prend des mois. Les équipes sécurité apprennent l'interface, construisent des workflows autour des alertes, intègrent les données dans leur SIEM (système de surveillance centralisé). Partir vers un concurrent impose de recommencer ce travail entièrement.
Deuxième pilier : la base de données de vulnérabilités. Qualys opère depuis 1999 et a construit l'une des bases de données de failles les plus complètes du marché. Cette base s'enrichit en continu. La profondeur de couverture est un argument de vente puissant auprès des équipes sécurité qui ne veulent pas de zones d'ombre.
En Q1 2026, le PDG Sumedh Thakar a décrit l'ambition de Qualys comme la création d'un Risk Operations Center autonome, piloté par l'IA, capable de prioriser et corriger les failles sans intervention humaine. C'est la direction stratégique qui justifie la croissance future.
D'où viennent les marges exceptionnelles ?
Une marge FCF de 31 % est remarquable. Comment Qualys y arrive-t-elle ? Son modèle SaaS cloud-native a des coûts marginaux très faibles : une fois la plateforme construite, ajouter un client supplémentaire coûte peu. Pas d'infra matérielle à expédier, pas de déploiement sur site.
Son Cash ROCE de 58,8 % (le cash généré pour chaque dollar de capital utilisé) confirme l'efficacité du modèle. La marge nette atteint 29,4 %. Ces chiffres ne sont pas le fruit du hasard : ils reflètent un modèle d'abonnement récurrent, des clients fidèles et une R&D bien ciblée.
Valorisation : Qualys est-elle chère par rapport à ses pairs ?
Mon outil mesure le P/FCF : le prix de l'action divisé par le free cash flow annuel par action. Qualys affiche un P/FCF de 19,2. Mon prix cible d'achat est de 86,03 dollars. L'action cote 114,65 dollars : une surcote de 25 %. Je n'achète pas à ce niveau.
Pour comparaison, CrowdStrike se valorise autour de 60 à 80 fois son FCF (selon les périodes). Qualys est structurellement moins chère que son pair le plus médiatique, et elle est bien plus rentable que la moyenne du secteur. Mais 19 fois reste élevé pour une croissance de revenus à 12-13 %.
Les risques : CrowdStrike, Wiz et la consolidation du marché
Qualys opère dans un secteur en pleine recomposition. CrowdStrike étend ses capacités de gestion de vulnérabilités et empiète sur le terrain de Qualys. Plus sérieusement, Wiz (acquis par Google en 2024) construit une plateforme de sécurité cloud très large qui inclut la gestion de posture. Si Wiz est distribué agressivement via Google Cloud, les grandes entreprises pourraient avoir un concurrent crédible packagé directement dans leur contrat cloud.
Le deuxième risque : la croissance ralentit. Qualys croît à 10-13 % par an, ce qui est sain mais pas spectaculaire dans un secteur où certains concurrents affichent 30-40 %. Le marché peut se lasser d'une croissance modérée, même très rentable.
Pour explorer tous les chiffres de Qualys en détail, tu peux consulter ma page d'analyse : lubin-investment.com/analyse/QLYS.
FAQ
Qu'est-ce que la gestion de vulnérabilités ?
C'est le processus de détection, priorisation et correction des failles de sécurité dans les systèmes informatiques d'une organisation. Qualys automatise ce processus en continu, sur des milliers de machines, depuis le cloud.
Qualys est-elle menacée par CrowdStrike ?
Les deux opèrent en cybersécurité mais sur des segments différents : CrowdStrike est historiquement fort sur la détection et réponse aux incidents (EDR), Qualys sur la gestion préventive des vulnérabilités. Le chevauchement existe mais reste partiel. Le vrai risque vient de Wiz, qui construit une plateforme de sécurité cloud très large.
Pourquoi la trésorerie nette positive est-elle un critère important ?
Une entreprise avec plus de cash que de dettes peut traverser une récession, faire des acquisitions opportunistes ou racheter ses actions sans stress financier. C'est un signal de solidité rare en croissance tech, où beaucoup de sociétés s'endettent pour financer leur expansion.
Qu'est-ce que le CSPM de Qualys ?
Le CSPM (Cloud Security Posture Management) est un outil qui surveille en permanence la configuration des environnements cloud (AWS, Azure, Google Cloud) pour détecter les mauvaises configurations de sécurité. C'est un des segments à plus forte croissance de Qualys.
L'action Qualys est-elle un achat aujourd'hui ?
Ma note de qualité est de 10 sur 10, mais l'action se valorise 25 % au-dessus de mon prix cible d'achat (86,03 dollars contre 114,65 dollars actuellement). Je surveille sans acheter. Ceci n'est pas un conseil en investissement.
Voir l'analyse QLYS sur Lubin Investment
À propos de l'auteur
Écrit par Lubin Danilo, fondateur de Lubin Investment. Investisseur particulier autodidacte, j'analyse les actions par les fondamentaux depuis plusieurs années et j'investis mon propre argent avec cette méthode. Je l'ai codifiée dans un outil qui juge séparément la qualité d'un business et son prix, à partir de critères inspirés de la littérature financière (Warren Buffett, Michael Mauboussin, Aswath Damodaran).