← AI War Room
Cybersécurité

Anthropic déclenche un krach des actions cybersécurité : 15 milliards effacés en un jour

Tech4B2B · · 3 min (mis à jour le )
Illustration : Anthropic déclenche un krach des actions cybersécurité : 15 milliards effacés en un jour
  • Sujet: Anthropic déclenche un krach des actions cybersécurité : 15 milliards effacés en un jour
  • Date:
L'IA générative vient-elle de signer l'arrêt de mort de la cybersécurité traditionnelle ? Vendredi 20 février 2026, 9h30, ouverture de Wall Street. En quelques minutes, les écrans des traders virent au rouge sang dans un secteur qui se croyait à l'abri : la cybersécurité. JFrog s

Un agent IA qui fait le travail d'une équipe entière

Claude Code Security n'est pas un antivirus amélioré. C'est un agent autonome capable de scanner une base de code, d'identifier des vulnérabilités — injections SQL, buffer overflows, failles d'authentification — et de les corriger lui-même, sur plusieurs fichiers simultanément, dans un sandbox cloud sécurisé. Sans intervention humaine. Sans ticket d'incident. Sans consultant facturé à 300 dollars de l'heure.


Selon les premières analyses de l'outil, il couvrirait entre 80 et 90% des tâches routinières actuellement réalisées par des solutions SAST, DAST et SCA — des acronymes qui représentent des milliards de revenus annuels pour les grands noms du secteur. Le tout propulsé par Claude 3.5 Opus, le modèle le plus puissant d'Anthropic à ce jour.


La proposition est simple, presque brutale : pourquoi payer un abonnement annuel à six chiffres pour un outil de détection de vulnérabilités quand un agent IA généraliste peut faire le même travail, plus vite, pour une fraction du coût ?

Le carnage boursier du 20 février

Les marchés n'ont pas attendu une démonstration approfondie pour répondre. La panique s'est propagée avec une précision chirurgicale à travers tout l'écosystème cyber coté.

L'ETF sectoriel Global X Cybersecurity (BUG) a clôturé en recul de près de 5%. En une seule journée, le secteur a perdu plus que certaines startups ne lèvent en une décennie.

JFrog est le cas le plus emblématique. La plateforme DevSecOps, spécialisée précisément dans la sécurisation des pipelines de développement logiciel, a subi la correction la plus violente — exactement le périmètre que Claude Code Security cible en priorité. Le marché a fait le calcul en temps réel.

Pourquoi les investisseurs ont paniqué — et n'ont pas forcément tort

Pour comprendre l'ampleur de la réaction, il faut saisir la structure financière du secteur cyber. Ces entreprises se négocient en moyenne à 15 à 20 fois leur chiffre d'affaires — des multiples qui ne se justifient que par une promesse de croissance récurrente, d'abonnements renouvelés, de contrats pluriannuels. Leur valeur repose sur une conviction : la complexité croissante des menaces rend leurs outils indispensables, et cette indispensabilité a un prix.


Claude Code Security attaque précisément ce consensus. Si un modèle d'IA généraliste peut automatiser la détection et la remédiation des vulnérabilités, deux scénarios inquiétants se dessinent pour les acteurs traditionnels. Soit leurs clients réduisent leurs budgets dédiés aux outils de sécurité applicative — cannibalisation directe des revenus. Soit Anthropic et ses concurrents intègrent ces capacités comme fonctionnalité standard de leurs plateformes de développement, transformant ce qui était un marché premium en commodité incluse.

Dans les deux cas, les multiples de valorisation actuels deviennent difficiles à défendre.

Le rebond du lundi : sur-réaction ou déni ?

Lundi 23 février au matin, les cours se stabilisent. CrowdStrike reprend 0,3 à 0,4%. Zscaler regagne un peu de terrain. Palo Alto affiche une légère hausse. Le BUG oscille entre -0,1% et +0,5%. Certains analystes, à l'instar de ceux de Barclays, qualifient la panique de vendredi d'"illogique", arguant que l'outil d'Anthropic complète les solutions cyber plutôt qu'il ne les remplace.


L'argument mérite d'être examiné — et contesté. Il est vrai que Claude Code Security est encore en preview limitée, et que les entreprises n'abandonnent pas leurs infrastructures de sécurité en place du jour au lendemain. Mais le même discours a été tenu sur chaque vague de disruption technologique majeure. Les agences de voyage "complétaient" les OTA. Les taxis "complétaient" Uber. Les libraires "complétaient" Amazon.


La question n'est pas de savoir si Claude Code Security remplace CrowdStrike aujourd'hui. La question est de savoir si, dans 18 mois, un RSSI qui évalue son budget peut encore justifier des dépenses à sept chiffres pour des tâches qu'un agent IA exécute de façon autonome.

Le paradoxe Anthropic : safety d'abord, disruption ensuite

Il y a une ironie dans tout ceci. Anthropic se présente comme la "responsible AI company", celle qui refuse d'armer des systèmes autonomes, qui se bat avec le Pentagone sur ses clauses éthiques, qui publie des recherches sur la sécurité des agents. Et voilà qu'elle déclenche le plus grand krach sectoriel de l'industrie cyber depuis des années — non pas par un acte d'agression, mais par une simple annonce produit.

La disruption la plus profonde n'arrive pas toujours avec un manifeste. Parfois, elle ressemble à une note de blog sur un outil en preview.

Ce que ça change pour les DSI et RSSI

Pour les directions techniques, l'onde de choc boursière est un signal à ne pas ignorer. Elle ne signifie pas qu'il faut résiler tous les contrats cyber demain matin. Elle signifie que le marché commence à pricer une réalité que beaucoup de vendeurs n'ont pas encore intégrée dans leurs pitchs : l'IA générative n'est plus une fonctionnalité à intégrer dans les solutions de cybersécurité existantes. Elle devient une infrastructure concurrente.


Les entreprises qui s'en sortiront sont celles qui pivotent rapidement vers des cas d'usage qu'un agent généraliste ne peut pas couvrir : la réponse aux incidents complexes, la threat intelligence contextuelle, la conformité réglementaire sectorielle, la gestion des identités dans des environnements hybrides massifs. Le reste — l'audit de code routinier, la détection de vulnérabilités connues, le patch management — est en train de devenir du travail d'IA.

La vraie question

Quinze milliards effacés en une journée pour un outil encore en preview. Ce n'est pas une correction boursière. C'est un vote de confiance négatif sur un modèle économique entier.


La cybersécurité traditionnelle ne va pas mourir du jour au lendemain. Mais elle va devoir répondre à une question que le marché pose désormais à voix haute : dans un monde où l'IA détecte et corrige les vulnérabilités de façon autonome, qu'est-ce que vous vendez exactement — et pourquoi ça vaut encore 20 fois le chiffre d'affaires ?

Les cyber firms ont-elles les moyens de pivoter assez vite ? Ou sommes-nous en train d'assister aux premiers tremblements d'un effondrement structurel qui se jouera sur trois à cinq ans ?

Le brief tech qui compte
Chaque matin à 7h, les 5 signaux tech B2B à ne pas manquer.