2026/04/11: Zscaler (ZS) Moat Analysis at 7x P/S

ZeleFelis

ZeleFelis

13 min read
Share
2026/04/11: Zscaler (ZS) Moat Analysis at 7x P/S

The "Pre-Zscaler" Era: The Pain of Legacy VPNs

Before Zscaler, a remote employee wanting to access an internal CRM or download a contract faced a cumbersome process:

  • The "Long Pipe" (VPN Dial-up): They had to initiate a VPN, which functions like stretching a "long pipe" between an airport and the company’s data center thousands of miles away.
  • Latency via "Detours": Even if the employee was physically next to a cloud server (e.g., Salesforce), their traffic had to travel back to the headquarters' hardware firewall for security checks before looping back to the cloud.
  • Performance Bottlenecks: If thousands of employees dialed in simultaneously, the HQ hardware became a bottleneck—like a toll booth during rush hour—causing slow downloads or frequent disconnections.
  • Security Risks: Once the VPN was connected, the laptop was essentially inside the corporate network. If infected, a virus could move laterally to attack other sensitive servers.

The Zscaler Model: A "Personal Bodyguard" in the Cloud

With Zscaler, the experience is transformed:

  • Local Access (Zero Latency): Traffic automatically connects to the nearest Zscaler cloud node (likely in the same city). The user feels zero lag.
  • Identity as the Perimeter: Zscaler recognizes the user's identity, not their location. It instantly verifies: "Who are you? Is your device secure? Do you have the right to see this contract?"
  • App-Specific Connectivity: Zscaler acts as an intermediary. It doesn't let the user into the internal network; instead, it precisely retrieves the specific CRM data and hands it over. Even if the laptop is infected, it cannot spread to other systems.
  • Transparent Protection: For general web browsing, Zscaler acts like transparent "bulletproof glass," intercepting malware from public Wi-Fi at the cloud level without requiring heavy antivirus software on the laptop.

Market Dynamics: The Era of Zero Trust

Zscaler is the pioneer of Zero Trust. As of 2026, 82% of global organizations consider implementing Universal Zero Trust Network Access (ZTNA) essential. The market is surging at an 18% CAGR, expected to become a $100 billion industry by the decade's end.

According to Gartner, over 80% of organizations plan to implement or deepen Zero Trust deployments in 2026. However, while most are trying, only 17% have reached "Full Maturity." Zscaler is the "Top Player" and definer of this space. It doesn't just sell a product; it sells the "entry ticket" to this transformation. Once tens of thousands of employees adapt to this login method and security policies are baked into the ZS platform for years, switching vendors becomes a risky "skeletal transplant" for the network.

Competitive Moat: Why Zscaler over Rivals?

vs. Palo Alto (PANW) & Fortinet (FTNT)

These giants have massive hardware inventories and legacy channel interests to protect. Their solutions are often "hybrid," leading to complex management interfaces and difficult rule synchronization.

  • Born in the Cloud: Zscaler has had zero hardware from day one.
  • Global Consistency: For giants like Siemens or GE, Zscaler’s 150+ global data centers ensure that an employee in Africa or New York accesses the same cloud fabric. This results in an incredibly low Total Cost of Ownership (TCO).
  • Example (M&A): If a pharma giant acquires a startup, traditional hardware integration (Palo Alto/Fortinet) could take months to align firewall rules and IP segments. With Zscaler, it's "Plug-and-Play": just install the client on the new employees' devices, and they have secure access on Day 1.

vs. Cloudflare (NET)

Cloudflare excels at protecting "websites" (outside-in), while Zscaler excels at protecting "employees" (inside-out). In 2026, Data Loss Prevention (DLP) is the core pain point. Zscaler offers superior granularity; for example, allowing a salesperson to "view an order in the CRM, but block them from downloading a PDF larger than 5MB."

vs. Microsoft (MSFT)

Microsoft has "bundle pricing power" with its Entra Private Access. Why pay extra for ZS?

  • The Neutrality Argument: Large enterprises fear Vendor Lock-in. Microsoft’s security naturally favors Windows and Azure. For companies using AWS, Google Cloud, SAP, or Oracle, Microsoft’s compatibility and priority may be compromised.
  • Best-of-Breed vs. Good Enough: Zscaler remains the "independent intermediary." It provides consistent rules across multi-cloud environments.
  • Protocol Depth: Microsoft still lags in handling non-web protocols (legacy industrial protocols, complex VOIP, or long-lived database connections) in terms of stability and latency.

The AI Impact: Threat or Opportunity?

  1. Crazier Attacks, Higher Premiums: AI lowers the barrier for hackers. Consequently, enterprises are forced to purchase AI-driven proactive defense like Zscaler.
  2. The DLP Catalyst: In 2026, the biggest fear is employees feeding confidential data into public AI (like ChatGPT). Zscaler sits in the middle, allowing companies to say: "You can use AI, but the moment a financial statement or source code is uploaded, it’s blocked." This is a massive new moat.

Valuation and Conclusion

In April 2026, ZS’s trading multiple has retreated from the 2021 frenzy of 50x-60x P/S to a more rational 7x P/S.

  • Overvalued (P/S > 15x): Extreme optimism or growth re-accelerating above 30%.
  • Fair Value (P/S 10x - 12x): The standard pricing for 20%-25% growth.
  • Undervalued (P/S < 8x): Especially considering ZS maintains ~80% gross margins.

Verdict: Given the "AI Disruption Fear," valuation multiples need to be adjusted downward. I view P/S < 6x as the deep value zone and 8x-10x as fair.

Key Risk: Watch the Net Retention Rate (NRR) in quarterly reports. If Microsoft’s security reaches "80% of Zscaler's capability," price-sensitive mid-market customers (the "Cusp Market") might churn.

11 avril 2026 : Analyse du "Moat" (Rempart) de Zscaler (ZS) à 7x P/S

L'ère "Pre-Zscaler" : Le calvaire des VPN hérités

Avant Zscaler, un employé à distance souhaitant accéder à un CRM interne ou télécharger un contrat était confronté à un processus laborieux :

  • Le "Long Tuyau" (Connexion VPN) : Il fallait initier un VPN, fonctionnant comme un "long tuyau" étiré entre un aéroport et le centre de données de l'entreprise à des milliers de kilomètres.
  • Latence par "Détours" : Même si l'employé était physiquement proche d'un serveur cloud (ex: Salesforce), son trafic devait retourner au pare-feu matériel du siège pour les contrôles de sécurité avant de revenir vers le cloud.
  • Goulots d'étranglement : Si des milliers d'employés se connectaient simultanément, le matériel du siège devenait saturé — comme un péage à l'heure de pointe — provoquant des lenteurs ou des déconnexions fréquentes.
  • Risques de sécurité : Une fois le VPN connecté, l'ordinateur était virtuellement "dans" le réseau d'entreprise. En cas d'infection, un virus pouvait se déplacer latéralement pour attaquer d'autres serveurs sensibles.

Le modèle Zscaler : Un "Garde du Corps" dans le Cloud

Avec Zscaler, l'expérience est transformée :

  • Accès local (Latence Zéro) : Le trafic se connecte automatiquement au nœud cloud Zscaler le plus proche (souvent dans la même ville). L'utilisateur ne ressent aucun décalage.
  • L'identité comme périmètre : Zscaler reconnaît l'identité de l'utilisateur, pas son emplacement. Il vérifie instantanément : "Qui êtes-vous ? Votre appareil est-il sécurisé ? Avez-vous le droit de voir ce contrat ?"
  • Connectivité spécifique à l'application : Zscaler agit comme un intermédiaire. Il ne laisse pas l'utilisateur entrer dans le réseau interne ; au lieu de cela, il récupère précisément la donnée CRM demandée et la lui remet. Même si l'ordinateur est infecté, le virus ne peut pas se propager aux autres systèmes.
  • Protection transparente : Pour la navigation web générale, Zscaler agit comme une "vitre blindée" transparente, interceptant les logiciels malveillants dès le cloud, sans nécessiter d'antivirus lourd sur l'ordinateur.

Dynamique du marché : L'ère du "Zero Trust"

Zscaler est le pionnier du Zero Trust. En 2026, 82 % des organisations mondiales considèrent l'implémentation d'un accès réseau Zero Trust universel (ZTNA) comme essentielle. Le marché progresse avec un TCAC de 18 %, et devrait atteindre 100 milliards de dollars d'ici la fin de la décennie.

Selon Gartner, plus de 80 % des organisations prévoient de déployer ou d'approfondir le Zero Trust en 2026. Cependant, si la plupart s'y essaient, seuls 17 % ont atteint une "pleine maturité". Zscaler est le leader et le prescripteur de cet espace. Il ne vend pas seulement un produit, mais le "billet d'entrée" vers cette transformation. Une fois que des dizaines de milliers d'employés ont adopté cette méthode de connexion et que les politiques de sécurité sont ancrées dans la plateforme ZS depuis des années, changer de fournisseur devient une "greffe de squelette" risquée pour le réseau.

Rempart concurrentiel (Moat) : Pourquoi Zscaler plutôt que ses rivaux ?

vs Palo Alto (PANW) & Fortinet (FTNT)

Ces géants ont des stocks de matériel massifs et des intérêts traditionnels à protéger. Leurs solutions sont souvent "hybrides", entraînant des interfaces de gestion complexes et une synchronisation difficile des règles.

  • Né dans le cloud : Zscaler n'a jamais eu de matériel depuis le premier jour.
  • Cohérence mondiale : Pour des géants comme Siemens ou GE, les plus de 150 centres de données mondiaux de Zscaler garantissent qu'un employé en Afrique ou à New York accède à la même infrastructure, ce qui réduit considérablement le coût total de possession (TCO).
  • Exemple (M&A) : Si un géant pharmaceutique acquiert une startup, l'intégration matérielle traditionnelle pourrait prendre des mois. Avec Zscaler, c'est du "Plug-and-Play".

vs Cloudflare (NET)

Cloudflare excelle dans la protection des "sites web" (de l'extérieur vers l'intérieur), tandis que Zscaler excelle dans la protection des "employés" (de l'intérieur vers l'extérieur). En 2026, la prévention des pertes de données (DLP) est le point de douleur central. Zscaler offre une granularité supérieure ; par exemple, autoriser un commercial à "consulter une commande, mais lui interdire de télécharger un PDF de plus de 5 Mo".

vs Microsoft (MSFT)

Microsoft dispose d'un pouvoir de vente groupée (bundle) avec Entra Private Access. Pourquoi payer plus pour ZS ?

  • L'argument de la neutralité : Les grandes entreprises craignent le verrouillage par le fournisseur (Vendor Lock-in). La sécurité de Microsoft favorise naturellement Windows et Azure. Pour les entreprises utilisant AWS, Google Cloud ou SAP, la priorité de Microsoft peut être compromise.
  • Le meilleur de sa catégorie vs "Assez bon" : Zscaler reste l'intermédiaire indépendant fournissant des règles cohérentes dans des environnements multi-cloud.

L'impact de l'IA : Menace ou opportunité ?

  • Attaques plus complexes, primes plus élevées : L'IA baisse la barrière pour les pirates. Par conséquent, les entreprises sont contraintes d'acheter une défense proactive pilotée par l'IA comme Zscaler.
  • Le catalyseur DLP : En 2026, la plus grande peur est que les employés injectent des données confidentielles dans des IA publiques (type ChatGPT). Zscaler se place au milieu, permettant aux entreprises de dire : "Vous pouvez utiliser l'IA, mais dès qu'un état financier ou un code source est téléchargé, il est bloqué." C'est un nouveau rempart massif.

Valorisation et Conclusion

En avril 2026, le multiple de transaction de ZS est revenu de la frénésie de 2021 (50x-60x P/S) à un ratio plus rationnel de 7x P/S.

  • Surévalué (P/S > 15x) : Optimisme extrême ou accélération de la croissance au-delà de 30 %.
  • Valeur juste (P/S 10x - 12x) : Prix standard pour une croissance de 20-25 %.
  • Sous-évalué (P/S < 8x) : Surtout sachant que ZS maintient des marges brutes de ~80 %.

Verdict : Compte tenu de la "peur de la disruption par l'IA", les multiples de valorisation doivent être ajustés à la baisse. Je considère qu'un P/S < 6x est une zone de valeur profonde et que 8x-10x est juste. À 7x, nous sommes très proches du territoire sous-évalué.

Risque clé : Surveillez le taux de rétention net (NRR). Si la sécurité de Microsoft atteint "80 % des capacités de Zscaler", les clients du marché intermédiaire, sensibles au prix, pourraient partir.

2026年4月11日:Zscaler (ZS) 护城河分析 —— 7倍市销率(P/S)下的估值逻辑

“前 Zscaler” 时代:传统 VPN 之痛

在 Zscaler 出现之前,远程员工访问内部 CRM 或下载合同时,面临的是极其繁琐的过程:

  • “长管道”(VPN 拨号): 员工必须启动 VPN,这就像是在机场和几千英里外的公司数据中心之间拉起一根“长管子”。
  • “绕路”导致的延迟: 即使员工物理位置就在云服务器(如 Salesforce)旁边,流量也必须先回到总部的硬件防火墙进行安全检查,然后再绕回到云端。
  • 性能瓶颈: 如果数千名员工同时拨入,总部硬件就会变成瓶颈——就像早高峰时段的收费站——导致下载缓慢或频繁掉线。
  • 安全风险: 一旦 VPN 连接成功,笔记本电脑本质上就进入了公司内网。如果设备被感染,病毒可以横向移动,攻击其他敏感服务器。

Zscaler 模式:云端的“私人保镖”

有了 Zscaler,体验发生了翻天覆地的变化:

  • 本地访问(零延迟): 流量自动连接到最近的 Zscaler 云节点(通常就在同一个城市)。用户感受不到任何延迟。
  • 以身份为边界: Zscaler 识别的是用户身份,而非位置。它会即时验证:“你是谁?你的设备安全吗?你有权查看这份合同吗?”
  • 特定应用连接: Zscaler 充当中间人。它不让用户进入内网,而是精准地提取特定的 CRM 数据并交付。即使笔记本电脑中毒,也无法扩散到其他系统。
  • 透明保护: 对于普通网页浏览,Zscaler 像是一层透明的“防弹玻璃”,在云端拦截公共 Wi-Fi 的恶意软件,无需在电脑上安装沉重的杀毒软件。

市场动态:零信任时代

Zscaler 是零信任架构(Zero Trust)的开创者。截至 2026 年,全球 82% 的组织认为实施通用零信任网络访问 (ZTNA) 至关重要。该市场正以 18% 的年复合增长率(CAGR)飙升,预计到 2030 年底将发展为千亿美元规模的产业。

根据 Gartner 的数据,超过 80% 的组织计划在 2026 年实施或深化零信任部署。然而,尽管大多数公司都在尝试,但只有 17% 达到了“完全成熟”。Zscaler 是该领域的“头号玩家”和定义者。它卖的不只是产品,更是这场变革的“入场券”。一旦数万名员工习惯了这种登录方式,且安全策略在 ZS 平台上沉淀多年,更换供应商将变成一场极具风险的“网络换骨手术”。

竞争护城河:为何选择 Zscaler 而非对手?

vs. Palo Alto (PANW) & Fortinet (FTNT)

这些巨头拥有庞大的硬件库存和需要保护的传统渠道利益。其方案通常是“混合型”,导致管理界面复杂,规则同步困难。

  • 云原生: Zscaler 从第一天起就没有任何硬件负担。
  • 全球一致性: 对于西门子或通用电气这样的巨头,Zscaler 全球 150 多个数据中心确保了非洲或纽约的员工接入的是同一个云织网,这带来了极低的总体拥有成本 (TCO)。
  • 案例(并购): 如果一家制药巨头收购了一家初创公司,传统的硬件整合可能需要数月来对齐防火墙规则。而使用 Zscaler,只需在员工设备上安装客户端,即可实现“即插即用”,首日即可安全访问。

vs. Cloudflare (NET)

Cloudflare 擅长保护“网站”(由外向内),而 Zscaler 擅长保护“员工”(由内向外)。在 2026 年,数据防泄露 (DLP) 是核心痛点。Zscaler 的颗粒度更高;例如:允许销售人员“查看 CRM 订单,但禁止下载超过 5MB 的 PDF”。

vs. Microsoft (MSFT)

微软凭借其 Entra Private Access 拥有“捆绑定价权”。为什么要多花钱买 ZS?

  • 中立性争论: 大型企业担心供应商锁定(Vendor Lock-in)。微软的安全产品自然倾向于 Windows 和 Azure。对于使用 AWS、谷歌云、SAP 或 Oracle 的公司,微软的兼容性和优先级可能会打折扣。
  • 顶尖产品 vs. 够用就行: Zscaler 保持着“独立中间人”的角色,在多云环境下提供一致的规则。
  • 协议深度: 微软在处理非网页协议(如旧工业协议、复杂 VOIP 或长连接数据库)的稳定性和延迟方面仍落后于 Zscaler。

AI 的影响:威胁还是机遇?

  • 攻击更疯狂,溢价更高: AI 降低了黑客的门槛。因此,企业被迫购买像 Zscaler 这样由 AI 驱动的主动防御系统。
  • DLP 催化剂: 2026 年,最大的担忧是员工将机密数据输入公共 AI(如 ChatGPT)。Zscaler 守在中间,让公司可以底气十足地说:“你可以用 AI,但一旦上传财务报表或源代码,连接就会被立即阻断。”这是一个巨大的新护城河。

估值与结论

2026 年 4 月,ZS 的交易倍数已从 2021 年疯狂的 50-60 倍 P/S 回落至更理性的 7 倍 P/S

  • 估值过高 (P/S > 15x): 极端乐观,或增长率重新加速至 30% 以上。
  • 公允价值 (P/S 10x - 12x): 对应 20%-25% 增长率的标准定价。
  • 估值偏低 (P/S < 8x): 考虑到 ZS 维持着约 80% 的高毛利率。

结论: 考虑到“AI 颠覆恐惧”,估值倍数需要向下修正。我认为 P/S < 6x 为深蹲价值区,8x-10x 为公允区

核心风险: 关注季度报告中的净保留率 (NRR)。如果微软的安全产品达到了“Zscaler 80% 的水平”,价格敏感的中端市场客户(Cusp Market)可能会流失。

Read more