Google dépense 32 milliards pour s’offrir Wiz et s’imposer sur la sécurité multicloud et les CNAPP

Trente-Deux milliards de dollars pour une startup âgée de moins de cinq ans:! Le montant interpellerait même dans l’univers irrationnel et vertigineux des investissements en IA. Et pourtant, il va être dépensé par Google dans celui bien moins glamour de la cybersécurité ! Mais pourquoi ? Décryptage…

Google s’y est pris à deux fois pour s’emparer de la startup israélo-américaine Wiz, éditeur phare de l’univers naissant du CNAPP (Cloud-Native Application Protection Platform).
En juillet dernier, la jeune pousse avait refusé une première offre d’acquisition à 23 milliards de dollars, estimant plus opportun de tenter une IPO. Le marché n’étant pas propice à une telle introduction en Bourse, Wiz a fait monter les enchères et a finalement accepté la seconde offre d’acquisition de Google à 32 milliards de dollars. Un tel montant n’est déjà pas courant dans la Tech et carrément encore moins pour s’emparer d’une startup ! Pour rappel, Broadcom s’est offert VMware pour 61 milliards de dollars, IBM s’est offert Red Hat pour 34 milliards de dollars, Microsoft s’est offert LinkedIn pour 26 milliards de dollars et Google avait racheté Motorola Mobility pour 12 milliards de dollars.

Google veut donc ici réaliser non seulement la plus onéreuse acquisition de son histoire mais aussi l’une des 10 plus grandes transactions de l’histoire de la Tech. Tout ça pour absorber une jeune pousse qui emploie 2500 personnes, dont le CA a déjà atteint les 500 millions de dollars en 2024 et qui affiche l’ambition de franchir le milliard de dollars de revenus dès la fin de l’année. Pour sa dernière levée de fonds en 2022, Wiz avait récolté 1 milliard de dollars, ce qui la valorisait à 12 milliards de dollars. Fin 2024, une vente d’actions avait porté cette valorisation à 16 milliards de dollars. Google a donc mis le double sur la table pour s’emparer de la jeune pousse. Mais pourquoi un tel montant et surtout une telle pugnacité pour s’emparer de cette startup du déjà très concurrentiel marché du CNAPP ?

Une stratégie bien pensée

Soyons clairs, Google Cloud n’a pas besoin d’acquérir qui que ce soit pour offrir un cloud sécurisé. C’est sans aucun doute l’un des clouds les mieux sécurisés by design, et son offre regorge d’outils de sécurité très bien ficelés (Cloud IDS, Cloud Armor, Security Command Center, Google NGFW Enterprise, Google PAM, Google PAB, etc.) et ancrés au cœur même de la plateforme GCP. Un socle réputé pour sa solidité. Sans oublier bien sûr ses offres Chronicle, reCaptcha Enterprise, Custom Threat Hunt ou encore Chrome Enterprise Premium qui font de Google un éditeur cybersécurité à part entière.

En outre, Google Cloud a, ces dernières années, réalisé quelques acquisitions majeures pour renforcer la crédibilité de son discours cybersécurité à commencer par Siemplify (et son outil SOAR) en janvier 2022 pour 500 millions de dollars et surtout la très en vue entreprise américaine Mandiant (et ses experts de la réponse aux incidents) en Mars 2022 pour 5,4 milliards de dollars.

L’acquisition de Wiz s’inscrit dans cette logique qui vise à affirmer un peu plus la position de Google Cloud et surtout en faire un véritable acteur sur le marché de la sécurisation des services multicloud. Autrement dit, en acquérant un expert de la cybersécurité multicloud bien implanté chez AWS et Microsoft Azure, Google veut non seulement présenter une image plus agnostique de sa cybersécurité mais aussi venir glisser ses billes cyber chez les clients de ses concurrents Cloud pour mieux, ensuite, les convertir à son propre Cloud. Un mouvement stratégique essentiel alors que Google Cloud, malgré ses excellents résultats financiers 2024, peine toujours à refaire son retard sur AWS et Azure.

Sur un ton plus « marketing », Google explique dans son communiqué que ce rachat a été motivé par « le rôle croissant de l’IA et l’adoption des services cloud, qui ont considérablement modifié le paysage de la sécurité pour les clients, rendant la cybersécurité de plus en plus importante dans la défense contre les risques émergents et la protection de la sécurité nationale ».

Google Cloud devient un acteur du CNAPP

L’acquisition de la startup Wiz – qui sera intégrée, on l’a bien compris, à Google Cloud – permet à Google de s’afficher en acteur clé du marché naissant du CNAPP. Un CNAPP (Cloud-Native Application Protection Platform) est une plateforme de protection des applications cloud-native qui simplifie la sécurisation des applications cloud tout au long de leur cycle de vie. Une telle plateforme combine en général des fonctionnalités de gestion de la posture de sécurité (CSPM), de gestion des droits d’accès à l’infrastructure Cloud (CIEM), de protection des Workloads Cloud (CWP), de détection et réponse dans le Cloud (CDR), de gestion des vulnérabilités, de sécurisation des API, des containers et des applications, de surveillance des scripts IaC, de conformité cloud voire de protection de la chaîne DevOps.
Ces plateformes tendent évidemment à être multicloud pour permettre aux entreprises d’afficher une posture unifiée de la sécurité de leurs applications Cloud natives.

On l’a vu plus haut, c’est justement cet aspect multicloud qui intéresse au plus haut point Google. Car Wiz protège évidemment les applications hébergées sur Google Cloud mais aussi celles sur AWS, sur Microsoft Azure, sur Oracle OCI ainsi que, d’une manière plus générale, sur à peu près n’importe quelle infrastructure Kubernetes et OpenShift qu’elles soient locales, managées ou cloudifiées.

La plateforme Wiz est aussi réputée pour sa richesse fonctionnelle et comme étant l’une des plus complètes du marché. Son acquisition fait donc mécaniquement de Google Cloud un acteur majeur du marché des plateformes CNAPP et permet ainsi à l’hyperscaler de s’afficher comme un leader d’un marché sur lequel les concurrents s’appellent Cyscale, Aqua (Unified Cloud Security) SentinelOne (Singularity Cloud Security), Palo Alto Networks (Prisma Cloud), Qualys (TotalCloud), Orca Security, Sysdig, Fortinet (Lacework FortiCNAPP), Trend Micro (Vision One Cloud Security) et bien sûr Crowdstrike (Falcon Cloud Security) et Microsoft (Defender for Cloud). D’autres acteurs, comme Tenable, Upwind et Check Point œuvrent également à s’inscrire dans la mouvance CNAPP. Dit autrement, le marché est déjà très chargé et compétitif.

Un gros défi réglementaire en ligne de mire

Reste que poursuivre la fulgurante croissance de Wiz dans un marché aussi concurrentiel ne sera pas le seul défi de Google Cloud. L’hyperscaler va d’abord devoir franchir les obstacles réglementaires, la transaction étant évidemment soumise à l’approbation des différentes entités de régulation.

Et l’affaire s’annonce en réalité assez compliquée. D’abord parce que le marché CNAPP est encore naissant et que l’arrivée d’un géant comme Google va forcément le bouleverser et rendre bien plus compliquée la tâche des jeunes pousses qui essayent encore de s’y imposer (Cyscale, Aqua, etc.). Les autorités de régulation vont forcément avoir beaucoup à dire à ce sujet.

En outre, Google fait déjà l’objet de plusieurs enquêtes antitrust aux États-Unis et cette nouvelle acquisition d’envergure va forcément faire grincer les dents de la FTC américaine, même si le gouvernement Trump y a fait un « gros ménage » ces derniers jours et se montre probablement plus concilient que le précédent face aux mégas fusions.

Enfin, étant donné que Wiz opère dans plusieurs pays, l’acquisition nécessitera l’approbation de diverses autorités réglementaires à travers le monde. Et étant donné la taille de la transaction et la position dominante de Google sur le marché technologique en général, ces autorités ne manqueront pas de mener des enquêtes approfondies, engendrant non seulement des retards dans la finalisation de la transaction mais aussi un risque de paralysie partielle (mais néfaste) des développements cybersécurité chez Wiz comme chez Google.

Face à ces obstacles que l’hyperscaler ne sous-estime pas (il ne s’attend pas à concrétiser son acquisition avant le courant de l’année 2026), Google s’est engagé à maintenir la compatibilité multicloud des solutions Wiz (mais on l’a vu, c’est tout son intérêt). Un engagement que les autorités vont veiller à vérifier et contrôler. Mais qui ne suffira peut-être pas. Et Wiz en a bien conscience puisque la startup a exigé une clause de rupture record de 3,2 milliards de dollars pour se prémunir d’un éventuel blocage de son rachat par les autorités réglementaires !

Reste que l’annonce de cette transaction – avant même sa concrétisation réelle – pourrait bien déclencher une nouvelle vague de consolidation dans le secteur de la cybersécurité cloud, incitant d’autres grands acteurs technologiques à réaliser des acquisitions stratégiques pour rester compétitifs. Notamment pourquoi pas du côté d’AWS, mais aussi du côté des grands acteurs historiques de la cybersécurité. En rappelant quand même, au passage, que Microsoft génère déjà plus de 20 milliards de dollars par an avec ses services de sécurité cloud…

À LIRE AUSSI :

Cloud

Failles, ransomwares, espionnage : pourquoi l’ANSSI s’inquiète pour le cloud en 2025

Thierry Derouet

24 Fév

À LIRE AUSSI :

Secu

L’ANSSI lance son Dico de la Cybersécurité

Laurent Delattre

17 Juil

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !