23 milliards refusés. 32 milliards acceptés. En dix-huit mois, quatre anciens officiers de l’armée israélienne ont fait plier Google à hauteur de 9 milliards de dollars supplémentaires. Le géant californien a officialisé ce mercredi 11 mars la clôture du rachat de Wiz, startup de cybersécurité cloud basée à New York, pour 32 milliards de dollars en cash. C’est la plus grosse acquisition de l’histoire de Google, loin devant le rachat de Motorola Mobility pour 12,5 milliards en 2011.

Le « non » qui a rapporté 9 milliards

L’histoire commence en juillet 2024. Google approche Wiz avec une offre de 23 milliards de dollars. La startup est alors valorisée 12 milliards après une levée de fonds d’un milliard. L’offre représente le double. Assaf Rappaport, cofondateur et patron de Wiz, décline. Dans un mail interne révélé par TechCrunch, il écrit à ses 1 200 employés : « Refuser des offres aussi flatteuses est difficile, mais avec notre équipe exceptionnelle, je suis confiant dans ce choix. » Son objectif déclaré : atteindre un milliard de dollars de revenus récurrents annuels et entrer en Bourse.

L’audace de Rappaport n’est pas celle d’un novice. Avec ses trois cofondateurs, Yinon Costica, Roy Reznik et Ami Luttwak, il avait déjà créé Adallom, une autre entreprise de cybersécurité cloud rachetée par Microsoft pour 320 millions de dollars en 2015. Wiz, fondée en 2020, a grandi à une vitesse rare dans le secteur : de zéro à 700 millions de dollars de revenus récurrents en quatre ans, avec Sequoia Capital, Index Ventures et Thrive Capital au tableau de ses investisseurs.

Google, troisième de la course cloud, cherchait un accélérateur

Quand les négociations reprennent début 2025, le paysage a changé. Google Cloud reste troisième sur le marché de l’infrastructure cloud, derrière AWS et Microsoft Azure. Thomas Kurian, patron de Google Cloud, a besoin d’un levier pour combler l’écart. La cybersécurité est ce levier.

Google possédait déjà Mandiant, spécialiste de la réponse aux incidents, mais rien à l’échelle de Wiz sur la sécurité préventive du cloud. Or, c’est précisément là que la demande explose : avec l’essor de l’IA générative, les entreprises déplacent leurs données les plus sensibles vers le cloud et déploient des modèles qui créent de nouvelles surfaces d’attaque. L’objectif affiché par Google Cloud : « permettre aux organisations de prévenir les cyberattaques et d’y répondre dans des environnements logiciels complexes ».

Wiz offre un atout que Google ne pouvait pas construire en interne dans un délai raisonnable : une plateforme qui fonctionne sur tous les clouds, y compris ceux de ses concurrents directs. AWS, Azure, Oracle Cloud, tout y passe. Google a promis de maintenir cette compatibilité multicloud, un engagement décrit par les sources de TechCrunch comme comparable au modèle LinkedIn chez Microsoft, où la filiale conserve une large autonomie.

33 milliards en comptant les primes : le vrai coût du deal

Le prix affiché est de 32 milliards, intégralement en cash. La facture réelle grimpe à 33 milliards si l’on ajoute le milliard de dollars de primes de rétention destinées aux 1 700 salariés de Wiz, selon les informations de TechCrunch. En moyenne, cela représente environ 588 000 dollars par employé, un montant variable selon les postes.

Pour les quatre cofondateurs, chacun détenant 9 % du capital selon les chiffres rapportés lors du refus de 2024, la transaction valorise leur part individuelle à environ 2,9 milliards de dollars. Six ans après avoir lancé une boîte qui n’existait pas encore, c’est un retour sur investissement que peu de fondateurs dans l’histoire de la tech ont réalisé aussi vite.

Le calendrier réglementaire a joué en faveur du deal. Annoncé en mars 2025, le rachat a mis un an à passer les autorisations antitrust. Sous l’administration Trump, le climat réglementaire est devenu plus favorable aux grandes opérations dans la tech, un facteur identifié par plusieurs analystes financiers dès fin 2024.

Ce que Wiz change dans le paysage cybersécurité

Wiz ne se contente pas de détecter les failles après coup : sa plateforme cartographie en continu les risques dans le code, les conteneurs, les machines virtuelles et les configurations cloud, avant qu’un attaquant ne les exploite. Son équipe de recherche a découvert ces derniers mois plusieurs vulnérabilités critiques : une faille Redis vieille de 13 ans (score CVSS 10.0) touchant 75 % des environnements cloud, une brèche dans l’infrastructure partagée de Nvidia pour l’IA, et une chaîne d’attaques ciblant les applications générées par des outils de « vibe coding ».

Google gagne une force de frappe en recherche offensive, combinée à une base de clients déjà massive, le tout adossé à ses propres outils d’intelligence sur les menaces. Sundar Pichai, PDG de Google, a résumé l’enjeu : « Assurer la sécurité des utilisateurs en ligne a toujours fait partie de la mission de Google. Ce travail est de plus en plus vital aujourd’hui, alors que davantage d’entreprises et de gouvernements migrent vers le cloud et utilisent l’IA générative. »

Palo Alto, CrowdStrike et Zscaler face à un rival dopé aux milliards d’Alphabet

La consolidation ne fait que commencer. Palo Alto Networks, CrowdStrike et Zscaler, les autres poids lourds du secteur, voient arriver un concurrent adossé aux ressources quasi illimitées d’Alphabet. L’action CrowdStrike avait d’ailleurs reculé de 3 % le jour de l’annonce initiale du deal en mars 2025.

Wiz, avec le soutien financier et technique de Google, prévoit d’embaucher et de réaliser ses propres acquisitions dans les mois à venir. Thomas Kurian l’a confirmé : Wiz restera sous sa direction au sein de Google Cloud, avec une liberté de développement et de croissance externe.

Pour les entreprises clientes, le message est limpide : la cybersécurité cloud n’est plus un produit annexe, c’est le terrain où les géants de la tech concentrent leurs milliards. Le prochain mouvement pourrait venir d’AWS, qui n’a pas d’équivalent à Wiz dans son portefeuille, ou de Microsoft, qui connaît bien l’ADN de l’équipe Wiz pour avoir racheté leur précédente création il y a dix ans.