Wiz, Inc.
From Wikipedia, the free encyclopedia
Wiz, Inc. est une société américaine (précédemment israëlienne) de sécurité cloud, basée à New York[1]. Elle a été fondée en par Assaf Rappaport, Yinon Costica, Roy Reznik et Ami Luttwak, tous anciens fondateurs d'Adallom[2],[3]. Sa plateforme analyse l'infrastructure informatique hébergée sur Amazon Web Services, Microsoft Azure, Google Cloud Platform, Oracle Cloud Infrastructure et Kubernetes afin d'identifier les combinaisons de facteurs de risque susceptibles de permettre à des acteurs malveillants de prendre le contrôle des ressources cloud et/ou d'exfiltrer des données sensibles.
En , Wiz comptait environ 1 995 salariés, la plupart de ses équipes commerciales et marketing étant réparties entre l’Amérique du Nord et l’Europe, tandis que la majorité de ses ingénieurs étaient basés à Tel Aviv, Israël[4],[5]. En , Wiz affirmait être la startup ayant connu la croissance la plus rapide de l’histoire, passant de 1 million de dollars à 100 millions de dollars de revenus annuels récurrents, entre et environ. En , l’entreprise annonçait avoir atteint 350 millions de dollars d’ARR, avec une part de marché de 45 % parmi les entreprises du classement Fortune 100.
En , il a été annoncé qu'Alphabet allait acquérir Wiz pour 32 milliards de dollars[6],[7]. Ce deal est confimé par Google le [8].
Histoire
Wiz a été fondée en par Assaf Rappaport, Yinon Costica, Roy Reznik et Ami Luttwak, qui avaient tous auparavant fondé Adallom[2],[3]. Rappaport est PDG, Costica est vice-président du produit, Reznik est vice-président de l'ingénierie et Luttwak est directeur technique.
Wiz a accepté d'acquérir Raftt, une plateforme de collaboration pour développeurs basée sur le cloud et basée à Tel Aviv, pour 50 millions de dollars en . En , la société a acquis la startup de détection et de réponse dans le cloud, Gem Security, pour environ 350 millions de dollars. Toujours en mai, des rumeurs circulaient selon lesquelles Wiz envisageait d'acquérir Lacework, mais l'opération a finalement échoué lors de la phase de vérification préalable. En , la société a acquis Dazz, une startup spécialisée dans la remédiation de sécurité et la gestion des risques, pour un montant de 450 millions de dollars, en numéraire et en actions.
Acquisition par Alphabet Inc.
En , Sundar Pichai, PDG de Google et d'Alphabet, a contacté Rappaport par courriel pour lui faire part de son intérêt pour une éventuelle offre de rachat de l'entreprise. Rappaport n'a pas vu ce courriel avant le mois de mai, date à laquelle il a rencontré Pichai et Thomas Kurian, PDG de Google Cloud, au Googleplex de Mountain View, en Californie. Moins d'un mois plus tard, [9] Google a formulé une offre de rachat valorisant l'entreprise à 23 milliards de dollars. milliard. Initialement, Wiz a refusé l'offre, préférant entrer en bourse[4],[5]. Cependant, l'opération a été relancée en raison de la faiblesse du marché des introductions en bourse et d'une administration Trump plus favorable aux fusions-acquisitions. Le , Google a annoncé l'acquisition de Wiz pour 32 milliards de dollars, entièrement en numéraire. milliard[6],[7],[9]. Une fois l'acquisition finalisée, Wiz rejoindra Google Cloud[10]. L'opération « représentait la plus importante acquisition de cybersécurité de tous les temps [et] l'acquisition la plus coûteuse jamais réalisée par Google, tous secteurs confondus »[9].
Financement
Wiz a levé un total de 1,9 milliard de dollars auprès de fonds de capital-risque et d'investisseurs privés :
- Série A — En , Wiz est sorti de la phase de développement furtif en levant 100 millions de dollars auprès d'Index Ventures, Sequoia Capital, Insight Partners et Cyberstarts[4].
- Série B — En avril et , Wiz a levé respectivement 130 millions et 120 millions de dollars auprès de Greenoaks (en), pour une valorisation de 1,7 milliard de dollars., Index Ventures, Sequoia Capital, Insight Partners et Cyberstarts[5].
- Série C — En , Wiz a levé 250 millions de dollars sur une valorisation de 6 milliards de dollars [10],[11] menée par Greenoaks, et avec la participation d'Insight Partners, Capital, Sequoia Capital, Salesforce Ventures et CyberStarts, ainsi que des investisseurs individuels Bernard Arnault et Howard Schultz[4].
- Série D — En , Wiz a levé 300 millions de dollars sur une valorisation de 10 milliards de dollars [5] menée par le fonds de capital-risque Greenoaks Capital, avec la participation de Lightspeed Venture Partners, ainsi que d'investisseurs individuels, dont Bernard Arnault et Howard Schultz.
- Série E — En , Wiz a levé 1 milliard de dollars sur une valorisation de 12 milliards de dollars [10] auprès d'Andreessen Horowitz, Lightspeed Venture Partners, Thrive Capital, Greylock Partners, Wellington Management, Cyberstarts, Greenoaks, Index Ventures, Salesforce Ventures, Sequoia Capital et Howard Schultz.
Recherche
Les chercheurs de Wiz ont découvert et divulgué publiquement de nombreuses vulnérabilités du cloud qui ont bénéficié d'une importante couverture médiatique :
- ChaosDB – Une série de failles dans Cosmos DB de Microsoft Azure qui permettaient de télécharger, de supprimer ou de manipuler les bases de données de milliers de clients Azure[4],[5].
- OMIGOD – Des bogues dans Open Management Infrastructure (OMI), un agent omniprésent mais mal documenté intégré à de nombreux services Azure populaires, qui permettaient l'exécution de code à distance non authentifiée et l'élévation de privilèges[10].
- NotLegit – Comportement par défaut non sécurisé dans Azure App Service qui exposait le code source de certaines applications clientes[11].
- ExtraReplica – Une chaîne de vulnérabilités critiques découvertes dans Azure Database pour PostgreSQL Flexible Server qui pourrait permettre à des utilisateurs malveillants d'élever leurs privilèges et d'accéder aux bases de données d'autres clients après avoir contourné l'authentification[4],[5].
- AttachMe – Une vulnérabilité d'isolation du cloud qui, avant d'être corrigée par Oracle Cloud Infrastructure, aurait pu permettre à des attaquants d'accéder et de modifier les volumes de stockage OCI d'autres utilisateurs sans autorisation[10].
- Hell's Keychain – Une vulnérabilité inédite de la chaîne d'approvisionnement d'un fournisseur de services cloud dans IBM Cloud Databases pour PostgreSQL qui, avant d'être corrigée, aurait pu permettre à des acteurs malveillants d'exécuter du code à distance dans les environnements des victimes[11].
- BingBang – Une erreur de configuration dans Azure Active Directory (AAD) qui a permis aux chercheurs de Wiz de modifier les résultats de recherche de Bing.com de manière que des acteurs malveillants puissent voler des identifiants Office 365 leur donnant accès aux courriels et documents privés d'innombrables utilisateurs[4].
- DeepSeek – Wiz a déclaré avoir découvert une mine d'informations sensibles dans une base de données clé de la startup d'intelligence artificielle DeepSeek, qui a été exposée par inadvertance sur Internet[5],[10],[11].
