Publié le 8 juillet 2026 · Sécurité cloud
Migrer depuis Wiz : guide pratique vers une alternative souveraine
Depuis que Google a finalisé le rachat de Wiz le 11 mars 2026 — environ 32 milliards de dollars, la plus grande acquisition de son histoire, validée sans conditions par la Commission européenne en février 2026 —, de nombreuses équipes européennes et régulées réévaluent leur CNAPP. Wiz, jusque-là éditeur indépendant, rejoint désormais Google Cloud. Ce guide n’est pas un plaidoyer contre Wiz : c’est un guide de décision. Il explique quand une migration a réellement du sens, et comment la mener sans douleur. Si vous cherchez d’abord à comparer les options, commencez par notre panorama des alternatives à Wiz ; cet article-ci se concentre sur la migration elle-même.
Faut-il vraiment migrer ?
Soyons honnêtes : la migration n’a rien d’automatique. Le rachat ne casse pas votre déploiement, et changer d’outil a un coût. La bonne question n’est donc pas « dois-je fuir ? » mais « les raisons de partir l’emportent-elles, dans mon contexte, sur les raisons de rester ? »
Les raisons légitimes de migrer. La neutralité multicloud d’abord : confier la cartographie de sa surface d’attaque à un outil désormais détenu par un hyperscaler, concurrent direct d’AWS et d’Azure, soulève une question d’indépendance légitime. Ensuite l’exposition juridique : les données manipulées par un CNAPP — inventaire, configurations, vulnérabilités, cartographie des identités — décrivent précisément vos points faibles ; traitées par un éditeur soumis au CLOUD Act et au FISA 702, leur exposition potentielle devient un sujet. Puis les exigences de souveraineté propres à un secteur régulé (finance, santé, secteur public, opérateurs essentiels). Et enfin le coût, lorsque le budget d’une suite d’entreprise n’est plus proportionné à votre équipe.
Les raisons de rester. Elles existent aussi. Si vous êtes profondément intégré à l’écosystème Google Cloud, la continuité avec l’outil du même éditeur peut simplifier votre exploitation. Si vous êtes lié par un contrat pluriannuel en cours, attendre son échéance est souvent le calendrier le plus rationnel. Migrer sous le coup de l’émotion serait une erreur : la décision se prend sur des critères, pas sur un titre de presse.
Ce qu’il faut retrouver dans un remplaçant
Avant de changer, fixez votre liste de critères. Un bon remplaçant doit vous rendre, au minimum, ce que vous aviez :
- Parité fonctionnelle : CSPM, CWPP et CIEM réunis, pour couvrir posture, vulnérabilités des workloads et identités sans revenir à trois outils séparés.
- Priorisation par chemins d’attaque : la capacité à remonter les quelques trajectoires qui mènent réellement à vos données, plutôt qu’une liste plate d’alertes triées par score CVSS.
- Approche agentless : un déploiement par les API cloud en lecture seule, sans agent à installer ni à maintenir.
- Couverture multicloud : une profondeur réelle sur vos clouds — AWS, Azure, GCP — pondérée par votre répartition.
- Souveraineté et localisation des données : où sont hébergées et traitées vos données de sécurité, et à quel droit l’éditeur est soumis.
- Coût maîtrisé : une tarification proportionnée à votre équipe et prévisible dans le temps.
Pourquoi l’agentless rend la migration simple
C’est le point qui rassure le plus les équipes : migrer vers un CNAPP agentless ne ressemble en rien à un changement d’antivirus. Il n’y a rien à désinstaller, aucun agent à retirer de vos machines, aucune fenêtre de maintenance sur les workloads. Un CNAPP agentless comme Cyvex se connecte simplement à vos comptes cloud via un rôle en lecture seule, interroge les API du fournisseur et reconstruit l’inventaire complet. Le déploiement se compte en minutes par compte, pas en semaines de projet.
Surtout, cette absence d’agent autorise un déploiement en parallèle. Rien n’empêche de faire tourner le nouvel outil à côté de Wiz pendant une période de recouvrement : les deux lisent les mêmes API en lecture seule, sans se gêner. Le plan de bascule tient alors en trois temps :
- Run parallèle : le remplaçant est connecté sur le même périmètre que Wiz, sans rien couper.
- Comparaison des findings : vous confrontez les deux cartographies — les risques critiques remontent-ils bien des deux côtés ? — jusqu’à établir la confiance.
- Décommissionnement : une fois la parité vérifiée, vous retirez Wiz, sans jamais avoir subi de coupure de couverture.
Ce que vous retrouvez — et gagnez — avec Cyvex
Cyvex est d’abord un CNAPP complet. La plateforme réunit CSPM, CWPP et CIEM dans un seul produit, sans agent, via les API cloud en lecture seule : inventaire et posture multicloud AWS, Azure et GCP sur des centaines de services managés ; détection des vulnérabilités et des CVE dans les workloads, les conteneurs et Kubernetes ; analyse des permissions effectives et des escalades de privilèges IAM ; scan de l’infrastructure-as-code ; et mapping de conformité (CIS, NIS2, DORA). Sur le plan fonctionnel, vous ne perdez pas au change : vous retrouvez le périmètre qu’attend une équipe d’un CNAPP moderne.
Sa signature technique, c’est le graphe de sécurité. Plutôt qu’une liste plate de milliers d’alertes, Cyvex corrèle configurations, réseau, workloads et identités pour remonter les quelques chemins d’attaque — les combinaisons toxiques — qui mènent réellement à vos données sensibles. Si les catégories (CSPM, CWPP, CIEM, CNAPP) méritent d’être resituées, notre article sur leurs différences fait le point.
À cette profondeur produit s’ajoute ce qui motivait la migration. La souveraineté d’abord : Cyvex est un éditeur français indépendant, dont les données restent en Union européenne, hors du droit extraterritorial américain (CLOUD Act, FISA 702). La valeur ensuite : une tarification accessible et prévisible, sans le ticket d’entrée d’une suite d’entreprise, et un interlocuteur direct. Les détails figurent sur notre page CNAPP souverain.
Un plan de migration en quatre étapes
Voici à quoi ressemble concrètement une migration agentless. Les durées sont indicatives : elles dépendent surtout du nombre de comptes et de la complexité de votre environnement.
| Étape de migration | Action | Durée indicative |
|---|---|---|
| Cadrage | Définir le périmètre, recenser les comptes et fixer les critères de parité à vérifier | Quelques jours |
| Connexion agentless | Créer un rôle en lecture seule par compte cloud et le connecter à la plateforme | Quelques minutes à quelques heures par compte |
| Run parallèle & comparaison | Faire tourner Cyvex à côté de Wiz et confronter les chemins d’attaque et les findings des deux outils | Quelques semaines |
| Bascule & décommissionnement | Adopter Cyvex comme source de référence, puis retirer Wiz une fois la confiance établie | Quelques jours |
Ces durées sont des ordres de grandeur ; le calendrier réel dépend du nombre de comptes, du volume de workloads et de vos contraintes de validation interne.
Questions fréquentes
Suis-je obligé de migrer depuis Wiz maintenant ?
Non. Le rachat de Wiz par Google, finalisé le 11 mars 2026, ne casse rien à votre déploiement existant : votre CNAPP continue de fonctionner. Migrer est un choix, pas une urgence technique. Il devient légitime quand la neutralité multicloud d’un outil désormais détenu par un hyperscaler concurrent, l’exposition de vos données de sécurité aux législations extraterritoriales américaines, des exigences de souveraineté propres à un secteur régulé ou le coût pèsent dans votre décision. Le bon moment se cale souvent sur un renouvellement de contrat, sans précipitation.
Combien de temps prend une migration de CNAPP ?
Moins qu’on ne l’imagine, parce qu’un CNAPP agentless ne s’installe pas : il se connecte. Le cadrage et la connexion en lecture seule se comptent en jours ; le premier inventaire et la cartographie des chemins d’attaque en heures à quelques jours. L’essentiel du calendrier tient dans la période de recouvrement où vous faites tourner les deux outils en parallèle pour comparer les résultats — quelques semaines suffisent en général à prendre confiance. La bascule et le décommissionnement de Wiz se font ensuite en quelques jours. Les durées réelles dépendent du nombre de comptes et de la complexité de votre environnement.
Vais-je perdre en couverture en quittant Wiz ?
L’objectif d’une migration réussie est justement de ne rien perdre. Le bon réflexe est de vérifier la parité fonctionnelle avant de basculer : un remplaçant doit couvrir la posture multicloud (CSPM), les vulnérabilités des workloads, des conteneurs et de Kubernetes (CWPP), les permissions et identités (CIEM), et surtout prioriser par chemins d’attaque plutôt que par une liste plate d’alertes. C’est précisément à cela que sert le run parallèle : comparer les findings des deux outils sur votre propre périmètre, constater que les risques critiques remontent bien des deux côtés, puis basculer en connaissance de cause.
Peut-on faire tourner Cyvex en parallèle de Wiz pendant la transition ?
Oui, et c’est la démarche recommandée. Comme Cyvex est agentless, il se connecte à vos comptes cloud via un rôle en lecture seule, sans rien installer sur vos workloads et sans interférer avec un CNAPP déjà en place. Vous pouvez donc le déployer à côté de Wiz pendant une période de recouvrement, comparer les deux cartographies sur le même périmètre, valider que rien d’important n’est manqué, puis décommissionner Wiz une fois la confiance établie. Aucune coupure de couverture, aucun agent à désinstaller.
Cartographiez votre périmètre, sans rien couper
Vous envisagez de quitter Wiz pour un CNAPP souverain ? Demandez une démo : nous mettons en place un run parallèle sur le périmètre de votre choix, une cartographie agentless de vos chemins d’attaque prioritaires via un rôle en lecture seule, sans agent à déployer et avec des données qui restent en Union européenne. Vous comparez, puis vous décidez.
Demander une démo →