Cloudflare, le géant invisible qui fait tourner une grande partie du web

Le mardi 18 novembre 2025, dans l’après-midi, l’infrastructure de Cloudflare a été touchée par une panne, causée par un fichier de configuration pour la gestion du trafic « bot ». Une perturbation aux conséquences considérables, qui a entraîné l’interruption du service sur de nombreux sites, dont ChatGPT, X, Canva, Dropbox ou encore Shopify. L’incident interroge la place prise par cet acteur pourtant peu visible dans l’écosystème numérique, et les risques liés à une telle concentration des infrastructures du web.

Cloudflare, très discret pour les internautes, se retrouve ainsi au centre de l’attention. Pourquoi la société est-elle si incontournable ? On fait le point !

Cloudflare, c’est quoi ?

Cloudflare est une société américaine qui fournit un service de reverse proxy, c’est-à-dire un système placé entre un site et ses visiteurs pour traiter les requêtes à la place du serveur d’origine. Lorsqu’un internaute demande une page, la requête arrive d’abord chez Cloudflare. L’entreprise filtre le trafic, bloque les tentatives d’attaque, renvoie une version en cache lorsqu’elle existe ou transmet la demande au serveur du site. Cette position intermédiaire améliore la vitesse d’affichage et réduit la charge sur l’hébergement. Contrairement à des fournisseurs cloud comme AWS ou Azure, Cloudflare ne stocke pas les données des sites et se limite à gérer la circulation du trafic.

Cloudflare gère aussi un service DNS, le système qui convertit un nom de domaine en adresse technique afin que la connexion puisse aboutir plus rapidement. L’ensemble forme une couche d’infrastructure discrète, rarement identifiée par les internautes, mais essentielle au fonctionnement quotidien de millions de services en ligne.

En complément, Cloudflare propose des outils destinés aux entreprises, comme un pare-feu applicatif et des services de calcul en périphérie, ce qui élargit son rôle au-delà du reverse proxy classique.

Un leader incontesté sur le marché des reverse proxy

Trois sites sur quatre n’utilisent aucun service de reverse proxy. Mais parmi ceux qui en adoptent un, Cloudflare occupe une position nettement dominante. Selon les données publiées par W3Techs, 20,4 % des sites choisissent son service. Les concurrents sont loin derrière : Amazon CloudFront atteint 1,6 %, Fastly 0,9 %, Akamai 0,8 % et DDoS-Guard 0,7 %.

Plusieurs facteurs expliquent cet écart. L’offre gratuite regroupe des fonctions importantes : un CDN qui diffuse les contenus depuis des serveurs proches des internautes, une protection contre les attaques DDoS et un chiffrement TLS destiné à sécuriser les échanges. Ces éléments sont accessibles sans coût et avec une configuration limitée.

L’activation passe simplement par une modification des enregistrements DNS, ce qui facilite l’adoption. Le réseau mondial de Cloudflare absorbe de grands volumes de requêtes avec une latence faible, alors que certains concurrents réservent leurs meilleures performances à des offres payantes.

Panne de Cloudflare : un problème de sécurité et de souveraineté

La panne a mis en évidence la place occupée par quelques intermédiaires techniques dans l’organisation d’Internet. Une partie importante du trafic mondial transite par un nombre réduit d’entreprises qui assurent des fonctions critiques comme le filtrage du trafic, la distribution des contenus ou la gestion des requêtes. Cloudflare en fait partie, tout comme AWS, Akamai ou Google Cloud. Cette concentration crée un risque systémique : un incident interne peut perturber des milliers de services qui dépendent de la disponibilité de ces infrastructures.

Cette situation découle de facteurs économiques et techniques. Les géants du secteur profitent d’économies d’échelle qui leur permettent de proposer des performances élevées à un coût réduit. Les entreprises centralisent souvent leurs besoins chez un seul fournisseur afin de simplifier leur architecture. Cette logique optimise les coûts mais fragilise l’ensemble : un problème localisé sur l’un de ces acteurs entraîne un effet domino sur une partie du web.

La question de dépendance à des prestataires majoritairement américains soulève également un enjeu de souveraineté, puisque les données qui transitent par leurs infrastructures restent soumises au droit des États-Unis. Ironiquement, l’incident du 18 novembre, qui a touché des plateformes européennes comme Spotify, la SNCF ou Decathlon, a été enregistré le jour du sommet pour la souveraineté européenne, à Berlin. Dans ce cadre, l’ANSSI et son homologue allemand du BSI ont publié un communiqué pointant du doigt « la dépendance croissante à l’égard de technologies de l’information et de communication non européennes », qui entraîne « des risques importants pour la sécurité, la résilience et la souveraineté de nos nations ».