Microsoft et Nvidia prévoient d’investir jusqu’à 15 milliards $ dans Anthropic, respectivement 5 milliards et 10 milliards. Parallèlement, l’inventeur de Claude s’engage à acheter pour 30 milliards $ de capacité de calcul auprès de Microsoft.
Satya Nadella, CEO de Microsoft, a indiqué que les deux sociétés deviendraient « de plus en plus clientes l’une de l’autre », en précisant que Microsoft continuerait à considérer OpenAI comme « un partenaire critique ».
Microsoft rendra les modèles Claude accessibles aux clients d’Azure AI Foundry. Cela fera de Claude le seul modèle de pointe disponible sur les trois principaux fournisseurs de cloud ( AWS, Microsoft Azure et Google Cloud).
Anthropic prévoit d’utiliser jusqu’à 1 gigawatt de capacité de calcul reposant sur les architectures Grace Blackwell et Vera Rubin de Nvidia. Des spécialistes du secteur estiment qu’un gigawatt de capacité de calcul dédiée à l’IA peut représenter un coût allant de 20 à 25 milliards de dollars.
Les équipes d’ingénierie de Nvidia travailleront avec celles d’Anthropic pour assurer une meilleure intégration entre les futurs modèles et les futures générations de puces.
Cependant, Anthropic continuera de s’appuyer principalement sur AWS. Rappelons qu’Amazon a déjà investi 8 milliards $ dans la scale-up.
La Commission européenne a présenté ce mercredi un ensemble de modifications appelé « Omnibus numérique » (Digital Omnibus) visant à alléger la réglementation numérique qui s’applique aux 27 États membres de l’UE, dans un contexte de pression pour améliorer sa compétitivité face aux États-Unis et à la Chine dans le domaine de l’intelligence artificielle.
Ces propositions nécessitent l’approbation des pays de l’Union européenne et du Parlement européen.
Report de l’application des règles sur l’IA à haut risque
Les entreprises utilisant des systèmes d’IA considérés comme « à haut risque » bénéficieraient d’un délai supplémentaire de 16 mois avant l’entrée en vigueur des réglementations strictes. La date d’application serait ainsi repoussée de août 2026 à décembre 2027.
Les systèmes d’IA à haut risque concernent les domaines des forces de l’ordre, de l’éducation, de la justice, de l’asile et de l’immigration, des services publics, de la gestion du personnel, des infrastructures critiques comme l’eau, le gaz ou l’électricité, ainsi que l’utilisation de données biométriques.
Modifications ciblées de la loi sur l’IA
La Commission propose également des amendements spécifiques à la loi sur l’IA qui prévoient :
Simplifications pour les PME : Extension de certaines simplifications accordées aux petites et moyennes entreprises et aux petites entreprises de taille intermédiaire, notamment des exigences de documentation technique simplifiées, permettant d’économiser au moins 225 millions € par an.
Élargissement des mesures de conformité : Davantage d’innovateurs pourront utiliser des « sandboxes » réglementaires (environnements de test contrôlés), y compris une sandbox au niveau de l’UE à partir de 2028, ainsi que davantage de tests en conditions réelles, notamment dans des secteurs clés comme l’automobile.
Renforcement de la supervision : Les pouvoirs de l’Office AI seront renforcés et la surveillance des systèmes d’IA construits sur des modèles d’IA à usage général sera centralisée, réduisant ainsi la fragmentation de la gouvernance.
Facilitation de l’accès aux données personnelles
La proposition vise à clarifier le moment où des données cessent d’être considérées comme « personnelles » au regard de la législation sur la vie privée. Selon le texte, des informations anonymisées ne seraient pas considérées comme des données personnelles si l’entité qui les traite n’a pas les moyens de réidentifier la personne concernée.
Les entreprises seraient autorisées à utiliser de vastes ensembles de données pour l’entraînement de systèmes d’IA, même s’ils contiennent des informations personnelles sensibles comme des données de santé ou biométriques, à condition de faire des efforts raisonnables pour les supprimer.
Amélioration de l’accès aux données pour l’innovation
L’Omnibus numérique vise à améliorer l’accès aux données en tant que moteur clé de l’innovation, en simplifiant les règles relatives aux données :
Consolidation de la législation : Regroupement des règles européennes sur les données via le Data Act, fusionnant quatre textes législatifs en un seul pour une clarté juridique accrue.
Exemptions ciblées : Introduction d’exemptions ciblées à certaines règles du Data Act concernant le changement de fournisseur cloud pour les PME et petites entreprises de taille intermédiaire, générant environ 1,5 milliard d’euros d’économies ponctuelles.
Nouveaux outils de conformité : Fourniture de nouvelles orientations sur la conformité au Data Act via des clauses contractuelles types pour l’accès et l’utilisation des données, ainsi que des clauses contractuelles standard pour les contrats de cloud computing.
Soutien aux entreprises d’IA européennes : Déblocage de l’accès à des ensembles de données de haute qualité et récentes pour l’IA, renforçant le potentiel d’innovation global des entreprises dans toute l’UE.
Réformer le RGPD
Des amendements ciblés au Règlement général sur la protection des données (RGPD) harmoniseront, clarifieront et simplifieront certaines règles pour stimuler l’innovation et soutenir la conformité des organisations, tout en maintenant intact le cœur du RGPD et le plus haut niveau de protection des données personnelles.
Les amendements visent à moderniser les règles relatives aux cookies pour améliorer l’expérience des utilisateurs en ligne. Les bannières de consentement aux cookies apparaîtraient beaucoup moins fréquemment.
Les utilisateurs pourraient définir leurs préférences en matière de cookies une seule fois, soit par un simple clic valable six mois, soit via les paramètres de leur navigateur ou système d’exploitation applicables à tous les sites web. Certaines fonctions basiques des sites, comme le comptage des visiteurs, ne nécessiteraient plus de fenêtres de consentement.
Les sites web devraient toutefois toujours obtenir un consentement explicite avant d’accéder aux données stockées sur les appareils des utilisateurs, comme la localisation ou l’historique de navigation.
Simplification des rapports de cybersécurité
L’ Omnibus numérique introduit un point d’entrée unique où les entreprises peuvent remplir toutes leurs obligations de déclaration d’incidents. Actuellement, les entreprises doivent signaler les incidents de cybersécurité en vertu de plusieurs lois, notamment la directive NIS2, le RGPD et la loi sur la résilience opérationnelle numérique (DORA). L’interface sera développée avec des garanties de sécurité robustes et fera l’objet de tests approfondis pour garantir sa fiabilité et son efficacité.
Allègement des contraintes administratives pour les PME
Les petites et moyennes entreprises développant ou utilisant des systèmes d’IA feraient face à des exigences de documentation considérablement réduites, ce qui pourrait leur faire économiser au moins 225 millions d’euros par an, selon la Commission.
Les petites entreprises seraient également exemptées de certaines règles relatives au changement de fournisseur cloud, leur permettant d’économiser environ 1,5 milliard d’euros en coûts de conformité ponctuels.
Le plan prévoit aussi la création d’un « European Business Wallet », un passeport numérique fonctionnant dans les 27 États membres de l’UE, permettant aux entreprises de signer et d’horodater numériquement des documents et de gérer des dépôts administratifs à travers l’Europe. La Commission estime que cet outil pourrait éliminer jusqu’à 150 milliards € de coûts administratifs annuels une fois largement adopté.
Dans un rapport de 2024 sur la compétitivité européenne, l’ancien Premier ministre italien Mario Draghi avait identifié l’étendue de la réglementation numérique du bloc comme un frein aux performances des entreprises technologiques locales.
Le président français Emmanuel Macron et le chancelier allemand Friedrich Merz ont apporté leur soutien à certaines parties de la proposition lors d’un sommet sur la souveraineté numérique à Berlin cette semaine.
Des groupes de la société civile ont toutefois mis en garde contre le fait que ces changements favoriseraient les intérêts des grandes entreprises technologiques et affaibliraient les protections de la vie privée en place depuis deux décennies. Les responsables de la Commission maintiennent que les modifications préserveraient les normes strictes de confidentialité de la région.
Adobe renforce son offre de services de marketing en ligne avec l’acquisition de Semrush pour un montant de 1,9 milliard $ en numéraire.
La transaction devrait se finaliser au cours du premier semestre 2026, selon Adobe. Le rachat de Semrush constitue la première acquisition annoncée par Adobe depuis l’échec de l’achat de Figma, évalué à 20 milliards $ en 2022.
Semrush propose des outils permettant aux entreprises d’analyser et d’optimiser leur présence en ligne, notamment via le référencement naturel, la publicité numérique et les réseaux sociaux. L’intégration de Semrush devrait permettre à Adobe d’offrir aux spécialistes du marketing une vision plus complète de la manière dont leur marque est perçue sur les moteurs de recherche traditionnels, les grands modèles de langage (LLM) et l’ensemble du web. Parmi ses clients, Semrush compte des entreprises comme TikTok et Amazon.
Si Adobe est principalement connue pour ses logiciels de création graphique et de gestion documentaire, son offre comprend également des solutions marketing et analytiques. L »éditeur a annoncé en octobre que certains de ses outils d’édition vidéo et d’image pourraient bientôt être contrôlés via des commandes en langage naturel, en partenariat avec OpenAI, le créateur de ChatGPT.
Malgré sa position de leader dans le domaine des logiciels créatifs, Adobe connaît une année 2025 difficile sur les marchés financiers. Son action a chuté de plus de 27 % depuis le début de l’année, les investisseurs étant préoccupés par la capacité de la société à monétiser efficacement ses fonctionnalités basées sur l’intelligence artificielle dans un secteur de la conception numérique de plus en plus concurrentiel.
Pour Semrush, le rachat intervient après plusieurs années de croissance post-introduction en bourse, la société étant cotée à New York depuis 2021.
Anil Chakravarthy, président de la division Digital Experience Business d’Adobe, a déclaré que l’acquisition de Semrush constituait « une manière naturelle de continuer à se développer dans un domaine très important pour nos clients existants », en particulier dans le contexte de l’essor de l’IA et des LLM pour le marketing en ligne.
OVHcloud l’a officialisé à l’occasion du Sommet sur la souveraineté numérique européenne.
L’événement étant organisé à Berlin, l’annonce était de circonstance. Elle a largement éclipsé l’ouverture du 3-AZ dans un autre pays : l’Italie. Cette architecture à trois zones de disponibilité a effectivement été déployée sur la région cloud de Milan (eu-south-mil). Pour le moment sur la partie IaaS. DBaaS et Kubernetes managé doivent suivre « très bientôt », si on en croit la roadmap Public Cloud.
Le 3-AZ est également disponible à Paris (région eu-west-par), depuis avril 2024.
Une base établie dans la région de Francfort
En Allemagne, OVHcloud avait ouvert son premier datacenter en 2017, au nord-ouest de Francfort, dans la ville de Limburg-sur-la-Lahn (Hesse). Le bâtiment était auparavant une imprimerie. Une connexion directe à Bruxelles, Strasbourg et Prague avait été établie.
L’ensemble fut agrandi par deux fois, en 2018 puis en 2021, faisant passer la surface informatique à environ 2500 m2. Depuis, un autre datacenter – de 6000 m2 – a vu le jour dans la même ville. La première pierre fut posée en 2022. Cette année-là, le siège avait déménagé à Cologne (Rhénanie-du-Nord-Westphalie). Il était resté implanté à Sarrebruck (Sarre) depuis la création, en 2006, de la filiale allemande – dont Henryk Klaba, frère d’Octave, fut le premier DG.
Datacenter à Kehl, cloud de confiance avec T-Systems… Des projets qui n’ont pas abouti
OVH eut un projet de datacenter à Kehl, ville limitrophe de la France. Il l’avait évoqué en 2013 à l’occasion de l’inauguration de son deuxième datacenter de conteneurs à Strasbourg (SBG4, qui serait touché à la marge lors de l’incendie de 2021). Il était question d’héberger jusqu’à 10 000 serveurs. L’idée ne s’est pas concrétisée.
D’autres projets en Allemagne n’ont pas abouti, à l’image de la collaboration annoncée en 2020 avec T-Systems, filiale de Deutsche Telekom. Promesse : développer, pour 2021, un cloud de confiance sur base OpenStack respectant les principes de Gaia-X. Le gouvernement français, par la voie de Bruno Le Maire et de Cédric O, s’en était félicité.
T-Systems a aujourd’hui sa propre offre OpenStack (Open Telekom Cloud), sans qu’apparaissent de liens technologiques ni commerciaux avec OVHcloud.
De la police nationale à la sécurité sociale, des contrats référents pour OVHcloud
Dans son annonce du 3-AZ en Allemagne, OVHcloud mentionne quatre clients : Commerz Real, ITSC, la Bundesagentur für Arbeit (littéralement « Agence fédérale de l’emploi ») et la Bundespolizei (police nationale).
Le contrat avec Commerz Bank a été annoncé cette année. La société de gestion d’actifs, spécialisée dans les investissements immobiliers et les énergies renouvelables, va héberger « une part importante » de son infrastructure chez OVHcloud.
La police nationale a quant à elle décidé d’héberger chez OVHcloud son nouveau programme de formation, autour d’une solution de visio développée par une société allemande. Le contrat, également annoncé cette année, court sur 5 ans.
Le deal avec l’Agence fédérale pour l’emploi a été signé en 2024. Deux autres organismes de la sécurité sociale allemande sont parties au contrat, qui porte sur une plate-forme multicloud gérée par Computacenter. AWS, Google et Microsoft sont dans la boucle, aux côtés de deux fournisseurs allemands (IONOS, StackIT), un polonais (CloudFerro)… et OVHcloud. Le projet s’étale sur 4 ans, pour 100 M€ d’investissement.
Pour ce qui est d’ITSC (fournisseur de services IT), il avait organisé, en 2023, un appel d’offres public qu’OVHcloud avait remporté. Il s’agissait de migrer dans le cloud le traitement, la sauvegarde et le stockage des données de santé qu’une quarantaine de caisses d’assurance maladie d’entreprise.
La même année, OVHcloud avait remporté un appel d’offres organisé par le Deutsches Zentrum für Luft- und Raumfahrt (Centre allemand pour l’aéronautique et l’astronautique). Il s’agissait d’héberger l’infrastructure d’un projet porté par ce dernier : COOPERANTS (Collaborative Processes and Services for Aeronautics and Space). Son objectif : constituer, dans le respect des principes de Gaia-X, un data space européen pour l’industrie aérospatiale.
Sept ans après le lancement de sa stratégie nationale pour l’intelligence artificielle, la France se hisse au cinquième rang mondial du Global AI Index. Un succès en trompe-l’œil, selon la Cour des comptes, qui épingle dans un rapport publié ce 19 novembre une politique publique certes volontariste, mais largement en-deçà de ses ambitions initiales et de l’ampleur de la révolution en marche.
Un budget amputé d’un tiers et une exécution laborieuse
Les chiffres parlent d’eux-mêmes. Pour la phase 2023-2025, baptisée « phase d’accélération », l’État aura finalement programmé 1,055 milliard €, soit un tiers de moins que les 1,5 milliard initialement annoncés en novembre 2021. Pire encore : au 30 juin 2025, seuls 35% de ces crédits avaient été consommés (289 millions € de paiements effectifs), traduisant la lenteur du démarrage des dispositifs.
Les chiffres de la première phase (2018-2022) ne sont guère plus encourageants : sur 1,527 milliard programmés, seuls 1,272 milliard ont finalement été engagés. Plus inquiétant, la Cour pointe un «suivi lacunaire» des crédits et des « difficultés à identifier la part des financements généralistes rattachables à la SNIA ». Bref, l’État peine à suivre ses propres dépenses en matière d’IA.
Cette mauvaise exécution budgétaire illustre un problème structurel : la nécessité de réallouer en urgence des moyens pour soutenir le développement de l’IA générative, «enjeu qui n’avait pas été anticipé à la veille de la révolution ChatGPT», souligne les sages de la rue Cambon.
Le dispositif phare des « IA Clusters », doté du budget le plus élevé (360 millions € après une réduction de 90 millions), n’a vu ses premiers engagements concrétisés qu’à la fin 2024, trois ans après son annonce.
La recherche, unique point fort
Dans ce tableau mitigé, un secteur tire son épingle du jeu : la recherche.
La France compte désormais plus de 4 000 chercheurs travaillant sur l’IA et se hisse au troisième rang mondial en matière de recherche et formation dans ce domaine. Les instituts d’excellence (3IA) créés depuis 2018 commencent à porter leurs fruits : quatre pôles à Paris, Nice, Grenoble et Toulouse regroupent 150 chaires de recherche et ont noué plus d’une centaine de partenariats industriels. En quatre ans, ce réseau a réuni 500 chercheurs, financé près de 500 doctorants et formé chaque année plus de 13 000 personnes.
Le supercalculateur Jean Zay, installé sur le plateau de Saclay en 2019 et progressivement étendu, constitue l’autre réussite emblématique. Avec une puissance de calcul portée à 37 pétaflop/s, il permet à de nombreuses équipes d’accéder à des infrastructures de calcul pour développer des systèmes d’IA à coûts réduits. Bonus écologique : son système de récupération de chaleur chauffe l’équivalent de 1 000 logements, une première en Europe à cette échelle.
Le pays peut également se targuer d’avoir vu émerger une dizaine d’acteurs positionnés sur l’IA générative en quelques mois, là où il n’en comptait qu’un seul début 2023. Plus de 1 000 startups sont désormais actives dans le domaine, ayant levé près de 2 milliards € en 2024. Seize licornes françaises intègrent l’intelligence artificielle dans leur proposition de valeur. La France est devenue le premier pays européen en nombre de projets d’investissement étrangers dans l’IA et le premier hébergeur européen de centres de recherche des leaders mondiaux du secteur.
Mais ces réussites comportent leurs limites. L’effet structurel des dispositifs n’a pas toujours été favorisé : le recours à une « succession d’appels à projets ou à manifestation d’intérêt, pour des financements ponctuels avec un horizon de vie limité », a créé une fragmentation et nui à la cohérence d’ensemble. Le processus de sélection des instituts 3IA a écarté des acteurs majeurs comme l’Université Paris-Saclay. Et l’attractivité internationale des talents reste limitée, faute de salaires compétitifs et de mesures d’accompagnement à l’installation.
Les angles morts d’une stratégie à géométrie variable
Mais ces succès masquent des carences béantes. Premier angle mort pointé par la Cour : «l’enjeu de la massification et de l’accompagnement de la diffusion de l’intelligence artificielle au-delà du cercle des spécialistes ». Entreprises, administrations, citoyens : tous ont été largement négligés par une stratégie trop centrée sur l’excellence scientifique.
Les PME et ETI, qui devraient constituer le cœur de cible de la diffusion de l’IA dans l’économie, n’ont bénéficié que de « dispositifs très modestes » : le programme « IA Booster », censé accompagner les entreprises, n’a reçu que 10 millions € de budget, soit à peine 1% de l’enveloppe totale. Résultat : « l’accélération et la massification escomptées de la diffusion de l’intelligence artificielle dans l’économie n’ont pas eu lieu ». Un constat d’échec pour une phase censée précisément viser cet objectif.
Deuxième faille majeure : la formation. Les 128 millions € initialement prévus pour l’enseignement supérieur hors doctorat dans la première phase n’ont jamais été dépensés. « Le retard pris en matière d’adaptation à l’IA de l’ensemble des formations initiales et continues n’a pas été rattrapé », déplore la juridiction. Plus grave encore, l’annulation en 2023 du programme « numérique et éducation » (77 millions €), pourtant annoncé par le Premier ministre en octobre 2021, a fait perdre « plusieurs années » dans la transformation des apprentissages par l’IA.
L’administration à la traîne
Paradoxe ultime : l’État, architecte de cette stratégie, reste lui-même « globalement en retard » dans sa propre transformation numérique. « En dépit d’initiatives ponctuelles », la Cour constate que l’adoption de l’IA par l’administration publique demeure « très décevante ».
Quelques expérimentations ont certes vu le jour : le « Lab IA » a accompagné 25 projets dans les administrations d’État, l’appel à projets « transformation publique » a financé 46 projets liés à l’IA (pour 80 millions €). Mais ces initiatives sont restées « isolées » et leur « effet transformatif très circonscrit ». Les services publics peinent à déployer des cas d’usage, faute de formation des agents, de budgets dédiés et d’une véritable volonté politique.
Le fiasco emblématique de cette inertie : la plateforme des données de santé (Health Data Hub). Lancée en 2019 avec 80 millions € de financement, elle devait révolutionner la recherche médicale en regroupant toutes les données de santé françaises. Mais le choix d’héberger ces données sensibles sur le cloud de Microsoft a déclenché une polémique sur la souveraineté. Suspendu par le Conseil d’État en octobre 2020, le projet n’a fonctionné qu’au ralenti pendant près de cinq ans. Il a fallu attendre juillet 2025 pour qu’un marché public soit lancé pour un « hébergement souverain », avec une mise en service annoncée pour… l’été 2026.
Un pilotage baroque
La gouvernance de cette politique publique relève, selon les magistrats, d’un «jeu complexe entre de nombreux acteurs ». Pas moins de cinq ministères, l’Inria, le CNRS, Bpifrance et un coordonnateur national se partagent les responsabilités, sans véritable chef d’orchestre. Cette fragmentation nuit à la cohérence d’ensemble et à la rapidité de mise en œuvre.
Le coordonnateur national, pourtant censé piloter l’ensemble, « ne dispose que d’une équipe très restreinte » avec «pour l’essentiel un adjoint ». Son rattachement a d’ailleurs changé trois fois en sept ans : d’abord à la direction du numérique de l’État (2018-2020), puis à la direction générale des entreprises du ministère de l’Économie (depuis 2020), avant qu’une ministre déléguée spécifique à l’IA soit nommée en décembre 2024.
Le suivi des crédits s’avère lui-même « lacunaire », rendant difficile une évaluation précise des résultats. Comble de la légèreté méthodologique, la Cour note que la deuxième phase a été «lancée sans évaluation préalable » de la première, malgré les 1,3 milliard € dépensés entre 2018 et 2022. Les administrations ont eu « les plus grandes difficultés à reconstituer des données budgétaires cohérentes et fiables» lors du contrôle de la Cour.
La course contre la Chine et les États-Unis
Ces faiblesses interrogent d’autant plus que la compétition mondiale s’intensifie. Si la France peut légitimement se comparer à ses concurrents européens, le fossé avec les États-Unis et la Chine demeure abyssal. Ces deux superpuissances investissent des montants sans commune mesure : l’administration Biden a annoncé 32 milliards $ pour l’IA sur cinq ans, tandis que Pékin consacre des sommes estimées à plus de 100 milliards $.
Dans ce contexte, les 2,4 milliards € mobilisés par la France sur sept ans apparaissent dérisoires. Le risque est réel de voir le pays décrocher dans une course où la capacité d’investissement et la vitesse d’exécution font la différence.
Dix recommandations pour changer de braquet
Face à ce constat, la Cour formule dix recommandations destinées à «permettre à la politique publique de l’intelligence artificielle de changer d’échelle ». Premier chantier : renforcer le pilotage interministériel par la création d’un secrétariat général ad hoc d’ici fin 2025.
Les magistrats appellent aussi à « accroître les capacités de calcul » via de nouveaux partenariats public-privé, à «anticiper les évolutions du marché de l’emploi », et surtout à
« accompagner l’accélération et la massification de l’adoption par les entreprises ». Objectif affiché : faire entrer les PME dans l’ère de l’IA dans les cinq prochaines années.
La question des données, jusqu’ici négligée, doit également devenir une priorité : qualité, accès, protection et stockage souverain constituent des enjeux stratégiques majeurs. De même, la Cour insiste sur la nécessité de « construire une ambition réaliste » sur les composants électroniques, secteur dans lequel l’Europe accuse un retard considérable face aux Asiatiques et aux Américains.
Une troisième phase déjà lancée
Le gouvernement n’a pas attendu ce rapport pour réagir. Une troisième phase de la stratégie nationale a été annoncée en février 2025 lors du sommet de Paris sur l’IA, un événement qui a confirmé la place particulière de la France sur la scène internationale. Les contours de cette nouvelle phase, précisés dans les mois suivants, visent notamment à corriger les défauts identifiés.
Mais la Cour reste sceptique : « Considérer que les priorités sur lesquels la SNIA a remporté de premiers succès ne nécessitent plus d’attention serait une erreur eu égard aux dynamiques très rapides d’évolution du paysage de l’IA». Les magistrats appellent à ne pas relâcher l’effort sur la recherche tout en comblant les retards accumulés ailleurs.
Une course contre la montre
Au-delà des querelles de chiffres et de gouvernance, la Cour souligne surtout l’urgence de la situation. «La révolution induite par cette technologie à usage général atteint une magnitude à laquelle peu d’autres ruptures technologiques dans l’Histoire peuvent être comparées», martèle le rapport. L’IA «n’est plus une affaire réservée à des spécialistes, elle touche tous les champs du savoir, l’économie et toute la société».
Cette accélération impose un changement radical de paradigme. La France a certes réussi à créer « une dynamique réelle » et à se hisser « en tête du peloton européen ». Mais pour rester dans la course face aux géants américains et chinois, et surtout pour transformer en profondeur son économie et son modèle social, elle devra impérativement combler ses lacunes.
Le prochain sommet de l’IA, prévu en février 2026, constituera un test décisif. La France saura-t-elle passer des promesses aux actes ? Répondre présent à ce rendez-vous suppose une mobilisation sans précédent de tous les acteurs – État, entreprises, universités, collectivités locales – et surtout une volonté politique au long cours. Car dans cette révolution, comme le rappelle la Cour, « les années qui viennent seront critiques ». Le temps presse.
Cloudflare est formel : ce 18 novembre, il a subi sa « pire panne depuis 2019 ».
Cette dernière avait été déclenchée par le déploiement d’une règle WAF pour la détection XSS. Un problème de regex avait entraîné une surconsommation CPU sur les nœuds qui géraient le trafic HTTP(S). Le proxy principal était tombé, comme le CDN.
Le système de gestion des bots mis K.-O. par un changement de configuration
Cette fois, l’incident a pris racine dans un changement de permissions sur une base de données ClickHouse. L’idée était, dans les grandes lignes, de rendre explicite un accès jusque-là accordé implicitement aux utilisateurs lors des requêtes de tables système.
Faute d’un filtrage approprié, une requête s’est mise à générer des colonnes en double. Cette requête provenait d’un des modules du proxy principal : celui dédié à la gestion des bots.
Ce module exploite, entre autres, un modèle d’apprentissage automatique qui attribue un score à chaque requête. Il s’appuie sur un fichier de configuration réunissant des features (caractéristiques individuelles utilisées pour prédire si une requête est ou non automatisée).
Ce fichier est régulièrement rafraîchi – à intervalle de quelques minutes – et diffusé sur le réseau Cloudflare.
La version « doublonnée » a dépassé la limite de 200 features paramétrée dans le système de gestion des bots pour éviter la surconsommation de mémoire. Le module est ainsi passé en erreur, affectant tout le trafic qui en dépendait.
Des pannes en cascade et un tableau de bord inaccessible
D’autres services exploitant le proxy principal ont été touchés. Notamment Workers KV (magasin clé-valeur) et Turnstile (alternative aux CAPTCHA).
L’indisponibilité de ce dernier a empêché les connexions au tableau de bord – à moins d’avoir une session active.
Cloudflare Access (contrôle d’accès) a aussi connu des problèmes d’authentification.
En parallèle, la consommation CPU des systèmes de débogage et d’observabilité a accru la latence du CDN.
Vers 14 heures, soit une heure et demie après le début de l’incident, un correctif fut déployé sur Workers KV afin de contourner le proxy. Les taux d’erreurs sur les services aval se sont réduits.
D’autres difficultés ont été recensées par la suite, après la restauration d’une version saine du fichier de features. Le backlog de tentatives de connexion, combiné aux retries, a submergé le dashboard.
Cloudflare a d’abord cru à une attaque
Jusqu’à l’application du correctif pour Workers RV, le système a eu un comportement particulier : à plusieurs reprises, il a brièvement récupéré. Et pour cause : il arrivait qu’un fichier sain soit généré, en fonction de la partie du cluster sur laquelle s’exécutait la requête du service de gestion des bots.
Ce comportement a compliqué l’identification du problème. Jusqu’à ce que, finalement, tous les nœuds ClickHouse se mettent à générer le mauvais fichier.
Cloudflare a un temps pensé à une attaque, d’autant plus que sa page de statut, qui n’a pas de dépendance à ses services, était aussi tombée. Mais il s’agissait d’une « coïncidence »…
L’acheminement du trafic était largement revenu à la normale vers 15 h 30. Passé 18 heures, tous les systèmes de Cloudflare fonctionnaient normalement.
En conséquence de cette panne mondiale, l’entreprise promet de renforcer le contrôle de l’ingestion des fichiers que ses systèmes génèrent (mise sur le même plan que les fichiers générés par les utilisateurs). Elle compte aussi supprimer la possibilité que des dumps et autres rapports d’erreur épuisent les ressources système. Et réviser les modes d’échec pour les conditions d’erreur sur tous les modules de son proxy principal.
Connexion
