La meilleure façon de comprendre Cloudflare n’est pas comme un réseau de diffusion de contenu qui a ajouté des fonctionnalités de sécurité, mais comme une tentative délibérée de transformer la distribution en périphérie en un plan de contrôle universel pour trois couches distinctes de l’infrastructure d’entreprise: le trafic Internet public, l’accès privé utilisateur-application et l’exécution par les développeurs. Le discours de l’entreprise reflète désormais cette ambition. Elle se décrit comme un « cloud de connectivité », affirme exécuter « plus de soixante services » sur le même réseau mondial et met l’accent sur une conception où chaque service s’exécute dans chaque centre de données plutôt que sur des piles spécialisées distinctes. Cela a une importance économique. Un fournisseur capable d’inspecter, de router, de sécuriser et d’exécuter du code sur le même chemin de paquets peut vendre plusieurs contrôles à plus forte valeur ajoutée à partir d’une empreinte déjà déployée. Dans le cas de Cloudflare, cette empreinte s’étend sur environ 335 villes dans plus de 125 pays selon les pages institutionnelles actuelles, tandis que la mise à jour de la capacité réseau d’avril 2026 décrivait un réseau de 500 Tbps dans plus de 330 villes réparties dans plus de 125 pays. Même les légères variations dans les chiffres entre les pages sont révélatrices: le réseau est vaste, toujours en expansion et présenté comme une surface opérationnelle vivante plutôt que comme une carte statique.

Cette thèse est également visible dans les états financiers. Au cours de l’exercice 2025, Cloudflare a généré 2,168 milliards de dollars de revenus, contre 1,670 milliard de dollars en 2024 et 1,297 milliard de dollars en 2023. Au premier trimestre 2026, le chiffre d’affaires a atteint 639,8 millions de dollars, en hausse de 34 % en glissement annuel, tandis que les obligations de performance restantes actuelles ont également augmenté de 34 %. Le nombre de clients payants est passé à plus de 332 000 à la fin de l’année 2025, et celui des grands clients générant plus de 100 000 dollars de revenus annualisés a atteint 4 298 à la fin de l’exercice 2025; la présentation des relations investisseurs a ensuite fait état de « plus de 4 400 » grands clients et de 42 % des entreprises du Fortune 500 comme clients payants au 31 mars 2026. Ce ne sont pas les signes d’un simple utilitaire de cache. Ce sont les signes d’une plateforme qui vend plus profondément aux grandes organisations tout en conservant un entonnoir très large en libre-service et pour les PME.

Le constat important et non évident est que le rôle infrastructurel de Cloudflare est devenu plus stratégique à mesure que l’Internet lui-même s’est fragmenté. Les entreprises ont de plus en plus besoin d’un tissu unique capable de faire office de frontal pour les sites web et les API, de gérer l’accès des employés, de connecter les succursales et les centres de données, de terminer le trafic de bots et de DDoS, d’héberger la logique applicative près des utilisateurs et, de plus en plus, de prendre en charge l’inférence IA et le trafic des agents. Cloudflare tente d’être ce tissu. Son avantage ne réside pas dans l’impossibilité de copier un seul de ces produits. Son avantage est que l’entreprise peut les distribuer sur une périphérie unique, un plan de contrôle unique et un compte client unique. Cela réduit les frictions de livraison pour Cloudflare et les frictions d’intégration pour le client. Ce mécanisme est au cœur de l’histoire de l’entreprise.

La question centrale pour les investisseurs n’est donc pas de savoir si Cloudflare est un « leader » dans une catégorie à la Gartner. Il s’agit de savoir si l’entreprise peut continuer à convertir sa présence réseau en attaché logiciel plus rapidement que le marché ne banalise la fourniture sous-jacente. Les preuves disponibles jusqu’à présent indiquent que oui, mais avec des réserves importantes. La croissance des revenus reste forte, la pénétration des entreprises augmente, la répartition internationale est large et l’étendue de la plateforme s’est considérablement élargie. Mais les marges brutes sont sous pression en raison des investissements de l’entreprise dans les serveurs, la capacité réseau, les technologies tierces et les nouvelles charges de travail lourdes en IA. Parallèlement, étant donné que la plateforme est partagée par conception, les défaillances d’infrastructure et les erreurs du plan de contrôle peuvent se propager à de nombreux services à la fois. La plus grande force et le plus grand risque de Cloudflare proviennent du même choix architectural: un réseau, une pile, partout.

Modèle économique et logique de revenus

Les revenus déclarés de Cloudflare ressemblent encore en surface à une activité classique de logiciel par abonnement. L’entreprise indique que la quasi-totalité de ses revenus provient des abonnements et des services de support reconnus progressivement. Les clients bénéficient d’un accès continu au réseau et aux produits de Cloudflare pendant la durée du contrat, et la contrepartie fixe associée est généralement reconnue de manière linéaire. Pourtant, le rapport 2025 indique également clairement que les frais basés sur l’utilisation font partie du modèle, et le point clé de l’audit de KPMG décrit explicitement les revenus comme générés par « des clients ayant souscrit des contrats ou payant à l’utilisation » et composés de frais d’abonnement, de services de support et de frais basés sur l’utilisation. Il s’agit d’une distinction cruciale. Cloudflare n’est ni une pure entreprise SaaS facturant par utilisateur, ni un pur utilitaire réseau facturant à l’utilisation. Il s’agit de plus en plus d’un modèle hybride récurrent et à l’usage, ce qui correspond exactement à ce que l’on attend d’une plateforme couvrant les contrôles de sécurité, le transport réseau et les charges de travail des développeurs.

La répartition des revenus divulguée dans le formulaire 10-K 2025 montre comment l’entreprise se diversifie. Au niveau régional, les États-Unis ont contribué à hauteur de 49 % des revenus en 2025, la zone EMEA à 28 %, l’Asie-Pacifique à 15 % et les autres zones géographiques à 8 %. La direction a par ailleurs indiqué que 51 % des revenus de 2025 provenaient de clients internationaux, contre 49 % en 2024 et 48 % en 2023. Il ne s’agit pas d’une entreprise de logiciels centrée sur les États-Unis avec des ventes accessoires à l’étranger. Il s’agit d’une activité distribuée à l’échelle mondiale dont la proposition de réseau et la posture réglementaire sont importantes dans de nombreuses juridictions. L’étendue géographique explique également pourquoi Cloudflare investit autant dans la présence locale et les fonctionnalités de localisation des données: ce ne sont pas des produits secondaires, mais des conditions favorisant l’adoption par les entreprises en dehors des États-Unis.

La répartition par type de client est tout aussi révélatrice. En 2025, 74 % des revenus provenaient de clients directs et 26 % de partenaires de distribution, contre 80 % de clients directs et 20 % de partenaires en 2024, et 84 % de clients directs et 16 % de partenaires en 2023. Cette part croissante des partenaires suggère une montée en puissance intentionnelle de la mise sur le marché plutôt qu’une anomalie temporaire. Pour Cloudflare, l’expansion du canal peut élargir la couverture des entreprises, améliorer la portée internationale et permettre à l’entreprise de pénétrer des comptes où les intégrateurs système, les fournisseurs de services ou les partenaires de sécurité gérés contrôlent les décisions architecturales. Les preuves démontrent que le canal devient structurellement plus important. Ce qu’elles suggèrent seulement, sans le prouver, c’est l’effet sur les marges. Une part plus importante du canal peut accélérer l’efficacité commerciale et le volume de transactions, mais elle peut également compresser l’économie si les remises aux partenaires augmentent plus vite que l’effet de levier du support. Cloudflare ne divulgue pas publiquement la marge brute du canal, de sorte que le compromis exact reste inconnu.

La base de clients elle-même est inhabituellement large pour une entreprise ayant de réelles ambitions dans les grandes entreprises. Cloudflare comptait environ 332 000 clients payants dans plus de 190 pays au 31 décembre 2025, contre environ 238 000 un an plus tôt, tandis que le nombre de grands clients générant plus de 100 000 dollars de revenus annualisés est passé de 2 756 en 2023 à 3 497 en 2024 et 4 298 en 2025. Cette combinaison est importante. De nombreuses entreprises d’infrastructure doivent choisir entre une acquisition en libre-service à longue traîne et une stratégie de commercialisation concentrée sur les grandes entreprises. Cloudflare tente de conserver les deux: un entonnoir d’entrée à faible friction avec des offres gratuites et peu coûteuses, et une dynamique de montée en gamme qui convertit un sous-ensemble de comptes en relations d’entreprise multi-produits. Le fait que 42 % des entreprises du Fortune 500 soient devenues clientes payantes au 31 mars 2026 ne signifie pas que ces entreprises dépensent nécessairement beaucoup, mais cela indique une pénétration inhabituellement large en termes de logos.

Ce que Cloudflare ne divulgue pas est tout aussi important. L’entreprise ne publie pas les revenus par ligne de produits pour le CDN, la sécurité des applications, Zero Trust, Workers ou l’IA. Les investisseurs ne peuvent donc pas prouver directement dans quelle mesure le chiffre d’affaires repose encore sur l’économie traditionnelle de l’accélération du trafic par rapport aux couches logicielles plus récentes à plus forte valeur ajoutée. Cette inconnue est l’une des lacunes d’interprétation les plus importantes de l’histoire. Les rapports prouvent que les revenus globaux de Cloudflare sont de plus en plus orientés vers les entreprises: le nombre de grands clients ne cesse d’augmenter, la portée internationale auprès des entreprises est considérable, les obligations de performance restantes s’élevaient à 2,496 milliards de dollars à la fin de l’année 2025, et 63 % de ce montant devaient être convertis en revenus dans les 12 mois. Mais le multiple futur et l’effet de levier stratégique de l’entreprise dépendront fortement de la combinaison interne cachée entre la fourniture banalisée et les produits de contrôle à coût de changement plus élevé.

Le profil de croissance lui-même est resté solide par rapport aux normes des entreprises d’infrastructure. Le chiffre d’affaires a augmenté de 29 % en 2024, de 30 % en 2025, et le premier trimestre 2026 a affiché une croissance de 34 % en glissement annuel. Cette accélération est importante car elle est intervenue à une période où de nombreuses entreprises de logiciels d’entreprise décéléraient sous la pression macroéconomique. Cependant, le mécanisme de cette croissance importe plus que le chiffre annoncé. Les propres discussions de Cloudflare sur les facteurs de risque et la stratégie commerciale font référence à plusieurs reprises à sa capacité à fidéliser et à faire monter en gamme les clients payants, à convertir les clients gratuits en payants, à étendre le nombre de produits vendus par client et à augmenter les ventes aux grands comptes. Il s’agit d’une stratégie d’expansion de bouquet, et non d’une stratégie de croissance pure du trafic. Cloudflare tente d’accroître la valeur du compte en élargissant le contrôle du chemin de requête et de la surface d’infrastructure du client.

L’économie d’un réseau unique partout

L’architecture réseau de Cloudflare est le moteur économique de l’entreprise, et la principale revendication architecturale est simple: chaque service s’exécute dans chaque centre de données, et tout le trafic client est traité à l’emplacement le plus proche de sa source plutôt que d’être renvoyé vers des sites d’inspection spécialisés. Cloudflare appelle cela « un réseau partout », indique que l’inspection en un seul passage rationalise la sécurité et souligne que son réseau mondial est interconnecté avec plus de 13 000 fournisseurs de services, fournisseurs de cloud et réseaux d’entreprise. Du côté de l’Internet public, l’entrée PeeringDB de l’AS13335 décrit le réseau comme une plateforme anycast mondiale avec un peering ouvert et un peering IX automatique disponible via le portail de Cloudflare, tandis qu’une capture BGP de Hurricane Electric de juin 2026 montrait que l’AS13335 annonçait 5 543 préfixes et était connecté à 358 points d’échange Internet. Ces statistiques de routage tierces sont des instantanés plutôt que des chiffres comptables, mais elles renforcent l’image officielle: Cloudflare dispose d’une interconnexion en périphérie inhabituellement dense.

Cette interconnexion a des conséquences économiques réelles. En août 2024, Cloudflare a déclaré que la capacité du backbone avait augmenté de plus de 500 % depuis 2021, qu’elle avait achevé une boucle de backbone mondiale atteignant six continents via la fibre terrestre et les câbles sous-marins, et que pour la connectivité intra-urbaine et longue distance, elle gère de la fibre noire ou loue des longueurs d’onde en utilisant le DWDM. L’entreprise a explicitement fait valoir que l’utilisation de son propre backbone pour acheminer le trafic en cache ou vers l’origine est souvent la méthode la plus rentable à son échelle, et que le transport des réponses d’origine depuis AWS, Oracle, Alibaba, Google Cloud ou Azure sur son propre backbone lui donne un meilleur contrôle, une meilleure fiabilité et une moindre dépendance à l’Internet public. C’est un indice fort de la logique de coûts interne de Cloudflare. Plus l’entreprise peut acheminer du trafic sur ses propres chemins contrôlés et ses peering locaux, moins elle doit acheter du transit coûteux dans les parties les plus sensibles en termes de performances.

La subtilité la plus importante est que le réseau de Cloudflare n’est plus optimisé uniquement pour la mise en cache. Un CDN traditionnel peut construire une activité très solide autour du stockage et de la diffusion de contenus statiques à proximité des utilisateurs. L’architecture de Cloudflare est plus ambitieuse. L’entreprise affirme que chaque serveur exécute sa plateforme développeur et ses services de sécurité, « pas seulement la mise en cache ». Workers s’exécute dans plus de 330 villes par défaut, utilise un modèle de facturation au temps CPU plutôt que de facturer le temps d’inactivité et promet l’absence de démarrages à froid. Durable Entités combine le calcul et le stockage pour les applications nécessitant une coordination importante. R2 offre un stockage d’objets sans frais de sortie. Workers AI fournit une inférence sans serveur sur des GPU répartis sur le réseau de Cloudflare, et le marketing produit actuel indique que plus de 50 modèles s’exécutent à proximité des utilisateurs dans plus de 200 villes. En d’autres termes, le réseau est en train de passer d’une infrastructure de distribution à une infrastructure d’exécution.

Ce changement explique à la fois l’avantage stratégique de Cloudflare et ses tensions sur les marges. D’un côté, une fois qu’une entreprise possède le chemin de requête en périphérie, le coût supplémentaire pour attacher plus de logique logicielle à ce chemin peut être bien inférieur à celui de la vente d’un produit ponctuel autonome avec sa propre empreinte d’appliance ou un réseau d’inspection distinct. Cela est particulièrement vrai pour les services adjacents tels que le WAF, la gestion des bots, la protection des API, le DNS, le routage intelligent, Access, Gateway et l’isolation du navigateur. Le paquet est déjà là. La décision d’identité, la politique de sécurité et l’optimisation des performances peuvent se produire au même endroit. D’un autre côté, toutes les charges de travail en périphérie n’ont pas une économie comparable à celle d’un CDN. L’inférence IA, le calcul durable et la coordination du stockage peuvent être plus gourmands en matériel et moins adaptés à la mise en cache que le trafic proxy inverse classique. Le réseau devient stratégiquement plus riche, mais pas nécessairement plus riche en marge brute à court terme.

Les états financiers confirment que Cloudflare mise davantage sur l’infrastructure physique. Les achats d’immobilisations corporelles ont atteint 315,6 millions de dollars en 2025, contre 185,0 millions de dollars en 2024 et 114,4 millions de dollars en 2023. La direction elle-même a présenté ce chiffre comme représentant 15 % des revenus en 2025, contre 11 % en 2024 et 9 % en 2023. Les immobilisations corporelles brutes ont atteint 998,1 millions de dollars à la fin de l’exercice 2025, dont 726,8 millions de dollars de serveurs et d’infrastructures réseau, en forte hausse par rapport aux 488,8 millions de dollars de l’année précédente. Les amortissements sur immobilisations corporelles ont augmenté pour atteindre 167,5 millions de dollars en 2025, contre 109,9 millions de dollars en 2024. Ces chiffres sont suffisamment importants pour avoir un impact. Cloudflare reste une entreprise dont le modèle économique s’apparente à celui d’un éditeur de logiciels, mais elle devient de plus en plus intensive en capital pour l’expansion de son réseau.

Les décisions comptables de la direction apportent un indice utile. En 2024, Cloudflare a effectué une évaluation de la durée de vie utile des serveurs et du réseau et l’a prolongée de quatre à cinq ans, réduisant ainsi les dotations aux amortissements de 2024 de 21,1 millions de dollars, principalement dans le coût des revenus. Cela raconte deux histoires à la fois. Premièrement, l’entreprise estime que son infrastructure peut rester économiquement utile plus longtemps que prévu, ce qui contribue à soutenir le flux de trésorerie disponible et les marges. Deuxièmement, l’optique des marges est quelque peu embellie par les hypothèses d’amortissement révisées plutôt que par la seule efficacité opérationnelle. Les investisseurs doivent donc se garder de considérer la performance récente de la marge brute comme une lecture claire de l’économie sous-jacente du réseau sans tenir compte des révisions de la durée de vie comptable.

La pression sur la marge brute est déjà visible. La marge brute GAAP de Cloudflare est passée de 77 % en 2024 à 75 % en 2025, et la direction a attribué cette baisse principalement à des coûts plus élevés de services technologiques tiers, à des coûts de colocalisation, de réseau et de bande passante plus élevés, et à des amortissements plus élevés en raison des acquisitions et des déploiements de serveurs. Au premier trimestre 2026, la marge brute GAAP a encore baissé, passant de 75,9 % au trimestre de l’année précédente à 71,2 %. L’entreprise n’a pas chiffré cette évolution trimestrielle ligne par ligne dans le communiqué de presse, il serait donc spéculatif de l’attribuer entièrement au déploiement de l’IA ou des GPU. Mais les preuves démontrent que la prochaine phase de croissance de Cloudflare consomme plus de coûts d’infrastructure que la précédente. L’ancienne hypothèse selon laquelle les logiciels en périphérie évoluent avec des marges quasi sans friction est trop simpliste ici.

Cela dit, l’entreprise affiche toujours un effet de levier opérationnel significatif sous la rémunération en actions. En 2025, la marge opérationnelle GAAP était de -10 %, mais la marge opérationnelle non GAAP était de +14 %, stable par rapport à 2024 et en hausse par rapport aux 9 % de 2023. Le flux de trésorerie disponible a atteint 260,6 millions de dollars en 2025, soit une marge de 12 %, contre 166,9 millions de dollars en 2024 et 119,5 millions de dollars en 2023. La conclusion la plus précise est donc la suivante: l’expansion du réseau de Cloudflare pèse marginalement sur la rentabilité GAAP, mais la plateforme dans son ensemble semble encore capable de produire une conversion de trésorerie attrayante si la croissance reste forte et que les dépenses d’infrastructure ne dépassent pas l’attachement logiciel.

Stratégie produit: du CDN au SASE et à la plateforme développeur

Le portefeuille de produits de Cloudflare n’est plus organisé autour d’un seul profil d’acheteur. L’entreprise vend désormais aux équipes web, aux équipes de sécurité, aux équipes réseau et aux développeurs, souvent via le même compte. Les pages produits officielles regroupent le portefeuille en sécurité des applications, performance des applications, mise en réseau, SASE/Zero Trust et services pour développeurs. Du côté de la sécurité et de la mise en réseau, Cloudflare propose une protection DDoS L7, un WAF, une sécurité des API, une gestion des bots, une protection DDoS L3/4, un pare-feu en tant que service, Network Interconnect et un routage intelligent. Du côté SASE, Cloudflare One regroupe ZTNA, une passerelle web sécurisée, CASB, réseau en tant que service, FWaaS, RBI, DLP, la sécurité des e-mails et la surveillance de l’expérience numérique. Du côté développeur, l’entreprise propose Workers, KV, Durable Entités, D1, R2, Vectorize, l’observabilité, des conteneurs, Workers AI et AI Gateway. L’enseignement pertinent n’est pas simplement l’étendue. C’est l’adjacence. La plupart de ces services se situent sur le même plan de trafic, authentifient les mêmes utilisateurs ou utilisent le même compte et la même frontière réseau.

L’activité originelle de Cloudflare reposait sur une infrastructure web facile à adopter: DNS, CDN, SSL et protection DDoS. Ce moteur de distribution reste important. La page tarifaire publique continue de proposer une offre gratuite, une offre Pro à 20 $ par mois facturée annuellement, une offre Business à 200 $ par mois facturée annuellement et une offre sur devis pour les applications critiques. Même les offres gratuites et à bas prix incluent des fonctionnalités de base telles que le DNS, une protection DDoS illimitée, le CDN, le SSL universel et un accès au WAF à différents niveaux. Cette architecture tarifaire n’est pas seulement un choix marketing. C’est un système d’acquisition de clients qui réduit le coût d’adoption initial et crée une voie vers la vente incitative. Peu de fournisseurs d’infrastructures d’entreprise peuvent revendiquer à la fois une pénétration significative du Fortune 500 et un entonnoir mondial en libre-service. Cloudflare y parvient parce qu’elle a d’abord opérationnalisé la distribution à l’extrémité basse.

L’initiative la plus stratégique a été le développement de Cloudflare One. La page SASE de l’entreprise décrit une plateforme qui connecte et protège les effectifs, les succursales, les centres de données, les applications et même les agents IA sur un seul cloud de connectivité. Elle met l’accent sur le remplacement du VPN et du MPLS, l’accès Zero Trust axé sur l’identité, une visibilité approfondie sur l’utilisation de l’IA générative et un plan de contrôle, un plan de données et une couche d’infrastructure uniques. La tarification de Cloudflare Access illustre la manière dont l’entreprise tente d’atterrir et de se développer sur ce segment: une offre gratuite pour les petites équipes ou les preuves de concept, une option de paiement à l’utilisation à 7 $ par utilisateur et par mois et une tarification contractuelle personnalisée pour les déploiements SSE/SASE complets. Il s’agit d’une manœuvre classique de Cloudflare: utiliser un emballage agressivement accessible pour installer le plan de contrôle, puis élargir le compte à des changements architecturaux plus importants.

La plateforme développeur est l’autre pilier stratégique majeur. La tarification de Workers commence par une offre gratuite et une offre payante avec un montant minimum de 5 $ par mois, et la documentation indique explicitement qu’il n’y a pas de frais supplémentaires pour le transfert de données ou la bande passante. Le modèle Workers payant standard comprend 10 millions de requêtes par mois et facture l’utilisation supplémentaire en fonction des requêtes et des millisecondes CPU, sans frais pour la durée d’horloge murale en attente d’E/S. R2 renforce la même philosophie. Le stockage standard est facturé 0,015 $ par Go-mois, avec une tarification à la requête pour les opérations de classe A et B, et la page produit ainsi que la documentation développeur soulignent l’absence de frais de bande passante de sortie. Il ne s’agit pas de détails tarifaires accessoires. Il s’agit d’attaques directes contre trois des aspects économiques les plus détestés de l’infrastructure cloud: la surfacturation de l’accès à distance par utilisateur, les péages de sortie et les frais liés à la concurrence inactive et au provisionnement des serveurs.

Cloudflare tente également de rendre l’expérience développeur en périphérie moins propriétaire qu’elle ne l’est en réalité. Workers prend en charge les langages et frameworks courants, l’environnement d’exécution est conçu pour l’interopérabilité web, et Durable Entités, KV et R2 peuvent être expliqués en termes logiciels familiers. R2 est compatible avec les paradigmes de type S3. Pourtant, il existe encore un verrouillage caché. Durable Entités placent la coordination avec état à l’intérieur du modèle d’exécution de Cloudflare. Access peut devenir la passerelle de politique pour les applications internes. AI Gateway peut devenir la couche centrale de politique et de contrôle des dépenses pour les fournisseurs de modèles. Lorsque plusieurs fonctions d’identité, de politique réseau, de stockage, d’observabilité et de calcul sont ancrées chez le même fournisseur, le changement devient beaucoup plus difficile, même si chaque composant est individuellement compatible avec les normes.

C’est pourquoi la dépendance des clients vis-à-vis de Cloudflare est mieux appréhendée comme cumulative et non binaire. Un client utilisant uniquement le DNS et le CDN a des coûts de changement modérés. Un client utilisant le DNS faisant autorité, le CDN, le WAF, la gestion des bots, la protection des API, Access, Gateway, Magic WAN, Workers, KV, Durable Entités et R2 a des coûts de changement beaucoup plus élevés, car il lui faudrait recréer des politiques, des comportements de peering et de routage, une logique d’exécution, une économie de sortie, des modèles de stockage et des flux de travail opérationnels sur plusieurs fournisseurs de remplacement. Cloudflare elle-même commercialise le cloud de connectivité précisément sur ce principe de lutte contre l’éparpillement: un seul plan de contrôle, un seul réseau, un nombre réduit de fournisseurs, moins de surcharge de tableaux de bord et un déploiement plus rapide. L’ambition économique de l’entreprise n’est donc pas seulement de vendre plus de SKU. Il s’agit d’augmenter le coût d’un retour en arrière architectural.

L’IA prolonge cette logique. Workers AI, AI Gateway, l’acquisition de Replicate, Human Native et le positionnement de l’entreprise autour du « cloud agentique » pointent tous vers la même destination: faire de Cloudflare le lieu où convergent l’inférence, les politiques, le contrôle des dépenses, l’accès au contenu et l’exécution des applications. L’acquisition de Replicate a été explicitement présentée comme un moyen de rendre plus de 50 000 modèles prêts à la production disponibles pour les utilisateurs de Workers AI et d’ajouter des modèles et des pipelines personnalisés. Human Native a été présentée comme un outil aidant les développeurs d’IA à trouver, accéder et acheter des données de haute qualité via des canaux transparents. Rien ne prouve encore que cela deviendra bientôt un revenu significatif. Ce qui est prouvé, c’est que Cloudflare ne souhaite pas que l’IA se contente de générer plus de trafic dans les tuyaux existants. Elle veut que l’IA rende les tuyaux eux-mêmes plus stratégiques.

Position sur le marché, concurrence et pouvoir de fixation des prix

Cloudflare est en concurrence sur plusieurs marchés adjacents, et c’est l’une des raisons pour lesquelles les comparaisons simplistes avec des pairs sont trompeuses. Dans le domaine de la diffusion traditionnelle et de la performance web, les comparables publics les plus évidents restent Akamai et Fastly. Le chiffre d’affaires 2025 d’Akamai par catégorie de solutions s’élevait à 2,243 milliards de dollars pour la sécurité, 1,257 milliard de dollars pour la diffusion, et des revenus supplémentaires liés au cloud computing, tandis que l’entreprise a indiqué que les revenus de la diffusion continuaient de subir des pressions sur les prix et les renouvellements. Le chiffre d’affaires 2024 de Fastly était de 543,7 millions de dollars, dont 427,7 millions de dollars provenaient des services réseau et 103,0 millions de dollars de la sécurité. Ces chiffres montrent deux choses importantes. Premièrement, le marché du CDN et de la diffusion en périphérie reste vaste, réel et concurrentiel. Deuxièmement, les revenus liés à la diffusion pure ou héritée subissent une pression structurelle sur les prix, même pour les acteurs établis à grande échelle. La réponse stratégique de Cloudflare a été de réduire la part de son discours dépendant uniquement de la diffusion et d’augmenter celle qui dépend de la sécurité, du contrôle et de l’exécution.

Sur le Zero Trust et le SASE, Cloudflare fait face à une autre catégorie de concurrents. Le chiffre d’affaires de l’exercice 2025 de Zscaler a atteint 2,673 milliards de dollars, dont environ 98 % étaient liés aux revenus d’abonnements et de support, ce qui souligne l’échelle qu’une plateforme de sécurité cloud spécialisée peut atteindre. Le facteur de différenciation de Cloudflare ici n’est pas d’être plus gros que Zscaler en termes de revenus spécifiques à la sécurité; les divulgations publiques ne le prouvent pas. Son facteur de différenciation est architectural. Cloudflare soutient que les fournisseurs SASE de première génération ont souvent assemblé des mosaïques de proxies et d’acquisitions, tandis que Cloudflare One est unifié dès la conception sur un cloud de connectivité unique. Que cette affirmation soit entièrement vraie pour chaque ensemble de fonctionnalités est discutable, mais l’argumentaire architectural est cohérent: Cloudflare pense que le SASE a plus de valeur lorsqu’il est lié à la même périphérie qui fait déjà face aux applications publiques et au trafic des développeurs du client.

Cloudflare est également en concurrence indirecte avec les plateformes de cloud public. Sa propre discussion sur le backbone désigne AWS, Oracle, Alibaba, Google Cloud Platform et Azure comme des origines courantes du trafic client que Cloudflare transporte. Cette dépendance à l’origine signifie que les hyperscalers restent des partenaires dans de nombreux déploiements. Mais la conception sans frais de sortie de R2, la tarification de Workers basée sur le temps CPU, Smart Placement et le modèle d’exécution en périphérie sont également des réponses concurrentielles à l’économie des hyperscalers. Lorsque Cloudflare dit « dites adieu aux frais de sortie » ou propose « aucun frais supplémentaire pour le transfert de données », elle s’attaque à une convention tarifaire standard du secteur qui a contribué à rendre le cloud centralisé très collant et coûteux. Cloudflare ne tente pas de remplacer toute l’hyperscale. Elle attaque sélectivement les pénalités de coût et de latence des architectures de cloud centralisées.

C’est là que le pouvoir de fixation des prix devient plus nuancé que ne le suggèrent les prix des offres annoncées. Sur le bas de gamme, Cloudflare ne fait pas vraiment preuve d’un pouvoir de fixation des prix classique; elle fait preuve d’un pouvoir de distribution. L’offre gratuite, l’offre Pro bon marché et les points d’entrée payants peu coûteux pour les développeurs sont conçus pour rendre Cloudflare facile à adopter, et non pour maximiser la monétisation par utilisateur ou par domaine. Mais au niveau de l’entreprise, le pouvoir de fixation des prix peut émerger du remplacement de bouquets. Si Cloudflare peut remplacer de manière crédible des parties du CDN, du DDoS, du WAF, de la sécurité des API, de la gestion des bots, du VPN, du SWG, du CASB, de la mise en réseau des succursales et de certaines catégories de calcul ou de stockage en périphérie par un seul contrat et un seul modèle opérationnel, alors le référentiel économique pertinent n’est pas le prix d’une seule SKU Cloudflare. C’est le coût total, la complexité et le risque d’indisponibilité de multiples piles existantes. C’est pourquoi Cloudflare commercialise à plusieurs reprises contre « l’éparpillement technologique », « le nombre de fournisseurs » et « la surcharge de tableaux de bord ». Ces messages sont essentiellement des arguments en faveur d’un pouvoir de fixation des prix par bouquets pour les entreprises.

Il serait toutefois erroné de supposer que Cloudflare dispose d’un levier de prix sans contrainte. Le rapport d’Akamai indique explicitement que la diffusion subit des pressions sur les prix et les efforts de bricolage des clients. La plus petite échelle de Fastly rend le même domaine visiblement concurrentiel en termes de prix. La propre tarification publique de Cloudflare est inhabituellement transparente pour les produits en libre-service, ce qui discipline les hausses de prix. Et l’expansion rapide de l’entreprise dans des catégories adjacentes signifie qu’elle choisit souvent la pénétration plutôt que la maximisation des marges. Même la tendance de la marge brute entre 2025 et 2026 suggère que Cloudflare finance l’étendue stratégique avec des dépenses d’infrastructure réelles. Les preuves suggèrent donc que le meilleur pouvoir de fixation des prix de Cloudflare réside dans les bouquets d’entreprise et le remplacement architectural, et non dans la compression des prix unitaires des primitives de périphérie banalisées.

La conclusion concurrentielle la plus utile est la suivante: Cloudflare est mieux positionnée lorsque la décision d’achat est « quelle plateforme peut simplifier davantage ma périphérie Internet? » et moins avantagée lorsque la décision d’achat est « quel fournisseur me propose le gigaoctet CDN autonome le moins cher ou l’ensemble de fonctionnalités le plus complet dans une catégorie de sécurité isolée? » C’est pourquoi l’entreprise ne cesse de faire évoluer son discours des produits vers la plateforme, et de la vitesse en périphérie vers le contrôle. Elle sait que la concurrence sur les produits ponctuels est plus difficile à défendre que la concurrence par adjacence de plateforme.

Gouvernance, empreinte internationale et exposition aux risques

L’empreinte internationale de Cloudflare est un atout, mais pas sans frictions. L’entreprise indique servir des clients dans plus de 190 pays, tirer la majorité de ses revenus de l’international et exploiter des emplacements réseau dans plus de 330 villes et plus de 125 pays. Son empreinte de bureaux publics s’étend en Amérique du Nord, en Europe, au Moyen-Orient et dans les hubs Asie-Pacifique, notamment Singapour, Pékin, Tokyo, Séoul, Sydney et Bengaluru. Ses pages réseau et juridiques mettent également l’accent sur les outils de la suite Data Localization et les contrôles granulaires sur l’endroit où les données sont inspectées, reflétant la réalité selon laquelle les entreprises multinationales ont de plus en plus besoin d’une infrastructure sensible à la localisation plutôt que d’un cloud purement sans frontières. En d’autres termes, l’échelle internationale de Cloudflare ne consiste pas seulement à vendre à l’étranger; il s’agit de rendre la périphérie elle-même lisible pour les exigences de conformité souveraines et sectorielles.

La Chine est l’exemple le plus clair de la manière dont cette empreinte internationale est en partie médiée par des partenaires. La documentation du réseau chinois de Cloudflare indique que certains produits de performance et de sécurité de Cloudflare s’exécutent sur des centres de données en Chine continentale exploités par JD Cloud. La FAQ indique explicitement que Cloudflare elle-même ne possède pas de licence MIIT pour fournir des services CDN en Chine, contrairement à JD Cloud. Cet arrangement est commercialement utile car il étend la portée et les performances de Cloudflare en Chine sans exiger que Cloudflare y soit l’opérateur agréé. Il est également révélateur sur le plan stratégique. Dans les juridictions les plus sensibles sur le plan politique, le « réseau mondial » de Cloudflare est parfois un modèle de partenariat commercial et réglementaire plutôt qu’un modèle de contrôle en propriété exclusive. Cela crée des opportunités, mais aussi une dépendance à l’égard des partenaires et des règles locales.

La gouvernance est également plus contrôlée par les fondateurs qu’une lecture rapide du symbole boursier ne pourrait le laisser penser. Cloudflare a une structure à deux classes d’actions dans laquelle chaque action de classe A donne droit à une voix et chaque action de classe B donne droit à dix voix. Au 30 avril 2026, Matthew Prince détenait 25,69 millions d’actions de classe B et environ 39,0 % du total des droits de vote, tandis que Michelle Zatlyn détenait 9,02 millions d’actions de classe B et environ 13,4 % du total des droits de vote. Les dirigeants et les administrateurs en tant que groupe contrôlaient 52,4 % du total des droits de vote. La déclaration de procuration a en outre indiqué qu’à la date d’enregistrement de 2026, les cofondateurs contrôlaient le vote des actionnaires sur les questions clés. Cela signifie que Cloudflare est cotée en bourse, mais que le contrôle stratégique reste véritablement dirigé par les fondateurs. Cela peut être positif pour les investissements d’infrastructure à long terme. Cela limite également de manière significative l’influence des actionnaires externes.

La procuration 2026 est également importante car elle comprenait des modifications liées à la reconstitution des classes d’actions et, en fait, à la préservation de l’influence des fondateurs par le biais d’une structure plus complexe. Au 28 juin 2026, cette proposition était toujours en attente de l’assemblée annuelle du 30 juin, de sorte que toute affirmation sur des changements définitifs de gouvernance serait prématurée. Mais le fait que de telles propositions soient sur la table est en soi un signal. Les fondateurs de Cloudflare semblent déterminés à conserver une marge de manœuvre stratégique pour mener à bien la construction d’une infrastructure à long terme sans s’exposer au rythme normal de la discipline de contrôle du marché public. Les investisseurs peuvent raisonnablement apprécier ou non cela; ce qu’ils ne peuvent pas faire, c’est l’ignorer.

Le risque opérationnel est particulièrement important pour Cloudflare car la plateforme est partagée. Les propres post-mortems de l’entreprise en montrent la raison. En juin 2025, Cloudflare a divulgué une panne de service importante causée par une défaillance de l’infrastructure de stockage sous-jacente utilisée par Workers KV; l’entreprise a indiqué que Workers KV servait d’infrastructure critique pour de nombreux autres produits Cloudflare, affectant Workers KV lui-même, WARP, Access, Gateway, Images, Stream, Workers AI, Turnstile, AutoRAG, Zaraz et certaines parties du tableau de bord. En novembre 2025, Cloudflare a subi une autre panne généralisée liée à un bug dans la génération de la configuration de Bot Management. Les incidents antérieurs incluent la panne de juin 2022 causée par un changement de configuration réseau et l’incident 1.1.1.1 de juillet 2025 causé par des changements de topologie. Ces incidents ne sont pas de simples notes de bas de page aléatoires. Ils révèlent l’inconvénient structurel du modèle « un réseau, une pile » de Cloudflare: des fondations communes peuvent générer des défaillances de mode commun.

Le formulaire 10-K 2025 rend ce risque de concentration encore plus concret. Il indique qu’une grande partie de l’infrastructure du réseau est maintenue par le biais d’une installation de colocalisation centrale dans la région métropolitaine de Portland, dans l’Oregon, d’une deuxième installation de colocalisation centrale à Amsterdam offrant une certaine redondance, et d’un nombre limité d’autres installations de colocalisation aux États-Unis. La direction prévient explicitement qu’elle ne contrôle pas l’exploitation de ces installations tierces et cite des pannes de courant antérieures sur le site central de la région de Portland en novembre 2023 et mars 2024. Elle note même que la défaillance d’une installation de colocalisation centrale pendant une période prolongée, en particulier l’installation centrale américaine, pourrait exercer une pression importante sur les opérations car la fonctionnalité redondante est limitée. C’est un point de vigilance majeur. La périphérie distribuée de Cloudflare est vaste, mais une partie de son architecture de contrôle et de support est plus concentrée que ne le laisse penser la carte du réseau frontal.

Le risque de dépendance à des tiers va au-delà des installations. Le rapport 2025 note également qu’une brèche dans un agent de chat tiers intégré au CRM de Cloudflare en août 2025 a exposé certaines informations de contact et de support client, et indique séparément que la panne de Workers KV de juin 2025 est une conséquence de la défaillance de l’infrastructure de stockage tierce sous-jacente. C’est important car Cloudflare se présente en partie comme un simplificateur des dépendances des autres. Pourtant, sa propre plateforme contient encore des dépendances cachées vis-à-vis de fournisseurs, et lorsque ces dépendances se situent sous des services partagés, le rayon d’impact peut être considérable. Les preuves démontrent que certaines des pannes et expositions les plus lourdes de conséquences de Cloudflare ont des racines tierces.

Les risques réglementaires et de responsabilité de plateforme sont également essentiels pour le rôle d’infrastructure de Cloudflare. L’entreprise est inhabituellement exposée aux litiges concernant les responsabilités d’un intermédiaire lorsqu’il accélère, sécurise, mandate ou héberge un contenu problématique. Son rapport 2025 indique qu’elle fait face à des poursuites concernant le contenu disponible sur les sites web de ses clients, note que les tribunaux de certains pays ont estimé qu’elle pouvait être tenue responsable dans certaines circonstances, et cite une décision de justice d’octobre 2025 au Japon la tenant pour responsable des dommages dans une affaire de droit d’auteur que l’entreprise a fait appel. Le rapport indique également que certains gouvernements, fournisseurs de services et autres parties peuvent mettre sur liste noire ou bloquer les adresses IP de Cloudflare car il peut être difficile d’identifier la source précise du trafic derrière un modèle de proxy inverse. Le Trust Hub et les documents de transparence de Cloudflare soulignent que l’entreprise ne peut généralement pas supprimer le contenu qu’elle n’héberge pas et qu’elle publie des rapports de transparence semestriels. Cette position soutient la confiance des clients. Elle maintient également Cloudflare au centre des débats politiques sur la responsabilité des intermédiaires.

Un dernier point de risque va dans l’autre sens: la concentration des clients est faible. Cloudflare déclare qu’aucun client unique n’a représenté plus de 10 % des revenus en 2023, 2024 ou 2025. Cela ne signifie pas que les revenus sont immunisés contre un ralentissement des dépenses des entreprises, mais cela signifie que l’entreprise n’est pas l’otage d’un seul compte géant de média ou d’hyperscale comme certains fournisseurs d’infrastructure basés sur le trafic l’ont historiquement été. La diversification est un véritable avantage ici, en particulier compte tenu de la combinaison de clients à longue traîne et d’entreprises de Cloudflare.

Registre de preuves et points de vigilance

Les preuves les plus solides étayent une conclusion claire: Cloudflare occupe désormais une couche stratégiquement importante de l’infrastructure Internet, plus large qu’un CDN et plus horizontalement distribuée qu’un fournisseur de produits de sécurité ponctuels. Les preuves démontrent que l’entreprise a construit un réseau en périphérie très vaste et densément interconnecté; que son activité a connu une croissance rapide pour dépasser 2,1 milliards de dollars de revenus annuels avec plus de 332 000 clients payants; que les revenus internationaux représentent plus de la moitié du total; que les partenaires de distribution gagnent en importance; que le catalogue de produits de l’entreprise couvre le trafic des applications publiques, l’accès privé des entreprises et l’exécution par les développeurs; et que les fondateurs contrôlent toujours la structure de vote de l’entreprise. Elles prouvent également que l’architecture partagée de Cloudflare peut créer un rayon d’impact des pannes transversal aux produits, que les dépendances physiques et à l’égard des tiers restent importantes malgré le marketing distribué de l’entreprise, et que les marges sont sous pression en raison d’investissements plus lourds dans l’infrastructure.

Les preuves suggèrent fortement, sans toutefois le prouver pleinement, que la principale douve de Cloudflare est le regroupement et la distribution plutôt que la domination de produits autonomes. L’architecture « un réseau partout » de l’entreprise, l’entonnoir en libre-service, la tarification transparente, le message anti-frais de sortie et les couches intégrées SASE et développeur pointent tous dans cette direction. L’augmentation du nombre de grands clients, la large pénétration du Fortune 500 et l’accent explicite mis par l’entreprise sur la réduction de l’éparpillement des fournisseurs suggèrent que l’expansion des comptes et la consolidation architecturale sont à l’œuvre. Les données de routage publiques et les divulgations de Cloudflare sur son backbone suggèrent également un avantage significatif en termes de coût de transport et de performance grâce à un peering dense et à une capacité de backbone détenue ou louée. Mais étant donné que Cloudflare ne détaille pas les revenus par produit ni les marges brutes par produit, le marché ne peut toujours pas voir exactement quelle part de valeur provient des catégories de diffusion matures par rapport aux catégories plus récentes à plus fort effet de levier.

Ce qui reste inconnu est presque aussi important. Les investisseurs publics ne connaissent pas la contribution aux revenus de Workers, R2, Workers AI, Zero Trust ou SASE en tant que lignes de produits distinctes. Ils ne connaissent pas le profil de marge brute de l’inférence IA ou du déploiement de GPU à grande échelle. Ils ne savent pas si l’augmentation de la part du canal est relutive ou non pour les marges. Ils ne connaissent pas la véritable profondeur de la pénétration des produits en entreprise derrière le nombre de logos du Fortune 500. Et ils ne connaissent pas encore, au 28 juin 2026, le résultat final des propositions de gouvernance de 2026. Ces inconnues n’invalident pas la thèse; elles façonnent sa prime de risque.

Les points de vigilance les plus importants pour les 12 à 36 prochains mois sont les suivants:

La capacité de Cloudflare à maintenir une croissance des revenus supérieure à 20 % (haut de la fourchette des 20 %) tandis que la composition évolue vers des charges de travail plus importantes pour les entreprises et les développeurs. Le chiffre d’affaires de l’exercice 2025 a augmenté de 30 %, et celui du premier trimestre 2026 de 34 %, ce qui est suffisamment solide pour préserver le discours sur la plateforme s’il est maintenu. Un ralentissement marqué obligerait les investisseurs à se demander dans quelle mesure l’histoire relève de l’aspiration plutôt que de l’attachement monétisé.

La stabilisation de la marge brute après le cycle d’infrastructure actuel. La marge brute GAAP est passée de 77 % en 2024 à 75 % en 2025 et à 71,2 % au premier trimestre 2026. Si les nouvelles charges de travail telles que l’inférence IA et le calcul avec état réduisent durablement la marge sans un pouvoir de fixation des prix proportionné, le cadre d’évaluation de Cloudflare change.

La matérialité plus visible des produits SASE et de la plateforme développeur pour les revenus. L’architecture et le catalogue de produits sont convaincants, mais l’entreprise ne fournit toujours pas de ventilation des revenus par produit. Les investisseurs doivent surveiller toute publication future, ou des indicateurs indirects tels que des études de cas d’entreprise, la croissance des grands clients et la poursuite des acquisitions axées sur les produits.

L’amélioration de l’efficacité par la restructuration du modèle opérationnel axé sur l’IA de mai 2026 sans nuire à l’exécution. Cloudflare a déclaré s’attendre à réduire ses effectifs d’environ 1 100 personnes et à supporter des charges connexes de 140 à 150 millions de dollars. Il s’agit d’un changement opérationnel significatif, et non d’un ajustement cosmétique.

La réduction réelle du risque de panne de mode commun après les incidents de 2025. La refonte de Workers KV et les post-mortems répétés montrent que Cloudflare travaille sur le problème, mais l’architecture de l’entreprise reste hautement partagée. Les clients qui exécutent le trafic public, l’accès privé et la logique applicative sur un seul fournisseur y seront très attentifs.

L’élargissement de l’exposition réglementaire et en matière de responsabilité concernant le contenu hébergé, l’utilisation de proxy inverse et l’application de la loi propre à chaque juridiction. L’exemple du litige au Japon et le langage des facteurs de risque de l’entreprise suggèrent que cela n’est pas théorique. Si les tribunaux ou les régulateurs poussent les intermédiaires à agir davantage comme des éditeurs ou des hébergeurs, la posture de confiance et de neutralité de Cloudflare pourrait subir une pression réelle.

Le maintien de la stabilité du contrôle des fondateurs ou son extension par le biais de mécanismes révisés de classes d’actions. La gouvernance de Cloudflare donne à la direction une liberté inhabituelle pour continuer à investir à travers les cycles, mais elle réduit également la responsabilité externe. Ce compromis ne disparaîtra pas.

Le maintien de l’attrait commercial de la Chine et d’autres zones géographiques médiées par des partenaires dans un contexte de contraintes géopolitiques changeantes. L’accord avec JD Cloud constitue une voie efficace pour être présent, mais il démontre également que certaines zones géographiques stratégiques ne peuvent pas être desservies selon le modèle de propriété habituel de Cloudflare.

En fin de compte, la position de Cloudflare sur le marché est la plus forte lorsque les clients souhaitent fusionner la périphérie, la sécurité, l’accès et l’exécution en un seul tissu programmable. Son rôle dans l’infrastructure numérique est de plus en plus celui d’une couche intermédiaire stratégique par laquelle les sites web, les API, les employés, les succursales et désormais les agents IA peuvent tous être contrôlés. C’est un rôle plus durable et plus précieux que ce que suggère l’appellation « entreprise de CDN ». Mais c’est aussi un rôle qui exige une fiabilité réseau sans faille, un déploiement discipliné du capital et une navigation prudente dans les politiques. Cloudflare a déjà prouvé qu’elle pouvait construire l’empreinte. La prochaine phase consiste à prouver que cette empreinte peut soutenir un empire logiciel plus large sans perdre l’économie et la confiance qui ont rendu l’empreinte précieuse en premier lieu.