Cloudflare est l'une des plus grandes plateformes Edge du monde, opérant un réseau anycast qui couvre plus de 330 villes dans 125 pays et qui se trouve à moins de 50 millisecondes de 95% des internautes connectés. Fondée à San Francisco en juillet 2009 par Matthew Prince, Michelle Zatlyn et Lee Holloway, l'entreprise a démarré comme un service CDN gratuit doublé d'un pare-feu applicatif (WAF), avant de devenir un acteur transversal de la cybersécurité, du DNS récursif (1.1.1.1), du compute serverless (Workers), du stockage objet (R2), du Zero Trust (Cloudflare One/Access/Tunnel), de la connectivité SD-WAN (Magic WAN/Transit) et de l'IA (Workers AI, AI Gateway). Cotée au NYSE sous le ticker NET depuis septembre 2019, Cloudflare bloque en moyenne 247 milliards de cybermenaces par jour selon le rapport Q4 2024, et a établi le record mondial d'atténuation DDoS avec une attaque de 5,6 Tbps mitigée le 29 octobre 2024. Cette page entity-first détaille l'architecture, les produits, le pricing, les incidents marquants et le positionnement de Cloudflare face à Akamai, Fastly et AWS CloudFront pour vous aider à évaluer la plateforme en 2026.

L'essentiel à retenir

  • Plateforme Edge unifiée : 330+ POPs anycast, 95% des internautes à moins de 50 ms, ~20% de tout le trafic web mondial servi.
  • Trois piliers : Application Services (CDN, WAF, Bot, DDoS), Zero Trust / SASE (Access, Tunnel, Gateway, CASB) et Developer Platform (Workers, R2, D1, Durable Objects, Workers AI).
  • Record mondial DDoS : 5,6 Tbps atténués en octobre 2024 ; en 2024, Cloudflare a bloqué 21,3 millions d'attaques DDoS, +53% YoY.
  • 1.1.1.1 : résolveur DNS public lancé en avril 2018 avec APNIC, deuxième plus utilisé au monde derrière Google 8.8.8.8.
  • Pricing : Free, Pro 25 $/mois, Business 250 $/mois, Enterprise sur devis ; Workers Free 100k req/jour, Paid 5 $/mois pour 10 M req.
  • Conformité : FedRAMP Moderate (autorisé) et High (en cours), ISO 27001/27018/27701, SOC 2 Type II, PCI DSS, HIPAA, C5, IRAP, CSA STAR.
  • Incidents notables : 21 juin 2022 (panne BGP 19 datacenters), 2 novembre 2023 (panne control plane), 14 juillet 2024 (Calico Logpush), 18 novembre 2025 (incident Workers KV).

Définition : qu'est-ce que Cloudflare et que fait la plateforme ?

Cloudflare est une plateforme cloud globale qui se positionne entre les utilisateurs finaux et les applications/sites/API qu'ils consomment, en interceptant l'ensemble du trafic au niveau du DNS et du proxy HTTPS pour l'accélérer (cache, optimisations protocole) et le sécuriser (WAF, DDoS, bot management, Zero Trust). Au cœur de l'architecture se trouve un réseau anycast : la même adresse IP est annoncée depuis tous les datacenters Cloudflare via BGP, et la requête est automatiquement routée vers le POP le plus proche par les routeurs Internet. Cette approche élimine la latence DNS-based et permet une résilience native — si un datacenter tombe, le trafic est absorbé par les voisins.

Au-delà du CDN historique, Cloudflare exploite ce maillage Edge pour exécuter trois familles de services :

  • Application Services : CDN (cache, image/video optimization, Argo Smart Routing), WAF managé, Bot Management ML, DDoS protection L3-L7 toujours-actif, Page Shield, API Shield.
  • Zero Trust / SASE (Cloudflare One) : Access (ZTNA), Gateway (SWG), Tunnel (cloudflared, sortie sans inbound), CASB, DLP, Browser Isolation, Magic WAN/Transit (SD-WAN sur backbone Cloudflare).
  • Developer Platform : Workers (serverless V8 isolates), R2 (object storage S3-compatible sans frais d'egress), D1 (SQLite Edge), KV (clé-valeur), Durable Objects (state coordonné), Queues, Pages, Workers AI (inference GPU), AI Gateway, Vectorize (vector DB).

L'unification de ces fonctions sur un même Edge plane est le différenciateur principal : la même requête peut être inspectée par le WAF, transformée par un Worker, autorisée par Access et journalisée vers SIEM, le tout en un round-trip jusqu'au POP le plus proche, sans hairpin réseau.

Histoire : de Project Honey Pot à la plateforme Edge globale

L'histoire de Cloudflare commence en 2004 avec Project Honey Pot, un service open-source créé par Matthew Prince pour piéger les bots collecteurs d'adresses email. À la Harvard Business School, Prince et sa camarade Michelle Zatlyn remarquent qu'identifier les bots est facile, mais que la communauté manque d'un service capable d'agir préventivement. Avec Lee Holloway, ingénieur principal de Project Honey Pot, ils fondent Cloudflare en juillet 2009. La société est lancée publiquement à TechCrunch Disrupt en septembre 2010.

Jalons clés :

  • 2010 : lancement du service CDN/WAF gratuit, valeur fondatrice « an Internet you can trust ».
  • 2011 : mitigation de la première très grosse attaque DDoS publique (LulzSec contre LulzSec.com — Cloudflare protège même les hackers, ce qui suscite la controverse).
  • 2014 (mars) : Project Galileo pour les ONG/journalistes ciblés ; Athenian Project (élections) suivra en 2017.
  • 2017 (février) : Cloudbleed, fuite mémoire dans le parser Cloudflare exposant des données sensibles d'autres clients (corrigée en 7h, divulgation par Tavis Ormandy / Project Zero).
  • 2017 (mars) : lancement de Cloudflare Workers en bêta (V8 isolates).
  • 2018 (1er avril) : lancement de 1.1.1.1, résolveur DNS public en partenariat avec APNIC.
  • 2019 (13 septembre) : IPO au NYSE sous le ticker NET à 15 $.
  • 2020 : Cloudflare One officialise l'offre SASE complète (Access + Gateway + Magic WAN).
  • 2022 (mai) : lancement de R2, stockage objet sans frais d'egress, frontalement positionné contre AWS S3.
  • 2023 (septembre) : Workers AI et AI Gateway, inférence GPU répartie sur le Edge.
  • 2024 (29 octobre) : record mondial d'atténuation DDoS — 5,6 Tbps, 666 Mpps, 80 secondes, attaque originaire d'un botnet Mirai variant.
  • 2025 : intégration native MCP (Model Context Protocol) sur Workers, lancement de Cloudflare Containers (preview) et de l'AI Audit pour gouverner les crawlers IA.

Cloudflare emploie en 2026 environ 4 200 collaborateurs, est rentable depuis le Q4 2023 (ARR ~1,8 Md$ T4 2024) et conserve un modèle freemium agressif pour entretenir l'effet réseau de sa threat intelligence.

Architecture du réseau : anycast, 330+ POPs et backbone privé

Le cœur de Cloudflare est un réseau anycast global. Chaque POP exécute la même pile logicielle (Linux, NGINX/Quiche/Pingora, scripts Lua/Workers, eBPF L4 mitigation) et annonce les mêmes préfixes IPv4/IPv6 via BGP. Quand un utilisateur résout www.example.com et que le domaine est sur Cloudflare, l'IP retournée est anycast : son FAI route les paquets vers le POP topologiquement le plus proche.

Particularités notables :

  • Couverture : 330+ villes en 125 pays au Q1 2026, présence dans tous les principaux IXPs (DE-CIX, AMS-IX, LINX, France-IX, Equinix Internet Exchange, etc.).
  • Capacité : 388 Tbps de capacité réseau revendiquée fin 2024, +30% YoY.
  • Backbone privé : depuis 2018, Cloudflare exploite son propre backbone fibre entre POPs (Argo Smart Routing y route le trafic payant pour éviter la congestion Internet).
  • Stack logicielle : NGINX historique progressivement remplacé par Pingora (proxy HTTP en Rust open-sourcé en 2024) qui économise 434 Po de mémoire/jour à l'échelle Cloudflare.
  • Mitigation L3/L4 : flowtrackd et Gatebot en eBPF/XDP, capables de drop des paquets au plus près du fil de l'eau.
  • Quic / HTTP/3 : Cloudflare est l'un des plus gros déployeurs de QUIC en production (lib Quiche en Rust, open-source).

CDN : cache, optimisations et Argo Smart Routing

Le CDN reste la porte d'entrée de la plupart des clients. Il met en cache le contenu statique aux POPs (HTML/CSS/JS, images, vidéos), réduit l'origin pull et accélère la livraison. Fonctionnalités clés :

  • Tiered Caching : hiérarchie de POPs (lower-tier, upper-tier) qui réduit le nombre de requêtes vers l'origine — un seul upper-tier interroge l'origine pour le compte de N POPs aval.
  • Cache Reserve : extension persistante (R2 backed), garde les actifs au chaud des mois durant ; idéal pour catalogues e-commerce volumineux.
  • Argo Smart Routing : surcouche payante qui route les requêtes dynamiques (non cachées) via le backbone Cloudflare le moins congestionné, gain typique 30% sur le TTFB.
  • Image Resizing / Polish / Mirage : transformation à la volée (WebP/AVIF), compression, lazy-load.
  • Stream : video on-demand et live (HLS/DASH, AV1).
  • Brotli, HTTP/3, 0-RTT, Early Hints (103).

DNS : 1.1.1.1, le résolveur public et l'authoritative

Cloudflare opère deux services DNS distincts mais complémentaires.

DNS authoritative : le DNS managé pour les zones clientes, parmi les plus rapides au monde selon DNSPerf (~10 ms médiane mondiale). Gratuit dans tous les plans (y compris Free), avec DNSSEC, CAA, intégrations API/Terraform et propagation quasi-instantanée grâce au reflux anycast.

1.1.1.1 : résolveur DNS public lancé le 1er avril 2018 en partenariat avec APNIC (qui détient le bloc 1.1.1.0/24 et l'utilise comme honeypot de recherche). Positionnement clair : privacy-first, logs réduits à 24h pour debug, audit annuel par KPMG, support DoH (DNS over HTTPS) et DoT (DNS over TLS), 1.1.1.1 for Families avec filtres malware/adultes (1.1.1.2 / 1.1.1.3). Deuxième résolveur public le plus utilisé au monde derrière 8.8.8.8 selon les mesures Cloudflare Radar.

Workers : V8 isolates, serverless Edge sans cold start

Cloudflare Workers est la plateforme serverless Edge phare de Cloudflare. Lancée en 2017, elle s'écarte du modèle conteneurs (Lambda) en exécutant chaque fonction dans un V8 isolate — la même primitive de sandboxing qu'utilise Chrome pour isoler les onglets. Avantages : démarrage en ~5 ms (pas de cold start perceptible), empreinte mémoire ~10 Mo par isolate, exécution dans tous les 330+ POPs simultanément.

API et écosystème :

  • Service Worker API + Fetch compatible standards web (utilisable depuis JS, TypeScript, Rust via wasm, Python via Pyodide en bêta).
  • Bindings vers KV, R2, D1, Durable Objects, Queues, Hyperdrive (pool de connexions vers Postgres/MySQL externes), Vectorize.
  • Wrangler CLI + Workers Builds (CI/CD Git-natif).
  • Smart Placement : co-localisation automatique du Worker avec sa source de données (utile si l'origine est en us-east-1).
  • Workers for Platforms : multi-tenant, chaque client final déploie son code dans un namespace isolé (utilisé par Shopify, Aembit, etc.).

Limites : 30 secondes CPU max sur Standard, 50 ms sur Free ; 128 Mo RAM ; pas d'accès direct au système de fichiers ; pas de threads (single-threaded event loop). Pour le long-running, Cloudflare a lancé Cloudflare Containers en preview 2025.

R2 : stockage objet S3-compatible sans frais d'egress

R2 (lancé GA en septembre 2022) est un stockage objet pensé pour casser les frais d'egress des hyperscalers. API S3-compatible, intégration native Workers, multipart, presigned URLs, lifecycle, event notifications vers Queues. Tarification 2026 :

  • Stockage : 0,015 $/Go/mois (vs S3 0,023 $).
  • Class A operations (writes) : 4,50 $/M.
  • Class B operations (reads) : 0,36 $/M.
  • Egress : gratuit, illimité. C'est l'argument économique central.
  • Free tier : 10 Go/mois, 1 M Class A, 10 M Class B.

R2 est notamment adopté par Drift, Vercel, et de nombreux acteurs IA (datasets de fine-tuning, modèles LLM) qui veulent éviter les coûts d'egress S3.

Cloudflare One et Zero Trust : Access, Gateway, Tunnel, CASB

Cloudflare One est l'offre SASE/SSE (Secure Access Service Edge / Security Service Edge) de Cloudflare. Composants principaux :

  • Cloudflare Access : ZTNA (Zero Trust Network Access), substitut au VPN. Politiques par identité (IdP SAML/OIDC : Okta, Entra ID, Google), posture device (WARP), géoloc, MFA, session courte. L'utilisateur s'authentifie au Edge, jamais directement contre l'application interne.
  • Cloudflare Tunnel (cloudflared) : connecteur outbound-only installé dans le VPC/datacenter ; il ouvre une connexion sortante TLS vers le POP Cloudflare et expose les services internes sans ouvrir aucun port en entrée. Élimine VPN, NAT entrant et bastion. Voir notre guide dédié sur l'implémentation de Cloudflare Zero Trust avec Tunnel et Access.
  • Cloudflare Gateway : Secure Web Gateway (SWG) DNS-based et HTTPS-based, filtrage URL/catégories, malware, DLP, inspection TLS, isolation navigateur.
  • Browser Isolation : exécution distante du DOM/JS dans un POP, streaming des draws au navigateur local (RBI). Protège contre les exploits browser et les downloads dangereux.
  • CASB : audit posture SaaS (Microsoft 365, Google Workspace, Salesforce, GitHub, AWS, Atlassian), détection de partages publics, mauvaises configurations, comptes inactifs.
  • DLP : règles natives (PII, finances, code source, secrets) appliquées dans Gateway et Browser Isolation.
  • WARP : client desktop/mobile (Windows, macOS, Linux, iOS, Android) qui route le trafic utilisateur vers le POP Cloudflare via WireGuard (MASQUE en cours).
  • Magic WAN / Magic Transit : SD-WAN et BGP-on-demand pour étendre le backbone Cloudflare aux datacenters et succursales.

Comparé à des offres ZTNA pures comme Teleport pour SSH/Kubernetes/bases de données ou à des reverse-proxy auto-hébergés comme Pangolin (tunnel self-hosted), Cloudflare One se distingue par la couverture SASE complète (réseau + sécurité + identité) et l'intégration native avec le CDN/WAF, au prix d'une dépendance plus forte à l'éditeur.

WAF managé, custom rules et Page Shield

Le Cloudflare WAF couvre l'OWASP Top 10 (Cloudflare Managed Ruleset), les CVE émergentes (Cloudflare Free Managed Rules, déclenchées dès qu'une 0-day est exploitée — Log4Shell, MOVEit, Spring4Shell) et les abus génériques (Cloudflare OWASP Core Ruleset). Trois couches :

  • Managed Rules : règles maintenues par l'équipe sécurité Cloudflare, sensibilité paramétrable (high/medium/low/disabled).
  • Custom Rules : DSL Wirefilter (similaire BPF) — combinaisons riches (http.request.uri.path, ip.src.country, ssl.cert.subject, cf.threat_score). Action : block, challenge, JS challenge, Managed Challenge, log, skip, set rate limit.
  • Rate Limiting : par IP, JA3, en-tête, sub-path. Modes counting et fixed-window.

Au-delà du WAF, Page Shield surveille les scripts tiers chargés dans les pages clientes (côté browser), détecte les injections Magecart-style et les exfiltrations CC. API Shield applique JWT validation, schema validation OpenAPI, mTLS, sequence anomaly detection, et est de plus en plus utilisé pour protéger les endpoints d'API et les fonctions IA — voir notre guide sur l'intégration sécurisée d'API LLM.

DDoS protection : record 5,6 Tbps et architecture toujours-active

Cloudflare est historiquement un acteur majeur de la mitigation DDoS. Particularité : protection toujours-active, sans BGP swing ni tunnel GRE pour les clients sur les plans Free à Business — le trafic transite déjà par le réseau anycast et la mitigation L3/L4 (eBPF/XDP) intervient sur le fil.

Capacité et stats :

  • Capacité réseau totale ~388 Tbps fin 2024.
  • 21,3 millions d'attaques DDoS bloquées en 2024 (+53% YoY), source DDoS Threat Report Q4 2024.
  • Record mondial : 5,6 Tbps, 666 Mpps, 80 secondes, le 29 octobre 2024 — botnet Mirai variant ciblant un FAI sud-américain. Cloudflare a ensuite battu son propre record en juin 2025 avec 7,3 Tbps.
  • Mitigation L3/L4 : flowtrackd (TCP state tracking), Gatebot (signature dynamique), drops eBPF/XDP en kernelspace.
  • Mitigation L7 : challenge JS, Managed Challenge (turnstile), rate limiting, Bot Management.
  • Magic Transit permet de protéger toute infrastructure IP (pas seulement HTTP) via BGP/anycast.

Bot Management et Turnstile

Cloudflare gère ~20% du trafic web mondial, ce qui donne à son moteur ML une vue inégalée sur les bots. Le service Bot Management (Enterprise) calcule un bot score 1-99 par requête à partir de signaux ML (User-Agent, JA3/JA4, fingerprint TLS, fingerprint HTTP/2, comportement de session, ASN, threat score, IP intelligence). Ce score est exploitable dans les Custom Rules ou exporté vers SIEM.

Turnstile (lancé 2022, GA 2023) est l'alternative à reCAPTCHA, sans puzzle visuel : challenge JS invisible adossé au Bot Management. Free et Pro incluent un Super Bot Fight Mode allégé.

Magic WAN, Magic Transit, API Gateway, AI Gateway et Workers AI

La famille Magic projette le réseau Cloudflare comme backbone d'entreprise :

  • Magic Transit : protection DDoS pour des réseaux entiers (subnets BGP-annoncés). Le trafic légitime est tunnelé en GRE/IPsec/Anycast vers le datacenter client.
  • Magic WAN : SD-WAN as a Service, connecte sites/VPC/clouds via IPsec/GRE, applique routage et politiques sécurité au Edge.
  • Magic Firewall : firewall L3/L4 stateful en cloud, règles unifiées avec Gateway.
  • Magic Network Monitoring : NetFlow/sFlow ingest et analyse anomalies trafic.

L'année 2024-2025 a vu Cloudflare se positionner aussi sur l'IA :

  • API Gateway : authentification (JWT, mTLS), rate limiting, validation schema OpenAPI, abuse detection par ML, exposition d'API endpoint discovery.
  • AI Gateway : proxy unifié pour OpenAI, Anthropic, Google AI, AWS Bedrock, Replicate, Azure AI, Workers AI ; offre rate limiting, caching, logging, retries, fallbacks et observability sur les coûts/latence par modèle. Critique pour gouverner les usages multi-LLM et maîtriser les budgets.
  • Workers AI : inférence GPU répartie sur le Edge, modèles Llama 3.x, Mistral, Whisper, embeddings BGE, image-to-text, text-to-image. Pricing à la neuron-second.
  • Vectorize : base vectorielle managée (HNSW), bindings natifs Workers, idéal pour RAG.
  • AutoRAG (preview 2025) : pipeline RAG complet géré (ingestion, chunking, embedding, query) sur R2 + Vectorize + Workers AI.
  • AI Audit / AI Crawl Control : gouvernance des bots IA (GPTBot, ClaudeBot, Google-Extended), permettant aux éditeurs d'autoriser/refuser le crawl pour entraînement et de monétiser via le bouton « Pay per Crawl ».

Conformité : FedRAMP, ISO 27001, SOC 2, HIPAA, IRAP

Cloudflare détient un portefeuille de certifications adapté aux secteurs régulés et aux administrations :

  • FedRAMP Moderate autorisé (2023), FedRAMP High en cours, StateRAMP.
  • ISO 27001, ISO 27018 (cloud privacy), ISO 27701 (PIMS), ISO 27017 (cloud security).
  • SOC 2 Type II, SOC 3 (rapport public).
  • PCI DSS niveau 1 (utile pour clients e-commerce mettant Cloudflare devant le checkout).
  • HIPAA avec BAA pour clients santé.
  • C5 (Allemagne), IRAP Protected (Australie), CSA STAR niveau 2.
  • Compatible RGPD (Standard Contractual Clauses, hébergement EU pour données EU possibles via Data Localization Suite et Regional Services).

Les fonctions Zero Trust et CASB sont également certifiées SOC 2 Type II et FedRAMP Moderate. Cloudflare publie une Trust Hub centralisant attestations, sub-processors, DPIA et architecture data-residency.

Incidents notables : ce que l'historique apprend

Comme tout grand acteur Edge, Cloudflare a connu plusieurs incidents publics qui éclairent les choix d'architecture côté client. Les plus marquants :

  • Cloudbleed (17 février 2017) : bug parser HTML (cf-html) provoquant la fuite de fragments mémoire (cookies, tokens, messages privés) dans les pages cachées d'autres clients. Découvert par Tavis Ormandy (Project Zero), corrigé en 7 heures (kill switch global). Aucune exploitation malveillante constatée a posteriori.
  • 2 juillet 2019 : panne globale ~30 minutes due à une regex catastrophique dans WAF Managed Rules ; postmortem à l'origine du Workers Unbound moratorium sur les regex non-sandboxées.
  • 21 juin 2022 : panne ~30 minutes touchant 19 datacenters majeurs, due à un changement BGP préparant la migration MCP (Multi-Colo PoP) déployé sans canary suffisant. Postmortem détaillé publié par Cloudflare le jour même.
  • 2 novembre 2023 : panne du control plane et de l'Analytics dashboard ~2 jours, après une coupure électrique chez un fournisseur en Oregon. Le data plane (CDN/WAF/DNS) est resté opérationnel, mais les changements de configuration étaient indisponibles.
  • 14 juillet 2024 : incident Calico Logpush. Un changement de configuration sur le système Logpush (forwarder de logs vers SIEM client) a entraîné l'arrêt temporaire de l'export de logs pour de nombreux tenants. Impact limité au niveau visibilité (pas au niveau livraison de trafic), corrigé en quelques heures, postmortem public.
  • Octobre 2024 : incident court (~30 min) sur un sous-ensemble de POPs européens lors d'un déploiement Pingora.
  • 18 novembre 2025 : incident Workers KV entraînant 2 heures de latences accrues sur les Workers utilisant KV en hot path ; cause : instabilité d'une partition de stockage régionale. Aucune perte de données, mais lecture en écriture-seule pendant 90 minutes pour ~3% des namespaces.

Leçons opérationnelles à tirer côté client : (1) garder un fallback DNS et une route directe vers l'origine (Authoritative DNS chez un second prestataire pour le domaine racine ; runbook de bascule en cas de panne globale Cloudflare) ; (2) journaliser vers deux destinations (Logpush vers SIEM principal et copie vers stockage indépendant) ; (3) éviter de faire dépendre la logique critique (paiements, login) d'un appel KV/D1 unique non répliqué — Durable Objects ou Queues sont plus résilients ; (4) tester un mode dégradé (« Cloudflare unreachable ») dans les exercices de continuité.

Pricing : Free, Pro, Business, Enterprise et facturation usage

Cloudflare maintient un plan Free agressif pour entretenir l'effet réseau, et une grille montant en gamme :

  • Free : DNS, CDN, SSL universel, WAF basique, DDoS L3-L7, 100 k requêtes Workers/jour, 10 Go R2/mois, Zero Trust pour 50 utilisateurs.
  • Pro : 25 $/site/mois — WAF managé OWASP, image optimization (Polish/Mirage), Page Rules avancées.
  • Business : 250 $/site/mois — custom WAF rules, prioritized support, custom certificates, 100% SLA, byo-IP, log retention 24h.
  • Enterprise : sur devis — Argo Smart Routing, Bot Management ML, Logpush (SIEM), Account-level WAF, 100% SLA financier, support 24/7 et TAM.
  • Workers : Free 100 k req/jour, Paid 5 $/mois pour 10 M req incluses puis 0,30 $/M req, R2 0,015 $/Go/mois, D1 facturé à la requête et au stockage.
  • Cloudflare One : gratuit pour 50 utilisateurs sur Zero Trust standard ; facturation par siège pour les éditions Pay-as-you-go et Enterprise.

Beaucoup d'organisations qui consolident plusieurs vendors (CDN + WAF + DDoS + ZTNA + DNS + secrets/limits) sur Cloudflare observent une réduction de TCO de 30-40% sur 3 ans, à condition de bien dimensionner les options Enterprise (Logpush, Bot Management, Argo).

Comparatif : Cloudflare vs Akamai, Fastly et AWS CloudFront

CritèreCloudflareAkamaiFastlyAWS CloudFront
Réseau (POPs)330+ villes4 000+ POPs (mais densité variable)~80 POPs (vCloud)~600 PoPs/Edge POPs
Architecture cacheAnycast multi-tierHierarchical (parent/child)VCL (Varnish), shieldingHiérarchique régional
Serverless EdgeWorkers (V8 isolates, ~5 ms)EdgeWorkers (V8)Compute@Edge (WASM)Lambda@Edge / CloudFront Functions
WAFManaged + Custom Wirefilter, MLApp & API Protector (très mature)Next-gen WAF (Signal Sciences)AWS WAF
DDoSToujours-actif anycast, 388 TbpsProlexic (BGP-swing, très solide)DDoS L3/L4 + ShieldAWS Shield Standard/Advanced
Zero Trust intégréCloudflare One (très complet)Akamai EAA + GuardicoreLimitéVerified Access (limité)
Egress storageR2 0 $NetStorage (payant)S3-compatible bucketS3 (payant)
Pricing entryFree / 25 $Sur devis (souvent >5 k$/mois)50 $ Compute, usage CDNPay-as-you-go AWS
CibleSMB → EnterpriseEnterprise media/banking/govTech-savvy, e-commerce, mediaStack AWS native

Synthèse : Akamai reste le choix historique pour les très gros médias et la banque/assurance qui exigent SLA contractuels et co-location dans certains pays ; Fastly séduit les équipes qui veulent VCL et un Edge programmable WebAssembly ; CloudFront s'impose pour les workloads majoritairement AWS (intégration ACM, Lambda@Edge, S3) ; Cloudflare domine sur la couverture fonctionnelle (CDN + WAF + DDoS + ZTNA + Workers + R2 + IA) et l'accessibilité tarifaire grâce au Free et au plan Pro.

Intégrations cybersécurité : SIEM, SOAR et observabilité

Cloudflare expose la télémétrie via deux mécanismes principaux : Logpush (livraison batch S3/GCS/Azure Blob/R2/Sumo/Splunk/New Relic/Datadog) et Logpull API (legacy). Logpush couvre HTTP requests, firewall events, DDoS, Spectrum, Workers Trace, Access, Gateway DNS/HTTP, Magic, etc.

Intégrations SIEM/SOC :

  • Microsoft Sentinel : connecteur officiel Cloudflare (data connector + workbook), parsing CEF/JSON.
  • Splunk : Cloudflare App for Splunk + Logpush direct.
  • Elastic / Elastic Security : module Filebeat Cloudflare, dashboards Kibana.
  • Wazuh : ingestion via Logpush vers S3/MinIO puis modules wodle, ou via webhook firewall_event ; cas d'usage typique = corrélation Cloudflare WAF + télémétrie endpoint open-source.
  • Datadog, Sumo Logic, New Relic, Logz.io, Coralogix : connecteurs natifs.
  • SOAR : webhooks Cloudflare ou API REST déclenchant playbooks Tines / XSOAR / Splunk SOAR (ex : ban IP via API + tag détection EDR).
  • Identity : Cloudflare Access se branche sur tout IdP SAML/OIDC y compris Active Directory / Entra ID via fédération SAML.

Côté gouvernance, l'API REST Cloudflare expose Audit Logs (qui-a-changé-quoi-quand), exploitable pour la détection de configuration drift et la conformité ISO/SOC 2.

Cloudflare One et stratégie SASE en 2026

La grande bataille en cours est celle du SASE (Secure Access Service Edge), terme forgé par Gartner en 2019, qui désigne la convergence du SD-WAN et du SSE (Security Service Edge : SWG, CASB, ZTNA, FWaaS, DLP). Cloudflare est l'un des trois leaders du Magic Quadrant SASE 2024 (avec Palo Alto Networks Prisma et Zscaler), porté par :

  • L'unification : tous les composants partagent le même Edge plane et la même base de threat intelligence.
  • L'aspect backbone-as-a-service : Cloudflare One n'est pas seulement un overlay sécurité, c'est aussi un transit qui dépanne quand l'Internet sous-jacent est congestionné.
  • Le pricing simple par siège (vs grilles complexes des concurrents).

Roadmap visible 2025-2026 : MASQUE pour WARP (remplacement progressif de WireGuard), Cloudflare Containers GA, Pay per Crawl et AI Audit en GA, support natif MCP (Model Context Protocol) dans Workers, généralisation de l'account-level WAF et des Detections ML au-delà de Bot Management.

FAQ Cloudflare

Cloudflare est-il un VPN ?

Non. Le client WARP (1.1.1.1 with WARP) utilise WireGuard pour chiffrer le trafic vers le POP Cloudflare, mais ne masque pas l'identité utilisateur ni ne garantit l'anonymat ; il s'agit avant tout d'un transport sécurisé et d'un point d'application Zero Trust (Gateway). Pour de l'anonymat, utiliser Tor ; pour du Zero Trust entreprise, c'est l'usage prévu.

Faut-il déléguer les NS au DNS Cloudflare ou peut-on rester en CNAME ?

La fonctionnalité maximale (CDN, WAF, page rules) requiert que Cloudflare soit autoritatif sur le domaine. Le mode CNAME Setup / Partial Zone est disponible en Business/Enterprise pour ceux qui veulent garder leur DNS principal ailleurs ; il a quelques limitations (pas de cache pour la racine apex sans CNAME flattening externe).

Cloudflare voit-il mon trafic en clair ?

Oui, par construction Cloudflare termine TLS aux POPs pour appliquer WAF/cache. C'est inévitable pour un reverse proxy. Pour les organisations souhaitant chiffrement de bout en bout, deux options : (1) Keyless SSL (clé privée reste chez le client, opérations cryptographiques distantes) ; (2) Cloudflare for SaaS + BYO-IP. Pour la conformité, Cloudflare propose la Data Localization Suite qui restreint la terminaison TLS à des régions spécifiques (EU only, India only).

Workers ou Lambda@Edge : que choisir ?

Workers : démarrage ~5 ms, ~330 POPs, écosystème bindings Cloudflare (KV, R2, D1, Durable Objects, Workers AI). Lambda@Edge : intégration AWS (IAM, VPC, Secrets Manager), runtime Node/Python, mais cold starts plus longs et POPs Edge moins nombreux. Pour une stack AWS pure, Lambda@Edge est plus naturel ; pour multi-cloud ou pure Edge avec faible latence, Workers gagne.

R2 est-il vraiment sans frais d'egress ?

Oui pour le trafic sortant. Vous payez seulement le stockage et les opérations. C'est l'argument économique central — pour des charges read-heavy (CDN origin, datasets ML, distribution media), l'économie face à S3 peut atteindre 80% du coût total.

Cloudflare protège-t-il efficacement contre les bots IA ?

Depuis 2024, Cloudflare propose AI Audit et AI Crawl Control pour gérer GPTBot, ClaudeBot, Google-Extended, Perplexity, etc. Trois modes : autoriser (par défaut historiquement), bloquer (par défaut depuis juillet 2024 sur les nouveaux comptes), ou monétiser (Pay per Crawl). Bot Management ML détecte aussi les crawlers déguisés ne respectant pas robots.txt.

Quel est le SLA Cloudflare ?

Free : aucun. Pro : 100% uptime CDN, crédits limités. Business : 100% uptime, crédits jusqu'à 25× la fee mensuelle. Enterprise : SLA financier négocié (jusqu'à 100% sur multiple services).

Cloudflare est-il compatible RGPD ?

Oui via SCC (Standard Contractual Clauses), Data Processing Agreement, et la Data Localization Suite qui permet de garantir que la terminaison TLS et le stockage logs/cache restent dans l'UE. Cloudflare a publié plusieurs Transfer Impact Assessments post-Schrems II.

Conclusion : Cloudflare en 2026, un acteur incontournable de l'Edge

En 2026, Cloudflare s'est imposé comme la plateforme Edge la plus polyvalente du marché, capable de couvrir CDN, WAF, DDoS, DNS, ZTNA, SD-WAN, serverless, stockage objet, IA et observabilité avec un seul provider. Son réseau anycast 330+ POPs, son backbone privé, son écosystème développeur (Workers + R2 + D1 + Vectorize + Workers AI) et son modèle freemium en font un choix particulièrement pertinent pour les organisations qui veulent consolider et réduire la fragmentation de leur stack sécurité/réseau. Les contreparties à pondérer dans toute évaluation : la concentration du risque sur un éditeur unique (incidents 2017, 2019, 2022, 2023, 2024, 2025 documentés), la nécessité de plans de continuité en cas d'indisponibilité globale, et les limites du modèle V8 isolates pour les workloads CPU-intensifs ou long-running. Combiné à une stratégie multi-CDN pour les actifs critiques et à une instrumentation correcte (Logpush vers SIEM tiers, runbook de bascule), Cloudflare offre un excellent rapport sécurité/performance/coût qui explique sa croissance continue et sa position de référence dans le quadrant SASE Gartner.

Pour aller plus loin : la documentation officielle developers.cloudflare.com couvre l'ensemble des produits et API ; le blog Cloudflare publie postmortems, deep-dives architecture (Pingora, Quiche, R2) et analyses Radar ; et le site corporate cloudflare.com regroupe Trust Hub, certifications et grille de prix.