18 Novembre 2025, le jour où Internet a cligné des yeux

Guillaume

Guillaume

6 min read
18 Novembre 2025, le jour où Internet a cligné des yeux
Photo by NASA / Unsplash

Le 18 novembre 2025, vers 11h30 UTC, une partie conséquente d'Internet a... disparu. Pas totalement "down" comme beaucoup l'ont dit, mais tout simplement inaccessible pour des millions d'utilisateurs.

X (ex-Twitter), ChatGPT, Spotify, Discord, même Downdetector (l'ironie) : tous affichaient la même erreur "HTTP 5xx".

Moins de trois semaines plus tard, le 5 décembre, un second incident plus court (25 minutes, surtout en Europe) a touché LinkedIn, Deliveroo, une partie des paiements Stripe…

Le coupable ? Cloudflare, l’un des leaders mondiaux de l’infrastructure web. Concrètement, c’est un CDN (Content Delivery Network) : un immense réseau de serveurs répartis partout sur la planète qui met en cache vos pages, bloque les attaques et fait transiter le trafic de 20 % du web mondial.

La cause ? Pas une cyberattaque d’un État hostile, ni une IA devenue sensible. Juste un "Oups..." technique lors d'une mise a jour chez un géant dont nous dépendons tous, souvent sans le savoir.

Cet événement est une piqûre de rappel brutale, mais nécessaire : dans notre course à la vélocité et à l'agilité, nous construisons nos empires numériques sur des fondations que nous ne maîtrisons pas toujours.

Aujourd'hui, le but de notre article n'est pas de taper sur Cloudflare (ils font un boulot titanesque). On va plutôt parler de ce sujet aussi séduisant qu'un contrôle fiscal, mais qui peut sauver votre entreprise du naufrage : le Plan de Continuité d'Activité (PCA).

David Pupăză sur Unsplash

Si vous pensez que ces incidents ne vous concernent pas parce que « vous n’êtes pas chez Cloudflare », détrompez-vous. Votre site web, votre SaaS préféré, votre CRM, vos outils de monitoring… il y a de fortes chances qu’au moins l’un d’entre eux dépende de cette infrastructure invisible, car Cloudflare, c’est environ 20 % du trafic internet mondial.
Et même si ce n’est pas Cloudflare, devinez quoi ? Il y a 90 % de chances que ce soit un autre gros CDN du même genre : Fastly, Akamai, AWS CloudFront, Google Cloud CDN…
C'est exactement là que ça devient intéressant pour parler de Plan de Continuité d'Activité (PCA).

"Down" ou "Inaccessible" , telle est la question

Avant de parler solution, revenons une seconde sur le problème. Lors de cet incident, nous avons lu partout : "La moitié d'Internet est down !".

C'est FAUX.

C’est une distinction cruciale pour comprendre les risques modernes. Les serveurs de Discord, les bases de données de votre SaaS, ou votre propre site e-commerce allaient très bien. Ils ronronnaient dans leurs centre de données respectifs. Ils n'étaient pas "down" (éteints ou cassés).

Ils étaient inaccessibles.

Une image pour mieux comprendre?
Imaginez un immense centre commercial un samedi avant Noël. Les magasins sont ouverts, les stocks sont pleins, les vendeurs sont au taquet. Mais soudain, toutes les routes, autoroutes et ponts qui mènent au centre commercial sont fermés simultanément à cause d'une panne de signalisation géante.

Pour le client final, le résultat est le même : impossible d'acheter quoi que ce soit. Mais le problème n'est pas le magasin, c'est le chemin pour y accéder.

Cloudflare (et ses concurrents) sont les gardiens de ces accès numériques. Ils gèrent le trafic, la sécurité (protection DDoS), le cache. Quand le gardien trébuche, la porte se ferme pour tout le monde.

Ce que ça change pour votre PCA

Un Plan de Continuité d'Activité, ce n'est pas juste prévoir un backup de vos données ou une réplication de serveurs. C'est anticiper tous les scénarios où votre activité peut être interrompue. Et les incidents Cloudflare nous rappellent trois leçons essentielles :

brett-jordan sur Unsplash

1. La diversification n'est pas optionnelle

Vous ne mettez pas tous vos œufs dans le même panier, n'est-ce pas ? Alors pourquoi mettre toute votre infrastructure digitale derrière un seul fournisseur ?

Action concrète : Cartographiez vos dépendances. Pas juste "on utilise AWS et Azure". Allez plus loin : qui gère votre DNS ? Votre CDN ? Votre protection DDoS ? Si tout pointe vers le même acteur (même indirectement via vos fournisseurs), vous avez un problème.

Pensez multi-CDN, multi-DNS. Oui, c'est plus cher. Oui, c'est plus complexe. Mais 3 heures d'interruption coûtent combien à votre business ? Et 3 jours?
Fixez vos seuils de tolérence en fonction de vos engagements et de vos priorités.

2. Votre monitoring doit être... ailleurs

Pendant l'incident du 18 novembre, même la page de statut de Cloudflare était down pendant un moment. Les équipes pensaient à une attaque DDoS parce qu'ils ne pouvaient plus monitorer correctement leur propre infrastructure.

Action concrète : Votre solution de monitoring critique doit être hébergée sur une infrastructure totalement distincte de ce qu'elle surveille. Status page externe, monitoring multi-cloud, alertes via plusieurs canaux (Slack, SMS, email depuis différents fournisseurs).

3. Testez votre PCA avec des scénarios réalistes

La plupart des entreprises testent leur PCA avec des scénarios type "notre datacenter brûle" ou "ransomware total". Mais combien testent "notre fournisseur de CDN/DNS/proxy est inaccessible pendant 3 heures" ?

Les incidents Cloudflare ont duré de 25 minutes à 3 heures selon les services. Ce n'est pas une apocalypse, mais c'est suffisamment long pour :

  • Faire exploser votre taux de conversion e-commerce
  • Rater des SLA contractuels
  • Perdre des clients qui partent directement chez la concurrence
  • Créer un buzz de votre image de marque sur les réseaux sociaux

Action concrète : Simulez une panne de votre fournisseur principal. Chronométrez combien de temps vous mettez à :

    1. Détecter le problème
    2. Confirmer que c'est bien externe
    3. Basculer sur une solution de contournement
    4. Communiquer aux équipes et clients

Si vous prenez plus de 15 minutes à ne pas savoir quoi faire ou à chercher vos process, vos contacts, vos accès... vous avez du boulot, beaucoup de boulot.

La vraie question : combien coûte l'indisponibilité ?

Cloudflare a publié ses post-mortems (respect pour la transparence). Mais personne n'a publié le coût réel pour les entreprises touchées. Quelques éléments de réflexion :

  • Pour un site e-commerce qui fait 1M€ de CA/jour, 3 heures de downtime = ~125K€ de pertes (sans compter l'impact réputationnel)
  • Pour une entreprise qui propose un SaaS à 10 000 utilisateurs actifs quotidiens, ça représente jusqu'a 30 000 heures de productivité perdues pour les clients
  • Pour un service de streaming, c'est une érosion immédiate de confiance et potentiellement des désabonnements.

Maintenant, calculez ça pour votre propre activité. Mettez en face le coût d'un PCA solide : infrastructure de failover, tests réguliers, documentation, formation des équipes.
Êtes-vous réellement prêts à encaisser une indisponibilité majeure et à en assumer les conséquences financières, opérationnelles et réputationnelles ?

Conclusion : l'illusion de la stabilité

Internet nous a habitués à une disponibilité proche de 100%. On s'énerve quand Netflix est lent pendant 30 secondes. On râle quand Gmail met 2 secondes à charger. Cette fiabilité incroyable nous a rendu complaisants.

Les incidents Cloudflare de novembre et décembre 2025 sont un appel à l'éveil et la remise en question. Pas parce qu'ils ont été particulièrement graves (25 minutes à 3h, c'est gérable), mais parce qu'ils ont révélé la fragilité sous-jacente de notre infrastructure digitale.

Votre PCA ne devrait pas être ce document PDF poussiéreux dans un drive que personne ne lit. Il devrait être un système vivant, testé régulièrement, qui assume que tout peut casser à tout moment. Y compris et surtout les services et société "trop gros pour tomber".

Read more