IPO Cerebras : ce que le réveil du silicium américain impose aux DSI européens

# IPO Cerebras : ce que le réveil du silicium américain impose aux DSI européens

> En 2026, l'entrée en bourse de Cerebras Systems a été présentée dans la presse généraliste comme une "alternative à Nvidia". Pour un DSI ou un RSSI européen, la lecture est différente : un acteur américain supplémentaire, coté en bourse aux États-Unis, soumis au droit américain, qui capte de nouveaux flux de données d'inférence. Voici comment analyser la situation et agir en conséquence.

Pourquoi l'IPO Cerebras n'est pas une bonne nouvelle par défaut

La mise en concurrence de Nvidia par un acteur américain ne constitue pas, en soi, un gain pour la souveraineté numérique européenne. Ce que Cerebras introduit, c'est une alternative de marché — pas une alternative de juridiction. Les deux acteurs restent soumis au Cloud Act, à l'International Traffic in Arms Regulations (ITAR) pour les composants sensibles, et aux décrets exécutifs américains sur le contrôle des exportations de semi-conducteurs avancés.

Pour les ETI européennes qui traitent des données personnelles, des données de santé, ou qui opèrent dans des secteurs critiques (énergie, finance, industrie), la question n'est donc pas « Cerebras ou Nvidia ? » mais « quelle dépendance structurelle suis-je en train de consolider, et à quel coût réglementaire ? »

Étape 1 — Cartographier vos flux d'inférence actuels et leur exposition juridique

Avant toute décision sur l'infrastructure IA, commencez par un inventaire des flux : quelles données alimentent vos modèles d'inférence, où sont-ils hébergés, et sous quelle juridiction.

Ce que vous devez documenter :

• L'identité juridique de chaque fournisseur de compute IA (maison mère, pays de siège, cotation boursière)
• La localisation physique des serveurs déclarée contractuellement vs la localisation effective des données en transit
• La présence ou l'absence d'une clause de résidence des données opposable
• La nature des données traitées en inférence : données personnelles au sens RGPD, données métier sensibles, données relevant de NIS2 ou DORA

Pourquoi c'est urgent en 2026 : La Commission européenne a précisé dans ses lignes directrices NIS2 que les entités importantes et essentielles doivent documenter les risques de chaîne d'approvisionnement, y compris les dépendances aux fournisseurs de composants critiques. Un accélérateur IA intégré dans un pipeline de traitement de données sensibles entre dans ce périmètre.

Étape 2 — Appliquer le filtre Cloud Act à chaque nouveau contrat de compute

Le Cloud Act américain de 2018 n'a pas été abrogé. Il s'applique à toute entreprise américaine, quelle que soit la localisation physique de ses serveurs. Cerebras, en tant qu'entité américaine cotée au Nasdaq, y est soumis au même titre que ses concurrents.

Checklist contractuelle minimale avant signature :

• [ ] Le contrat mentionne-t-il explicitement la juridiction applicable ?
• [ ] Y a-t-il une clause de notification en cas de demande d'accès par une autorité étrangère ?
• [ ] Le fournisseur a-t-il publié un transparency report récent ?
• [ ] Existe-t-il une option de déploiement on-premise ou en cloud souverain européen certifié ?
• [ ] Le DPA (Data Processing Agreement) est-il conforme aux clauses contractuelles types post-Schrems II ?

Si une seule de ces cases n'est pas cochable, vous êtes en situation de risque de conformité documentable — ce que votre RSSI devra assumer en cas d'audit NIS2 ou de contrôle CNIL.

Étape 3 — Identifier les acteurs européens du silicium IA à suivre

La valorisation de Cerebras en bourse produit un effet de signal : elle confirme que l'infrastructure de compute IA est un marché stratégique à haute valeur. Ce signal doit être retourné au profit d'une veille active sur les alternatives européennes.

Deux catégories à surveiller sans attendre :

Les fondeurs et concepteurs de puces européens en montée en charge. SiPearl, spin-off du programme européen EPI (European Processor Initiative), conçoit des processeurs HPC destinés aux supercalculateurs Horizon d'Atos et aux infrastructures souveraines. La roadmap industrielle est publique et s'inscrit dans le cadre du Chips Act européen. Ce n'est pas encore une alternative commerciale clé en main pour une ETI, mais c'est l'infrastructure sur laquelle les offres souveraines de demain seront construites.

Les opérateurs cloud européens certifiés qui commencent à intégrer des accélérateurs non-Nvidia. Plusieurs opérateurs labellisés SecNumCloud (qualification ANSSI) ou en cours de qualification ont engagé des travaux d'intégration d'accélérateurs alternatifs pour réduire leur propre dépendance à la supply chain américaine. Interrogez votre opérateur cloud actuel sur sa feuille de route matérielle — c'est une question légitime dans un RFP ou un audit fournisseur.

Étape 4 — Intégrer le risque semi-conducteur dans votre analyse DORA et NIS2

Depuis l'entrée en vigueur de DORA pour les entités financières et le déploiement progressif de NIS2 dans les États membres, la gestion du risque tiers a changé de nature. Il ne s'agit plus seulement de tester la résilience opérationnelle de vos prestataires — il faut désormais documenter les risques de concentration.

Ce que DORA impose concrètement ici :

• Identifier si votre dépendance à un fournisseur de compute IA unique constitue un risque de concentration au sens de l'article 28 de DORA
• Documenter les scénarios de substitution (exit strategy) dans le registre des prestataires tiers critiques
• S'assurer que les contrats avec les fournisseurs d'infrastructure IA incluent des droits d'audit et des SLA de continuité

Ce que NIS2 ajoute pour les entités importantes et essentielles :

• L'obligation de signalement des incidents touchant la chaîne d'approvisionnement numérique inclut les défaillances ou compromissions au niveau des fournisseurs de matériel spécialisé
• Une dépendance exclusive à un fournisseur américain de puces IA — dont l'accès pourrait être restreint par un décret exécutif américain sur le contrôle des exportations — constitue un risque de chaîne d'approvisionnement documentable

Étape 5 — Réviser votre stratégie de sourcing IA avec un critère de réversibilité

La réversibilité n'est pas un critère secondaire : c'est un indicateur de maturité de gouvernance. Pour tout projet IA impliquant du compute externalisé, posez systématiquement la question de la portabilité.

Les trois questions à intégrer dans tout RFP IA dès maintenant :

1. Portabilité des modèles : vos modèles fine-tunés ou vos pipelines d'inférence peuvent-ils être migrés vers un autre fournisseur sans réécriture majeure ? Exigez une réponse contractuelle, pas commerciale.

2. Portabilité des données d'entraînement : où sont stockées les données utilisées pour adapter les modèles, sous quelle forme, et qui en détient techniquement l'accès ?

3. Dépendance aux API propriétaires : chaque couche d'abstraction propriétaire est un verrou. Documentez-les avant de signer, pas après.

Ces trois questions ne sont pas des questions de DSI paranoïaque — elles sont explicitement recommandées dans les lignes directrices de l'ENISA sur la sécurité des systèmes d'IA publiées en 2025.

Étape 6 — Structurer une position de veille, pas une décision d'achat prématurée

L'IPO de Cerebras est un événement de marché, pas un signal d'achat. Pour une ETI européenne, la posture rationnelle en 2026 est la suivante : surveiller, documenter, ne pas se lier.

Ce que vous pouvez faire sans dépenser :

• Intégrer Cerebras et ses concurrents dans votre cartographie des risques fournisseurs, au même titre que tout acteur américain soumis au Cloud Act
• Suivre les positions de l'ENISA, de l'ANSSI, et du BSI allemand sur l'homologation des infrastructures IA — ces agences publient des mises à jour régulières qui valent mieux qu'un benchmark commercial
• Interroger vos intégrateurs actuels sur leur capacité à déployer des workloads IA sur des infrastructures certifiées SecNumCloud ou équivalent national
• Participer aux groupes de travail sectoriels sur la souveraineté numérique (France Num, initiatives du Gaia-X Hub France) pour anticiper les évolutions réglementaires avant qu'elles deviennent des contraintes d'audit

Ce que ce guide ne dit pas — et pourquoi c'est important

Ce guide ne recommande pas de rejeter en bloc toute infrastructure de compute américaine. Ce serait une posture idéologique, pas une analyse de risque. Ce qu'il pose, c'est un cadre de décision : chaque dépendance à un acteur américain doit être consciente, documentée, et assortie d'une stratégie de sortie réaliste.

L'IPO de Cerebras accélère la concentration du marché du silicium IA autour d'acteurs américains cotés en bourse et soumis à la juridiction américaine. Pour un DSI ou un RSSI dont l'organisation traite des données personnelles ou opère dans un secteur régulé, ignorer cette dimension juridique au profit du seul critère de performance technique serait une faute de gouvernance — pas une décision technologique.

Le silicium européen n'est pas encore une alternative opérationnelle complète. Mais les décisions prises aujourd'hui sur les architectures IA détermineront les marges de manœuvre disponibles dans trois à cinq ans, quand les alternatives souveraines seront matures. C'est maintenant que se construit — ou se ferme — l'espace de réversibilité.