Cloudsmith, l’éditeur d’une plateforme de gestion d’artifacts logiciels, a annoncé le 23 avril 2026 une Series C de 72 millions $ menée par TCV. La société irlandaise capitalise sur un sujet qui devient central avec l’explosion des agents IA : la sécurisation de la chaîne d’approvisionnement logicielle. Quand un agent peut télécharger et exécuter du code en autonomie, contrôler ce qui entre dans le système devient critique.
Pourquoi la supply chain logicielle compte
Une application moderne consomme des centaines de paquets open source (npm, PyPI, Maven, NuGet). Chaque paquet est une porte d’entrée potentielle. Les attaques de type SolarWinds, log4shell ou xz-utils ont coûté des milliards.
Avec les agents IA qui installent et exécutent du code en autonomie, le risque explose. Un agent compromis peut introduire du malware sans qu’aucun humain ne valide. Cloudsmith propose un proxy contrôlé qui filtre, signe et trace tous les artifacts.
Une stratégie de plateforme universelle
Cloudsmith supporte tous les formats majeurs : npm, PyPI, Docker, Maven, NuGet, RubyGems, Go modules, Helm, Terraform, et plus de 30 autres. C’est l’une des seules solutions à offrir une couverture aussi large.
La Series C va financer le déploiement de signatures SBOM (Software Bill of Materials) automatiques, un format réclamé par les régulateurs européens et américains pour les logiciels critiques.
Cibles : DevOps et équipes IA
Les clients historiques sont des équipes DevOps de SaaS et fintech (Shopify, Hubspot). La nouvelle cible est explicitement les équipes IA qui construisent des agents : tout MLOps moderne consomme des modèles Hugging Face et des paquets Python à risque.
Cloudsmith propose désormais des connecteurs natifs avec MLflow, Weights & Biases et Hugging Face Spaces, avec scan automatique des modèles téléchargés.
Concurrence : JFrog, Sonatype, GitHub
Le marché est dominé par JFrog (Artifactory) et Sonatype (Nexus), deux acteurs cotés. GitHub Packages capte une part croissante, surtout chez les utilisateurs Microsoft 365.
Cloudsmith mise sur l’expérience développeur, le SaaS pur (vs. on-premise lourd des concurrents) et la rapidité d’intégration. Le pari : être à la supply chain ce que Vercel est au déploiement.
❓ Questions fréquentes
Cloudsmith remplace-t-il Artifactory ?
Pour les équipes cloud-native, oui. Pour les grandes entreprises avec des contraintes on-premise et air-gapped, JFrog Artifactory reste la référence. Le choix dépend du cloud-readiness et du budget.
Pourquoi Cloudsmith est-il pertinent à l’ère de l’IA ?
Parce que les agents IA installent du code en autonomie. Sans contrôle de la supply chain, n’importe quel agent compromis peut introduire des dépendances malveillantes. Cloudsmith fait office de douane logicielle entre Internet et les workloads IA.
L’investissement TCV est-il un signal pour le marché ?
Oui. TCV est connu pour ses positions dans des champions SaaS B2B (Spotify, Airbnb, GoCardless). Une Series C à 72M$ valide la thèse selon laquelle la sécurité supply chain devient un poste budgétaire incontournable des DSI.