L'essentiel
Définition
Qu'est-ce que SecNumCloud ?
SecNumCloud est une qualification délivrée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) à des prestataires de services d'informatique en nuage. Elle est issue d'un référentiel publié pour la première fois en 2016 et révisé en 2022 (version 3.2).
La qualification combine trois dimensions : sécurité technique de haut niveau, conformité aux exigences nationales sur la protection des informations sensibles, et garanties juridiques pour limiter l'exposition aux lois extraterritoriales. La version 3.2 a marqué un tournant en formalisant explicitement ces dernières exigences, par contraste avec une approche purement technique.
SecNumCloud cible les services IaaS, PaaS et SaaS qui hébergent des données sensibles, sans toutefois avoir vocation à couvrir des données classifiées Défense, qui relèvent d'autres dispositifs.
Ce que le référentiel exige
Sept familles d'exigences
Exigences techniques
Chiffrement des données au repos et en transit, gestion des clés, séparation forte des tenants, journaux de sécurité auditables, plan de continuité et de reprise testé.
Exigences organisationnelles
Politique de sécurité, gestion des habilitations, processus d'incident, audits internes et externes, contrôle des sous-traitants. Le périmètre concerne tout le cycle de vie.
Exigences opérationnelles
Exploitation, supervision et infogérance du service assurées depuis l'Union européenne, en continu (24/7). Supervision de sécurité (SOC), gestion des incidents, plan de continuité et de reprise d'activité testé régulièrement. Aucune opération d'administration courante depuis un pays tiers.
Exigences juridiques
Le prestataire et ses sociétés mères doivent être établis dans un État membre de l'UE. L'immunité aux lois extraterritoriales doit être documentée et contractualisée.
Localisation des données
Les données, métadonnées, journaux et clés résident sur le territoire de l'Union européenne. Aucune administration ni opération courante ne peut se faire depuis un pays tiers.
Personnel
Les administrateurs disposant d'accès privilégiés doivent être ressortissants UE et soumis à un contrôle d'aptitude documenté.
Audit indépendant
La qualification est délivrée après un audit conduit par un Prestataire d'Audit de la Sécurité des Systèmes d'Information (PASSI) certifié, sur dossier puis sur site.
Historique
De 2016 à aujourd'hui
Impact concret
Effets sur le marché et les organisations
Cinq dynamiques observées dans les politiques d'achat public et les choix d'architecture depuis 2022.
Doctrine cloud au centre
Les administrations centrales et opérateurs publics doivent justifier le choix d'un service non qualifié SecNumCloud pour héberger des données sensibles. La qualification devient un critère de fait dans les marchés publics.
Filières réglementées
Santé, défense, énergie, finance : plusieurs secteurs incluent désormais SecNumCloud dans leurs cahiers des charges, en complément des qualifications sectorielles existantes (HDS, PCI DSS).
Standard européen en construction
Le futur European Cybersecurity Certification Scheme for Cloud Services (EUCS) en cours de discussion à l'ENISA devrait s'inspirer en partie de l'approche SecNumCloud sur le niveau High.
Effet de marché
Trois prestataires qualifiés en mai 2026, plusieurs en cours. L'offre reste limitée mais s'élargit, notamment via les partenariats franco-américains qui visent à concilier richesse technologique et exigences souveraines.
Coût et complexité
L'obtention de la qualification mobilise des moyens importants. Pour le client final, choisir une offre SecNumCloud peut représenter un surcoût de 10 à 30 pour cent par rapport à un service public équivalent non qualifié.
Une qualification technique, pas un bouclier juridique
SecNumCloud impose des règles de sécurité élevées et c'est sa vraie valeur. Mais c'est une qualification technique et organisationnelle : elle n'a aucun pouvoir sur le volet légal. FISA 702 et le CLOUD Act relèvent du droit américain ; aucune qualification de l'ANSSI ne peut les abroger.
Or FISA 702 s'applique dès qu'un fournisseur dépend d'une stack d'orchestration américaine - hyperviseur, plan de contrôle, services managés, télémétrie ou chaîne de mises à jour fournis par Google, AWS ou Microsoft. Localiser les données en France et obtenir la qualification ne supprime pas cette dépendance logicielle.
Le cœur de ces plateformes est fermé : l'ANSSI ne peut pas auditer le code source de Google, AWS ou Microsoft, qui n'est pas communiqué. Une qualification porte sur une architecture et des processus observables, pas sur le binaire réellement exécuté ni sur ce qu'une mise à jour distante pourrait y introduire.
C'est pourquoi Bleu (Microsoft + Orange + Capgemini) et S3NS (Google + Thales) ne sont pas à l'abri : tant qu'elles embarquent du code non auditable de l'éditeur américain, rien ne garantit l'absence d'un composant dormant ou d'un canal de mise à jour par lequel les autorités américaines pourraient contraindre l'éditeur à imposer une porte dérobée - chez n'importe quel opérateur, quelle que soit la coentreprise française. SecNumCloud reste un excellent socle de sécurité, mais ne doit pas être présentée comme un gage de souveraineté juridique.
Couvert - technique & opérationnel
Hors de portée - juridique
1. Données hébergées en France
La géolocalisation seule semble rassurante.
2. Mais une stack d'orchestration US
Hyperviseur, plan de contrôle, services managés, mises à jour : Google, AWS ou Microsoft.
3. Éditeur soumis au droit américain
Le fournisseur de la pile logicielle a un rattachement aux États-Unis.
4. FISA 702 & CLOUD Act s'appliquent
La loi américaine prime sur le contrat et la localisation des serveurs.
5. Code fermé, non auditable par l'ANSSI
L'ANSSI audite une architecture et des processus, pas le binaire de l'éditeur.
6. Porte dérobée imposable
Rien ne garantit l'absence d'un composant dormant ou d'un canal de mise à jour activable à distance.
Questions fréquentes
Six questions pour decider
Qu'est-ce que la qualification SecNumCloud ?
C'est une qualification delivree par l'ANSSI a des prestataires de services cloud. Elle atteste qu'un service repond a des exigences renforcees de securite, de localisation des donnees et d'immunite aux lois extraterritoriales. La version actuelle du referentiel est la 3.2 (mars 2022).
Quels prestataires sont qualifies SecNumCloud ?
Trois prestataires sont qualifies sur le perimetre IaaS-PaaS a date : 3DS OUTSCALE, OVHcloud (offre dediee) et Worldline. D'autres acteurs preparent leur dossier, notamment Bleu (Capgemini-Orange) et S3NS (Thales-Google).
SecNumCloud est-il obligatoire ?
Pour l'Etat francais, oui : la doctrine cloud au centre rend la qualification obligatoire pour heberger les donnees sensibles. Pour le secteur prive, elle n'est pas obligatoire mais devient de facto requise dans plusieurs filieres regulees (defense, sante, finance).
Combien de temps prend une qualification ?
Compter generalement 12 a 24 mois entre l'engagement et la delivrance, en fonction de la maturite initiale du prestataire et du perimetre vise. La phase d'audit par un PASSI dure plusieurs mois et comprend des tests sur dossier puis sur site.
Quelle difference avec EUCS ?
SecNumCloud est francaise (ANSSI). EUCS est europeenne (ENISA), en cours de finalisation. Les deux schemas ont en commun une architecture en niveaux et une approche par exigences. Le niveau High d'EUCS devrait s'inspirer de SecNumCloud sur les exigences souveraines.
Combien coute une offre SecNumCloud pour le client final ?
L'effort de qualification represente un cout significatif pour le prestataire, repercute sur les tarifs. Surcout typique de 10 a 30 pour cent par rapport a un service public equivalent non qualifie, variable selon le perimetre et la duree d'engagement.
Sources et références
Pour aller plus loin
Sur NextHop