SecNumCloud : la qualification ANSSI du cloud de confiance

La doctrine « cloud au centre » a transformé SecNumCloud d’un référentiel technique confidentiel en véritable standard de marché pour toute entité manipulant des données sensibles en France. Quand un hébergeur affiche fièrement « SecNumCloud 3.2 qualifié ANSSI », il ne s’agit pas d’un simple label marketing : c’est l’aboutissement d’un processus d’audit de plusieurs années, assorti d’exigences parmi les plus strictes au monde en matière de cybersécurité et d’immunité extraterritoriale. Voici ce qu’il faut comprendre — et comment positionner votre stratégie cloud en conséquence.

Qu’est-ce que SecNumCloud ?

SecNumCloud est un référentiel d’exigences publié par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Il fixe les conditions que doit remplir un prestataire de services cloud pour être « qualifié » par l’ANSSI, c’est-à-dire reconnu comme offrant un niveau de sécurité et de souveraineté suffisant pour héberger les données et systèmes les plus sensibles de l’État et des opérateurs critiques.

Deux éléments le distinguent radicalement d’une simple certification ISO 27001 ou HDS :

• Des exigences de sécurité renforcées, couvrant non seulement la sécurité logique et organisationnelle, mais aussi la sécurité physique, la gouvernance, la maîtrise des sous-traitants, la cryptographie et la disponibilité.
• Des critères de protection contre les législations extraterritoriales, notamment le CLOUD Act américain, le FISA 702 et la loi chinoise sur le renseignement. C’est ce volet qui rend SecNumCloud unique au niveau européen.

La version en vigueur est le référentiel SecNumCloud 3.2, publié en mars 2022. Il a supplanté la version 3.1 de 2016 et introduit les clauses d’immunité extraterritoriale qui structurent aujourd’hui l’offre française de cloud de confiance.

L’historique et le cadre juridique

SecNumCloud trouve son origine dans le référentiel CSPN (Certification de sécurité de premier niveau), développé à partir de 2008. La première version dédiée au cloud date de 2013. Le cadre juridique repose sur :

• L’article R. 2321-1 et suivants du Code de la défense, qui confie à l’ANSSI la délivrance des qualifications.
• Le décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits et prestataires de sécurité.
• La circulaire du Premier ministre du 5 juillet 2021 dite « cloud au centre », qui impose aux administrations d’État l’utilisation de services qualifiés SecNumCloud pour héberger certaines données.
• La circulaire du 31 mai 2023 qui a précisé et renforcé le dispositif, notamment pour les données dites « sensibles ».

Au-delà de ces textes internes à l’État, SecNumCloud s’intègre désormais dans l’écosystème de la directive NIS2 et du Cyber Resilience Act : les entités essentielles et importantes qui externalisent leurs systèmes d’information critiques trouvent dans SecNumCloud un moyen direct de démontrer leur conformité aux obligations de mesures techniques et organisationnelles appropriées.

Qui est concerné par l’obligation SecNumCloud ?

Il faut distinguer deux niveaux d’exigence : l’obligation stricte et la recommandation.

Obligation stricte : administrations et données sensibles

Depuis la circulaire « cloud au centre », toute administration d’État envisageant d’héberger sur un cloud :

• des données à caractère personnel des agents ou des usagers lorsqu’elles sont sensibles au sens large (santé, situations sociales, pénales, fiscales),
• des secrets protégés par la loi (secret des correspondances, secret fiscal, secret médical, secret de la défense nationale pour le niveau non classifié),
• des données nécessaires à l’accomplissement des missions régaliennes,

doit obligatoirement recourir à un service cloud qualifié SecNumCloud. Les exceptions sont encadrées et soumises à dérogation.

Obligation indirecte : OIV, OSE, entités NIS2

Les opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE), de même que désormais les entités essentielles et importantes au titre de NIS2, ne sont pas tenus par un texte unique de recourir à SecNumCloud. Mais leurs obligations de sécurité — qui incluent la maîtrise des dépendances, la cryptographie robuste, la résilience et la protection contre les ingérences étrangères — sont difficilement atteignables sans recourir à un prestataire qualifié.

Recommandation étendue : santé, finance, secteurs critiques

Pour les établissements de santé, les acteurs de la finance soumis à DORA, les collectivités locales traitant des données sensibles et les grandes entreprises régulées, SecNumCloud n’est pas obligatoire mais devient rapidement un standard de référence dans les appels d’offres. Plusieurs grands groupes du CAC 40 exigent désormais SecNumCloud pour leurs workloads sensibles.

Les exigences techniques et juridiques

Le référentiel 3.2 compte près de 400 exigences réparties en 19 chapitres. Dans mon expérience d’accompagnement d’éditeurs vers la qualification, les points les plus structurants sont les suivants.

Immunité extraterritoriale

C’est le changement majeur de la version 3.2. Le prestataire qualifié et ses filiales ne doivent pas être soumis, au titre de leur siège social, de leur actionnariat ou des législations applicables, à des injonctions d’accès aux données émanant d’autorités étrangères. Concrètement : impossible d’être qualifié si la maison mère est américaine, chinoise ou si plus de 24 % du capital est détenu par une entité non européenne. Cette exigence a poussé Microsoft, Google et AWS à structurer des coentreprises (S3NS avec Thales, Bleu avec Capgemini/Orange) pour tenter d’accéder à la qualification.

Localisation et traitement des données

L’ensemble des données hébergées, y compris les métadonnées, les sauvegardes et les données d’exploitation, doit être stocké et traité dans l’Espace économique européen. Les personnels ayant accès aux données doivent être situés dans l’EEE. Cette exigence dépasse largement celle des clauses contractuelles types du RGPD pour les transferts internationaux.

Sécurité logique et cryptographie

Le référentiel impose une authentification forte pour les administrateurs, une séparation stricte des environnements d’administration, une journalisation centralisée et protégée, et des exigences cryptographiques conformes aux recommandations de l’ANSSI (RGS B1 minimum). Le chiffrement des données au repos et en transit doit être systématique.

Gouvernance et sous-traitance

Chaque sous-traitant doit faire l’objet d’une analyse de risque et d’un contrat aligné. Les dépendances critiques (OS, hyperviseur, bases de données) doivent être identifiées et maîtrisées. Les plans de continuité et de reprise d’activité font l’objet d’exercices réguliers documentés.

Audit et contrôle continu

La qualification est valable 3 ans et donne lieu à un audit de surveillance annuel. Toute modification substantielle de l’offre (nouveau datacenter, changement d’actionnariat, nouvelle fonctionnalité) doit être déclarée à l’ANSSI.

Les prestataires qualifiés en 2026

À la date de cet article, la liste des offres qualifiées SecNumCloud 3.2 s’est considérablement étoffée par rapport aux premières qualifications 3.1 délivrées en 2019. Parmi les principales offres disponibles sur le marché français :

• Outscale 3DS — première offre IaaS qualifiée, portée par Dassault Systèmes.
• OVHcloud — plusieurs offres qualifiées sur les services Hosted Private Cloud et Bare Metal Pod.
• Oodrive — collaboration, signature, coffre-fort numérique.
• Worldline / equensWorldline — services spécifiques au paiement et à la finance.
• NumSpot — coentreprise Docaposte / Dassault Systèmes / Bouygues Telecom / Banque des Territoires, plateforme cloud qualifiée.
• Cloud Temple — IaaS et SaaS sectoriel.
• Atos / Eviden — cloud privé opéré.

L’ANSSI publie la liste officielle actualisée sur son site (cybermalveillance.gouv.fr et ssi.gouv.fr). Il est indispensable de vérifier le périmètre exact de la qualification : un prestataire peut être qualifié pour son IaaS et pas pour son SaaS, pour certaines zones géographiques et pas d’autres, pour certaines fonctionnalités et pas les plus récentes.

SecNumCloud, HDS, ISO 27001 : quelles différences ?

Il est fréquent que les équipes achats et DSI confondent les référentiels. Voici la distinction opérationnelle.

ISO 27001 est une norme internationale de management de la sécurité. Elle certifie l’existence d’un système de management mais ne juge pas du niveau technique des mesures. Elle ne comporte aucune exigence d’immunité extraterritoriale ni de localisation.

HDS (Hébergeur de données de santé) est une certification française obligatoire pour héberger des données de santé à caractère personnel. Elle repose sur ISO 27001 assortie d’exigences complémentaires. Elle autorise les prestataires américains (AWS, Microsoft, Google sont certifiés HDS). Elle ne prémunit donc pas contre le CLOUD Act.

SecNumCloud est la qualification la plus exigeante du paysage français. Elle englobe les exigences ISO 27001, va au-delà sur le plan technique, et ajoute les critères d’immunité extraterritoriale qui en font l’instrument de la souveraineté numérique française.

En pratique, un prestataire SecNumCloud est presque systématiquement aussi certifié HDS et ISO 27001. L’inverse n’est pas vrai.

Le lien avec le RGPD et le projet EUCS

La question du RGPD se pose sous deux angles. D’une part, SecNumCloud facilite grandement la conformité à l’article 32 du RGPD sur la sécurité du traitement : les mesures exigées couvrent et dépassent les recommandations de la CNIL. D’autre part, SecNumCloud répond aux difficultés posées par l’arrêt Schrems II (CJUE, 16 juillet 2020) pour les transferts de données vers les États-Unis : en éliminant par construction l’exposition au CLOUD Act, il ferme la voie du risque d’accès extraterritorial.

Au niveau européen, le projet de schéma EUCS (European Cybersecurity Certification Scheme for Cloud Services) fait l’objet de négociations tendues depuis 2022. La France défend l’inclusion d’un niveau « High+ » reprenant les critères d’immunité de SecNumCloud ; plusieurs États membres, l’Allemagne en tête, s’y opposent. Tant que cette négociation n’aura pas abouti, SecNumCloud reste la référence nationale sans équivalent européen opérationnel.

Comment structurer votre projet cloud souverain

Ayant accompagné plusieurs organisations dans leur migration vers des offres SecNumCloud, quelques points pratiques méritent l’attention.

Cartographier avant de migrer. Toutes les données ne justifient pas SecNumCloud. Distinguez les données sensibles des données non critiques. Appliquez le référentiel là où il a du sens, sur les workloads les plus exposés.

Vérifier le périmètre exact. Un prestataire qualifié peut ne pas l’être pour toutes ses offres. Demandez l’attestation et vérifiez les services, régions et fonctionnalités effectivement couverts.

Anticiper les contraintes fonctionnelles. Les offres SecNumCloud n’intègrent pas toujours les dernières fonctionnalités des hyperscalers américains. Évaluez les écarts et adaptez votre architecture.

Négocier les clauses contractuelles. La qualification SecNumCloud n’exonère pas de la rédaction d’un contrat complet : accord de sous-traitance RGPD, SLA, réversibilité, localisation précise, droit d’audit.

Former vos équipes. L’administration d’un cloud souverain diffère de celle d’AWS ou Azure. Investir dans la formation technique et juridique de vos équipes est indispensable — c’est ce que vise également le guide ANSSI pour les TPE/PME.

Ce qu’il faut retenir

• SecNumCloud est la qualification délivrée par l’ANSSI aux prestataires cloud offrant le plus haut niveau de sécurité et de souveraineté en France.
• La version 3.2, en vigueur depuis 2022, intègre les exigences d’immunité contre les législations extraterritoriales (CLOUD Act, FISA, etc.).
• Elle est obligatoire pour les administrations hébergeant des données sensibles et fortement recommandée pour les OIV, OSE et entités NIS2.
• Outscale, OVHcloud, Oodrive, NumSpot, Cloud Temple et plusieurs autres acteurs français proposent désormais des offres qualifiées ; la liste officielle est tenue par l’ANSSI.
• SecNumCloud dépasse l’ISO 27001 et la HDS sur le volet souveraineté, notamment grâce aux critères d’actionnariat et de localisation.
• L’aboutissement du schéma européen EUCS avec un niveau équivalent reste un enjeu politique majeur pour 2026-2027.

FAQ

SecNumCloud est-il obligatoire pour toutes les entreprises ?

Non. L’obligation stricte ne concerne que les administrations d’État hébergeant des données sensibles, en application de la doctrine « cloud au centre ». Pour les entreprises privées, SecNumCloud est une recommandation qui devient de fait un standard pour les secteurs régulés (finance, santé, défense, énergie) et pour les entités essentielles au titre de NIS2.

Combien coûte une offre SecNumCloud par rapport à AWS ou Azure ?

Les offres SecNumCloud sont généralement plus onéreuses — de l’ordre de 20 à 50 % selon les services — en raison d’une moindre mutualisation et d’exigences de sécurité renforcées. Ce surcoût doit s’apprécier au regard du risque juridique et opérationnel évité, notamment pour les données soumises à des obligations de souveraineté.

Combien de temps dure le processus de qualification pour un prestataire ?

Le processus complet prend généralement 18 à 30 mois, incluant la préparation documentaire, la mise en conformité technique, les audits par un organisme agréé et l’instruction par l’ANSSI. La qualification est ensuite valable 3 ans avec un audit de surveillance annuel.

Un cloud américain peut-il obtenir SecNumCloud ?

Non, pas directement. L’exigence d’immunité extraterritoriale exclut les entreprises dont la maison mère est soumise au CLOUD Act ou à des législations équivalentes. Les offres comme Bleu (Microsoft/Capgemini/Orange) ou S3NS (Google/Thales) reposent sur des coentreprises de droit français visant à isoler juridiquement la gestion des données ; leur qualification effective reste conditionnée au respect strict du référentiel 3.2.

---

Recevez chaque semaine nos analyses sur la conformité RGPD, NIS2 et la cybersécurité. Inscrivez-vous à notre newsletter pour suivre l’évolution du cloud de confiance et les publications ANSSI.