Glossaire · Cloud souverain UE SecNumCloud (ANSSI Cloud Computing Security Qualification)
Qualification de l'agence nationale française de cybersécurité (ANSSI) pour les services cloud. Combine un socle de sécurité de haut niveau avec des exigences de souveraineté (immunité face au droit non européen). Fondement technique du label Cloud de Confiance.
## Ce qu'est réellement SecNumCloud
SecNumCloud est la qualification de sécurité du cloud computing délivrée par l'**ANSSI** (Agence nationale de la sécurité des systèmes d'information) — l'agence nationale française de cybersécurité. La version actuelle, **SecNumCloud 3.2**, publiée en 2022, a considérablement renforcé les critères de souveraineté antérieurs.
SecNumCloud sert de socle technique au label plus large [Cloud de Confiance](/fr/glossary/cloud-de-confiance/). Là où Cloud de Confiance est le cadre politique global, SecNumCloud est la qualification technique spécifique.
## Ce qu'exige SecNumCloud
SecNumCloud 3.2 impose environ **300 contrôles de sécurité** répartis dans plusieurs domaines, notamment :
### Sécurité technique
- Contrôles cryptographiques (algorithmes alignés FIPS, gestion des clés sous contrôle UE)
- Segmentation réseau et isolation du trafic
- Journalisation d'audit et détection d'incidents
- Gestion des vulnérabilités et patching
- Sauvegarde et reprise après sinistre
### Sécurité opérationnelle
- Contrôle du personnel ayant un accès administratif (doit résider dans l'UE)
- Sécurité physique des centres de données
- Procédures opérationnelles avec gestion formelle des changements
- Sécurité de la chaîne d'approvisionnement
### Souveraineté (l'élément différenciant)
SecNumCloud 3.2 a introduit des exigences explicites de souveraineté qui le distinguent des standards internationaux comme ISO 27001 :
- **Aucune exposition au droit extraterritorial** : le fournisseur doit être structurellement immunisé contre le droit non européen, y compris la [CLOUD Act](/fr/glossary/cloud-act/) et FISA 702
- **Structure corporative contrôlée dans l'UE** : majorité européenne ; aucune société mère étrangère avec contrôle effectif
- **Résidence des données dans l'UE** : les données client et métadonnées doivent rester dans l'UE
- **Personnel UE** : le personnel disposant d'un accès administratif doit résider dans l'UE et être soumis au droit de l'UE
Les exigences de souveraineté expliquent pourquoi la plupart des hyperscalers américains ne peuvent atteindre SecNumCloud que via des coentreprises avec des sociétés françaises (S3NS, Bleu).
## Comment fonctionnent les audits SecNumCloud
Le processus de qualification comprend :
1. **Candidature** auprès de l'ANSSI
2. **Audit par un laboratoire d'évaluation Common Criteria qualifié par l'ANSSI** (Centre d'évaluation de la sécurité des technologies de l'information, CESTI)
3. **Revue technique** par l'ANSSI
4. **Octroi de la qualification** si les critères sont satisfaits
5. **Recertification périodique** (généralement tous les 3 ans)
L'audit est étendu et coûteux — typiquement 12 à 18 mois et plusieurs centaines de milliers d'euros pour un prestataire crédible. Cette barrière garantit que seuls les acteurs sérieux du cloud souverain l'obtiennent.
## Fournisseurs actuellement qualifiés (sélection)
À l'horizon 2026, les fournisseurs détenant la qualification SecNumCloud 3.2 incluent :
- **OVHcloud** (offres spécifiques)
- **Outscale** (Dassault Systèmes)
- **S3NS** (technologie Google Cloud sous contrôle Thales)
- **Bleu** (technologie Microsoft Azure Capgemini/Orange, en cours de qualification)
- **Numspot** (coentreprise Docaposte/Bouygues/Dassault/Banque des Territoires)
- **Worldline** (offres spécifiques)
- Divers prestataires spécialisés plus petits
La liste est délibérément restreinte — SecNumCloud est positionné comme un signal de haute assurance, pas comme une certification de commodité.
## Pourquoi SecNumCloud importe
### 1. La référence pour la souveraineté du cloud
SecNumCloud 3.2 a fixé la référence technique et structurelle de ce que signifie une 'vraie' souveraineté du cloud. D'autres dispositifs nationaux européens (BSI C5, ACN italien, ENS espagnol) convergent de plus en plus vers des modèles similaires.
### 2. Porte d'entrée des marchés publics
La 'doctrine cloud au centre' française (doctrine du cloud-first) impose un cloud qualifié SecNumCloud pour les charges de travail sensibles du secteur public. Il s'agit d'un pipeline de marchés publics de plusieurs milliards d'euros.
### 3. Opérateurs de services essentiels (NIS2)
Les opérateurs de services essentiels [NIS2](/fr/glossary/nis2/) en France se tournent de plus en plus vers SecNumCloud comme la façon canonique de démontrer la sécurité du cloud. Les orientations de l'ANSSI au titre de NIS2 renvoient directement à SecNumCloud.
### 4. Le modèle pour EUCS High
Le niveau 'High' du dispositif [EUCS](/fr/glossary/eucs/) contesté — s'il est finalisé avec des critères de souveraineté — reproduirait probablement de près SecNumCloud 3.2.
### 5. Coentreprises avec les hyperscalers
S3NS (Thales + Google Cloud) et Bleu (Capgemini/Orange + Microsoft) existent *à cause de* SecNumCloud. Le modèle de coentreprise est le seul moyen pour la technologie des hyperscalers américains de servir les charges de travail soumises à SecNumCloud.
## SecNumCloud vs SOC 2 / ISO 27001 / BSI C5
| Aspect | SecNumCloud | SOC 2 / ISO 27001 | BSI C5 |
|--------|-------------|---------------------|--------|
| Socle de sécurité | Complet | Complet | Complet |
| Exigences de souveraineté | **Oui (strictes)** | Aucune | Faibles (documente l'exposition) |
| Structure corporative UE | Exigée | Non exigée | Non exigée |
| Immunité au droit étranger | Exigée | Non traitée | Non exigée |
| Rigueur de l'audit | Très élevée | Modérée à élevée | Élevée |
| Coût typique | Élevé | Modéré | Modéré à élevé |
| Marché | Secteurs régulés français | International | Secteurs régulés allemands |
SecNumCloud est unique en combinant un socle de sécurité solide et des critères de souveraineté contraignants.
## Ce que signifie SecNumCloud en pratique
### Pour les acheteurs français
SecNumCloud est l'attente par défaut pour les charges de travail sensibles. Pour les secteurs régulés (banque, santé, défense) et le secteur public, il est de fait obligatoire.
### Pour les fournisseurs cloud européens
La qualification SecNumCloud est un investissement coûteux mais de grande valeur pour servir les marchés régulés français. La certification crée un avantage concurrentiel défendable.
### Pour les hyperscalers américains
La qualification SecNumCloud directe est structurellement impossible en raison de l'exposition à la CLOUD Act. La participation requiert un modèle de coentreprise (S3NS, Bleu) où le partenaire français détient le contrôle majoritaire.
### Pour les entreprises européennes en général
Les fournisseurs qualifiés SecNumCloud sont des options crédibles quelle que soit leur origine nationale. Leur qualification est une preuve significative d'alignement sur la souveraineté.
## Ce qu'apportent 2026-2027
- **SecNumCloud 4.0**, révision anticipée alignée sur NIS2 et les travaux EUCS
- **Extensions pour les charges de travail IA** à mesure que l'ANSSI développe des orientations cloud pour l'AI Act
- **Davantage de qualifications de coentreprises** à mesure que les hyperscalers américains élargissent leurs partenariats européens en JV
- **Convergence avec EUCS** si le dispositif paneuropéen se finalise avec des critères de souveraineté forts
- **Application dans le secteur public** à mesure que les agences françaises achèvent leurs migrations cloud-first
## Implications pratiques
Pour la plupart des acheteurs tech européens :
- **Si vous êtes dans le secteur public français ou un secteur régulé** : SecNumCloud est directement déterminant
- **Si vous servez des clients régulés français** : un cloud qualifié SecNumCloud est de plus en plus requis dans votre chaîne d'approvisionnement
- **Si vous évaluez la souveraineté du cloud de manière large** : SecNumCloud est le cadre européen le plus mature — ses exigences font référence
- **Pour les décisions SaaS quotidiennes** : SecNumCloud est un contexte de fond
Cela vous a-t-il été utile ?
Merci pour votre retour !