SecNumCloud — Qualification ANSSI cloud souverain

Définition

SecNumCloud est la qualification de l'ANSSI (Agence nationale de la sécurité des systèmes d'information) pour les services de cloud computing offrant un haut niveau de sécurité et de protection juridique. Elle est encadrée par un référentiel public — la version en vigueur est 3.2 (mars 2022).

Pour être qualifié SecNumCloud, un fournisseur de cloud doit satisfaire trois familles d'exigences :

1. Exigences techniques étendues couvrant la sécurité physique, la cryptographie, l'authentification, le cloisonnement, la détection.
2. Exigences organisationnelles alignées sur ISO 27001 et complétées.
3. Exigences juridiques : siège social dans l'UE, capital majoritairement détenu par des entités UE, absence d'extraterritorialité (immunité au CLOUD Act US et équivalents).

La qualification est délivrée pour 3 ans après audit par un évaluateur lui-même qualifié par l'ANSSI. La liste publique des acteurs qualifiés est tenue à jour sur cyber.gouv.fr.

Pourquoi c'est important pour un hébergeur HDS

SecNumCloud n'est pas obligatoire pour la certification HDS. Mais c'est de fait le plus haut niveau d'exigence de souveraineté disponible en France. Les acheteurs publics et les SI sensibles (santé classifiée, recherche clinique, données génétiques) le considèrent comme un signal différenciant fort.

Trois bénéfices clés :

1. Immunité aux lois extraterritoriales : le CLOUD Act (2018) et le FISA 702 permettent aux autorités US de réquisitionner des données détenues par des entreprises sous juridiction US — même hébergées en France. Un acteur SecNumCloud est statutairement protégé.
2. Référentiel de très haut niveau technique : 363 exigences réparties sur ~30 domaines de sécurité.
3. Marché public : la doctrine « Cloud au Centre » de l'État (octobre 2021, mise à jour 2023) impose SecNumCloud pour les SI sensibles de l'administration.

Comment ce critère est attribué dans le comparateur

• ✓ Qualifié : présence dans la liste officielle SecNumCloud publiée par l'ANSSI sur cyber.gouv.fr, avec date de qualification active.
• ◔ En cours : l'acteur communique publiquement (CP, page conformité) sur une démarche de qualification en cours auprès de l'ANSSI.
• ? Non documenté : ni présent dans la liste, ni démarche annoncée publiquement.

L'ANSSI maintient la liste de référence — c'est la seule source faisant foi. Les communications marketing « SecNumCloud-compatible » ou « SecNumCloud-ready » n'ont aucune valeur tant qu'elles ne sont pas confirmées par l'inscription au catalogue officiel.

Pour quel profil c'est critique

Comment un hébergeur peut se conformer

SecNumCloud est un investissement lourd, mesuré en années :

• An 1 : analyse d'écart vs référentiel 3.2 (gap analysis), plan de remédiation, choix de l'évaluateur.
• An 1-2 : remédiation technique et organisationnelle (souvent 200-500 jours-homme), refonte éventuelle de l'architecture multi-tenant.
• An 2 : audit initial par l'évaluateur qualifié. Délais ANSSI 4-8 mois entre dépôt et qualification effective.
• An 3+ : surveillance, audits intermédiaires.

Coût indicatif : 300 000 € à plusieurs millions d'euros selon la taille de l'infrastructure et la maturité de départ.

Référence : doctrine Cloud au Centre, référentiel SecNumCloud 3.2.

Plus-value vs coût

Pour un fournisseur cloud, c'est un investissement long mais qui débloque un marché : l'État + tout un segment de SI sensibles dont les acheteurs ne peuvent juridiquement signer que SecNumCloud.

Pour un client, SecNumCloud répond à une question précise : « les données peuvent-elles être réquisitionnées par les autorités US ? ». Si la réponse doit être « non » avec certitude (santé sensible, défense, finances stratégiques), SecNumCloud est aujourd'hui le seul standard reconnu en France.

FAQ

Quelle différence entre SecNumCloud et HDS ? HDS est sectoriel (données de santé en France). SecNumCloud est transverse (tous secteurs où la souveraineté importe). Un acteur peut être HDS sans SecNumCloud (la majorité). Un acteur SecNumCloud n'est pas automatiquement HDS — il doit en plus passer la certification ANS.

Et EUCS au niveau européen ? EUCS (European Cybersecurity Certification Scheme for Cloud Services) est en cours de finalisation par l'ENISA. Lorsqu'il sera publié, son niveau « high » devrait être très proche de SecNumCloud. Pour l'instant, SecNumCloud reste la référence française.

Pourquoi si peu d'acteurs sont qualifiés ? Le référentiel est exigeant ET inclut l'exigence juridique d'absence d'extraterritorialité. Cela exclut de facto tous les hyperscalers américains (AWS, Azure, Google) et leurs joint-ventures « européanisées » tant que la maison-mère reste sous juridiction US.

Un acteur « SecNumCloud en cours » est-il un signal positif ? Oui, mais à pondérer. Une démarche annoncée publiquement avec un évaluateur cité est un signal d'engagement. Une mention « SecNumCloud ready » sans précision sur l'évaluateur, la date cible, ni le périmètre est marketing.

Glossaire

• Cloud au Centre : doctrine de l'État français (octobre 2021) imposant SecNumCloud pour les SI sensibles de l'administration.
• CLOUD Act : loi US (Public Law 115-141, 2018) permettant aux autorités américaines de réquisitionner des données détenues par des entreprises sous juridiction US.
• FISA 702 : section 702 du Foreign Intelligence Surveillance Act US, autorisant la collecte de données de non-Américains hors US.
• EUCS : schéma européen de certification cloud en cours de finalisation par l'ENISA.