Guide de la qualification SecNumCloud
Souveraineté, sécurité et acteurs clés du cloud de confiance français
Résumé exécutif
SecNumCloud est une qualification stratégique établie par l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) pour garantir un niveau élevé de sécurité et de confiance pour les services cloud en France. Face à la criticité croissante des données et à la nécessité d'affirmer une souveraineté numérique, ce référentiel s'impose comme incontournable, particulièrement pour les entités publiques, les Opérateurs d'Importance Vitale (OIV) et les Opérateurs de Services Essentiels (OSE).
Le concept de "Cloud de Confiance", intrinsèquement lié à SecNumCloud, assure que les données hébergées sont protégées contre les ingérences étrangères et les lois extraterritoriales. Des acteurs majeurs comme Outscale (premier à obtenir la qualification SecNumCloud 3.2 pour son IaaS), S3NS (co-entreprise Thales et Google Cloud) et Scaleway (fournisseur européen en démarche de qualification) illustrent le dynamisme de cet écosystème.
Comprendre SecNumCloud : le standard français pour les services cloud de confiance
Qu'est-ce que SecNumCloud ?
SecNumCloud est une qualification établie en 2016 par l'ANSSI. Cette autorité nationale de sécurité et de défense des systèmes d'information délivre des "Visas de sécurité ANSSI" aux solutions attestant d'un niveau élevé de confiance. Le référentiel SecNumCloud a été spécifiquement conçu pour qualifier les prestataires de services d'informatique en nuage.
Il ne s'agit pas d'une simple liste de contrôles techniques, mais d'une évaluation exhaustive de la capacité d'un prestataire à protéger les données qui lui sont confiées.
Objectifs clés
L'objectif premier de SecNumCloud est de promouvoir, enrichir et améliorer l'offre de prestataires de cloud à destination des entités désireuses d'externaliser l'hébergement de leurs données, applications ou systèmes d'information. Un des buts fondamentaux est d'assurer une protection contre les lois extra-européennes, garantissant que les données demeurent sous la juridiction de l'Union Européenne.
Ces objectifs répondent directement aux préoccupations de confidentialité, d'intégrité et de disponibilité des données, notamment face aux législations étrangères permissives en matière de surveillance.
Aspects clés de SecNumCloud
- Autorité émettrice : ANSSI
- Année de création : 2016
- Dernière version : 3.2
- Services concernés : IaaS, PaaS, SaaS, CaaS
- Validité : 3 ans (avec audits annuels)
- Exigences : Techniques, opérationnelles, juridiques
Portée de SecNumCloud
La qualification SecNumCloud est accessible aux fournisseurs de services d'Infrastructure en tant que Service (IaaS), de Plateforme en tant que Service (PaaS), de Logiciel en tant que Service (SaaS) et de Conteneur en tant que Service (CaaS). Cette large applicabilité assure que les différentes couches de la pile cloud peuvent être sécurisées sous un standard français unifié.
Importance dans le contexte français et européen
SecNumCloud occupe une place centrale dans la doctrine française "Cloud au centre", qui impose aux administrations publiques l'utilisation de solutions qualifiées SecNumCloud pour l'hébergement de leurs données sensibles. Cette qualification assure une protection contre les réglementations non-européennes et est considérée comme un pilier de la souveraineté numérique française.
De plus, SecNumCloud s'aligne sur le niveau d'assurance "élevé" du futur schéma européen de certification des services cloud (EUCS – European Cybersecurity Certification Scheme for Cloud Services) et sert de référence à son élaboration. Cette convergence positionne SecNumCloud non seulement comme un standard technique, mais aussi comme un instrument stratégique de la politique nationale.
La qualification SecNumCloud : exigences et processus rigoureux
Le chemin vers la qualification
Le processus d'obtention de la qualification SecNumCloud est structuré en plusieurs étapes clés, appelées "Jalons". La démarche débute par une prise de contact avec l'ANSSI. Le Jalon 0 (J0) correspond au dépôt du dossier de candidature et à sa validation. S'ensuit le Jalon 1 (J1), durant lequel une stratégie d'évaluation est élaborée en collaboration avec un organisme d'audit accrédité par l'ANSSI.
Le Jalon 2 (J2) comprend l'audit sur site, l'évaluation de la conformité et, si nécessaire, la mise en œuvre de mesures correctives. Enfin, le Jalon 3 (J3) est atteint après validation du rapport d'audit par l'ANSSI, qui octroie alors la qualification. La qualification est valable pour une durée de trois ans et est conditionnée par des audits de surveillance annuels.
| Jalon | Description |
|---|---|
| J0 : Candidature | Dépôt du dossier de candidature auprès de l'ANSSI ; validation de l'éligibilité. |
| J1 : Stratégie d'évaluation | Collaboration avec un organisme d'audit accrédité pour définir le périmètre et le plan d'audit. |
| J2 : Évaluation initiale & remédiation | Audits sur site, évaluation de la conformité, mise en œuvre des mesures correctives si nécessaire. |
| J3 : Décision de qualification | Examen du rapport d'audit par l'ANSSI et octroi de la qualification si tous les critères sont respectés. |
| Post-qualification | Audits de surveillance annuels ; audit de renouvellement complet tous les 3 ans. |
Exigences fondamentales
La version 3.2 de SecNumCloud englobe plus de 360 points d'exigences répartis sur 14 thématiques de sécurité. Celles-ci incluent la politique de sécurité, la sécurité des ressources humaines, le contrôle d'accès, la cryptographie, la sécurité physique et environnementale, la gestion des incidents et la conformité.
Sur le plan technique, les exigences clés comprennent le durcissement des systèmes, l'isolation des réseaux, la mise en place d'interfaces d'administration distinctes et protégées, ainsi qu'une journalisation robuste des événements. D'un point de vue opérationnel, il est requis que seul le prestataire puisse intervenir sur les ressources supportant le service qualifié.
Les exigences juridiques sont particulièrement structurantes. Elles imposent que le prestataire soit établi dans un État membre de l'Union Européenne et soit soumis exclusivement au droit européen, avec des protections spécifiques contre l'application de lois non-européennes. La localisation des données sur le territoire de l'Union Européenne est une condition essentielle.
SecNumCloud 3.2 : protections renforcées
La version 3.2 du référentiel SecNumCloud, publiée en mars 2022, explicite et renforce de manière significative les critères de protection vis-à-vis des lois à portée extraterritoriale. Ces exigences garantissent que le fournisseur de services cloud et les données qu'il traite ne peuvent être soumis à des injonctions légales émanant de pays non-membres de l'UE, telles que le CLOUD Act américain ou le FISA. La société qualifiée doit être soumise exclusivement au droit de l'Union Européenne.
Considérée comme la version la plus exigeante du référentiel, SecNumCloud 3.2 intègre également les retours d'expérience des premières évaluations, notamment en précisant les exigences relatives à la réalisation de tests d'intrusion tout au long du cycle de vie de la qualification. Une autre nouveauté importante est l'introduction du "principe de composition", qui vise à faciliter la qualification de services (par exemple SaaS) s'appuyant sur des plateformes IaaS ou PaaS déjà qualifiées SecNumCloud.
Maintien du standard
La qualification SecNumCloud est octroyée pour une durée maximale de trois ans. Pour la conserver, les prestataires doivent se soumettre à des audits de surveillance annuels. Au terme de cette période de trois ans, un audit de renouvellement complet est nécessaire pour prolonger la qualification. Ce suivi continu prévient que la qualification ne devienne une simple formalité administrative ponctuelle et assure que les prestataires maintiennent durablement des standards de sécurité élevés.
Le caractère rigoureux et multidimensionnel des exigences de SecNumCloud, en particulier dans sa version 3.2, établit une barrière à l'entrée notable. En conséquence, seuls les prestataires ayant démontré un investissement et un engagement substantiels en matière de sécurité et de souveraineté peuvent obtenir cette qualification.
Bénéfices de SecNumCloud pour les organisations et les prestataires
Pour les utilisateurs
Les utilisateurs de services cloud, qu'il s'agisse d'entités publiques ou privées, tirent de multiples avantages de la qualification SecNumCloud :
- Plus haut niveau de sécurité numérique
- Réduction des risques de sécurité
- Protection contre les accès non autorisés
- Conformité avec le RGPD
- Respect de la doctrine "Cloud au centre" pour les administrations
- Garantie de réversibilité des services
Pour les fournisseurs
Pour les fournisseurs de services cloud, l'obtention de la qualification SecNumCloud représente un investissement stratégique majeur :
- Avantage concurrentiel significatif
- Renforcement de l'image de marque
- Listing officiel par l'ANSSI
- Accès aux marchés de la défense et du secteur public
- Opportunités avec les OIV et OSE
- Alignement avec les standards européens
Acteurs SecNumCloud en lumière
Outscale (Dassault Systèmes)
Premier opérateur cloud qualifié SecNumCloud 3.2
Outscale, une marque de Dassault Systèmes, est le premier opérateur à avoir obtenu le visa SecNumCloud 3.2 pour ses services de Cloud Public (IaaS - "Cloud on Demand") en décembre 2023. Outscale avait déjà obtenu une première qualification SecNumCloud en 2019, démontrant un engagement continu envers les plus hauts standards de sécurité.
Le service qualifié est l'offre "IaaS Cloud on Demand", qui repose sur des infrastructures robustes et sécurisées. Une particularité notable d'Outscale est d'être le seul fournisseur à proposer des GPU sur un cloud public qualifié SecNumCloud 3.2, répondant ainsi aux besoins d'intelligence artificielle. Les services IaaS couvrent le calcul, le stockage objet, le stockage bloc, et des services réseau.
Outscale garantit une immunité face aux lois extraterritoriales, permet le choix de la localisation des données en France et assure que les opérations et le support technique sont effectués depuis la France par des équipes dédiées. L'orchestrateur cloud d'Outscale est développé en France. L'entreprise s'aligne explicitement sur la doctrine "Cloud au centre" et se positionne comme un partenaire stratégique pour les institutions publiques, les acteurs de la santé et les OIV.
S3NS (Thales et Google Cloud)
Construction du "Cloud de Confiance"
S3NS est une co-entreprise formée par Thales, leader français de la cybersécurité (actionnaire majoritaire), et Google Cloud, un des leaders mondiaux du cloud. S3NS est une société de droit français dont la mission est de proposer une offre de "Cloud de Confiance" répondant aux exigences SecNumCloud 3.2.
L'offre "Trusted Cloud by S3NS" vise l'obtention du label SecNumCloud 3.2. Elle a pour ambition de proposer un catalogue de services "quasi-miroir" des services standards de Google Cloud Platform (GCP) en termes de fonctionnalités, couvrant les modèles IaaS et PaaS. Une première offre, "Local Controls with S3NS", est déjà disponible avec résidence des données en France et gestion des clés de chiffrement par S3NS.
La candidature de S3NS pour la qualification SecNumCloud 3.2 a été acceptée par l'ANSSI le 14 juillet 2024. L'objectif est de rendre l'offre SecNumCloud disponible pour les premiers clients adoptants d'ici la fin de l'année 2024, avec une disponibilité générale prévue pour début 2025. L'architecture repose sur une isolation physique et logique par rapport à Google Cloud, avec des centres de données situés en France et accessibles uniquement par le personnel de S3NS.
Scaleway
Fournisseur européen en route vers SecNumCloud
Scaleway, fournisseur de cloud français et filiale du groupe Iliad, a officiellement annoncé son entrée dans le processus de qualification SecNumCloud en janvier 2025. L'entreprise vise un niveau de qualification équivalent à celui des principaux acteurs du cloud.
La qualification cible l'offre "Scaleway Cloud", qui englobe des services IaaS et PaaS. Scaleway détient déjà les certifications ISO 27001 et HDS (Hébergeurs de Données de Santé). L'entreprise met en avant ses racines européennes et son engagement en faveur de la souveraineté des données et de l'indépendance technologique. Ses centres de données sont situés en Europe et alimentés par des énergies renouvelables.
Ces approches différentes vis-à-vis de SecNumCloud illustrent diverses voies stratégiques pour atteindre le statut de "cloud de confiance" en France : Outscale en tant qu'acteur européen établi, S3NS comme tentative de "souverainiser" la technologie d'un hyperscaler, et Scaleway en tant que challenger européen.
Analyse comparative et choix d'un fournisseur SecNumCloud
Différenciateurs clés
La sélection d'un fournisseur SecNumCloud nécessite une analyse comparative basée sur plusieurs critères essentiels, notamment le statut de qualification, les offres de services et les garanties de souveraineté.
| Caractéristique | Outscale | S3NS | Scaleway |
|---|---|---|---|
| Statut SecNumCloud | Qualifié SecNumCloud 3.2 (IaaS) | En qualification SecNumCloud 3.2 (IaaS, PaaS) | En qualification SecNumCloud (IaaS, PaaS) |
| Services clés | Cloud on Demand (Calcul, Stockage, Réseau, GPU, OKS) | Services basés sur GCP (Calcul, Stockage, PaaS) | Scaleway Cloud (Calcul, Stockage, PaaS) |
| Technologie | Propriétaire Outscale | Google Cloud Platform (opéré par S3NS) | Propriétaire Scaleway |
| Souveraineté | Immunité lois extra-UE, Données/Opérations en France | Vise l'immunité, Données/Opérations en France | Vise l'immunité, Données/Opérations en Europe/France |
| Cas d'usage | Secteur Public, OIV/OSE, IA, Santé | Secteur Public, Organisations privées | Entreprises générales, focus européen |
Considérations pour la sélection d'un fournisseur
Le choix d'un fournisseur SecNumCloud doit être méticuleusement aligné sur les besoins spécifiques de l'organisation. Pour le secteur public, les OIV et les OSE, la conformité à la doctrine "Cloud au centre" et les garanties d'immunité aux lois extraterritoriales sont primordiales.
Les critères de sélection à considérer incluent :
- L'urgence du besoin : Outscale offre une solution qualifiée immédiatement disponible, tandis que S3NS et Scaleway sont en cours de qualification.
- Le type de services requis : Outscale est fort sur l'IaaS qualifié. S3NS ambitionne une large couverture des services PaaS de GCP. Scaleway vise également IaaS et PaaS.
- L'appétence au risque : Le modèle de S3NS, bien que prometteur, est plus récent et sa pleine démonstration de souveraineté sera suivie de près.
- La pile technologique existante : Une organisation déjà familière avec l'écosystème GCP pourrait être attirée par l'offre de S3NS.
- La nature des données : Des données de sensibilité extrême peuvent imposer des exigences allant au-delà du standard SecNumCloud.
- Le périmètre de qualification : Vérifier que les services spécifiques envisagés sont bien couverts par la qualification du prestataire.
L'avenir du cloud de confiance : SecNumCloud, EUCS et évolution des standards
Le paysage du cloud de confiance est en constante évolution, façonné par des initiatives nationales comme SecNumCloud et des cadres réglementaires européens. La version 3.2 de SecNumCloud est en phase avec le niveau d'assurance "élevé" du futur schéma européen de certification des services cloud (EUCS). Cette harmonisation vise à éviter la fragmentation du marché européen de la sécurité du cloud.
La directive NIS2 (Network and Information Systems Security 2) renforce également les exigences de cybersécurité pour un large éventail d'entités en Europe, complétant SecNumCloud pour les infrastructures critiques. Parallèlement, d'autres référentiels, comme celui de l'Hébergement de Données de Santé (HDS), évoluent pour s'aligner davantage sur les principes de souveraineté portés par SecNumCloud.
Développements récents (2024-2025)
- S3NS : L'ANSSI a accepté la demande de qualification SecNumCloud de S3NS le 14 juillet 2024.
- Scaleway : A annoncé son entrée officielle dans le processus de qualification SecNumCloud en janvier 2025.
- Bleu (co-entreprise Capgemini et Orange) : L'ANSSI a validé le jalon J0 de sa qualification SecNumCloud 3.2 le 17 avril 2025.
- ANSSI : A publié son rapport d'activité 2024 et des recommandations pour le déploiement d'infrastructures OpenStack pour des services IaaS SecNumCloud en avril 2024.
L'interaction entre SecNumCloud et l'EUCS sera déterminante. Si le niveau "élevé" de l'EUCS reflète véritablement les exigences de souveraineté de SecNumCloud 3.2, cela pourrait rehausser les standards de protection des données à travers l'UE. Les démarches récentes de Bleu, S3NS, et Scaleway vers la qualification SecNumCloud 3.2 suggèrent une forte conviction du marché quant à la valeur de ce niveau d'exigence élevé.
L'évolution continue des standards signifie que l'atteinte de la conformité n'est pas un objectif statique mais un processus continu. Les fournisseurs de cloud et leurs clients doivent cultiver l'agilité et la prospective pour naviguer efficacement dans ce paysage réglementaire dynamique.
Conclusion : naviguer dans le paysage SecNumCloud
La qualification SecNumCloud s'est affirmée comme un pilier de la stratégie française en matière de cybersécurité et de souveraineté numérique. Pour les organisations opérant en France ou manipulant des données sensibles françaises, elle offre un cadre robuste garantissant un niveau élevé de sécurité et de protection contre les ingérences extraterritoriales.
Les prestataires tels qu'Outscale, avec sa qualification SecNumCloud 3.2 pour son IaaS public, S3NS, avec son ambition d'allier la technologie Google Cloud à la souveraineté française, et Scaleway, acteur européen en voie de qualification, illustrent la diversité et le dynamisme de cet écosystème.
Bien que SecNumCloud fournisse un référentiel de confiance solide, il demeure impératif pour chaque organisation de mener sa propre diligence raisonnable. Cette évaluation doit tenir compte de son profil de risque spécifique, de la nature des données traitées, des services cloud requis et des garanties contractuelles offertes par le prestataire.
L'évolution constante des menaces et des cadres réglementaires, tant au niveau national qu'européen avec l'EUCS, souligne l'importance d'une veille continue et d'une adaptation proactive. SecNumCloud, par sa rigueur et son alignement avec les plus hautes exigences de souveraineté, continuera de jouer un rôle central dans la construction d'un espace numérique de confiance en France et en Europe.
Besoin d'accompagnement pour votre stratégie cloud de confiance ?
Nos experts peuvent vous aider à évaluer vos besoins en matière de cloud souverain et à choisir la solution adaptée à vos enjeux de sécurité et de conformité.