Newsletters

Trois questions sur le visa de sécurité SecNumCloud

Elaboré en 2016 par l'Agence nationale de la sécurité des systèmes d'information, le visa de sécurité "SecNumCloud" permet de rendre facilement identifiables les services de cloud (IaaS, PaaS et SaaS) présentant un haut niveau de sécurité. Actuellement, sept prestataires sont qualifiés et une dizaine souhaite le devenir, dont des hyperscalers. Or, avec les négociations sur le schéma européen de certification cloud, l'avenir du visa - considéré comme un avantage concurrentiel par ses détenteurs - est devenu très incertain. 

Alice Vitard
Cloud
Pixabay
Cloud

1. SecNumCloud est-il synonyme de "cloud de confiance" ou "cloud souverain" ?

Depuis quelques années, les notions de "cloud de confiance" ou de "cloud souverain" reviennent très régulièrement, notamment dans le discours commercial des fournisseurs de cloud pour assurer à leurs clients et futurs clients que leurs offres sont imperméables aux lois extra-territoriales. Il est indispensable de préciser que ces termes n'ont aucune existence juridique. Aujourd'hui, seules les offres ayant reçu le visa de sécurité "SecNumCloud" peuvent être qualifiées de "confiance" au sens technico-juridique. C'est d'ailleurs le vocabulaire choisi par l'Agence nationale de la sécurité des systèmes d'information (Anssi) elle-même : elle parle de "prestataire de confiance". C'est, en effet, l'objectif initial du label : permettre une identification facile des fournisseurs de cloud proposant le plus haut niveau de sécurité. 

Ce label s'adresse donc à des entités qui hébergent des données sensibles. En d'autres termes, il s'agit du secteur public ainsi que les opérateurs d'importance vitale (OIV) et OSE (opérateurs de services essentiels). La liste des OIV/OSE est couverte par le secret de la défense nationale. A ce titre, il est plutôt rare qu'une entreprise qualifiée communique sur ses clients. 

C'est à la suite de la promulgation de la loi de programmation militaire de 2013 que l'Anssi s'est entourée de neuf acteurs du secteur pour former un groupe de travail et réfléchir à un visa de sécurité. Fin 2016, la première version de SecNumCloud est publiée. Depuis, le référentiel a été mis à jour avec une version 3.2, entrée en vigueur le 8 mars 2022. Elle a explicité les critères de protection vis-à-vis des lois extra-territoriales. Les exigences garantissent que le fournisseur de services et les données qu'il traite ne peuvent pas être soumis à des législations non européennes. 

Comme l'explique l'Anssi, le référentiel a été conçu sans présupposition quant aux technologies utilisées. Autrement dit, les prestataires offrant des services de type SaaS (Software as a service), PaaS (Platform as a service), IaaS (Infrastructure as a service) et CaaS (Container as a Service) peuvent candidater à l'obtention du label. Il est également important de préciser que la qualification ne préjuge pas du niveau de sécurité d'un service hébergé sur une offre de cloud SecNumCloud. Rappelons également que SecNumCloud vient reconnaître une offre de cloud spécifique et non pas un fournisseur de cloud, ni une infrastructure.

Sur le fond, SecNumCloud couvre des exigences relatives au prestataire de services, à son personnel et au déroulement des prestations. Le coeur du label est la protection contre les lois étrangères. C'est en sens que l'on pourrait parler de cloud "souverain". Cette immunité est reconnue grâce à la combinaison de trois types de mesures : techniques (étanchéité des systèmes d'information), opérationnelles (seul le prestataire peut intervenir sur les ressources supportant le service) et juridiques (application exclusive du droit européen). En ligne de mire : la possibilité pour les agences américaines d'exiger des fournisseurs américains de cloud de leur fournir les données hébergées par leurs soins, même si les centres de données sont situés en dehors des Etats-Unis (dans l'Union européenne, par exemple). 

En pratique, le référentiel est valable pour une durée de trois ans et est conditionné au respect des engagements du prestataire pendant cette durée. Elle est suivie au moyen des audits annuels de surveillance. Au terme des trois ans, le prestataire peut demander le renouvellement du label. Le processus de qualification démarre à la réception par l'Anssi du dossier de demande de qualification puis comporte quatre jalons : J0 qui est l'acceptation de la demande de qualification ; J1 qui est l'acceptation de la stratégie d'évaluation ; le J2 est l'acceptation des travaux d'évaluation ; J3 qui est la décision de qualification.

2. Quels sont les prestataires qualifiés et ceux dans la course ?

La liste des prestataires de cloud qualifiés est publique. Il s'agit d'Outscale (filiale cloud de Dassault Systèmes), Oodrive, Wordline, OVHcloud, Cloud Temple, Whaller et Index Education. L'Anssi publie également la liste des prestataires en cours de qualification. A noter que seuls apparaissent les projets de qualification que les entreprises ont accepté de rendre publics. Il s'agit de Cegedim.cloud pour sa solution IaaS CegNumCloud, Ecritel pour son IaaS et son PaaS, Free Pro pour son cloud privé, Orange Business pour deux offres IaaS, OVHcloud pour son offre Bare Metal Pod, SFR Business pour son offre IaaS ainsi que Thales avec S3NS, sa co-entreprise avec Google.

Depuis quelques années, les entreprises communiquent davantage sur l'entrée dans le processus de qualification. Face à ces pratiques, l'Agence a rappelé quelques principes à respecter, parmi lesquels l'interdiction pour une entreprise d'utiliser le logo du visa de sécurité ni afficher la qualification si elle ne l'a pas officiellement reçu. Aussi, tout communiqué de presse évoquant le processus de qualification SecNumCloud de l’Anssi devra préalablement être partagé à "industries@ssi.gouv.fr" pour validation.

3. Quel est l'avenir du visa de sécurité ?

A l'échelle de la France, l'arrivée d'offres dites "hybrides" sur le marché challenge inévitablement le référentiel qui, à l'origine, avait été conçu pour des acteurs français. C'est Thales qui le premier s'est rapproché de Google pour lancer "S3NS" leur co-entreprise. Le but : proposer les services de l'hyperscaler dans un environnement ultra-sécurisé. S3NS est entré dans le processus de qualification (J0). De leurs côtés, Orange et Capgemini ont lancé "Bleu" dont l'objectif est de distribuer les services de Microsoft dans un environnement qualifié. Il n'a, en revanche, pas encore lancé le processus de certification. 

La position de l'Anssi est donc cruciale : si elle décide que les offres franco-américaines peuvent être certifiées SecNumCloud, elle mettra à mal les providers français, qui n'arrivent déjà pas du tout à faire le poids face aux mastodontes américains. Sous l'ère Poupard, désormais remplacé par Vincent Strubel, la position de l'Agence était assez claire. "Sur le cloud de confiance, on ne parle de souveraineté absolue. On n'est pas capable du cloud de haut niveau en France aujourd'hui avec des technologies exclusivement françaises développées en France", avait déclaré l'ancien directeur général de l'Anssi au Sénat le 5 octobre 2022 lors d'une audition sur le projet de loi de finances 2023. Tout en déclarant que "les Gafam" proposaient des services robustes en matière de sécurité, il reconnaissait qu'il existait "des risques résiduels très importants" sous l'angle "juridique". "C'est là où c'est important de travailler sur des solutions d'éliminer ces risques juridiques, a-t-il jugé puis ajoutant d'emblée. Ces solutions [hybride] nous semblent indispensables pour couvrir l'ensemble du marché."

L'avenir du référentiel se joue également dans l'application de la loi du 21 mai 2024 visant à sécuriser et réguler l'espace numérique (SREN). Son article 31 a gravé dans le marbre la doctrine gouvernementale "Cloud au centre". Ainsi, il prévoit que lorsque les administrations de l'Etat, ses opérateurs et les groupements d'intérêt public souhaitent héberger certaines catégories de données dans un cloud commercial, ils doivent s'assurer que ce dernier met en oeuvre "des critères de sécurité et de protection des données garantissant notamment la protection des données traitées ou stockées contre tout accès par des autorités publiques d'Etats tiers non autorisé par le droit de l'Union européenne ou d'un Etat membre". Il s'agit des données qui relèvent de secrets protégés par la loi ainsi que des données nécessaires à "l'accomplissement des missions essentielles de l'Etat, notamment la sauvegarde de la sécurité nationale, le maintien de l'ordre public et la protection de la santé et de la vie des personnes".

Notons que le texte ne cite pas le référentiel SecNumCloud. Une précision d'autant plus importante qu'il renvoie à un futur décret qui devra préciser les critères de sécurité et de protection, "y compris en termes de détention du capital". Egalement, l'article prévoit la possibilité d'une dérogation accordée par le Premier ministre sans qu'elle ne "puisse excéder dix-huit mois à compter de la date à laquelle une offre de services d'informatique en nuage acceptable est disponible en France". Il reste donc à voir comment ces nouvelles obligations vont s'articuler avec le référentiel. 

L'avenir de SecNumCloud est également conditionné au schéma européen de certification cloud (EUCS pour European Union Cybersecurity Certification Scheme for Cloud Services), dont l'objectif est d'harmoniser les certifications à l'échelle européenne. Alors que le premier projet a été publié en 2020, il n'a toujours pas de version définitive. Les Etats membres s'écharpent sur les critères de protection contre les lois extra-territoriales, américaines en premier lieu.

La dernière version de l'EUCS – ayant fuité dans la presse mais qui n'a jamais été publiée – a supprimé les exigences de souveraineté pour le niveau le plus élevé du label (high). Elles ont été remplacées par des obligations beaucoup plus souples qui ouvriraient la possibilité aux entreprises étrangères d'obtenir le niveau le plus élevé et ainsi d'héberger des données dans des secteurs sensibles. Or, la France, qui souhaite un niveau "High" à la hauteur de SecNumCloud, est isolée. Alors que le marché du cloud qualifié semble véritablement décollé, les entreprises tricolores se verraient déposséder de leur avantage concurrentiel. 

Les plus lus : Data protection
  1. Digital Omnibus : Faut-il craindre la réforme qui bouscule le RGPD, l'encadrement de l'IA et la cybersécurité ?
  2. Google Cloud va fournir une infrastructure "air-gapped" à l'OTAN pour plusieurs millions de dollars
  3. Cyberattaque : Colis Privé signale un accès non autorisé à ses systèmes ayant exposé des données clients
  4. A l'Urssaf, le service Pajemploi victime d'un vol de données concernant "jusqu'à 1,2 million de salariés"
  5. Cloud de confiance : Bleu passe le jalon J1 pour la qualification SecNumCloud 3.2
  6. Soutenus par l'État chinois, des pirates ont pris le contrôle de Claude Code pour mener une opération de cyberespionnage orchestrée par l'IA
Newsletter L'Usine Digitale
Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.
Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes…
Cherche talents numériques
Emploi numérique
Ingénieur AMOA (h/f)
ADECCO - 23/02/2026 - CDI - LAVAL
Responsable Informatique (h/f)
LHH Recruitment Solutions - 24/02/2026 - CDI - MULHOUSE
Tous les postes disponibles
Les webinars
Tout voir
Tech
Projets tech et carrière : découvrez le quotidien de deux experts chez Accenture
31 mars 2026 - 12h00
45 min
102 inscrit(s)
Contenu proposé par ACCENTURE
Voir le replay
Tech
[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités
18 novembre 2025 - 10h00
45 min
188 inscrit(s)
Contenu proposé par Salesforce
Voir le replay
Marketing
Performance et IA : les nouvelles priorités digitales du secteur des médias
5 juin 2025 - 09h00
45 min
402 inscrit(s)
Contenu proposé par Salesforce
Voir le replay