Si vous avez côtoyé l'IT du gouvernement français ou les appels d'offres cloud ces deux dernières années, vous avez entendu "SecNumCloud" mentionné avec un mélange de respect prudent et de crainte. Référencé dans les régulations, exigé dans les tenders, traité comme un standard or de cloud souverain — mais beaucoup de gens qui le citent ne l'ont pas réellement lu. Cet article est l'aperçu pour non-experts.
Ce qu'est SecNumCloud
SecNumCloud est un cadre de qualification de sécurité cloud publié par l'ANSSI, l'agence nationale française de cybersécurité. La version actuelle (3.2, avril 2025) est un document de 200+ pages spécifiant les exigences techniques, organisationnelles et juridiques qu'un fournisseur cloud doit respecter pour être qualifié à héberger les données françaises les plus sensibles.
C'est une qualification, pas une certification — l'ANSSI elle-même approuve, pas un auditeur tiers. La barre est suffisamment haute pour que début 2026, seuls quelques fournisseurs aient la qualification complète : 3DS Outscale, OVHcloud (Cloud Avenue), Oodrive, et quelques autres.
Ce qu'elle exige
La version 3.2 a ajouté des exigences explicites de souveraineté qui ferment certaines failles :
- Contrôle UE de la propriété. Le fournisseur doit être contrôlé par des entités UE — plus de 75% des droits de vote détenus par UE, et le contrôle opérationnel (board, executives) basé UE.
- Juridiction UE uniquement. Pas soumis aux lois extraterritoriales d'États tiers (Cloud Act, UK IPA, etc.).
- Infrastructure localisée UE.
- Personnel localisé UE. Le personnel opérationnel impactant les clients doit travailler depuis l'UE.
- Isolation cryptographique. Les données doivent être chiffrées avec des clés techniquement inaccessibles à l'influence non-UE.
- Chaîne d'approvisionnement auditable. Chaque sous-traitant accédant aux données doit indépendamment satisfaire des exigences équivalentes.
Qui en a besoin
SecNumCloud n'est pas requis pour la plupart des workloads. Catégories qui en ont besoin :
- OIV (Opérateurs d'Importance Vitale) — banques, telcos, énergie, eau, transports.
- OSE (Opérateurs de Services Essentiels) sous NIS2 — santé, finance, énergie, eau, infrastructure numérique.
- Gouvernement et secteur public pour workloads sensibles.
- Défense et renseignement.
- Autres entreprises qui choisissent volontairement SecNumCloud comme signal procurement.
Ce que la 3.2 a changé
- A fermé la "faille filiale". Les versions précédentes permettaient à un fournisseur US-headquartered de qualifier une filiale française si certains firewalls existaient. La 3.2 clarifie que le contrôle ultime doit être UE.
- Ajout de langage Cloud Act explicite.
- Renforcement des exigences sous-traitants. Chaque maillon doit indépendamment qualifier.
- Exigences de juridiction du personnel.
Comment fonctionne la qualification
Le fournisseur dépose à l'ANSSI, subit un audit étendu (12-18 mois), et qualifie ou non. Couverture : revue documentaire, inspection technique, visites sur site, entretiens. Qualification valide 3 ans avec audits annuels de surveillance.
Pour les clients FranceVPS
FranceVPS est en cours de qualification — revue documentaire complétée, phase d'audit technique en cours. Complétion attendue : Q3 2026. Pour les clients qui ont besoin d'infrastructure SecNumCloud-qualifiée aujourd'hui, nous recommandons OVHcloud Cloud Avenue ou 3DS Outscale.
Important : une infrastructure non encore SecNumCloud-qualifiée peut être hautement sécurisée et souveraine — la qualification est un cadre spécifique, pas un synonyme de "sécurisé".
Le takeaway
SecNumCloud compte quand requis pour votre workload spécifique. Pour les workloads en dehors, c'est un signal utile mais pas une exigence dure. Si vous n'êtes pas sûr d'en avoir besoin, la réponse est probablement non. La plupart du SaaS, e-commerce, et workloads business français n'en ont pas besoin — ils ont besoin de conformité RGPD, de souveraineté, et d'hygiène sécurité.