La qualification SecNumCloud 3.2 délivrée par l’ANSSI est le plus haut standard de cybersécurité cloud en France. OUTSCALE est, depuis décembre 2023, le premier fournisseur de cloud public à l’avoir obtenue sur sa région cloudgouv-eu-west-1. Cette page explique ce que SecNumCloud 3.2 garantit concrètement, ce qu’elle n’élimine pas, et comment l’architecte doit composer avec dans sa conception.
Ce que vous allez apprendre
Section intitulée « Ce que vous allez apprendre »- Ce qu’est SecNumCloud 3.2 — référentiel, ANSSI, périmètre.
- Ce que la qualification garantit côté fournisseur (technique, organisationnel, juridique).
- Ce qui reste à la charge du client — la qualification ne fait pas votre conformité.
- Quand SecNumCloud devient exigible — OIV, OSE, NIS 2, doctrine Cloud au centre.
- Comment SecNumCloud articule avec HDS, ISO 27001 et le RGPD.
Prérequis
Section intitulée « Prérequis »- Connaître la distinction entre les régions
eu-west-2etcloudgouv-eu-west-1. - Bases de la conformité : RGPD, certifications ISO, notion de juridiction applicable.
- Notions sur le Cloud Act et le FISA (lois extraterritoriales américaines) — sinon, voir Limites et compromis du cloud.
Qu’est-ce que SecNumCloud 3.2
Section intitulée « Qu’est-ce que SecNumCloud 3.2 »SecNumCloud est un référentiel de qualification délivré par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) qui s’applique aux fournisseurs de services cloud (IaaS, PaaS, SaaS, CaaS). La version 3.2, publiée en mars 2022, est la version actuellement en vigueur. Elle impose au fournisseur de respecter plus de 360 critères répartis en 14 thématiques couvrant :
- Sécurité technique : architecture, isolation, chiffrement, journalisation, sauvegardes.
- Organisationnel : gouvernance, gestion des accès du personnel du fournisseur, politiques de sécurité.
- Opérationnel : supervision, incidents, continuité d’activité.
- Juridique : droit applicable au contrat, immunité aux lois extraterritoriales, protection contre les ingérences étrangères.
C’est cette dimension juridique qui distingue SecNumCloud des autres référentiels de sécurité cloud (ISO 27001, SOC 2). Là où ISO 27001 garantit qu’un système de management de la sécurité existe et fonctionne, SecNumCloud impose en plus que le droit applicable au contrat soit celui d’un État membre de l’Union européenne, et que le fournisseur démontre que les données ne sont pas accessibles aux juridictions extra-européennes.
Ce que la qualification garantit côté fournisseur
Section intitulée « Ce que la qualification garantit côté fournisseur »OUTSCALE, en tant que fournisseur qualifié SecNumCloud 3.2 sur cloudgouv-eu-west-1, garantit un certain nombre de propriétés vérifiées par l’ANSSI lors de l’audit de qualification :
Garanties techniques
Section intitulée « Garanties techniques »- Isolation forte entre les tenants : aucun client ne peut accéder aux données d’un autre via la couche cloud.
- Chiffrement at-rest activé sur l’ensemble du stockage (BSU, OOS, snapshots).
- Journalisation de tous les accès aux infrastructures par les opérateurs Outscale, avec conservation et traçabilité.
- Sauvegardes des composants critiques de la plateforme avec restauration testée.
Garanties organisationnelles
Section intitulée « Garanties organisationnelles »- Personnel habilité : seuls des opérateurs sous habilitation française peuvent intervenir sur l’infrastructure SecNumCloud.
- Cloisonnement entre les équipes Outscale qui opèrent SecNumCloud et celles qui opèrent le reste du cloud.
- Gestion des incidents avec procédures documentées et chaîne de notification.
Garanties juridiques
Section intitulée « Garanties juridiques »- Droit français applicable au contrat de service — pas de soumission au droit américain ou autre droit non-UE.
- Immunité aux demandes émanant de juridictions extra-européennes : OUTSCALE ne peut pas être contraint par un juge américain (Cloud Act, FISA) à fournir des données stockées sur
cloudgouv-eu-west-1. - Localisation des données garantie sur le territoire de l’Union européenne (en l’occurrence en France pour OUTSCALE).
- Capital de l’entreprise : Outscale est filiale à 100% de Dassault Systèmes, société française.
Ce que la qualification ne fait pas pour vous
Section intitulée « Ce que la qualification ne fait pas pour vous »Un piège classique consiste à croire que déployer sur SecNumCloud rend automatiquement conforme. C’est faux. La qualification couvre uniquement le périmètre du fournisseur. Tout ce qui se passe côté client reste à votre charge.
Votre configuration n’est pas qualifiée
Section intitulée « Votre configuration n’est pas qualifiée »OUTSCALE garantit que l’infrastructure est SecNumCloud. Mais si vous ouvrez votre Security Group en 0.0.0.0/0 sur SSH, si vous mettez votre policy EIM en * sur *, ou si vous laissez vos AK/SK en clair dans un dépôt Git, vous restez vulnérable comme sur n’importe quel cloud. Le SecNumCloud du fournisseur ne compense pas vos erreurs de configuration.
Vos applications ne sont pas qualifiées
Section intitulée « Vos applications ne sont pas qualifiées »L’application que vous déployez — son code, ses dépendances, ses données — n’est pas couverte par la qualification du fournisseur. Si votre application a une faille, elle reste exploitable, peu importe la région cloud.
Vos sauvegardes restent à votre charge
Section intitulée « Vos sauvegardes restent à votre charge »OUTSCALE sauvegarde les composants de sa plateforme, pas vos données applicatives. Vos snapshots BSU, vos exports OOS, votre stratégie de reprise restent votre responsabilité.
Votre conformité réglementaire reste à votre charge
Section intitulée « Votre conformité réglementaire reste à votre charge »Si votre organisation est OIV ou OSE au sens NIS 2, la qualification SecNumCloud du fournisseur facilite votre conformité mais ne la fait pas automatiquement. Vous devez documenter votre architecture, vos contrôles, votre gestion des incidents — l’audit NIS 2 portera sur votre système, pas sur le cloud sous-jacent.
Quand SecNumCloud devient exigible
Section intitulée « Quand SecNumCloud devient exigible »Trois cas principaux rendent SecNumCloud exigible ou fortement recommandé pour un projet.
Doctrine « Cloud au centre » du gouvernement français
Section intitulée « Doctrine « Cloud au centre » du gouvernement français »Depuis la circulaire « Cloud au centre » (mai 2021, renforcée en 2023), les administrations publiques françaises doivent héberger leurs données sensibles sur un cloud qualifié SecNumCloud. Cela couvre :
- Les administrations centrales (ministères, services déconcentrés).
- Les opérateurs publics soumis à la doctrine.
- Les collectivités dans les cas où elles traitent des données réglementées.
Pour un projet en partenariat avec une administration française, la question SecNumCloud est généralement non négociable.
Opérateurs d’Importance Vitale (OIV) et Essentiels (OSE), NIS 2
Section intitulée « Opérateurs d’Importance Vitale (OIV) et Essentiels (OSE), NIS 2 »Les OIV (au sens de la loi de programmation militaire 2013) et les OSE (au sens de la directive NIS et NIS 2) ont des obligations de résilience et de protection contre les ingérences étrangères qui sont difficiles à atteindre sans utiliser un cloud qualifié.
Concrètement, NIS 2 ne rend pas SecNumCloud strictement obligatoire dans le texte, mais les exigences de la directive (gestion des dépendances, robustesse cryptographique, immunité aux juridictions extra-UE) sont directement adressées par SecNumCloud, ce qui en fait le chemin le plus court vers la conformité.
Données sensibles et ingérence étrangère
Section intitulée « Données sensibles et ingérence étrangère »Pour les données qui ne doivent jamais être accessibles à un acteur sous juridiction américaine ou autre juridiction extra-UE, SecNumCloud est aujourd’hui la seule réponse technique disponible en France. Cela couvre :
- Données classifiées défense (selon le niveau, des dispositifs spécifiques au-delà de SecNumCloud peuvent s’appliquer).
- Secrets industriels stratégiques (R&D sensible, brevets en gestation).
- Données patient sensibles dans certains contextes (HDS + SecNumCloud cumulés).
- Données de renseignement (au-delà de SecNumCloud strict, mais SecNumCloud reste la base).
Articulation avec les autres certifications
Section intitulée « Articulation avec les autres certifications »SecNumCloud ne remplace pas les autres certifications cloud — il s’y ajoute. Les certifications jouent sur des dimensions différentes.
| Référentiel | Périmètre | Délivré par | Cumul avec SecNumCloud |
|---|---|---|---|
| SecNumCloud 3.2 | Sécurité globale + souveraineté juridique | ANSSI (France) | — |
| HDS | Hébergement de Données de Santé | Auditeur certifié + arrêté ministériel | Cumulable (souvent demandé ensemble pour la santé sensible) |
| ISO 27001 | Système de management de la sécurité | Auditeur ISO accrédité | Cumulable (ISO 27001 est inclus dans le périmètre SecNumCloud) |
| ISO 27017 | Sécurité spécifique cloud | Auditeur ISO accrédité | Cumulable |
| ISO 27018 | Protection des données personnelles cloud | Auditeur ISO accrédité | Cumulable |
| SOC 2 Type 2 | Contrôles internes (US) | Cabinet US | Cumulable, mais SOC 2 reste un référentiel américain — son utilité dans un contexte souverain est limitée |
| TISAX | Industrie automobile | ENX Association | Cumulable (filière automobile) |
| CISPE | Code de conduite RGPD européen | Auto-attestation + audit | Cumulable |
OUTSCALE détient la plupart de ces certifications en parallèle de SecNumCloud, ce qui facilite la réutilisation des audits clients pour différents secteurs.
RGPD et SecNumCloud — articulation
Section intitulée « RGPD et SecNumCloud — articulation »Le RGPD est un règlement européen qui s’applique au traitement de données personnelles. Une qualification SecNumCloud n’est pas une certification RGPD — elles ne couvrent pas le même périmètre — mais SecNumCloud facilite la conformité RGPD sur deux points :
- Localisation des données dans l’UE, donc pas de transfert international soumis aux clauses contractuelles types ou aux décisions d’adéquation.
- Immunité juridictionnelle vis-à-vis des lois extraterritoriales, ce qui élimine le conflit RGPD vs Cloud Act.
Pour autant, votre politique de traitement des données personnelles, vos registres, votre DPO, vos bases légales restent des obligations RGPD à remplir indépendamment de SecNumCloud.
Pratique — implications pour l’architecte
Section intitulée « Pratique — implications pour l’architecte »Trois changements concrets que SecNumCloud impose dans la conception :
1. Endpoints et région explicites
Section intitulée « 1. Endpoints et région explicites »Sur cloudgouv-eu-west-1, l’endpoint OAPI est https://api.cloudgouv-eu-west-1.outscale.com/api/v1 (et non api.eu-west-2.outscale.com/api/v1). Toute configuration Terraform, aws-cli, SDK doit pointer explicitement sur ce endpoint. Une erreur de configuration peut envoyer du trafic vers la région commerciale, hors périmètre SecNumCloud.
2. Personnel et accès renforcés
Section intitulée « 2. Personnel et accès renforcés »Si votre organisation contractualise SecNumCloud avec OUTSCALE, vos opérateurs internes qui accèdent à l’infrastructure peuvent eux-mêmes être soumis à des exigences d’habilitation (selon votre secteur). C’est une exigence à vérifier avec votre RSSI au moment du cadrage.
3. Plan de reprise au sein de la même région
Section intitulée « 3. Plan de reprise au sein de la même région »Pour rester dans le périmètre SecNumCloud, votre plan de reprise ne doit pas prévoir un fallback vers une région non-SecNumCloud. Multi-AZ au sein de cloudgouv-eu-west-1 est OK ; bascule vers eu-west-2 ne l’est pas pour les charges sensibles. Ce point doit être documenté dans votre politique de continuité.
À retenir
Section intitulée « À retenir »- SecNumCloud 3.2 est une qualification ANSSI qui couvre 360+ critères techniques, organisationnels et juridiques — pas une simple certification ISO.
- OUTSCALE est qualifié SecNumCloud 3.2 sur sa région
cloudgouv-eu-west-1depuis décembre 2023. - La qualification garantit l’immunité juridique vis-à-vis du Cloud Act et du FISA, et la localisation des données en France.
- La qualification du fournisseur ne fait pas votre conformité — votre configuration EIM, vos Security Groups, vos sauvegardes, vos politiques restent à votre charge.
- SecNumCloud est exigible ou fortement recommandé pour : doctrine « Cloud au centre », OIV/OSE NIS 2, données sensibles non accessibles aux juridictions extra-UE.
- SecNumCloud se cumule avec HDS, ISO 27001/17/18, TISAX — il ne les remplace pas.
- En pratique, l’architecte doit explicitement pointer sur
cloudgouv-eu-west-1, vérifier les exigences d’habilitation des opérateurs internes, et concevoir un PRA qui reste dans le périmètre SecNumCloud.