ANSSI SecNumCloud : le cloud de confiance qualifié

SecNumCloud est la qualification délivrée par l'ANSSI aux prestataires de services cloud (IaaS, PaaS, SaaS) qui atteignent un niveau d'exigence élevé, à la fois technique et juridique. C'est le visa de confiance de référence pour le cloud souverain en France. Cette page explique ce que la qualification garantit, sa particularité d'immunité aux lois extraterritoriales, qui en a besoin, et comment SOCLE complète cette approche côté chaîne logicielle. Public visé : RSSI, acheteurs cloud et architectes du secteur public ou manipulant des données sensibles.

En bref

SecNumCloud est la qualification de l'ANSSI pour les services cloud de confiance. Elle combine des exigences techniques élevées et une immunité aux lois extraterritoriales (siège et capital européens). Version de référence : 3.2.a. C'est le standard du cloud souverain en France.

Ce que vous allez apprendre

• Distinguer une qualification ANSSI d'une simple certification
• Comprendre le critère d'immunité juridique propre à SecNumCloud
• Savoir qui doit (ou a intérêt à) l'exiger
• Relier la posture souveraine aux exigences SOCLE

Qu'est-ce que SecNumCloud

SecNumCloud est un référentiel d'exigences publié par l'ANSSI, dont la version 3.2.a (2022) fait foi. Qualification v3.2.a Un prestataire qui s'y conforme et passe un audit par un organisme habilité obtient la qualification, gage que son service offre une sécurité et une confiance vérifiées par l'État.

À la différence d'une certification généraliste, la qualification SecNumCloud porte un niveau d'assurance reconnu officiellement et s'inscrit dans la doctrine française du cloud au centre pour les administrations.

Ce que la qualification exige

SecNumCloud combine deux registres d'exigences que peu de référentiels réunissent.

• Volet technique : la base reprend largement les contrôles d'un système de management de la sécurité (proche d'ISO/IEC 27001), renforcés sur le cloisonnement, le chiffrement, la journalisation, la gestion des accès privilégiés et les sauvegardes.
• Volet juridique : c'est la signature de SecNumCloud. Le prestataire doit être immunisé contre les lois extraterritoriales (siège et capital dans l'Union européenne, absence de contrôle par une entité soumise à un droit non européen). Cela vise à empêcher un accès aux données imposé par une législation étrangère.

Qualification, pas seulement chiffrement

L'intérêt de SecNumCloud ne se résume pas à de la cryptographie : c'est la combinaison technique + gouvernance + immunité juridique qui fonde la confiance. Un service techniquement solide mais soumis à un droit extraterritorial ne peut pas être qualifié.

Qui en a besoin

La qualification est exigée ou fortement recommandée pour héberger des données sensibles de l'État et des administrations, et pour de nombreux opérateurs essentiels. Au-delà de l'obligation, elle sert d'argument de souveraineté pour toute organisation qui veut garder la maîtrise de ses données.

Pour un exemple concret de fournisseur qualifié et de ses implications pratiques, voyez le cas SecNumCloud chez Outscale, et la réflexion plus large sur la souveraineté technologique de votre stack.

Comment SOCLE vous aide

SecNumCloud qualifie un hébergeur ; SOCLE sécurise ce que vous y construisez et déployez. Les deux se complètent :

• Souveraineté et localisation : la famille Fournisseurs traite la souveraineté et la localisation des données et des dépendances.
• Chiffrement et clés : les exigences chiffrement et gestion des clés prolongent le volet technique côté application.
• Journalisation et accès : la journalisation et l'audit et l'IAM cloud répondent aux attentes sur les accès privilégiés et la traçabilité.

Héberger chez un prestataire qualifié ne dispense pas de durcir votre propre chaîne : c'est tout l'objet du référentiel.

À retenir

• SecNumCloud est une qualification ANSSI de haut niveau pour les services cloud, version 3.2.a.
• Sa particularité est l'immunité aux lois extraterritoriales, au-delà des seules exigences techniques.
• Elle est incontournable pour les données sensibles de l'État et un atout de souveraineté ailleurs.
• SOCLE complète la qualification de l'hébergeur côté chaîne logicielle et application.

FAQ : questions fréquentes

SecNumCloud, c'est quoi ?

SecNumCloud est la qualification délivrée par l'ANSSI aux prestataires de services cloud qui atteignent un haut niveau d'exigence technique et juridique, dont l'immunité aux lois extraterritoriales. Version de référence : 3.2.a.

SecNumCloud est-il obligatoire ?

Il est exigé pour héberger des données sensibles de l'État et de nombreuses administrations, et fortement recommandé pour les opérateurs essentiels. Ailleurs, il reste volontaire mais sert d'argument de souveraineté.

Quelle différence avec ISO 27001 ?

ISO 27001 certifie un système de management de la sécurité, sans condition juridique. SecNumCloud reprend cette base technique mais y ajoute une exigence d'immunité aux lois extraterritoriales, propre à la souveraineté.

Quels prestataires sont qualifiés SecNumCloud ?

La liste officielle des offres qualifiées est publiée par l'ANSSI sur cyber.gouv.fr. Elle évolue régulièrement. Vérifiez toujours le périmètre exact de l'offre qualifiée, pas seulement le nom du fournisseur.

SecNumCloud, c'est la même chose que le « cloud de confiance » ?

Le cloud de confiance est le label politique français ; SecNumCloud en est la qualification technique exigée. Au niveau européen, le schéma EUCS poursuit un objectif voisin mais reste distinct et en cours d'élaboration.

Prochaines étapes

Le référentiel SOCLESécuriser ce que vous déployez dans le cloud Souveraineté & localisationL'exigence SOCLE dédiée SecNumCloud chez OutscaleUn cas concret de fournisseur qualifié Toutes les conformitésPanorama des normes et leur mapping SOCLE

Ressources officielles

• SecNumCloud (ANSSI), le référentiel et la liste des prestataires qualifiés

SOCLE v1.0.0-rc.4 version candidate, non certifiante · modèle stable, contenus en consolidation. Voir la trajectoire.

Référentiel SOCLE © 2026 Stéphane Robert, publié sous licence Creative Commons CC BY 4.0.

Vous pouvez le réutiliser, adapter et même l'exploiter commercialement, à condition de citer l'auteur et de conserver un lien vers la source. La citation attendue : « Référentiel SOCLE, Stéphane Robert, blog.stephane-robert.info ».

×

📖 Voir la documentation →