Pour les données sensibles, savoir où elles sont et sous quelle loi est une exigence à part entière. Cette famille (S6, domaine Fournisseurs) traite la localisation de l'hébergement et des données et la juridiction applicable, la réversibilité souveraine (maîtrise de la dépendance aux hyperscalers), et la qualification adaptée (par exemple SecNumCloud) selon la sensibilité.
Ne pas savoir où sont hébergées vos données, c'est ignorer quelle loi s'y applique : une juridiction étrangère peut autoriser un accès que vous pensiez impossible, d'où l'exigence de documenter localisation et juridiction. Une dépendance forte à un hyperscaler crée un risque d'enfermement (verrou technique, exposition à un droit extraterritorial) que seule une capacité de réversibilité souveraine désamorce. Et pour des données sensibles, une promesse contractuelle ne suffit pas : il faut une qualification vérifiée par un tiers, adaptée à la sensibilité.
Concrètement, ces exigences parent : l'accès étranger à des données dont on ignore la localisation, l'enfermement chez un hyperscaler sans réversibilité, et l'absence de qualification (ex. SecNumCloud) proportionnée à la sensibilité. Trois exigences, des renforcées (R2) aux souveraines (R3).
Une dépendance extra-UE non maîtrisée expose à un risque juridique et de souveraineté.
Les pièges à éviter
Section intitulée « Les pièges à éviter »Les erreurs les plus fréquentes sur ce périmètre :
Exigences
Section intitulée « Exigences »localisation de l'hébergement et des données ; juridiction applicable documentée.#
Ne pas savoir où sont hébergées vos données, c'est ignorer quelle loi s'y applique : une juridiction étrangère peut autoriser un accès que vous pensiez impossible. Documenter la localisation et la juridiction applicable est la base pour évaluer le risque légal et répondre aux exigences SecNumCloud ou de santé.
- Preuve attendue
- Documentation de localisation des données et de la juridiction applicable.
Correspondances & menaces parées 3 standards · 1 menace
Une autorité étrangère contraint légalement un fournisseur cloud (CLOUD Act, FISA) à divulguer des données hébergées, hors du cadre juridique national. Le risque n'est pas technique mais juridique : la souveraineté de l'hébergement (SecNumCloud) y répond SecNumCloud (ANSSI).
capacité de réversibilité souveraine ; maîtrise de la dépendance aux hyperscalers.#
Une dépendance forte à un hyperscaler crée un risque d'enfermement : verrou technique, exposition à un droit extraterritorial, perte de levier. Démontrer une capacité de réversibilité souveraine prouve qu'on peut migrer vers une alternative maîtrisée, transformant une dépendance subie en choix réversible.
- Preuve attendue
- Démonstration de réversibilité souveraine.
Correspondances & menaces parées 3 standards · 2 menaces
Une dépendance est retirée ou dépubliée (unpublish, yank), cassant les builds et poussant à des substitutions hâtives, parfois vers un remplacement malveillant. La disponibilité de la chaîne est attaquée (cas left-pad) SLSA (disponibilité). Une autorité étrangère contraint légalement un fournisseur cloud (CLOUD Act, FISA) à divulguer des données hébergées, hors du cadre juridique national. Le risque n'est pas technique mais juridique : la souveraineté de l'hébergement (SecNumCloud) y répond SecNumCloud (ANSSI).
qualification adaptée (ex. SecNumCloud) selon la sensibilité.#
Pour des données sensibles, une promesse contractuelle ne suffit pas : il faut une qualification vérifiée par un tiers. Exiger une qualification adaptée à la sensibilité (ex. SecNumCloud) apporte une garantie auditée et opposable, là où l'auto-déclaration du fournisseur laisserait un angle mort réglementaire.
- Preuve attendue
- Attestation de qualification adaptée (ex. SecNumCloud) selon la sensibilité.
Correspondances & menaces parées 3 standards · 1 menace
Une autorité étrangère contraint légalement un fournisseur cloud (CLOUD Act, FISA) à divulguer des données hébergées, hors du cadre juridique national. Le risque n'est pas technique mais juridique : la souveraineté de l'hébergement (SecNumCloud) y répond SecNumCloud (ANSSI).