SecNumCloud
Définition
Qualification française délivrée par l'ANSSI pour les services cloud qui répondent à des exigences strictes de sécurité et de souveraineté. Requise pour certains secteurs publics et sensibles.
Le contexte
SecNumCloud est la qualification française délivrée par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) pour les services cloud répondant à des exigences strictes de sécurité et de souveraineté. Elle garantit que les données restent sous juridiction française, hors de portée des lois extra-territoriales (Cloud Act américain notamment), et que le fournisseur respecte un référentiel sécurité particulièrement exigeant. La version actuelle (3.2 publiée en 2022) couvre 350 exigences techniques et organisationnelles, audités sur plusieurs mois par un organisme indépendant agréé.
À quoi ça sert
SecNumCloud répond à un besoin de souveraineté numérique : éviter qu'une autorité étrangère puisse accéder à vos données sur réquisition légale, et garantir un niveau de sécurité auditable. La qualification est requise pour héberger des données sensibles de l'État (article 6 du décret de 2022), des données de santé en milieu hospitalier dans certains cas, des données de défense, et de plus en plus exigée par des grands comptes du secteur privé (banques, énergie, télécoms). Elle structure aussi le marché français en mettant en avant les acteurs nationaux face aux hyperscalers américains.
Les acteurs qualifiés
L'offre est restreinte. En 2025, OVHcloud, Outscale (Dassault Systèmes), Cloud Temple, NumSpot (Docaposte, Dassault, La Poste, Bouygues), et S3NS (le joint-venture Thales-Google Cloud) sont qualifiés ou en cours de qualification. Microsoft (avec Bleu en partenariat avec Capgemini et Orange) et Oracle (avec Thales) montent des offres dédiées pour répondre au marché. AWS, Google Cloud et Azure directs ne sont pas SecNumCloud et ne le seront pas dans leur configuration standard, à cause de la loi américaine. Le marché reste donc structurellement séparé du cloud mondial.
Quand l'utiliser
Vous avez besoin de SecNumCloud si : vous traitez des données publiques classifiées Diffusion Restreinte ou supérieures, vous opérez dans un secteur d'importance vitale (OIV) ou essentielle (OSE) avec des données sensibles, votre client donneur d'ordre l'exige explicitement dans son cahier des charges, vous traitez des données de santé en environnement hospitalier hautement régulé. À l'inverse, pour un SaaS B2B classique, un site e-commerce, une application interne de PME, SecNumCloud n'apporte rien et coûte significativement plus cher qu'une offre standard chez OVH, Scaleway ou Vercel.
Le coût et les contraintes
SecNumCloud coûte 2 à 5 fois plus cher qu'une offre cloud standard, à services équivalents. Le catalogue de services est aussi plus restreint : pas toujours de managed Kubernetes, de bases de données managées full-featured, de services IA. Côté contraintes opérationnelles, les déploiements sont plus encadrés, les changements documentés, les accès tracés. C'est conçu pour des organisations matures qui ont des processus formalisés. Pour un projet agile en démarrage, c'est rarement le bon choix. On y bascule quand le besoin de conformité l'impose, pas par précaution.
Les alternatives plus légères
Avant SecNumCloud, plusieurs niveaux de garantie existent. HDS (Hébergeur de Données de Santé) certifie un hébergeur pour les données médicales sans aller jusqu'au niveau souveraineté complète. ISO 27001 atteste d'un système de management de la sécurité conforme au standard international. SOC 2 (Type 2) est le standard américain équivalent pour les SaaS. Pour la souveraineté sans certification formelle, on peut choisir un hébergeur français ou européen non qualifié SecNumCloud (Scaleway, Clever Cloud, Hetzner) qui apporte déjà beaucoup en pratique. Le bon niveau dépend du besoin réel, pas du fantasme sécurité.