Dans le paysage foisonnant des certifications de sécurité numérique, SecNumCloud occupe une place à part. Délivrée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), elle est considérée comme la qualification la plus exigeante en Europe pour les prestataires de services cloud. Comprendre ce qu’elle couvre — et ce qu’elle ne couvre pas — est indispensable pour toute organisation traitant des données sensibles.
Qu’est-ce que SecNumCloud ?
SecNumCloud est un référentiel de sécurité élaboré par l’ANSSI pour qualifier les prestataires de services cloud (IaaS, PaaS, SaaS). Sa version 3.2, publiée en 2022, introduit une exigence inédite : l’immunité juridique extraterritoriale. Un prestataire qualifié SecNumCloud doit démontrer qu’aucune entité soumise à une juridiction non-européenne ne peut prendre le contrôle de ses opérations ou accéder à ses données.
C’est précisément cette clause qui a conduit AWS, Microsoft et Google à ne pas pouvoir obtenir la qualification SecNumCloud pour leurs offres cloud standard. Leurs structures capitalistiques et leurs obligations légales envers les autorités américaines sont incompatibles avec les exigences du référentiel.
Pourquoi SecNumCloud dépasse le simple RGPD
Le RGPD fixe des règles sur le traitement des données personnelles. SecNumCloud va beaucoup plus loin : il certifie la sécurité opérationnelle de l’infrastructure et garantit l’absence de backdoors, de capacités d’interception cachées, et de toute obligation légale envers une puissance étrangère.
- Chiffrement de bout en bout avec gestion des clés chez le client
- Journalisation complète des accès et des modifications
- Cloisonnement physique et logique des données clients
- Procédures de gestion des incidents auditées annuellement
- Immunité garantie contre toute injonction de droit extraeuropéen
Les cas d’usage qui l’exigent
SecNumCloud est aujourd’hui une exigence explicite ou implicite pour plusieurs catégories d’organisations :
- Opérateurs d’Importance Vitale (OIV) — défense, énergie, transports, santé
- Opérateurs de Services Essentiels (OSE) — soumis à la directive NIS2
- Administrations centrales de l’État traitant des données sensibles
- Collectivités traitant des données à caractère personnel sensibles
- Entreprises répondant à des appels d’offres publics avec exigences SecNumCloud
Au-delà des obligations réglementaires, SecNumCloud devient un argument de confiance dans les appels d’offres B2B. De plus en plus de grands comptes intègrent dans leurs critères de sélection de fournisseurs l’hébergement sur infrastructure qualifiée.
Comment bénéficier de SecNumCloud ?
L’accès à une infrastructure SecNumCloud passe par un prestataire qualifié. En France, les acteurs qualifiés incluent notamment OVHcloud (pour son offre Hosted Private Cloud), Outscale (filiale de Dassault Systèmes) et 3DS Outscale. La liste officielle est maintenue sur le site de l’ANSSI.
Bontrain déploie ses solutions sur infrastructure compatible SecNumCloud et peut vous accompagner dans la qualification de votre propre environnement si votre activité l’exige. Ce chemin implique un diagnostic initial de votre SI, une phase de migration et un audit de conformité.