La qualification SecNumCloud est le visa de sécurité délivré par l’ANSSI aux fournisseurs de services cloud (IaaS, PaaS, SaaS, CaaS) qui respectent les exigences les plus strictes en matière de sécurité et de souveraineté des données. Le référentiel en vigueur (version 3.2) impose plus de 360 critères de conformité répartis en 14 thèmes couvrant la sécurité technique, organisationnelle, opérationnelle et juridique.
Depuis la doctrine « Cloud au Centre » de 2023, SecNumCloud est devenue obligatoire pour l’hébergement des données sensibles des administrations publiques françaises. En 2026, neuf prestataires sont qualifiés et douze candidatures supplémentaires sont en cours d’instruction. En mars 2026, l’ANSSI et le BSI allemand ont publié une déclaration conjointe sur les critères de souveraineté cloud, posant les bases d’une doctrine franco-allemande harmonisée.
Qu’est-ce que la qualification SecNumCloud ?
Que couvre le référentiel SecNumCloud 3.2 ?
Le référentiel SecNumCloud a été créé par l’ANSSI en 2017. La version 3.2, publiée en 2022 et actualisée depuis, constitue le standard le plus exigeant en France pour la sécurité des services cloud. Elle s’appuie sur l’ISO/IEC 27001 mais ajoute des obligations prescriptives propres : guides de durcissement, cloisonnement, authentification multifacteur (MFA), chiffrement, audits PASSI et localisation des données.
La version 3.2 intègre également les retours des premières évaluations et clarifie les exigences de tests d’intrusion tout au long du cycle de qualification. Elle s’inscrit dans le cadre plus large du Référentiel Général de Sécurité (RGS) applicable aux systèmes d’information des administrations. Elle couvre désormais les services CaaS (Container as a Service) en plus de l’IaaS, du PaaS et du SaaS.
Les exigences sont réparties en 6 catégories d’audit couvrant plus de 350 points de contrôle. Le prestataire doit prouver de façon continue la conformité de son service, y compris lors de changements techniques, organisationnels ou contractuels.
Pourquoi parle-t-on de qualification et non de certification ?
SecNumCloud n’est pas une certification au sens ISO du terme. C’est une qualification délivrée par l’ANSSI après un audit réalisé par un organisme évaluateur agréé (PASSI). La distinction est importante : la qualification engage l’État français sur le niveau de sécurité du service, contrairement à une certification privée.
La qualification est valable 3 ans. Un audit de surveillance est obligatoire tous les 18 mois pour vérifier le maintien de la conformité.
Prestataires qualifiés et processus d’obtention
Qui sont les prestataires qualifiés SecNumCloud en 2026 ?
En mars 2026, les prestataires suivants détiennent une qualification SecNumCloud active :
| Prestataire | Périmètre | Remarque |
|---|---|---|
| OVHcloud | IaaS (Private Cloud VMware) | Premier qualifié historique |
| 3DS Outscale | IaaS | Qualification renouvelée jusqu’à nov. 2026 |
| Cloud Temple | IaaS | — |
| Orange Business | IaaS | — |
| Cegedim.cloud | IaaS / PaaS / SaaS | — |
| Wordline | IaaS | — |
| Oodrive | SaaS | Stockage et collaboration |
| Whaller | SaaS | Messagerie sécurisée |
| S3NS (Thales / Google) | IaaS / PaaS / CaaS | Qualifié le 17 déc. 2025 — premier à couvrir IaaS+PaaS+CaaS |
Douze candidats supplémentaires sont en cours de qualification, à différents stades d’avancement :
- Bleu (Capgemini-Orange, basé sur Microsoft Azure) — jalon J0 validé le 17 avril 2025, disponibilité commerciale prévue au second semestre 2026.
- ITS Integra — jalon J1 validé en décembre 2025, qualification visée mi-2026 pour ses offres ITSecureCloud (IaaS) et ITSecureKube (PaaS Kubernetes).
- Scaleway, NumSpot, Free Pro, Cyllene ITS, Ecritel, GIP Mipih, Prolival-Tenexa, ainsi que d’autres périmètres pour OVH SAS et Orange Business.
La Cyber Task Force a publié en décembre 2025 la première édition de son Observatoire SecNumCloud, détaillant l’état des qualifications et des candidatures en cours.
Comment obtenir la qualification SecNumCloud ?
Le processus suit quatre étapes :
- Candidature — Le fournisseur dépose un dossier auprès de l’ANSSI décrivant le périmètre du service, les politiques de sécurité et les mesures techniques en place. L’ANSSI valide la recevabilité.
- Audit d’évaluation — Un organisme PASSI agréé conduit un audit sur site couvrant les 6 catégories d’exigences du référentiel. L’audit examine la gestion des accès, le chiffrement, la résilience et les procédures de réponse aux incidents de sécurité.
- Décision de qualification — L’ANSSI examine le rapport d’audit et peut demander des corrections. Si toutes les conditions sont remplies, la qualification est accordée pour 3 ans.
- Maintien — Un audit de surveillance est réalisé tous les 18 mois. Le prestataire doit signaler tout changement susceptible d’affecter la conformité (changement d’hébergeur, modification d’architecture, évolution contractuelle).
Le prérequis le plus courant est la certification ISO/IEC 27001, car le référentiel SecNumCloud s’appuie partiellement sur l’Annexe A de cette norme. La mise en place d’une PSSI robuste et le respect du guide d’hygiène informatique de l’ANSSI constituent également des fondamentaux pour les candidats à la qualification. Les prestataires doivent également avoir leur siège en France ou en Europe, et ni les parts de capital ni les droits de vote ne doivent dépasser 24 % (individuellement) et 39 % (collectivement) pour des entités non-européennes.
Quelles sont les principales exigences de sécurité ?
Les critères du référentiel 3.2 couvrent l’ensemble du cycle de vie des données dans le cloud :
- Gestion des identités et des accès (IAM) — Authentification multifacteur obligatoire, cloisonnement strict entre locataires, traçabilité des accès administrateurs.
- Chiffrement — Les données personnelles en transit et au repos doivent être chiffrées avec des algorithmes conformes aux recommandations de l’ANSSI. Les clés de chiffrement doivent rester sous le contrôle exclusif du prestataire qualifié ou du client.
- Résilience et continuité — Plans de reprise après sinistre testés, systèmes de sauvegarde redondants, garanties de disponibilité. L’absence de ces mesures est un motif de refus de qualification.
- Localisation et souveraineté — Les données doivent être hébergées sur le territoire de l’Union européenne. Le prestataire doit démontrer que les données ne sont pas accessibles par des juridictions extra-européennes (CLOUD Act, FISA).
- Tests d’intrusion — La version 3.2 exige des tests d’intrusion réguliers tout au long du cycle de qualification, pas uniquement lors de l’audit initial.
SecNumCloud, souveraineté et avenir européen
La doctrine « Cloud au Centre »
Depuis la circulaire du Premier ministre de 2023, la doctrine « Cloud au Centre » impose aux administrations publiques françaises d’héberger leurs données sensibles sur des offres cloud qualifiées SecNumCloud. Cette exigence s’étend aux opérateurs d’importance vitale (OIV) et aux opérateurs de services essentiels (OSE), qui sont également soumis à la directive NIS 2.
L’enjeu principal est la protection contre les lois extraterritoriales, en lien étroit avec les problématiques d’application du RGPD hors UE. Le CLOUD Act américain et la section 702 du FISA permettent aux autorités américaines d’exiger l’accès aux données détenues par des entreprises américaines, même lorsque ces données sont hébergées en Europe. SecNumCloud 3.2 répond à ce risque en imposant des exigences strictes de souveraineté capitalistique et juridique.
Le marché du cloud souverain européen représente 12,4 milliards d’euros en 2026, en croissance de 34 % par rapport à 2025. En France, le segment SecNumCloud est estimé à 18 millions d’euros (Usine Digitale), un chiffre encore modeste mais en croissance rapide avec l’entrée de nouveaux acteurs.
Quel avenir face à l’EUCS européen ?
L’Union européenne travaille depuis plusieurs années sur l’EUCS (European Cybersecurity Certification Scheme for Cloud Services) dans le cadre du Cybersecurity Act. Ce schéma européen vise à harmoniser les certifications cloud à l’échelle du continent.
Le point de friction majeur concerne les exigences de souveraineté. La France, soutenue par la CNIL, défend le maintien d’un niveau « élevé+ » incluant des critères de souveraineté capitalistique — similaires à ceux de SecNumCloud. D’autres États membres et les acteurs américains s’y opposent, estimant ces critères discriminatoires.
En janvier 2025, les discussions restaient au point mort malgré les efforts de la présidence polonaise du Conseil de l’UE. En mars 2026, l’ANSSI et le BSI ont franchi une étape décisive en publiant une déclaration conjointe définissant des critères de souveraineté cloud harmonisés entre la France et l’Allemagne : localisation stricte des données, application exclusive du droit européen, absence d’accès par des tiers extra-européens et continuité d’activité sans dépendance à des acteurs hors UE.
Cette convergence franco-allemande pourrait débloquer les négociations EUCS en créant un socle commun acceptable par les deux plus grandes économies de l’UE. Pour les entreprises françaises, SecNumCloud reste néanmoins le standard de référence à court et moyen terme.
Disclaimer : Cet article fournit des informations générales sur la qualification SecNumCloud et ne constitue pas un conseil juridique. Consultez un professionnel qualifié pour un accompagnement adapté à votre situation.
Conclusion
La qualification SecNumCloud 3.2 est aujourd’hui le standard de référence pour la sécurité et la souveraineté des services cloud en France. Avec neuf prestataires qualifiés et douze candidatures en cours, l’offre se structure rapidement. La qualification de S3NS en décembre 2025 — première à couvrir IaaS, PaaS et CaaS simultanément — marque un tournant dans l’écosystème du cloud souverain.
Pour les organisations qui traitent des données sensibles, la conformité au RGPD et le choix d’un hébergeur qualifié SecNumCloud sont complémentaires. Des outils comme la plateforme Legiscope permettent d’automatiser la conformité RGPD tout en s’inscrivant dans une démarche globale de sécurité des données.
Dernière vérification : mars 2026
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
