Cybersecurity

SecNumCloud vs ISO 27001 : différences, souveraineté et quel référentiel choisir en 2026

SecNumCloud vs ISO 27001 : SecNumCloud ajoute souveraineté et immunité extraterritoriale à un socle proche d'ISO 27001. Comparatif et guide de choix 2026.

En une phrase. ISO/IEC 27001 est une norme internationale de management de la sécurité de l’information reconnue dans le monde entier, tandis que SecNumCloud est une qualification délivrée par l’ANSSI qui reprend ce socle mais y ajoute des exigences de souveraineté — immunité aux lois extraterritoriales, localisation UE des données et de l’administration — obligatoires pour héberger les données sensibles de l’État français depuis la doctrine « cloud au centre ».

Confondre les deux référentiels coûte cher en temps de projet : un prestataire certifié ISO 27001 n’est pas automatiquement éligible aux marchés publics sensibles, et un fournisseur qualifié SecNumCloud a nécessairement bâti son système de management sur une base équivalente à ISO/IEC 27001. La confusion vient du fait que le référentiel SecNumCloud v3.2, publié par l’ANSSI en mars 2022, intègre explicitement les exigences de la norme ISO comme fondation technique — voir le référentiel officiel sur cyber.gouv.fr. La différence ne se joue donc pas sur la sécurité technique brute, mais sur un axe que la norme internationale ignore par construction : la souveraineté juridique et opérationnelle.

Points clés

  • ISO 27001 est une norme mondiale et générique, agnostique au pays, certifiée par des organismes accrédités.
  • SecNumCloud est une qualification française délivrée par l’ANSSI, spécifique au cloud, qui inclut un socle proche d’ISO 27001 renforcé de critères souverains.
  • Seule SecNumCloud garantit une immunité contre les législations extraterritoriales comme le CLOUD Act américain ou le FISA.
  • La doctrine « cloud au centre » impose SecNumCloud pour héberger les données les plus sensibles de l’État et des administrations.
  • En pratique, un prestataire SecNumCloud a déjà la maturité ISO 27001 ; l’inverse n’est pas vrai.
  • Le choix dépend de la nature des données hébergées, pas seulement du secteur d’activité.

1. Deux référentiels, deux logiques différentes

ISO 27001 : un système de management générique

La norme ISO/IEC 27001 définit les exigences d’un système de management de la sécurité de l’information (SMSI). Elle impose une démarche d’amélioration continue (analyse de risques, politique de sécurité, mesures de contrôle listées en annexe A, audits internes et externes) sans imposer de localisation géographique ni de contrainte sur l’actionnariat du prestataire. Sa force est sa reconnaissance internationale : un client japonais, américain ou allemand comprend immédiatement ce que signifie une certification ISO 27001, délivrée par un organisme accrédité (comme le Cofrac en France). C’est un langage commun de la sécurité de l’information, pas un outil de politique industrielle.

SecNumCloud : une qualification française à visée souveraine

SecNumCloud est une qualification, pas une simple certification : elle est délivrée par l’ANSSI elle-même, après audit par un organisme habilité, dans le cadre plus large de la certification SecNumCloud ANSSI. Le référentiel v3.2 (mars 2022) reprend les exigences de sécurité d’ISO 27001 comme brique de base, mais ajoute des critères que la norme internationale ne traite pas : protection contre les lois extraterritoriales non-UE, localisation des données et des opérations d’administration/support au sein de l’Union européenne, et exigences précises sur l’actionnariat et le contrôle capitalistique du prestataire. Ce dernier point est le cœur du sujet : un opérateur peut être irréprochable techniquement et rester soumis, via sa maison-mère, à une loi étrangère à portée extraterritoriale.

2. Le critère qui change tout : la souveraineté

L’immunité extraterritoriale

Le CLOUD Act américain et le FISA permettent aux autorités américaines d’exiger l’accès à des données hébergées par des entreprises soumises au droit américain, y compris lorsque ces données sont stockées physiquement en Europe. ISO 27001 ne traite pas cette question : elle porte sur la robustesse du système de sécurité, pas sur la juridiction compétente pour ordonner un accès. SecNumCloud, au contraire, exige que le prestataire soit à l’abri de ce type de réquisition — ce qui explique pourquoi certaines offres cloud des grands hyperscalers américains, même très matures en sécurité technique, ne peuvent pas être qualifiées SecNumCloud sans restructuration capitalistique ou partenariat de type coentreprise localisée en France.

La doctrine « cloud au centre »

La circulaire du Premier ministre relative à la doctrine « cloud au centre » impose aux administrations et à certains opérateurs sensibles de recourir à des offres qualifiées SecNumCloud pour héberger leurs données les plus critiques. Ce n’est pas une recommandation : c’est une obligation contractuelle qui structure les appels d’offres publics depuis plusieurs années. Un fournisseur qui ne vise que ISO 27001 est de fait exclu de ce segment de marché, quelle que soit la qualité de son SMSI.

3. Comparatif SecNumCloud vs ISO 27001

Critère ISO/IEC 27001 SecNumCloud (v3.2)
Autorité délivrante Organismes de certification accrédités (ex. Cofrac) ANSSI, après audit par organisme habilité
Portée géographique Mondiale, agnostique au pays France / doctrine de souveraineté UE
Souveraineté / immunité extraterritoriale Non traitée Exigée : protection contre CLOUD Act, FISA
Localisation des données et de l’administration Non imposée Union européenne obligatoire
Exigences sur l’actionnariat du prestataire Aucune Contrôle et transparence capitalistique exigés
Reconnaissance Internationale, tous secteurs France, secteur public et données sensibles
Effort de mise en conformité SMSI complet, annexe A Socle proche d’ISO 27001 + couche souveraine supplémentaire
Cas d’usage typique Client international, exigence générique de sécurité Données sensibles de l’État, OIV, secteurs régulés français

4. Le processus d’obtention : audit, durée et coût

ISO 27001 : un cycle de certification classique

L’obtention d’ISO 27001 suit un cycle bien rodé : analyse de risques, mise en œuvre des mesures de l’annexe A pertinentes, audit à blanc, puis audit de certification en deux étapes réalisé par un organisme accrédité. La certification est valable trois ans, avec des audits de surveillance annuels. Le délai typique, pour une organisation qui part d’une base de sécurité déjà correcte, se compte en mois plutôt qu’en années.

SecNumCloud : un audit plus lourd, piloté par l’ANSSI

La qualification SecNumCloud suit une logique proche mais plus exigeante : audit par un prestataire d’audit de la sécurité des systèmes d’information habilité par l’ANSSI (voir notre article sur l’audit PASSI), puis instruction et décision de l’ANSSI elle-même. L’écart de charge par rapport à ISO 27001 ne vient pas tant du volet technique — souvent déjà couvert — que du volet organisationnel et juridique : démonstration de la localisation effective des données et de l’administration au sein de l’UE, preuve de l’absence d’assujettissement à une législation extraterritoriale, et transparence sur la chaîne de contrôle capitalistique du prestataire, y compris ses sous-traitants techniques. Pour une entreprise qui part de zéro, ce chantier se compte davantage en années qu’en mois, notamment si une restructuration juridique ou capitalistique est nécessaire.

Le rôle de la gouvernance documentaire

Dans les deux cas, la qualité de la documentation de gouvernance conditionne la fluidité de l’audit. Une PSSI à jour, une cartographie du système d’information précise et une politique d’hygiène informatique appliquée réduisent mécaniquement les écarts constatés en audit, que ce soit pour ISO 27001 ou pour SecNumCloud. Les entreprises qui échouent à leur premier audit SecNumCloud le font rarement sur la technique pure — le plus souvent sur l’incapacité à documenter précisément qui, physiquement et juridiquement, peut accéder aux données.

5. Quel référentiel choisir selon votre contexte

Choisir ISO 27001

ISO 27001 suffit lorsque vos clients ou partenaires exigent une preuve de maturité en sécurité de l’information sans contrainte de souveraineté — export, clientèle internationale, secteurs non régulés par la doctrine cloud de l’État. C’est aussi la porte d’entrée naturelle avant d’envisager SecNumCloud, puisque le référentiel ANSSI en reprend la structure.

Choisir SecNumCloud

SecNumCloud s’impose dès que vous traitez des données sensibles pour le compte d’administrations, d’opérateurs d’importance vitale (voir notre article sur la loi de programmation militaire et les OIV), ou que vos clients exigent contractuellement une garantie contre l’extraterritorialité. C’est aussi un argument commercial fort pour les hébergeurs de données de santé, en complément de la certification HDS.

Le lien avec le RGPD

Le choix d’un prestataire cloud n’est jamais neutre au regard du RGPD. Un fournisseur qualifié SecNumCloud offre des garanties directement mobilisables dans l’analyse des transferts de données hors UE et facilite la rédaction du contrat de sous-traitance cloud exigé par l’article 28. À l’inverse, un simple certificat ISO 27001 ne dispense pas d’analyser où sont réellement hébergées et administrées les données, ni qui peut légalement y accéder. Sur ce terrain, Legiscope aide à documenter cette analyse dans le registre des traitements et à tracer les garanties apportées par chaque sous-traitant cloud.

Pour les acteurs publics, le référentiel général de sécurité complète cette analyse : voir notre guide sur le RGS.

FAQ

Un prestataire SecNumCloud est-il automatiquement certifié ISO 27001 ?

Pas nécessairement au sens formel — SecNumCloud est une qualification distincte, pas une certification ISO. Mais le référentiel SecNumCloud v3.2 reprend les exigences de la norme comme socle, si bien qu’un prestataire qualifié a démontré une maturité de sécurité au moins équivalente à celle exigée par ISO 27001. L’inverse n’est pas vrai : un certifié ISO 27001 n’a pas nécessairement traité les exigences de souveraineté.

SecNumCloud est-il obligatoire pour toutes les entreprises françaises ?

Non. L’obligation vise principalement les administrations et certains secteurs régulés dans le cadre de la doctrine « cloud au centre » et des exigences applicables aux opérateurs d’importance vitale. Une PME privée sans donnée sensible d’État peut se contenter d’ISO 27001, voire d’aucune certification si son analyse de risques ne le justifie pas.

Combien de temps faut-il pour obtenir la qualification SecNumCloud après une certification ISO 27001 ?

Il n’existe pas de délai type publié par l’ANSSI, car cela dépend de l’écart entre l’infrastructure existante et les exigences de localisation et de gouvernance capitalistique. Le travail sur le SMSI est en grande partie réutilisable, mais l’ajout de la couche souveraineté (localisation UE, structuration juridique, immunité extraterritoriale) représente souvent le poste de travail le plus long, bien au-delà d’un simple ajustement documentaire.

Conclusion

ISO 27001 et SecNumCloud ne sont pas concurrents mais complémentaires : le second s’appuie sur le premier et y ajoute la dimension que la norme internationale ne peut pas traiter par nature, la souveraineté juridique. Pour une entreprise qui vise le marché public français ou héberge des données sensibles au sens de la doctrine « cloud au centre », SecNumCloud n’est pas une option — c’est une condition d’accès au marché. Pour tous les autres cas, ISO 27001 reste le standard de référence, internationalement lisible et suffisant. Le bon réflexe : cartographier la sensibilité réelle des données avant de choisir le référentiel, pas l’inverse.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →