Tout savoir sur la certification SecNumCloud

Article updated on 02/06/26

Pour les DSI et responsables IT français, la question n’est plus de savoir si la sécurité cloud est une priorité – elle l’est. La vraie question est de savoir comment distinguer les prestataires qui offrent une protection réelle de ceux qui se contentent d’afficher des labels. C’est précisément le problème que le référentiel SecNumCloud, développé par l’ANSSI, a été conçu pour résoudre.

Plus qu’une simple certification, SecNumCloud est aujourd’hui le standard de référence pour toute organisation française souhaitant externaliser des données sensibles dans le cloud sans compromis sur la souveraineté, la résilience ou la conformité réglementaire. Voici ce que vous devez savoir pour l’intégrer efficacement dans vos décisions d’achat et vos appels d’offres.

Qu’est-ce que la certification SecNumCloud ? Définition et origines

Élaboré en 2016 par l’ANSSI, le référentiel « SecNumCloud » a pour objectif de promouvoir, d’enrichir et d’améliorer l’offre de prestataires de confiance à destination des entités publiques et privées souhaitant externaliser l’hébergement de leurs données, applications ou systèmes d’information.

SecNumCloud est donc un label de sécurité décerné aux fournisseurs de services cloud qui respectent des exigences spécifiques en matière de sécurité, de confidentialité et de résilience. Il garantit que les infrastructures, les logiciels et les procédures de ces fournisseurs sont conformes aux normes de sécurité françaises.

L’ANSSI utilise officiellement le terme « qualification » – les termes « certification » et « label » sont couramment utilisés comme synonymes dans le secteur, bien qu’ils ne soient pas formellement définis par l’ANSSI.

SecNumCloud s’appuie sur la norme ISO 27001 et y ajoute des exigences spécifiques à la souveraineté numérique. Le référentiel a été mis à jour en 2022 avec sa version 3.2. Cette mise à jour intègre des mesures de protection contre l’application du droit extra-européen, notamment le Cloud Act américain (loi américaine permettant aux autorités américaines d’accéder à des données hébergées par des entreprises américaines, même à l’étranger). Ces protections s’appliquent aux données hébergées par des prestataires qualifiés SecNumCloud.

Le processus de qualification est rigoureux et nécessite de répondre à des critères stricts en matière de protection des données, de continuité d’activité, de gestion des risques et de conformité avec la législation applicable. Tous les services de cloud peuvent prétendre à la qualification SecNumCloud. En effet, la qualification est adaptable aux différentes offres : SaaS (Software as a Service), PaaS (Platform as a Service) ou encore IaaS (Infrastructure as a Service).

Qui est concerné par SecNumCloud ?

SecNumCloud concerne les fournisseurs de services cloud qui souhaitent offrir des solutions de stockage, de traitement et de gestion des données conformes aux normes de sécurité françaises. Les entreprises et organismes publics français qui cherchent à externaliser leurs services informatiques ou à stocker des données sensibles dans le cloud sont également concernés par ce référentiel. Dans notre expérience, EasyVista constate que SecNumCloud est fréquemment exigé dans les appels d’offres publics, notamment dans les secteurs stratégiques et les administrations traitant des données sensibles.

La France applique le RGPD (Règlement général sur la protection des données), l’un des cadres réglementaires les plus stricts en matière de données personnelles au monde. SecNumCloud vient apporter un gage de sécurité supplémentaire, spécifiquement adapté aux enjeux de souveraineté numérique dans le cloud.

Qui peut obtenir la certification SecNumCloud ?

Obtenir la qualification SecNumCloud nécessite de passer par un processus d’évaluation rigoureux mené par l’ANSSI. Les critères pour obtenir la qualification incluent :

• La protection des données : pour mettre en place des mesures de sécurité pour garantir la confidentialité, l’intégrité et la disponibilité des données.

• La continuité d’activité : pour disposer de plans de reprise d’activité et de sauvegarde des données pour assurer la continuité des services en cas de sinistre ou d’incident.

• La gestion des risques : pour identifier, évaluer et traiter les risques liés à la sécurité des systèmes d’information, ainsi que mettre en place des mécanismes de contrôle et de suivi.

• La conformité légale : pour se conformer aux réglementations en vigueur, notamment en matière de protection des données personnelles (comme le RGPD) et de cybersécurité.

Les services qualifiés SecNumCloud sont destinés aux organisations, qu’elles soient publiques ou privées, soucieuses de bénéficier d’un service de qualité, souverain et sécurisé. De plus, les solutions qualifiées SecNumCloud offrent une grande réversibilité. Ce principe indique qu’une organisation cliente peut aisément changer de fournisseur, facilitant ainsi l’accès et le transfert des données vers un autre service.

La liste des entreprises qui disposent de la qualification SecNumCloud est accessible publiquement sur le site de l’ANSSI. À noter que la qualification n’est valable que pour une durée de trois ans. Après cette période, les prestataires doivent réaliser des audits de surveillance tous les 18 mois pour maintenir leur qualification. En pratique, le nombre de prestataires SaaS et PaaS pleinement qualifiés reste limité en raison de la rigueur du processus – ce qui renforce la valeur de travailler avec un prestataire ayant déjà franchi toutes les étapes nécessaires.

Comment obtenir la qualification SecNumCloud ? Le processus étape par étape

Au-delà des critères d’éligibilité, comprendre le déroulement concret du processus de qualification est essentiel pour les organisations qui envisagent de l’exiger dans leurs appels d’offres ou de le poursuivre elles-mêmes. Le processus se déroule en plusieurs étapes :

1. Auto-évaluation du prestataire par rapport aux exigences du référentiel SecNumCloud.

2. Sélection d’un auditeur certifié PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information), habilité par l’ANSSI.

3. Audit technique et revue documentaire conduits par le PASSI.

4. Instruction du dossier par l’ANSSI et décision de qualification.

5. Délivrance du visa de qualification, valable trois ans.

6. Audits de surveillance intermédiaires tous les 18 mois pour maintenir la qualification.

Ce cycle d’audit continu distingue SecNumCloud d’un simple label obtenu une fois pour toutes : c’est un engagement opérationnel permanent, ce qui explique pourquoi la qualification reste un signal de confiance particulièrement robuste sur le marché.

SecNumCloud et souveraineté numérique : pourquoi la protection contre le droit extra-européen est essentielle

La souveraineté des données est l’une des principales raisons pour lesquelles les organisations françaises se tournent vers des prestataires qualifiés SecNumCloud. Le Cloud Act américain permet aux autorités américaines d’accéder à des données hébergées par des entreprises américaines, même lorsque ces données sont physiquement stockées en dehors des États-Unis. Pour toute organisation hébergeant des données sensibles chez un prestataire soumis au droit américain, ce risque est réel et documenté.

La version 3.2 du référentiel SecNumCloud, publiée en 2022, a précisément été conçue pour répondre à ce risque : elle exige que les prestataires qualifiés, ainsi que l’ensemble de leur chaîne de sous-traitance, ne soient pas soumis à un droit extra-européen susceptible de compromettre la confidentialité des données. Cela signifie concrètement que les données hébergées par un prestataire qualifié SecNumCloud ne peuvent pas faire l’objet d’une injonction américaine au titre du Cloud Act ou du FISA (Foreign Intelligence Surveillance Act).

Pour les administrations publiques françaises, les entreprises de défense, les acteurs de la santé et toute organisation traitant des données à caractère sensible, cette protection juridique est aussi importante que les garanties techniques. SecNumCloud v3.2 est, à ce jour, le seul référentiel français qui intègre explicitement cette dimension de souveraineté juridique dans ses exigences.

Pourquoi travailler avec une entreprise certifiée SecNumCloud ?

Le respect du référentiel SecNumCloud est souvent une obligation interne pour certaines organisations publiques (appuyée par la doctrine « Cloud au centre » (DINUM, 31 mai 2023)) ou des entreprises privées travaillant dans des secteurs stratégiques ou manipulant des données sensibles. Cela permet d’assurer un niveau de sécurité et de protection des données personnelles supplémentaire, en conformité avec le RGPD.

Pour les organisations qui font le choix d’un prestataire qualifié SecNumCloud, les bénéfices sont concrets et mesurables :

• Sécurité renforcée : les prestataires qualifiés SecNumCloud sont soumis à des exigences prescriptives strictes – authentification multifacteur, chiffrement des données, segmentation des environnements, audits PASSI – qui vont bien au-delà des bonnes pratiques générales. Pour un DSI, cela se traduit par une surface d’attaque réduite et une capacité de réponse aux incidents structurellement plus robuste.

• Conformité réglementaire : la qualification SecNumCloud constitue une garantie vérifiable par l’État que le traitement des données respecte les exigences les plus élevées du droit français et européen – un argument décisif lors des audits internes ou des contrôles réglementaires.

• Continuité d‘activité : les exigences SecNumCloud en matière de plans de reprise d’activité et de disponibilité des services sont auditées régulièrement, ce qui signifie que la résilience opérationnelle du prestataire est vérifiée, pas seulement déclarée.

• Confiance et avantage compétitif : pour les organisations qui traitent des données pour le compte de tiers – administrations, clients grands comptes, partenaires dans des secteurs régulés – travailler avec un prestataire qualifié SecNumCloud démontre un niveau d’exigence qui renforce la confiance et peut constituer un différenciateur dans les appels d’offres.

L’approche EasyVista en matière de conformité SecNumCloud

Chez EasyVista, nous investissons constamment et durablement dans la sécurité de nos logiciels et infrastructures techniques. C’est non seulement un choix qui est gravé dans l’ADN de l’entreprise, mais aussi une nécessité pour démontrer un haut niveau d’exigence et de service envers tous nos clients, organisations publiques comme entreprises privées.

Ainsi, nous sommes audités SSAE18 (Statement on Standards for Attestation Engagements No. 18, un standard d’audit américain) et SOC2 (Service Organization Control 2, un cadre de conformité pour la sécurité des données), et nos processus sont issus de la certification ISO27001.

En tant qu’éditeur français, EasyVista propose également une offre SaaS hébergée en France via Outscale, fournisseur cloud français qualifié SecNumCloud et filiale de Dassault Systèmes, dont les infrastructures sont hébergées en France. Cette offre est conçue pour réduire l’exposition au droit extra-territorial américain (Cloud Act) et répondre aux exigences de conformité SecNumCloud pour les organisations qui en ont besoin.

Vous souhaitez échanger avec l’un de nos experts ? Nous sommes à votre disposition !