Offres IaaS (Infrastructure as a Service)
- Cloud Temple : Secure Temple (IaaS qualifié depuis plusieurs années)
- Outscale : Cloud on Demand (IaaS qualifié, société filiale de Dassault Systèmes)
- OVHCloud : Hosted Private Cloud powered by VMware (IaaS qualifié)
- Wordline : Wordline Cloud Services (IaaS pour services de paiement et sécurité)
- Cegedim.cloud : CegNum Cloud Secured IaaS (qualifié version 3.2 en 2024 après 2 ans de travail)
Offres PaaS (Platform as a Service)
- Cloud Temple : Red Hat OpenShift (premier PaaS qualifié SecNumCloud en France, mai 2024)
Offres SaaS (Software as a Service)
- Oodrive : Oodrive Work, Oodrive Work Share, Oodrive Meet (premier qualifié en 2019, renouvellement 2022 pour 3 ans)
- Whaller : Whaller Donjon (plateforme de collaboration sécurisée)
« Cloud Temple est le premier en France à obtenir la qualification SecNumCloud d’une offre PaaS, confirmant notre engagement pour la souveraineté numérique. »
Prestataires en cours de qualification
Plusieurs acteurs majeurs du cloud poursuivent actuellement le processus de qualification SecNumCloud, ayant validé le jalon J0 (recevabilité du dossier de candidature) :
- S3NS (coentreprise Thales-Google Cloud) : Qualification finale attendue été 2025
- Bleu (coentreprise Orange-Capgemini pour Microsoft Azure) : Qualification ciblée premier semestre 2026
- Scaleway : Jalon J0 validé en janvier 2025
- ITS Integra : J0 validé en 2024 pour l’offre ITSecureCloud
- OVH SAS : SNC Cloud Platform en cours de qualification
- PROLIVAL – Groupe TENEXA : Horizon SecNumCloud IaaS
- Autres candidats : Bleu SAS, BLUE, Cloud Solutions, Cyllène ITS, Ecritel, Free Pro, GIP Mipih
Le processus de qualification comporte plusieurs jalons (J0, J1, J2, J3) et dure généralement entre 18 et 24 mois, nécessitant audits techniques, vérifications organisationnelles et tests de résilience.
Pourquoi choisir un hébergeur SecNumCloud ?
Conformité réglementaire obligatoire
Pour le secteur public et les Organismes d’Importance Vitale (santé, énergie, transports, finances, défense), l’ANSSI préconise explicitement l’utilisation d’offres qualifiées SecNumCloud pour l’hébergement de systèmes d’information sensibles. De nombreux appels d’offres publics exigent désormais cette qualification comme critère de sélection.
Protection contre les menaces avancées
La qualification garantit une protection renforcée contre les cyberattaques sophistiquées grâce à des exigences strictes : surveillance 24/7 des infrastructures, gestion proactive des incidents, plans de continuité d’activité testés régulièrement, et isolation physique et logique des environnements clients.
Souveraineté et maîtrise des données
SecNumCloud impose que les données et leur traitement restent dans l’Espace Économique Européen, avec une gouvernance soumise au droit européen. Cela protège contre les lois extraterritoriales comme le CLOUD Act américain, qui permet aux autorités américaines d’accéder aux données hébergées par des entreprises soumises au droit américain, même si les serveurs sont en Europe.
Facilitation de l’homologation
Pour les entités publiques, héberger sur une offre SecNumCloud simplifie considérablement le processus d’homologation de sécurité des systèmes d’information, réduisant les délais et les coûts de mise en conformité.
SecNumCloud vs autres certifications : comparatif
| Critère | ISO 27001 | HDS (Hébergement Données de Santé) | SecNumCloud |
|---|---|---|---|
| Origine | Norme internationale | Certification française (secteur santé) | Qualification ANSSI (France) |
| Portée | Système de management de la sécurité (organisation) | Données de santé uniquement | Services cloud pour données sensibles |
| Souveraineté | Non exigée | Stockage obligatoire dans l’EEE | Stockage et traitement dans l’EEE + droit européen |
| Niveau d’exigence | Socle de base | Élevé pour le secteur santé | Le plus élevé en France |
| Audits | Tous les 3 ans + surveillance annuelle | Audits réguliers + cartographie des transferts | Audits complets tous les 3 ans + surveillance continue |
| Cas d’usage | Tout type d’organisation | Hébergeurs de données de santé | OIV, secteur public, données sensibles |
| Compatibilité | Prérequis pour HDS et SecNumCloud | Intègre matrice ISO 27001 + SecNumCloud | S’appuie sur ISO 27001 comme socle |
SecNumCloud est considéré comme plus strict que ISO 27001, notamment sur les volets de souveraineté, de traçabilité et de cloisonnement des flux. Il n’existe aucune équivalence directe, et obtenir ISO 27001 ne garantit pas l’obtention de SecNumCloud.
HDS (Hébergement de Données de Santé) est spécifique au secteur médical et intègre depuis 2024 une matrice de correspondance avec SecNumCloud, permettant aux hébergeurs qualifiés SecNumCloud d’obtenir plus facilement la certification HDS complémentaire.
« SecNumCloud est le standard le plus exigeant en Europe en matière de sécurité du cloud. La France est actuellement le seul pays à disposer d’un tel référentiel. »
Critères pour choisir votre hébergeur SecNumCloud
Type de service adapté à vos besoins
Identifiez d’abord si vous avez besoin d’une infrastructure (IaaS pour contrôle total), d’une plateforme de développement (PaaS pour applications cloud-native), ou d’une solution applicative clé en main (SaaS pour collaboration sécurisée par exemple).
Niveau de sensibilité des données
Pour les données classifiées Diffusion Restreinte ou supérieures, vérifiez que l’hébergeur dispose d’accréditations spécifiques au-delà de SecNumCloud. Pour les données de santé, combinez SecNumCloud avec la certification HDS.
Localisation géographique des datacenters
Bien que SecNumCloud impose l’EEE, certaines organisations préfèrent des datacenters situés exclusivement en France pour des raisons de latence ou de réglementations sectorielles spécifiques.
Réversibilité et portabilité
Assurez-vous que l’hébergeur offre des garanties contractuelles sur la récupération de vos données et la migration vers un autre prestataire sans perte de données ni période d’indisponibilité prolongée.
Support et accompagnement
Pour le secteur public, privilégiez les hébergeurs proposant un support en français avec des équipes ayant l’expérience des contraintes administratives et des processus d’homologation RGS (Référentiel Général de Sécurité).
Coûts et modèle tarifaire
Les offres SecNumCloud sont généralement plus coûteuses que les offres cloud standard (surcoût estimé entre 20% et 50%) en raison des investissements nécessaires pour la conformité. Comparez les modèles tarifaires : facturation à l’usage, engagement sur durée, ou forfaits dédiés.
FAQ : Questions fréquentes sur SecNumCloud
Quelle est la différence entre SecNumCloud et un cloud souverain ?
SecNumCloud est une qualification officielle de l’ANSSI avec des critères précis et vérifiables par audit. Le terme « cloud souverain » est plus large et marketing, désignant toute solution cloud prétendant respecter la souveraineté numérique sans nécessairement avoir de certification. SecNumCloud est le seul label garantissant le plus haut niveau de souveraineté et de sécurité en France.
Combien de temps faut-il pour obtenir la qualification SecNumCloud ?
Le processus de qualification dure généralement entre 18 et 24 mois depuis le dépôt du dossier de candidature (J0) jusqu’à la qualification finale (J3). Il comprend plusieurs jalons d’audit et nécessite souvent 2 ans de travail préparatoire pour mettre en conformité les infrastructures et processus.
SecNumCloud est-il obligatoire pour le secteur public ?
SecNumCloud n’est pas strictement obligatoire dans tous les cas, mais l’ANSSI le recommande fortement pour tout système d’information sensible du secteur public, et notamment pour les OIV. De plus en plus d’appels d’offres publics l’exigent comme critère de sélection depuis 2023-2024.
Un hébergeur non-français peut-il obtenir SecNumCloud ?
Oui, à condition de respecter toutes les exigences du référentiel, notamment la localisation des données et de leur traitement dans l’EEE, la soumission au droit européen, et un capital majoritairement européen. Certains acteurs américains ou internationaux ont créé des filiales européennes pour candidater (exemples : S3NS pour Google Cloud, Bleu pour Microsoft Azure).
SecNumCloud protège-t-il contre toutes les cybermenaces ?
SecNumCloud offre le plus haut niveau de protection disponible pour les services cloud en France, mais aucune solution n’est invulnérable à 100%. La qualification garantit une défense en profondeur contre les menaces cybercriminelles avancées, les attaques persistantes et les risques juridiques liés aux lois extraterritoriales. Elle doit être complétée par de bonnes pratiques côté utilisateur (gestion des accès, sensibilisation, supervision).
Conclusion
La qualification SecNumCloud représente aujourd’hui le standard de référence pour l’hébergement de données sensibles en France, avec seulement 9 offres qualifiées et une dizaine de candidats en cours de processus. Pour le secteur public, les OIV et toute organisation manipulant des données critiques, choisir un hébergeur SecNumCloud n’est plus une option mais une nécessité stratégique face aux enjeux de cybersécurité et de souveraineté numérique. Avec l’arrivée prochaine de nouveaux acteurs comme S3NS et Bleu, le marché devrait se diversifier tout en maintenant les exigences de sécurité les plus strictes d’Europe.
SecNumCloud, hébergement données sensibles, cloud de confiance, ANSSI, secteur public, qualification cloud, souveraineté numérique, datacenter sécurisé, OIV
Sources et références
- Les offres qualifiées SecNumCloud par l’ANSSI (oodrive.com)
- Prestataires de services d’informatique en nuage SecNumCloud – ANSSI (cyber.gouv.fr)
- SecNumCloud : tout savoir sur cette qualification (netexplorer.fr)
- FAQ avant de se lancer dans la qualification SecNumCloud – ANSSI (cyber.gouv.fr)
- Cloud Temple, premier en France à obtenir la qualification SecNumCloud d’une offre PaaS (cloud-temple.com)
- Cegedim.cloud décroche la qualification SecNumCloud version 3.2 (cegedim.cloud)
- Scalingo : ISO 27001, HDS et SecNumCloud (scalingo.com)
- S3NS, l’essor du cloud de confiance en France (lajauneetlarouge.com)