Hébergeurs IaaS (Infrastructure as a Service)
- OVHcloud : Hosted Private Cloud powered by VMware (qualifié depuis décembre 2020)
- Outscale : Cloud on Demand
- Cloud Temple : Secure Temple
- Wordline : Wordline Cloud Services
Hébergeurs PaaS (Platform as a Service)
- Cloud Temple : Red Hat OpenShift
Hébergeurs SaaS (Software as a Service)
- Oodrive : Premier et unique acteur SaaS qualifié (2019, renouvelé en 2022)
- Oodrive Work
- Oodrive Work Share
- Oodrive Meet
- Whaller : Whaller Donjon
« Oodrive est le premier et unique acteur à avoir obtenu la qualification pour des offres SaaS, avec sa certification initiale délivrée en 2019 et renouvelée en 2022 pour trois ans. »
Datacenters et localisation
OVHcloud héberge ses services qualifiés SecNumCloud dans ses datacenters français les plus récents, situés à :
- Roubaix
- Gravelines
- Strasbourg
Cette localisation garantit la souveraineté des données et la conformité aux réglementations françaises et européennes.
📑 Sommaire de l’article
- Prestataires en cours de qualification SecNumCloud
- Critères de certification ANSSI : Le référentiel SecNumCloud 3.2
- Comment obtenir la qualification SecNumCloud ?
- Pourquoi choisir un hébergeur SecNumCloud ?
- Comparaif SecNumCloud vs autres certifications cloud
- Évolution vers EUCS : L’avenir européen de SecNumCloud
- Critères de choix d’un hébergeur SecNumCloud
- SecNumCloud et marchés publics
- FAQ : Questions fréquentes sur SecNumCloud
- Conclusion
Prestataires en cours de qualification SecNumCloud
Plusieurs acteurs majeurs sont actuellement dans le processus de qualification auprès de l’ANSSI [4] :
| Prestataire | Statut | Date jalon J0 |
|---|---|---|
| Bleu SAS (Capgemini + Orange) | En cours | 17 avril 2025 |
| S3NS | Candidature acceptée | 14 juillet 2024 |
| Clever Cloud | Accompagnement État | – |
| Cyllène ITS | En cours | – |
| Free Pro | En cours | – |
| Ecritel | En cours | – |
| GIP Mipih | En cours | – |
| ITS Integra | En cours | – |
Le processus de qualification SecNumCloud est réputé complexe et exigeant, prenant généralement entre 12 et 24 mois selon la maturité du prestataire.
Critères de certification ANSSI : Le référentiel SecNumCloud 3.2
Les 14 thématiques de sécurité évaluées
Le référentiel SecNumCloud version 3.2 impose plus de 360 exigences organisées autour de 14 domaines critiques [5] :
- Politique de sécurité et gouvernance
- Documentation exhaustive des processus
- Conformité au guide d’hygiène informatique renforcé de l’ANSSI
- Gestion des risques et analyse d’impact
- Gestion des incidents de sécurité
- Procédures d’intervention rapide
- Documentation complète des incidents
- Notification aux clients et autorités
- Continuité d’activité et résilience
- Plans de reprise d’activité (PRA) testés
- Sauvegarde des données sécurisée et redondante
- Garanties de disponibilité du service
- Cloisonnement des flux et des accès
- Isolation des réseaux de gestion, d’infrastructure et clients
- Interfaces d’administration distinctes et protégées
- Segmentation stricte des environnements
- Protection des données
- Chiffrement avancé au repos et en transit
- Algorithmes cryptographiques validés
- Gestion sécurisée des clés de chiffrement
- Gestion des identités et des accès
- Authentification forte obligatoire
- Principe du moindre privilège
- Traçabilité complète des accès administrateurs
- Sécurité physique des infrastructures
- Contrôle d’accès aux datacenters
- Vidéosurveillance et détection d’intrusion physique
- Protection contre les risques environnementaux
- Sécurité des opérations
- Gestion des configurations et des correctifs
- Tests d’intrusion réguliers
- Surveillance en temps réel
- Protection contre les lois extraterritoriales
- Capitaux et direction situés dans l’UE
- Absence de contrôle par entités extra-européennes
- Immunité juridique aux législations étrangères
- Conformité réglementaire
- Respect du RGPD
- Alignement avec les normes sectorielles
- Audits de conformité réguliers
- Gestion de la chaîne d’approvisionnement
- Qualification des sous-traitants
- Audits des fournisseurs critiques
- Maîtrise des dépendances
- Traçabilité et journalisation
- Logs d’audit complets et horodatés
- Conservation sécurisée sur 12 mois minimum
- Capacité d’investigation forensique
- Développement sécurisé
- Méthodologies DevSecOps
- Tests de sécurité automatisés
- Gestion des vulnérabilités
- Sensibilisation et formation
- Formation continue du personnel
- Tests de phishing et exercices
- Culture de la sécurité
Exigences techniques spécifiques
Le référentiel impose également des mesures techniques concrètes :
- Supervision 24/7/365 avec SOC dédié
- Tests d’intrusion annuels par organismes qualifiés
- Hébergement exclusif en France ou Union Européenne
- Redondance géographique pour la haute disponibilité
- Plans de reprise validés par des exercices réguliers
Comment obtenir la qualification SecNumCloud ?
Prérequis et processus de candidature
Pour candidater à la qualification SecNumCloud, les prestataires doivent [2] :
- Prérequis recommandés :
- Certification ISO 27001 active (fortement conseillée)
- Infrastructure opérationnelle en France/UE
- Équipes sécurité dédiées et formées
- Préparation interne :
- Audit gap analysis sur les 360+ exigences
- Mise en conformité technique et documentaire
- Tests de sécurité internes et remédiation
- Dépôt de candidature :
- Dossier complet auprès de l’ANSSI
- Description technique détaillée de l’offre
- Preuves de conformité documentées
- Phase d’évaluation :
- Audit documentaire (J0)
- Audit sur site dans les datacenters
- Tests techniques par l’organisme certificateur
- Décision de qualification :
- Validation ANSSI après revue complète
- Attribution du visa de sécurité pour 3 ans
- Publication sur la liste officielle
Coûts et délais
Bien que les coûts exacts ne soient pas publics, la qualification SecNumCloud représente un investissement significatif :
- Frais d’audit initial : 50 000€ à 150 000€ (estimation)
- Coûts de mise en conformité : variables selon la maturité
- Audits de surveillance annuels : 20 000€ à 50 000€
- Durée totale du processus : 12 à 24 mois en moyenne
Pourquoi choisir un hébergeur SecNumCloud ?
Avantages pour les organisations
Sécurité maximale garantie par l’État
La qualification SecNumCloud offre le plus haut niveau de protection disponible sur le marché français, validé par l’autorité nationale de cybersécurité. Elle protège contre 79% des cyberattaques subies par les entreprises cloud depuis 2020 [6].
Souveraineté et protection juridique
- Données hébergées exclusivement en France ou UE
- Protection contre le Cloud Act américain
- Immunité aux lois extraterritoriales
- Contrôle total sur vos informations sensibles
Conformité réglementaire simplifiée
SecNumCloud facilite la conformité avec :
- RGPD (Règlement Général sur la Protection des Données)
- NIS 2 (directive cybersécurité européenne)
- Exigences sectorielles (santé HDS, finance, défense)
- Marchés publics nécessitant des garanties de sécurité
Réduction des risques cyber
- Surveillance continue 24/7 par des équipes expertes
- Détection précoce des menaces
- Plans de réponse aux incidents éprouvés
- Résilience garantie et continuité d’activité
« La qualification SecNumCloud assure que les services cloud respectent des normes de sécurité élevées, augmentant ainsi la confiance des clients et minimisant les risques de fuites de données et de cyberattaques. »
Cas d’usage recommandés
SecNumCloud est particulièrement adapté pour :
- Administrations publiques et services de l’État
- Opérateurs d’Importance Vitale (OIV) et OSE (Opérateurs de Services Essentiels)
- Données de santé (complément à la certification HDS)
- Secteur financier et assurances
- Défense et sécurité nationale
- Entreprises traitant des secrets d’affaires critiques
- Recherche sensible et propriété intellectuelle stratégique
Comparaif SecNumCloud vs autres certifications cloud
| Critère | SecNumCloud | ISO 27001 | SOC 2 Type II | HDS |
|---|---|---|---|---|
| Organisme | ANSSI (France) | ISO (International) | AICPA (USA) | ASIP Santé (France) |
| Périmètre | Services cloud | SMSI global | Contrôles internes | Données de santé |
| Souveraineté | ✅ Obligatoire | ❌ Non requis | ❌ Non requis | ⚠️ Recommandé |
| Niveau sécurité | Très élevé | Élevé | Élevé | Élevé |
| Durée validité | 3 ans | 3 ans | 1 an | 3 ans |
| Coût approx. | 100-200k€ | 30-80k€ | 50-150k€ | 40-100k€ |
| Délai obtention | 12-24 mois | 6-12 mois | 6-9 mois | 8-15 mois |
| Protection extra-UE | ✅ Oui | ❌ Non | ❌ Non | ⚠️ Partielle |
| Recommandé État | ✅ Oui | ⚠️ Base | ❌ Non | ⚠️ Santé uniquement |
SecNumCloud se distingue comme la certification la plus exigeante et la plus adaptée aux données sensibles françaises, bien que plus coûteuse et longue à obtenir que les standards internationaux.
Évolution vers EUCS : L’avenir européen de SecNumCloud
La Commission européenne développe actuellement EUCS (EU Cybersecurity Certification Scheme for Cloud Services), un schéma de certification harmonisé au niveau européen inspiré directement de SecNumCloud [3].
Trois niveaux de certification EUCS prévus :
- EUCS Basic : Exigences minimales de sécurité
- EUCS Substantial : Équivalent approximatif à SecNumCloud
- EUCS High : Niveau maximal pour données ultra-sensibles
L’objectif est de créer un marché unique européen du cloud sécurisé tout en préservant la souveraineté numérique face aux géants américains et chinois. Les prestataires qualifiés SecNumCloud bénéficieront probablement d’une reconnaissance automatique ou d’un processus de transition simplifié vers EUCS.
Critères de choix d’un hébergeur SecNumCloud
Questions essentielles à poser
Avant de sélectionner votre prestataire qualifié SecNumCloud, évaluez ces aspects critiques :
Offre et périmètre qualifié
- Quelle offre précise est qualifiée ? (IaaS, PaaS, SaaS)
- Quels services sont couverts par la qualification ?
- Les extensions et options sont-elles également qualifiées ?
Localisation et infrastructure
- Où sont situés précisément les datacenters ?
- Existe-t-il une redondance géographique en France ?
- Quelle est la certification Tier des datacenters utilisés ?
Performance et SLA
- Quels sont les engagements de disponibilité (SLA) ?
- Quelle latence pour votre zone géographique ?
- Existe-t-il des garanties de performance ?
Support et accompagnement
- Niveau de support inclus (24/7, heures ouvrées) ?
- Support francophone disponible ?
- Accompagnement à la migration proposé ?
Tarification et modèle économique
- Structure tarifaire transparente ?
- Coûts cachés ou frais additionnels ?
- Engagement de durée requis ?
Écosystème et intégrations
- Compatibilité avec vos outils existants ?
- API et possibilités d’automatisation ?
- Partenariats technologiques (Microsoft, VMware, Red Hat…) ?
SecNumCloud et marchés publics
La qualification SecNumCloud devient quasi-obligatoire pour remporter certains marchés publics sensibles. Les administrations françaises privilégient systématiquement les offres qualifiées dans leurs appels d’offres concernant :
- Hébergement de données à caractère personnel
- Systèmes d’information métier critiques
- Plateformes collaboratives interministérielles
- Services cloud pour collectivités territoriales
L’Instruction interministérielle encourage fortement l’utilisation de solutions SecNumCloud pour tous les projets cloud des administrations, sauf justification documentée.
FAQ : Questions fréquentes sur SecNumCloud
Quelle est la différence entre SecNumCloud et HDS ?
SecNumCloud couvre tous types de services cloud avec exigences maximales de sécurité et souveraineté, tandis que HDS (Hébergeur de Données de Santé) est spécifique au secteur médical. Les deux certifications sont complémentaires : un hébergeur peut cumuler SecNumCloud et HDS pour proposer une offre santé ultra-sécurisée.
Combien coûte un hébergement SecNumCloud ?
Le coût varie selon le prestataire et l’offre, mais attendez-vous à une surprime de 20 à 50% par rapport à un hébergement cloud standard. Cette différence reflète les investissements massifs en sécurité, infrastructure souveraine et processus de qualification. Pour une VM standard, comptez 150-400€/mois.
SecNumCloud est-il obligatoire pour mon entreprise ?
Non, sauf pour les OIV (Opérateurs d’Importance Vitale) et certaines administrations. Cependant, SecNumCloud est fortement recommandé si vous traitez des données sensibles, des secrets d’affaires critiques, ou visez des marchés publics. C’est aussi un argument commercial différenciant.
Puis-je migrer facilement vers un hébergeur SecNumCloud ?
La migration nécessite une planification rigoureuse mais est techniquement réalisable. Les principaux hébergeurs qualifiés proposent des services d’accompagnement à la migration incluant audit préalable, plan de transition, tests en environnement miroir et basculement progressif pour minimiser les interruptions.
SecNumCloud protège-t-il contre toutes les cyberattaques ?
SecNumCloud garantit le plus haut niveau de protection disponible en France, mais aucune solution n’offre une sécurité absolue à 100%. La qualification impose des mesures préventives, détectives et réactives pour réduire drastiquement les risques et limiter l’impact d’incidents éventuels. La responsabilité reste partagée avec le client selon le modèle de responsabilité cloud.
Conclusion
La qualification SecNumCloud représente aujourd’hui le standard d’excellence en matière de cloud sécurisé et souverain en France. Avec seulement neuf offres qualifiées en 2024 et plusieurs acteurs majeurs en cours de certification, le marché du cloud de confiance est en pleine expansion. Pour les entreprises et administrations traitant des données sensibles, choisir un hébergeur SecNumCloud n’est plus une option mais une nécessité stratégique face aux enjeux de cybersécurité et de souveraineté numérique. Avez-vous évalué si vos données actuelles nécessitent ce niveau de protection ?
SecNumCloud, certification ANSSI, hébergeur qualifié, cloud souverain, cybersécurité cloud, datacenter France, SecNumCloud liste, qualification cloud, protection données sensibles, cloud de confiance
Sources et références
- Liste des offres qualifiées SecNumCloud (oodrive.com)
- Qualification SecNumCloud AFNOR Certification (certification.afnor.org)
- Cloud et SecNumCloud – ANSSI (cyber.gouv.fr)
- Prestataires SecNumCloud en cours de qualification (cyber.gouv.fr)
- Guide complet qualification SecNumCloud (scalingo.com)
- Avantages et définition SecNumCloud (tersedia.fr)