En France, 75 % des 12 principaux projets de datacenters (109 milliards d’euros annoncés en 2025) sont labellisés SecNumCloud [1], la qualification la plus exigeante de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) pour l’hébergement cloud de données sensibles. Cette certification garantit un niveau de souveraineté et de sécurité maximal, protégeant contre les lois extraterritoriales comme le Cloud Act américain.
📑 Sommaire de l’article
- Qu’est-ce que la qualification SecNumCloud ?
- Les principaux opérateurs de datacenters SecNumCloud en France
- Liste consolidée des localisations de datacenters SecNumCloud
- Critères de qualification SecNumCloud : Pourquoi si peu d’opérateurs ?
- SecNumCloud vs autres certifications d’hébergement
- Avantages stratégiques d’un datacenter SecNumCloud
- Secteurs prioritaires pour l’hébergement SecNumCloud
- Comment choisir son datacenter SecNumCloud ?
- Perspectives et évolutions du SecNumCloud
- FAQ : Questions fréquentes sur les datacenters SecNumCloud
- Conclusion
« L’ANSSI gère ainsi la qualification SecNumCloud. Ce référentiel de sécurité garantit la protection des systèmes d’information […] c’est un facteur de souveraineté essentiel. »
Qu’est-ce que la qualification SecNumCloud ?
La qualification SecNumCloud est un label de sécurité délivré par l’ANSSI depuis 2016 pour certifier les offres de services cloud (IaaS, PaaS, SaaS) destinées à héberger des données sensibles ou critiques [2]. Elle s’impose comme le standard de facto pour les Opérateurs d’Importance Vitale (OIV), les administrations publiques et les entreprises traitant des informations stratégiques (santé, défense, finance).
Le référentiel SecNumCloud version 3.2, actualisé en mars 2022, impose plus de 360 exigences techniques, opérationnelles et juridiques réparties en 14 thématiques alignées sur la norme ISO 27001 [3]. Contrairement aux certifications internationales classiques, SecNumCloud intègre des critères de souveraineté numérique stricts :
- Immunité aux lois extra-européennes : protection contre le Cloud Act et autres réglementations extraterritoriales
- Localisation des données en France : infrastructures physiques implantées sur le territoire national
- Capital majoritairement européen : limitation à 24 % de détention individuelle et 39 % collective par des entités non-UE [4]
- Personnel de confiance : administrateurs et opérateurs soumis au droit européen exclusivement
Les principaux opérateurs de datacenters SecNumCloud en France
OVHcloud : Le leader français qualifié
OVHcloud opère la première région SecNumCloud de France dans le nord du pays, couvrant trois zones de disponibilité majeures [5] :
- Gravelines (Nord) : Plus grand campus de datacenters européen avec 400 000 serveurs
- Roubaix (Hauts-de-France) : Site historique et stratégique pour la connectivité européenne
- Strasbourg (Grand Est) : Positionnement géographique optimal pour les institutions européennes
OVHcloud dispose également de datacenters à Paris (multi-AZ), Bordeaux, Grenoble et Tours, bien que la qualification SecNumCloud ne couvre actuellement que la région nord [6]. L’offre Hosted Private Cloud qualifiée SecNumCloud d’OVHcloud affiche un ticket d’entrée à 1312 € HT/mois avec un supplément de 12 % sur les tarifs standards [7].
OUTSCALE : Le cloud souverain dédié
OUTSCALE (filiale de Dassault Systèmes) exploite des datacenters en Île-de-France avec une qualification SecNumCloud 3.2 complète [8]. Le provider se positionne comme spécialiste du cloud souverain pour les données critiques, avec une infrastructure 100 % française et une conformité stricte aux exigences ANSSI.
S3NS : La nouvelle génération hybride
S3NS, joint-venture entre Thales et Google Cloud, a obtenu en décembre 2024 la qualification SecNumCloud 3.2 pour son offre PREMI3NS [9]. Cette certification marque une avancée majeure dans le cloud de confiance hybride, combinant :
- Datacenters dédiés situés en France (emplacements spécifiques non divulgués pour raisons de sécurité)
- Administration exclusive par des employés français de S3NS
- Technologies Google Cloud adaptées aux contraintes de souveraineté
Clever Cloud et Scaleway : En cours de qualification
Clever Cloud s’appuie sur des infrastructures approuvées SecNumCloud en France, avec des équipes exclusivement européennes [10]. Scaleway (groupe Iliad) a entamé en 2025 le processus de qualification SecNumCloud pour ses datacenters parisiens (DC2, DC3, DC5) et son site de Lille [11].
Cloud Temple : Infrastructure souveraine
Cloud Temple propose des offres SecNumCloud avec un modèle tarifaire démarrant à 184,80 € HT/mois pour un tenant basique [12]. L’opérateur met l’accent sur la conformité aux référentiels les plus exigeants (SecNumCloud 3.2, HDS, ISO 27001).
Liste consolidée des localisations de datacenters SecNumCloud
| Opérateur | Statut SecNumCloud | Localisations principales | Zones de disponibilité |
|---|---|---|---|
| OVHcloud | Qualifié (région Nord) | Gravelines, Roubaix, Strasbourg | 3 AZ minimum |
| OUTSCALE | Qualifié 3.2 | Île-de-France (Paris) | Multi-AZ |
| S3NS | Qualifié 3.2 (2024) | France (sites confidentiels) | Dédiées |
| Clever Cloud | Infrastructure approuvée | Sites français (non précisés) | Selon partenaire |
| Scaleway | En qualification | Paris (DC2/DC3/DC5), Lille | 3 AZ |
| Cloud Temple | Qualifié | France (sites multiples) | Multi-AZ |
Note importante : Pour des raisons de sécurité nationale, l’ANSSI ne publie pas de liste exhaustive des ~250 datacenters ou offres qualifiés SecNumCloud [13]. Les opérateurs certifiés sont également tenus à la confidentialité sur certains détails d’implantation.
Critères de qualification SecNumCloud : Pourquoi si peu d’opérateurs ?
La rigueur exceptionnelle du référentiel explique le nombre limité de datacenters qualifiés. La complexité pour obtenir SecNumCloud est estimée à 10/10, contre 1/10 pour ISO 27001 selon les experts du secteur [14].
Exigences techniques et opérationnelles
- Cloisonnement réseau : Isolation totale entre réseaux d’administration et utilisateurs, étanchéité des systèmes
- Gestion des incidents : Procédures documentées de réponse rapide, avec reporting à l’ANSSI
- Continuité d’activité : Plans de reprise d’activité (PRA) et plans de continuité (PCA) testés régulièrement
- Sécurité physique : Contrôles d’accès biométriques, vidéosurveillance 24/7, protection périmétrique renforcée
- Cryptographie : Chiffrement des données au repos et en transit avec clés maîtrisées par le client
Exigences juridiques et de souveraineté
- Localisation des serveurs : Infrastructure physique obligatoirement située en France ou UE
- Capital et gouvernance : Limitation stricte de l’actionnariat non-européen (24 %/39 %)
- Personnel de confiance : Administrateurs soumis uniquement au droit français/européen
- Protection contre lois extraterritoriales : Garanties contractuelles et organisationnelles contre le Cloud Act
Processus d’audit rigoureux
Le processus de qualification comporte trois jalons obligatoires [15] :
- J0 – Audit organisationnel : Vérification de la gouvernance, politiques de sécurité, documentation
- J1 – Audit technique préliminaire : Tests des infrastructures et processus opérationnels
- J2 – Audit de sécurité complet : Tests d’intrusion, audit approfondi des mesures de protection
Les coûts pour obtenir la qualification atteignent 60 000 € en frais d’audit externes, auxquels s’ajoutent des coûts internes substantiels (main-d’œuvre, licences, infrastructure dédiée) [16]. Des aides gouvernementales jusqu’à 40 000 € sont disponibles pour les PME et start-ups du secteur cybersécurité [17].
SecNumCloud vs autres certifications d’hébergement
| Certification | Niveau d’exigence | Complexité | Cas d’usage typiques | Souveraineté |
|---|---|---|---|---|
| ISO 27001 | Base internationale | Faible (1/10) | Hébergement standard sécurisé | Non spécifique |
| HDS | Santé + transparence | Moyenne (5/10) | Données de santé | Partielle (France) |
| SecNumCloud | Maximum (360+ critères) | Élevée (10/10) | Données critiques, OIV, État | Totale (France/UE) |
ISO 27001 constitue souvent un prérequis à SecNumCloud, mais ne suffit pas. La norme internationale ne couvre pas les aspects de souveraineté numérique ni l’immunité aux lois extraterritoriales [18].
HDS (Hébergement de Données de Santé) se focalise sur les données médicales avec des exigences intermédiaires. Beaucoup d’opérateurs cumulent HDS et SecNumCloud pour couvrir tous les segments de données sensibles [19].
SecNumCloud représente le niveau maximal avec le chapitre 19.6 imposant des contraintes de souveraineté uniques en Europe. La différence entre HDS et SecNumCloud réside principalement dans ces exigences d’immunité juridique extraterritoriale [20].
Avantages stratégiques d’un datacenter SecNumCloud
Protection juridique renforcée
L’hébergement dans un datacenter SecNumCloud garantit que vos données échappent aux réglementations extraterritoriales comme le Cloud Act américain ou le FISA. Cette protection est cruciale pour :
- Les données de défense : protection du secret défense et des informations classifiées
- Les données de santé critiques : dossiers patients sensibles, recherche médicale
- Les données financières stratégiques : opérations M&A, informations boursières sensibles
- Les données industrielles : propriété intellectuelle, R&D, brevets
Conformité réglementaire simplifiée
Pour les entités assujetties à des obligations strictes, SecNumCloud facilite la conformité avec :
- Directive NIS2 : exigences de cybersécurité pour les opérateurs de services essentiels
- Règlement DORA : résilience opérationnelle numérique du secteur financier
- Référentiel RGS : Référentiel Général de Sécurité pour les administrations
- Doctrine Cloud au Centre : recommandations de l’État pour les services publics
« Si la complexité pour obtenir ISO 27001 était de niveau 1, atteindre la qualification SecNumCloud serait de niveau 10. »
Continuité d’activité garantie
Les datacenters SecNumCloud offrent des SLA (Service Level Agreements) particulièrement exigeants :
- Disponibilité minimale de 99,9 % (OVHcloud, OUTSCALE)
- Plans de reprise d’activité (PRA) avec RTO < 4 heures et RPO < 1 heure
- Redondance géographique multi-sites en France
- Sauvegarde automatisée avec rétention longue durée
Souveraineté technologique
Le choix d’un datacenter SecNumCloud contribue à la résilience numérique nationale en :
- Soutenant l’écosystème technologique français et européen
- Réduisant la dépendance aux hyperscalers extra-européens
- Participant à la stratégie nationale du cloud de confiance
- Favorisant l’emploi qualifié en France (administrateurs, ingénieurs sécurité)
Secteurs prioritaires pour l’hébergement SecNumCloud
Administrations et secteur public
Près de 40 % des décideurs publics priorisent désormais le cloud souverain pour leurs 5,7 millions d’agents [21]. La doctrine « Cloud au Centre » de l’État recommande explicitement SecNumCloud pour :
- Données interministérielles sensibles
- Applications de gestion des citoyens (état civil, fiscalité)
- Systèmes de santé publique (Système National des Données de Santé)
- Infrastructure des collectivités territoriales
Opérateurs d’Importance Vitale (OIV)
Les 250 OIV français (énergie, transport, santé, communication) sont soumis à des obligations renforcées de cybersécurité. SecNumCloud devient de facto obligatoire pour leurs données critiques [22].
Secteur de la santé
Au-delà du HDS obligatoire, les établissements de santé traitant des données particulièrement sensibles (psychiatrie, VIH, génétique) optent pour SecNumCloud afin de garantir une protection maximale.
Industrie de défense et aérospatiale
Les entreprises de défense (Thales, Dassault, Safran, Naval Group) et leurs sous-traitants utilisent massivement SecNumCloud pour protéger leurs données classifiées et leur propriété intellectuelle stratégique.
Banque et assurance
Avec le règlement DORA imposant une résilience opérationnelle numérique stricte, les institutions financières migrent progressivement vers des infrastructures SecNumCloud pour leurs systèmes critiques.
Comment choisir son datacenter SecNumCloud ?
Vérifier la qualification officielle
Consultez systématiquement le site officiel de l’ANSSI (cyber.gouv.fr) pour vérifier qu’une offre est effectivement qualifiée. Méfiez-vous des mentions « compatible » ou « en cours » qui ne garantissent pas la qualification effective.
Analyser la localisation géographique
Privilégiez une localisation proche de vos équipes pour :
- Réduire la latence réseau (< 10 ms pour applications critiques)
- Faciliter les audits physiques réguliers
- Permettre des interventions sur site en cas d’incident majeur
Les trois zones principales en France sont :
- Île-de-France : connectivité maximale, proximité des sièges sociaux
- Nord (Hauts-de-France) : coûts énergétiques optimisés, connectivité européenne
- Grand Est : positionnement géographique pour institutions européennes
Évaluer les capacités techniques
Vérifiez que le datacenter propose :
- Redondance N+1 minimum sur tous les équipements critiques (alimentation, climatisation, réseau)
- Connectivité multi-opérateurs avec au moins 3 carriers différents
- Options de connectivité privée (interconnexion directe, MPLS, SD-WAN)
- Support 24/7/365 avec personnel habilité secret défense si nécessaire
Comparer les modèles tarifaires
Les tarifs SecNumCloud varient significativement selon les opérateurs et les services :
| Opérateur | Ticket d’entrée mensuel | Surcoût vs offre standard | Services inclus |
|---|---|---|---|
| OVHcloud | 1312 € HT | +12 % | 2 hosts, 2 datastores, support Enterprise |
| Cloud Temple | 184,80 € HT | Variable | 1 tenant basique, support inclus |
| S3NS | Sur devis | Premium | Infrastructure dédiée, administration française |
| OUTSCALE | Sur devis | Variable | Multi-AZ, support souveraineté |
Le supplément SecNumCloud (environ +10-15 % sur les offres standards) se justifie par les investissements en audits, certifications et processus opérationnels renforcés [23].
Anticiper les coûts cachés
Au-delà de l’hébergement lui-même, budgétisez :
- Pack de démarrage : 2000 € HT chez OVHcloud pour l’accompagnement initial [24]
- Connectivité sécurisée : VPN Gateway SecNumCloud à partir de 448 € HT/mois [25]
- Support premium : souvent obligatoire, 15-25 % du coût d’infrastructure
- Licences logicielles : majorées de 12 % en environnement SecNumCloud
- Services professionnels : audit de migration, formation des équipes
Perspectives et évolutions du SecNumCloud
Nouvelle version 3.3 attendue en 2026
L’ANSSI travaille sur une mise à jour du référentiel pour intégrer :
- Les dernières évolutions de la directive NIS2
- Des exigences renforcées sur l’IA et le machine learning
- Une meilleure prise en compte des architectures edge computing
- Des critères environnementaux (PUE, utilisation d’énergies renouvelables)
Extension géographique des qualifications
De nouveaux opérateurs préparent activement leur qualification :
- Scaleway devrait obtenir SecNumCloud 3.2 courant 2026 [26]
- Orange Business Services via son offre Bleu (Capgemini/Orange/Microsoft) a validé le jalon J1 en novembre 2025 [27]
- Numspot (EDF/Docaposte/Dassault) avance également dans le processus
Adoption croissante dans le secteur privé
Au-delà des OIV et administrations, les grandes entreprises privées adoptent progressivement SecNumCloud pour :
- Se prémunir contre l’espionnage industriel
- Rassurer leurs clients sur la protection des données
- Anticiper le durcissement réglementaire européen
- Valoriser leur engagement pour la souveraineté numérique
FAQ : Questions fréquentes sur les datacenters SecNumCloud
Quelle est la différence entre SecNumCloud et un datacenter classique ?
Un datacenter SecNumCloud répond à plus de 360 exigences de sécurité, souveraineté et conformité définies par l’ANSSI, contre environ 50-100 pour un datacenter ISO 27001 standard. SecNumCloud garantit notamment l’immunité aux lois extraterritoriales et impose une localisation en France avec un capital majoritairement européen.
Combien de datacenters SecNumCloud existe-t-il en France ?
Pour des raisons de sécurité nationale, l’ANSSI ne publie pas de liste exhaustive. On estime à environ 250 le nombre d’offres qualifiées, mais seuls quelques grands opérateurs (OVHcloud, OUTSCALE, S3NS, Cloud Temple) communiquent ouvertement sur leurs certifications. La liste officielle est disponible sur cyber.gouv.fr mais certains détails restent confidentiels.
Mon entreprise est-elle obligée d’utiliser un datacenter SecNumCloud ?
Pour les Opérateurs d’Importance Vitale (OIV), les administrations publiques et les organismes traitant des données classifiées, SecNumCloud devient de facto obligatoire. Pour les autres entreprises, ce n’est pas une obligation légale mais une recommandation forte pour les données sensibles, et une exigence croissante des donneurs d’ordre publics.
Quel est le coût d’un hébergement SecNumCloud ?
Le surcoût moyen se situe entre +10 % et +15 % par rapport à une offre cloud standard. Chez OVHcloud, le ticket d’entrée est de 1312 € HT/mois avec un supplément de 12 %. Les tarifs varient selon les configurations, avec des coûts additionnels pour la connectivité sécurisée, le support premium et les services professionnels.
Puis-je héberger mes données hors de France avec SecNumCloud ?
Non. Le référentiel SecNumCloud impose une localisation des infrastructures en France ou dans l’Union Européenne, avec des contraintes additionnelles strictes pour les localisations hors France. La majorité des offres qualifiées se concentrent sur le territoire français pour garantir une souveraineté maximale.
SecNumCloud est-il compatible avec les certifications HDS et ISO 27001 ?
Oui, SecNumCloud est cumulable et souvent superposé à ISO 27001 (souvent prérequis) et HDS. Beaucoup d’opérateurs détiennent les trois certifications, permettant de couvrir tous les types de données sensibles : santé (HDS), critique et souveraine (SecNumCloud), avec une base de gestion de sécurité (ISO 27001).
Quelle est la durée de validité d’une qualification SecNumCloud ?
La qualification SecNumCloud est délivrée pour une durée de 3 ans, sous réserve d’audits de surveillance réguliers (généralement annuels). Les opérateurs doivent maintenir en continu la conformité aux 360+ exigences et signaler tout changement majeur d’infrastructure ou d’organisation à l’ANSSI.
Un datacenter SecNumCloud peut-il héberger des données étrangères ?
Oui, un datacenter qualifié SecNumCloud peut héberger des données de clients étrangers. Toutefois, ces clients bénéficieront des mêmes garanties de souveraineté et de protection contre les lois extraterritoriales. C’est d’ailleurs un argument commercial fort pour attirer des entreprises européennes soucieuses de leur indépendance numérique.
Conclusion
Les datacenters SecNumCloud représentent l’échelon le plus élevé de l’hébergement cloud sécurisé et souverain en France. Avec des opérateurs majeurs comme OVHcloud (Gravelines, Roubaix, Strasbourg), OUTSCALE (Île-de-France), S3NS et Cloud Temple, la France dispose d’une offre robuste pour protéger ses données les plus sensibles. Face au durcissement réglementaire européen (NIS2, DORA) et à la montée des cybermenaces, investir dans un hébergement qualifié ANSSI devient non seulement une obligation pour de nombreux secteurs, mais aussi un avantage concurrentiel pour les entreprises engagées dans la souveraineté numérique. Quelle stratégie cloud votre organisation privilégie-t-elle pour ses données critiques ?
datacenter SecNumCloud, qualification ANSSI, hébergement données sensibles, cloud souverain France, OIV cybersécurité, SecNumCloud 3.2
Sources et références
- Souveraineté numérique 2026 (infos-entreprises.fr)
- Cloud ANSSI (cyber.gouv.fr)
- Qualification SecNumCloud ANSSI Guide (scalingo.com)
- Guide SecNumCloud Scalingo (scalingo.com)
- OVHcloud Regions (ovhcloud.com)
- Top 10 Cloud Providers France (server-parts.eu)
- SecNumCloud combien coûte OVHcloud (silicon.fr)
- OUTSCALE SecNumCloud (fr.outscale.com)
- S3NS SecNumCloud qualification (afp.com)
- Sovereign Cloud France (ultraedge.com)
- Scaleway SecNumCloud qualification process (scaleway.com)
- Cloud Temple tarifs publics (cloud-temple.com)
- SecNumCloud qualification guide Scalingo (scalingo.com)
- SecNumCloud qualification ANSSI guide complet (scalingo.com)
- SecNumCloud 3.2 Cloud Temple (cloud-temple.com)
- Référentiel SecNumCloud (prezi.com)
- Certification SecNumCloud aides financières (lemondeinformatique.fr)
- HDS standard comparison regulations (cloud-temple.com)
- Cloud SecNumCloud and HDS (allonia.com)
- HDS standard fits with other regulations (cloud-temple.com)
- Adoption du Cloud secteur public (ib-formation.fr)
- Souveraineté des données choix cloud (communautes-it.com)
- SecNumCloud tout savoir qualification (netexplorer.fr)
- Tarifs Hosted Private Cloud OVHcloud (ovhcloud.com)
- Prix SecNumCloud OVHcloud (ovhcloud.com)
- Scaleway begins SecNumCloud qualification (scaleway.com)
- S3NS obtient certification SecNumCloud (itforbusiness.fr)