Liste des Hébergeurs SecNumCloud en France : Critères et Datacenters Qualifiés

La qualification SecNumCloud représente le plus haut niveau de certification cloud en France pour la protection des données sensibles. En janvier 2026, 14 offres ont obtenu le Visa de sécurité ANSSI SecNumCloud, garantissant un niveau de sécurité renforcé et une souveraineté numérique conforme aux exigences des secteurs critiques ^[1]. Ce label, devenu le standard de référence pour les administrations et les entreprises manipulant des informations stratégiques, devrait toucher 30% des entreprises françaises d’ici fin 2026 ^[2].

Qu’est-ce que la qualification SecNumCloud ?

SecNumCloud est une qualification délivrée par l’ANSSI pour certifier les services cloud (IaaS, PaaS, CaaS, SaaS) répondant à un référentiel de plus de 360 exigences techniques, organisationnelles et juridiques. Lancée en 2016 et actualisée en version 3.2 en mars 2022, cette qualification garantit un niveau de sécurité supérieur aux standards internationaux comme ISO 27001, avec des critères spécifiques de souveraineté numérique.

Le référentiel impose notamment l’hébergement exclusif des données dans l’Union européenne, une imperméabilité aux lois extraterritoriales (comme le CLOUD Act américain), et un cloisonnement strict entre clients. Contrairement à ISO 27001 qui certifie un système de management, SecNumCloud qualifie directement l’offre de service cloud avec des exigences techniques imposées par l’ANSSI.

Liste complète des hébergeurs SecNumCloud qualifiés en 2026

Offres IaaS (Infrastructure as a Service)

• Cloud Temple : Secure Temple – Datacenter français souverain
• OVHcloud : Hosted Private Cloud powered by VMware et extension Bare Metal Pod (mars 2025)
• 3DS Outscale : Cloud on Demand – Infrastructure souveraine
• Worldline : Worldline Cloud Services
• Orange Business : Cloud Avenue SecNum (qualification obtenue en juillet 2025)
• S3NS (Thales/Google Cloud) : PREMI3NS et CRYPT3NS – Datacenters isolés en France (qualification 3.2 obtenue en 2024)
• Numspot : Offre IaaS souveraine

Offres PaaS (Platform as a Service)

• Cloud Temple : Red Hat OpenShift
• S3NS : PREMI3NS PaaS
• Outscale : LLMaaS (IA souveraine avec Mistral AI)

Offres SaaS (Software as a Service)

• Oodrive : Oodrive Work, Oodrive Work Share, Oodrive Meet (premier Visa ANSSI en 2019, certifié 3.2)
• Whaller : Whaller Donjon

Hébergeurs en cours de qualification SecNumCloud

L’ANSSI maintient une liste transparente des prestataires ayant franchi le jalon préalable (J0) et en cours d’évaluation :

• Cyllène ITS : IaaS SecNumCloud Cyllène
• Ecritel : IaaS Secure Cloud et SaaS Secure Backup
• OVH SAS : SNC Cloud Platform IaaS/PaaS (nouvelle offre)
• PROLIVAL-TENEXA : Horizon SecNumCloud IaaS
• Scaleway : SecNumCloud IaaS/PaaS (candidature acceptée juillet 2024)
• Adista : Secure Cloud IaaS

Cette liste évolue régulièrement avec des durées de qualification variant de 12 à 24 mois selon la complexité de l’offre.

Critères de qualification SecNumCloud pour les datacenters

Exigences techniques obligatoires

La qualification SecNumCloud impose des critères stricts pour l’infrastructure datacenter :

• Localisation géographique : Hébergement exclusif dans l’Union européenne avec interdiction de transfert hors UE
• Souveraineté juridique : Immunité aux lois extraterritoriales (CLOUD Act, FISA)
• Sécurité physique renforcée : Contrôle d’accès biométrique, vidéosurveillance 24/7, sas de sécurité
• Résilience et continuité : Redondance N+1 minimum, alimentation électrique sécurisée, procédures de reprise d’activité (PRA/PCA)
• Isolation et cloisonnement : Séparation stricte des flux réseau entre clients, gestion du service et infrastructure

Les 14 thématiques du référentiel SecNumCloud 3.2

Le référentiel structure ses exigences autour de domaines critiques :

• Gestion des risques et de la sécurité de l’information
• Gestion des incidents et de la continuité d’activité
• Architecture et durcissement : Configuration sécurisée des systèmes
• Cloisonnement des environnements : Isolation physique et logique
• Traçabilité et journalisation : Conservation des logs pendant minimum 6 mois
• Sécurité des développements et des déploiements
• Chiffrement et gestion des clés cryptographiques
• Protection contre les attaques : Tests d’intrusion réguliers
• Gestion des identités et des accès (IAM)
• Sécurité physique des datacenters
• Gestion des vulnérabilités
• Conformité RGPD et réversibilité des données
• Audit et certification : Évaluations annuelles obligatoires
• Hygiène informatique renforcée : Guide ANSSI appliqué strictement

Processus d’obtention de la qualification SecNumCloud

Étapes du parcours de qualification

• Jalon préalable (J0) : Soumission du dossier à l’ANSSI ([email protected]) pour validation de l’éligibilité
• Préparation : Mise en conformité avec les 360+ exigences, tests internes de sécurité
• Audit par laboratoire agréé : Évaluation complète par des organismes comme LNE, AFNOR Certification ou BSI
• Tests d’intrusion et analyses : Pentests sur l’infrastructure, revues de code, audits sur site
• Décision ANSSI : Attribution du Visa de sécurité SecNumCloud valable 3 ans avec surveillance annuelle

Durée et coût

• Durée moyenne : 12 à 24 mois selon la maturité de l’offre
• Coût : Variable selon le périmètre, mais représente un investissement significatif pour les prestataires
• Renouvellement : Réévaluation complète tous les 3 ans

Comparatif : SecNumCloud vs autres certifications cloud

SecNumCloud se distingue comme le référentiel le plus exigeant avec une double dimension technique et souveraine, là où ISO 27001 reste organisationnel et HDS spécifique à la santé.

Critères de choix d’un hébergeur SecNumCloud

Pour les secteurs sensibles

Les organisations manipulant des données stratégiques doivent vérifier :

• Version du référentiel : Privilégier la qualification 3.2 (plus récente et exigeante)
• Périmètre qualifié : S’assurer que l’offre spécifique (IaaS, PaaS ou SaaS) est bien couverte
• Localisation des datacenters : Vérifier les sites géographiques précis en France
• Performances et SLA : Garanties de disponibilité (99,95%+)
• Support et réversibilité : Capacité à récupérer ses données en cas de changement de prestataire

Pour les administrations publiques

La doctrine « Cloud au centre » de l’État français impose SecNumCloud pour :

• Les systèmes d’information sensibles des ministères
• Les données de santé (en complément de HDS)
• Les infrastructures critiques (énergie, transport, défense)
• Les données personnelles à risque élevé

Avantages business de SecNumCloud

• Conformité réglementaire : Alignement automatique avec NIS 2, RGPD, Cyber Resilience Act
• Confiance client : Différenciation concurrentielle sur le marché français
• Réduction des risques cyber : Protection renforcée contre les attaques et intrusions
• Éligibilité marchés publics : Critère préférentiel voire obligatoire pour certains appels d’offres

Datacenters qualifiés SecNumCloud en France : localisation

Les hébergeurs SecNumCloud opèrent leurs datacenters sur le territoire français :

• OVHcloud : Roubaix, Strasbourg, Gravelines
• Cloud Temple : Paris, Lyon (datacenters souverains)
• Orange Business : Île-de-France, Auvergne-Rhône-Alpes
• S3NS : Sites isolés et dédiés en France (confidentialité renforcée)
• Outscale : Multiples régions françaises
• Numspot : Infrastructure 100% française

Cette localisation garantit l’application du droit européen et l’immunité face aux réquisitions extraterritoriales.

Évolution et perspectives 2026-2027

Nouvelles qualifications attendues

Plusieurs acteurs majeurs ont annoncé leur volonté d’obtenir SecNumCloud :

• Scaleway : Finalisation prévue courant 2026
• Prestataires régionaux : Montée en puissance des acteurs locaux
• Offres sectorielles : Solutions dédiées santé, finance, défense

Convergence avec EUCS

L’Union européenne travaille sur le schéma EUCS (European Cybersecurity Certification Scheme for Cloud Services), moins strict que SecNumCloud mais applicable à l’échelle européenne. L’ANSSI prévoit une compatibilité ascendante : une offre SecNumCloud sera automatiquement EUCS, mais l’inverse ne sera pas vrai.

FAQ : Questions fréquentes sur SecNumCloud

Quelle est la différence entre SecNumCloud et un cloud souverain ?

SecNumCloud est une qualification officielle de l’ANSSI certifiant la sécurité et la souveraineté d’une offre cloud. Un « cloud souverain » est un terme marketing pouvant désigner toute solution hébergée en France, sans garantie de certification. Seul le Visa SecNumCloud offre une reconnaissance officielle avec audits indépendants.

Combien d’hébergeurs sont qualifiés SecNumCloud en 2026 ?

En janvier 2026, 14 offres cloud sont qualifiées SecNumCloud, proposées par 9 prestataires principaux (Oodrive, Cloud Temple, OVHcloud, Orange Business, Outscale, Worldline, S3NS, Whaller, Numspot). Six autres sont en cours de qualification.

Un datacenter peut-il être qualifié SecNumCloud ?

Non, SecNumCloud qualifie une offre de service cloud (IaaS, PaaS, SaaS), pas le datacenter lui-même. Cependant, l’infrastructure datacenter doit répondre aux exigences du référentiel (sécurité physique, localisation UE, résilience). Les certifications datacenter comme Tier III/IV ou ISO 27001 sont complémentaires mais distinctes.

SecNumCloud est-elle obligatoire pour héberger des données sensibles ?

SecNumCloud n’est pas légalement obligatoire, mais fortement recommandée par l’ANSSI pour les données sensibles (secret défense, santé critique, infrastructures vitales). Elle devient de facto obligatoire pour répondre aux marchés publics sensibles et à la doctrine « Cloud au centre » de l’État français. Les Entités Essentielles (directive NIS 2) sont incitées à l’adopter.

Quel est le coût d’un hébergement SecNumCloud pour une entreprise ?

Les tarifs varient selon le prestataire et le type d’offre (IaaS, PaaS, SaaS). En général, les solutions SecNumCloud affichent un surcoût de 15 à 30% par rapport à un cloud standard, justifié par les investissements en sécurité, audits et conformité. Les grandes entreprises négocient des contrats personnalisés, tandis que les PME peuvent accéder à des offres SaaS SecNumCloud avec des modèles d’abonnement mensuels.

Conclusion

La qualification SecNumCloud s’impose comme le standard incontournable pour l’hébergement cloud sécurisé et souverain en France. Avec 14 offres qualifiées et une adoption croissante, elle répond aux enjeux de protection des données sensibles face aux cybermenaces et aux lois extraterritoriales. Le choix d’un hébergeur SecNumCloud garantit conformité réglementaire, résilience technique et confiance numérique pour les organisations publiques et privées manipulant des informations stratégiques.

SecNumCloud, hébergeur cloud France, qualification ANSSI, datacenter qualifié, cloud souverain, certification cloud sécurité, IaaS SecNumCloud, conformité RGPD, cloud de confiance, souveraineté numérique