À connaître
- Souveraineté numérique : SecNumCloud 3.2 garantit le contrôle français sur les données sensibles, protégeant contre les lois extraterritoriales comme le Cloud Act.
- Exigences SecNumCloud 3.2 : Le référentiel de l’ANSSI impose des critères stricts en matière de localisation, de gouvernance et de sécurité pour les prestataires cloud des OSE.
- Prestataires certifiés SecNumCloud : Seuls les fournisseurs qualifiés peuvent héberger les données d’infrastructures critiques, sous peine de non-conformité légale.
- Protection des données sensibles : Le cadre limite l’accès aux données par des entités étrangères, même via la sous-traitance, pour assurer une souveraineté totale.
- Audit de sécurité cloud : La certification exige des contrôles réguliers et le renouvellement de la qualification pour maintenir un niveau de sécurité élevé.
Un lundi matin comme un autre, le DSI d’une collectivité reçoit un courrier officiel : mise en demeure pour non-conformité du stockage de ses données sensibles. Le prestataire cloud utilisé, pourtant réputé, ne porte pas le label SecNumCloud 3.2. Ce n’est pas une simple question de certification : c’est une obligation légale pour les Opérateurs de Services Essentiels. La réponse est là, dans un cadre précis, conçu pour protéger ce qui ne doit pas fuir.
Les fondamentaux du référentiel SecNumCloud 3.2 pour les OSE
Un cadre de confiance exigé par l'ANSSI
L’Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) n’y va pas par quatre chemins : si vous gérez des infrastructures critiques - santé, énergie, transports, e-gouvernement - votre fournisseur cloud doit être qualifié SecNumCloud 3.2. Ce n’est pas une simple recommandation, c’est un visa de sécurité qui s’impose. Ce label garantit que le prestataire répond à un ensemble d’exigences techniques, organisationnelles et juridiques strictes, conçues pour encadrer la protection des données sensibles.
Concrètement, ce cadre vise quatre objectifs principaux :
- 🛡️ Protéger contre les cybermenaces ciblées, notamment les attaques sophistiquées dirigées vers les services publics ou vitaux.
- 🔒 Garantir la souveraineté numérique en limitant l’exposition aux lois étrangères et en maîtrisant le cycle de vie des données.
- 🔄 Assurer la continuité de service grâce à des architectures résilientes, des plans de reprise et des audits réguliers.
- ✅ Se conformer au droit français et européen, notamment au RGPD, tout en anticipant les évolutions réglementaires futures.
Le respect des critères de souveraineté numérique est devenu un pilier central pour les OES, comme détaillé ici. C’est ce qui distingue un hébergement lambda d’une véritable solution d’infrastructure critique.
Souveraineté et protection contre les lois extra-européennes
La parade contre le Cloud Act et le FISA
Vous stockez vos données en France, mais le serveur est exploité par une filiale américaine ? En théorie, les autorités de ce pays pourraient exiger l’accès à ces données, même sans que vous en soyez informé. C’est l’effet d’entraînement du Cloud Act américain ou du FISA, qui permettent à Washington d’extraire des données numériques détenues par des entreprises sous son influence, peu importe où ces données sont physiquement stockées.
La version 3.2 de SecNumCloud a justement été pensée pour contrer ce risque. Elle impose une barrière juridique claire : le prestataire qualifié ne peut être contraint par une juridiction étrangère à transmettre des données hébergées. Même sous menace d’amende ou de fermeture, le fournisseur ne peut pas céder. Il doit avoir les moyens techniques et juridiques de refuser, sous peine de perdre sa certification.
L'indépendance vis-à-vis des juridictions étrangères
Cette indépendance ne se décrète pas, elle s’organise. Elle repose sur une structure d’entreprise résiliente : le siège, la direction, les décisions stratégiques doivent échapper à toute pression extérieure. L’ANSSI vérifie que le prestataire n’est pas soumis à une loi étrangère qui pourrait l’obliger à coopérer avec des services de renseignement ou des autorités judiciaires extérieures à l’Union européenne.
Bref, ce n’est pas seulement l’infrastructure qui compte : c’est aussi qui décide, qui contrôle, et sous quelle loi. Un simple partenariat commercial avec une multinationale étrangère peut suffire à compromettre cette autonomie si les conditions ne sont pas strictement encadrées.
Critères de capitalisation et contrôle des prestataires
Limitation des droits de vote étrangers
La souveraineté, c’est aussi une question de pouvoir. Et le pouvoir, en entreprise, se mesure en pourcentage d’actionnariat et de droit de vote. SecNumCloud 3.2 fixe des seuils stricts : aucune entité étrangère hors Union européenne ne peut détenir plus de 24 % du capital ou des droits de vote du prestataire. Collectivement, ces entités ne doivent pas dépasser 39 %.
Mais ce n’est pas tout. Même avec une participation inférieure, une entreprise étrangère ne doit pas pouvoir bloquer des décisions ou imposer sa vision. Aucun droit de veto, aucun contrôle sur la nomination de la majorité des dirigeants. L’objectif ? Empêcher toute ingérence stratégique, directe ou indirecte. C’est une garantie que le prestataire peut refuser une injonction étrangère sans risquer d’être destitué par ses actionnaires.
L'autonomie d'exploitation : une obligation technique
Localisation des données en Europe
Le sol où reposent les serveurs, ce n’est pas qu’une question de géographie. C’est une ligne rouge. Pour obtenir la qualification SecNumCloud 3.2, le siège social du prestataire, son infrastructure technique principale et ses centres de données doivent être situés sur le territoire de l’Union européenne. Pas d’ambiguïté : les backups, les copies de secours, les bases de gestion du système - tout est inclus.
Maitrise de la sous-traitance technique
Un prestataire peut-il sous-traiter une partie de son infrastructure à un acteur hors UE ? Oui, mais sous conditions drastiques. Ce sous-traitant ne doit avoir aucun accès technique aux données hébergées. Il ne peut ni les lire, ni les copier, ni même les identifier. Son rôle est strictement limité - par exemple, la maintenance physique des serveurs, sans accès au système d’exploitation.
Et surtout, le prestataire principal doit rester autonome. Il ne doit pas dépendre exclusivement de ce tiers. Autrement dit, il doit pouvoir basculer vers un autre partenaire en cas de problème, sans rupture de service. C’est une garantie de continuité et de contrôle.
Maintenance et administration sécurisées
Qui administre les serveurs ? Où sont les ingénieurs ? Ces questions ont leur importance. Pour SecNumCloud 3.2, les équipes chargées de la maintenance, de l’administration et de la surveillance des systèmes doivent être basées dans l’Union européenne. Pas de support distant depuis un pays tiers, même crypté. Les accès distants doivent être tracés, limités dans le temps, et soumis à des contrôles rigoureux.
On parle ici de gestion opérationnelle en mains propres - ou presque. Même si certains outils sont développés à l’étranger, leur utilisation sur le cloud qualifié est strictement encadrée, avec des audits réguliers pour vérifier qu’aucune porte dérobée n’a été laissée.
Tableau comparatif des niveaux de qualification cloud
Choisir le bon niveau pour son infrastructure
Toutes les données n’ont pas la même sensibilité. Une base de données clients anonymisée n’a pas les mêmes exigences qu’un système de gestion des urgences hospitalières. Voici un aperçu des différents niveaux de confiance disponibles pour les organisations publiques et privées.
| 📋 Type de service | 🔐 Niveau de confiance | ⚖️ Souveraineté juridique | 🎯 Usage recommandé |
|---|---|---|---|
| Cloud Standard | Moyen | Limitée (sous loi étrangère possible) | Applications internes, fichiers non sensibles |
| Cloud qualifié (SecNumCloud) | Élevé | Renforcée (protection contre Cloud Act) | Données OSE, administrations, secteur santé |
| Cloud Souverain Dédié | Très élevé | Totale (infrastructure isolée, personnel certifié) | Défense, renseignement, secrets d'État |
Vers une harmonisation européenne avec l'EUCS
Anticiper la certification européenne
SecNumCloud 3.2 n’est pas qu’un standard français. C’est aussi une stratégie d’anticipation. Le référentiel s’aligne progressivement avec le futur EUCS (European Union Cybersecurity Certification Scheme for Cloud Services), le schéma européen de certification de cybersécurité pour les services cloud. En obtenant la qualification SecNumCloud, un prestataire se positionne favorablement pour la transition vers l’EUCS, qui devrait devenir obligatoire pour les marchés publics européens.
C’est une vision à long terme : la France pousse pour une cybersouveraineté européenne, capable de résister aux pressions géopolitiques tout en fédérant les bonnes pratiques.
Audit de sécurité et maintien de la qualification
La certification n’est pas une formalité une fois pour toutes. Elle doit être renouvelée régulièrement par un organisme certificateur accrédité. Des audits indépendants vérifient en continu le respect des exigences. En cas de non-conformité, le prestataire dispose d’un délai pour se mettre en règle. Sinon, la qualification est retirée.
Cette exigence force les entreprises à maintenir un haut niveau de vigilance permanente, et non pas à « passer le cap » puis relâcher la pression.
Gestion des risques et virtualisation sécurisée
La version 3.2 intègre des scénarios techniques plus complexes qu’auparavant. C’est le cas de la virtualisation sécurisée, où plusieurs clients partagent une même infrastructure physique. Le référentiel impose des cloisonnements rigoureux, des mécanismes de détection d’intrusion, et des audits de configuration pour éviter tout risque de contamination croisée.
L’approche est structurée et proactive : chaque prestataire doit identifier ses risques spécifiques, évaluer leurs impacts, et déployer des contre-mesures adaptées. Ce n’est plus une liste de contrôles à cocher, mais une véritable démarche de gestion des risques cybersécurité.
Les interrogations des utilisateurs
Que se passe-t-il pour un OSE si son prestataire perd sa qualification SecNumCloud en cours de contrat ?
En cas de perte de qualification, l’OSE dispose généralement d’un délai de mise en conformité, souvent de 6 à 12 mois. Il doit alors activer son plan de réversibilité pour migrer ses données vers un prestataire certifié, sans interrompre le service. C’est pourquoi anticiper ce risque dès la signature du contrat est crucial.
Existe-t-il des solutions alternatives pour les données dites 'peu sensibles' au sein d'un opérateur ?
Oui, pour les données de moindre importance, un cloud standard certifié ISO 27001 ou Hébergeur de Données de Santé (HDS) peut suffire. Certaines organisations optent pour une architecture hybride : SecNumCloud pour les données critiques, et autres solutions pour le reste, en fonction du niveau de risque accepté.
Comment gérer une filiale située hors UE devant accéder à des ressources certifiées SecNumCloud ?
L’accès est possible, mais strictement contrôlé. Il passe par des passerelles sécurisées, avec authentification forte, journalisation complète et limitation des droits d’accès. Le prestataire doit garantir que ces connexions ne compromettent pas l’intégrité du système ni la localisation des données.
