SecNumCloud : la qualification d’excellence pour l’hébergement souverain
La qualification SecNumCloud, délivrée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), est le label le plus exigeant en Europe pour l’hébergement de données sensibles. Créée en 2015 et mise à jour en 2022 (version 3.2), elle garantit que votre hébergeur respecte les exigences de sécurité les plus strictes.
Pour les DSI du secteur public, bancaire, de la santé et de la défense, SecNumCloud n’est pas un luxe — c’est une obligation réglementaire ou un avantage concurrentiel majeur.
Ce guide explique les exigences SecNumCloud, le processus de qualification et comment un cloud privé souverain accélère la mise en conformité.
Pourquoi SecNumCloud est incontournable en 2026
1. Obligation réglementaire croissante
La loi RIL (Répertoire des Infrastructures Critiques), les orientations de la DCN et la circulaire du Premier Ministre du 9 juillet 2021 imposent le recours à des hébergeurs qualifiés SecNumCloud pour les données sensibles de l’État.
Le secteur bancaire sous DORA et le secteur santé sous le HDS sont de plus en plus nombreux à exiger SecNumCloud comme critère de sélection.
2. L’alternative souveraine au Cloud Act
Contrairement aux hébergeurs américains (AWS, Azure, GCP) soumis au CLOUD Act, un hébergeur SecNumCloud :
- Est basé en France ou dans l’UE
- N’est pas soumis à une législation extraterritoriale
- Protège vos données contre toute requête étrangère non motivée
- Garantit la souveraineté numérique de vos données
3. NIS2 et SecNumCloud : convergence
NIS2 exige des mesures de cybersécurité proportionnées. SecNumCloud va au-delà : elle impose un cadre de sécurité exhaustif, audité par l’ANSSI. Être SecNumCloud, c’est être conforme NIS2 par construction.
Les 5 exigences clés de SecNumCloud v3.2
Exigence 1 : Sécurité de l’infrastructure
L’infrastructure physique et logique doit répondre à des exigences strictes :
- Datacenter certifié ISO 27001 ou équivalent
- Contrôle d’accès physique biométrique et vidéo-surveillance
- Redondance électrique et réseau (N+1 minimum)
- Segmentation réseau entre clients (isolation stricte)
- Chiffrement des données en transit (TLS 1.3) et au repos (AES-256)
Exigence 2 : Sécurité des opérations
Le fournisseur doit démontrer la maîtrise de ses opérations :
- Processus de changement documenté et traçable
- Gestion des incidents avec procédures éprouvées
- PRA/PCA testé annuellement (Plan de Reprise/Continuité d’Activité)
- MCO (Maintien en Conditions Opérationnelles) avec monitoring 24/7
- Cloisonnement entre les environnements clients
Exigence 3 : Transparence et réversibilité
SecNumCloud impose la transparence totale :
- Localisation précise des données et des traitements
- Documentation complète de l’architecture
- Droit d’audit pour le client
- Réversibilité garantie : export de toutes les données sans condition
- Aucun vendor lock-in (normes ouvertes obligatoires)
Exigence 4 : Contrôle des données
Le client doit garder le contrôle :
- Maîtrise des clés de chiffrement (BYOK ou HYOK)
- Pas de transfert de données hors UE sans autorisation
- Journalisation complète des accès (audit trail)
- Notification en cas d’accès par une autorité (transparence sur les requêtes)
Exigence 5 : Sécurité du personnel
L’hébergeur doit garantir la confiance du personnel :
- Habilitation de tous les administrateurs (au moins Confidentiel Défense)
- Procédures de démission et de révocation immédiates
- Veille sur les menaces internes
- Formation continue en cybersécurité
Comment obtenir SecNumCloud : le processus en 4 étapes
Étape 1 : Étude d’opportunité (1 à 2 mois)
Avant de s’engager, évaluez si SecNumCloud est nécessaire :
- Cartographier les données sensibles (classification EADS, DCN, etc.)
- Identifier les obligations réglementaires qui imposent SecNumCloud
- Évaluer le budget (qualification : 50 000 à 150 000 € pour le fournisseur)
Étape 2 : Mise en conformité infrastructure (3 à 6 mois)
L’infrastructure doit respecter les exigences SecNumCloud :
- Déployer un cloud privé sur des datacenters certifiés ISO 27001
- Mettre en place le chiffrement (TLS 1.3, AES-256, BYOK)
- Implémenter la segmentation et le cloisonnement
- Documenter l’architecture complète
- Déployer un SOC 24/7 avec surveillance en temps réel
Étape 3 : Audit ANSSI (3 à 6 mois)
L’ANSSI réalise un audit approfondi :
- Audit documentaire : vérification des politiques, procédures, preuves
- Audit technique : tests de pénétration, vérification de l’infrastructure
- Audit organisationnel : entretiens avec les équipes, vérification des habilitations
- Rapport de certification avec éventuelles non-conformités à corriger
Étape 4 : Qualification et suivi continu (permanent)
Après qualification :
- Validité : 3 ans (renouvellement par audit)
- Surveillance continue : rapports annuels, audits ponctuels
- Obligation de signalement : tout incident doit être notifié à l’ANSSI
- Mise à jour : les changements majeurs nécessitent une réévaluation
Cloud privé souverain : le chemin le plus rapide vers SecNumCloud
Pourquoi le cloud privé open source est la meilleure approche pour SecNumCloud :
Transparence totale
Open source = code auditable. L’ANSSI peut vérifier chaque composant de la pile :
- OpenNebula : orchestration cloud (source ouverte, pas de code propriétaire)
- KVM/LXC : virtualisation et conteneurisation standard
- Kubernetes : orchestration de conteneurs (CNCF certified)
- Keycloak : gestion des identités (SSO, MFA, RBAC)
Réversibilité native
Pas de vendor lock-in. Export de vos données à tout moment vers :
- Tout autre hébergeur SecNumCloud
- Votre propre infrastructure on-premise
- Un cloud souverain européen
Conformité par construction
La stack Cloud Inspire est conçue pour SecNumCloud :
| Composant | Conformité SecNumCloud |
|---|---|
| OpenNebula | Isolation multi-tenant, chiffrement au repos |
| ZAK Cyber Copilot | SOC 24/7, Zero Trust, audit trail |
| Keycloak | MFA obligatoire, habilitations, SSO |
| Prometheus + Grafana | Monitoring, alerting, MCO |
| Terraform + Ansible | Infrastructure as Code, traçabilité |
| Vault | Gestion des secrets, BYOK/HYOK |
De NIS2 à SecNumCloud : un continuum
Un DSI conforme NIS2 a déjà fait 60 à 70 % du travail SecNumCloud. La qualification SecNumCloud apporte :
- L’audit formel par l’ANSSI
- Les exigences de personnel habilité
- La transparence et réversibilité renforcées
- Le label reconnu par l’ensemble des acteurs publics et réglementés
L’approche Cloud Inspire pour SecNumCloud
Audit SecNumCloud (10 000 €)
Gap analysis entre votre infrastructure actuelle et les exigences SecNumCloud v3.2. Plan d’action priorisé avec estimation des coûts et délais.
Cloud & AI Factory — BUILD
Déploiement d’un cloud privé souverain SecNumCloud-ready en 10 jours. Architecture, stack technique et documentation conformes aux exigences ANSSI.
ZAK — SECURE
SOC 24/7, Zero Trust, Threat Hunting. Monitoring, alerting et gestion des incidents conforme SecNumCloud.
Managed Operations — RUN
Maintien en Conditions Opérationnelles 24/7. PRA/PCA testé annuellement. Gestion des changements et des habilitations.
FAQ
Combien coûte la qualification SecNumCloud ?
La qualification elle-même est gratuite (délivrée par l’ANSSI). En revanche, la mise en conformité infrastructure + audit représente 50 000 à 150 000 € selon la taille de l’organisation. Cloud Inspire propose un audit initial à 10 000 €.
Quelle est la durée de la qualification ?
3 ans, renouvelable par audit. Les changements majeurs d’infrastructure nécessitent une réévaluation par l’ANSSI.
Un cloud public américain peut-il obtenir SecNumCloud ?
Théoriquement oui, mais la soumission au Cloud Act américain rend la conformité avec l’exigence de contrôle des données extrêmement difficile. Aucun cloud public américain n’a obtenu la qualification à ce jour.
SecNumCloud est-il obligatoire ?
Pour les données classifiées de l’État (Défense, Renseignement), oui. Pour le secteur bancaire et la santé, c’est une recommandation croissante qui deviendra probablement obligatoire sous DORA et la prochaine loi de programmation militaire.
Prochaines étapes
- Évaluer votre conformité — Estimation des écarts SecNumCloud
- Demander un audit SecNumCloud — Gap analysis en 48h
- Découvrir Cloud Factory — Architecture SecNumCloud-ready en 10 jours
Cloud Inspire conçoit, déploie et opère votre cloud privé souverain SecNumCloud-ready. OpenNebula, Zero Trust, BYOK — 100 % open source, 0 CLOUD Act.