NicoElNino - stock.adobe.com
SecNumCloud, premier bilan 10 ans après la sortie du référentiel de sécurité français
Après un décollage plutôt poussif du référentiel de sécurité pour le Cloud de l'Anssi, la notion de protection contre les lois extraterritoriales est ajoutée au texte en 2022. Elle va provoquer un clash à Bruxelles… jusqu’à ce que Trump accède au pouvoir aux Etats-Unis.
Avec ses 15 chapitres, 263 exigences et ses 1 200 points de contrôle, SecNumCloud constitue aujourd’hui la base de la doctrine du Cloud de confiance « à la française ». Un référenciel qui porte essentiellement sur le volet de la cybersécurité, mais aussi avec cette notion de souveraineté qui à provoqué un clash entre la France et plusieurs pays européens réunis derrière l’Allemagne lors des négociations sur le référentiel européen EUCS High+. C’était en 2024, lorsque les négociations sur ce qui devait être le niveau de sécurité le plus élevé du modèle européen échouèrent.
L’histoire a finalement donné raison à la France et à l’Agence nationale de sécurité des systèmes d'information (Anssi) puisque l’importance de la souveraineté est apparue flagrante depuis l’élection de Donald Trump au pouvoir en 2024.
Vers une accélération du nombre de services SecNumCloud
Longtemps, le nombre d’acteurs qualifiés s’est compté sur les doigts d’une main, mais la situation est en train de changer. Renan Choyer, Responsable de segment technologique Anssi, explique : « nous avons 11 sociétés qui sont aujourd’hui qualifiées, mais il y en a 3 fois plus dans le pipe ».
Si le nombre de services qualifiés reste relativement modeste, celui-ci souligne que le principe de qualification d’un service par composition (qualification d’un service reposant sur une plateforme déjà qualifiée) pourrait bien booster le nombre de services proposés dans les mois à venir, notamment des services PaaS et des applications SaaS.
Renan Choyer ajoute à cela « la stratégie nationale Cloud de 2015 qui vise à inciter les administrations à aller dans le Cloud ». Et de relever que « si l'on prend les chiffres de l’offre Nuage Public de l’UGAP, le volume de commandes de services Cloud sur 5 ans est au-dessus de 253 M€. En 2025, il y a eu pour 84 millions d’euros de commandes sur un an et sur les 6 premiers mois de 2026, nous sommes à 52 millions ». La courbe est donc en forte croissance, mais il relativise ces montants par rapport aux chiffres du Cloud en France.
Néanmoins, la part des fournisseurs français atteint 70 % des ventes de Nuage Public, un catalogue d’offres qui n’est pas uniquement composé de services SecNumCloud et qui compte AWS, Google Cloud, Microsoft Azure et Oracle face aux principaux fournisseurs Cloud français.
Un process qui reste complexe… et peu agile
Le process de qualification SecNumCloud est maintenant bien connu : entre le jalon 0, le dépôt de la demande et le jalon 3, celui de la décision de l’Anssi, il faut compter de l’ordre de 2 à 3 ans de préparation, d’audit et de documentation. La qualification est valable 3 ans, mais dans l’intervalle un tiers du périmètre est audité chaque année pour s’assurer que le prestataire reste au plus haut niveau : « c’est très procédurier, mais l’avantage, c’est que si on arrive jusqu’au J3, on est très mature et cela permet d’envisager une certification ISO 27001 ou HDS sans trop d’efforts supplémentaires », explique Jean-Marie Mele, RSSI de S3ns. Le fournisseur Cloud qui propose la plateforme Google Cloud sur son infrastructure SecNumCloud a décroché le Graal en 2025.
A l’opposé, Oodrive a été le premier fournisseur à bénéficier de cette qualification. « Nous avons été parmi les premiers à nous engager dans cette voie en 2016 et cela nous a demandé presque trois ans d’efforts pour la décrocher », se souvient Mohamed Ait Saidi, responsable sécurité d'Oodrive : « c’est un référentiel très exigeant et il n'est pas simple d’atteindre ce niveau, mais c’était un choix stratégique pour Oodrive. Nous avions la conviction que ce référentiel allait apporter le niveau de confiance et de résilience que nous réclament nos clients, mais aussi de souveraineté. Aujourd’hui, l’actualité nous a donné raison et tout le monde en parle ».
Etre compétitif et SecNumCloud, un pari difficile à tenir
L’investissement pour un éditeur de services Cloud est conséquent et se retrouve dans ses tarifs, généralement 30 % au-dessus du marché. Cette complexité du référenciel français se retrouve aussi dans la perte d’agilité pour le fournisseur : la moindre modification d’organisation peut entraîner une perte de qualification.
En outre, lancer des nouveaux produits au rythme effréné des hyperscalers est totalement impossible lorsqu’il s’agit de rester dans le cadre.
« Le marché européen est clef pour Scaleway et nous avons une stratégie d'expansion assez agressive, avec l’ouverture de entre 6 à 10 AZ [NDLR : Availability Zone] par an en Europe », résume Stéphane Gomez, directeur sécurité de l'information et de l'IT de Scaleway : « nous avons déjà des AZ en Italie, au Pays-Bas, en Pologne, et en France. L’idée, c'est de compléter cette offre et avoir un maillage européen fort ».
La filiale Cloud du groupe Iliad est en pleine phase d’audit pour décrocher à son tour le sésame SecNumCloud : « le défi auquel nous allons faire face l’an prochain est d’ouvrir beaucoup d'AZ, mais aussi de couvrir non plus la couche IaaS, mais la couche aussi des services managés dans nos qualifications SecNumCloud. Nous allons entrer dans une logique d'hyper-fréquence d'expansion, ce qui est un peu contre-nature avec le processus existant des qualifications SecNumCloud ».
Face à cette critique sur l’inadéquation entre la lourdeur du processus de qualification SecNumCloud et le besoin des fournisseurs d’innover de plus en plus rapidement, Renan Choyer répond : « nous recevons aujourd’hui des dossiers d’acteurs qui atteignent les objectifs de sécurité en automatisant au maximum les processus. C’est une ouverture pour faire passer des innovations. L’un des gros sujets qui arrive, c’est l’intégration de tous les systèmes d’intelligence artificielle qui ne sont pas très friands de cloisonnement… Nous avons déjà des dossiers en cours avec plusieurs sociétés qui ont des propositions pour trouver un chemin technique pour garantir la sécurité de ces systèmes et garantir aux utilisateurs finaux de pouvoir utiliser différents services d’IA ».
Pas de SecNumCloud à l’échelle européenne, mais…
Si SecNumCloud peut être imposé aux administrations et collectivités françaises, le problème de l’absence d’un EUCS High+ au niveau européen se pose pour toutes les entreprises présentes dans plusieurs pays. Les réglementations relatives à la protection des données sont très hétérogènes et tous les pays n’ont pas d’équivalent SecNumCloud.
Alors que la généralisation de NIS 2 sur le continent se profile, devoir se plier à la réglementation de chaque pays est particulièrement complexe pour les prestataires Cloud. Jean-Marie Mele souligne ainsi que « aujourd'hui, la partie conformité est devenue extrêmement importante, et cela devient un effort parfois démesuré par rapport aux autres occupations de cybersécurité. Les équipes de gestion de la conformité sont en train d’exploser ».
Pour les fournisseurs comme leurs clients, il n’y a pas de présomption de conformité NIS 2 sur SecNumCloud : « je vois quand même qu'il y a un peu d'espoir. La Commission européenne a fait un appel d'offres pour la sécurité de ses offres Cloud, et même si elle a tué EUCS, les quatre entreprises qui ont gagné cet appel d'offres sont SecNumCloud. C’est un début de reconnaissance, de facto, de SecNumCloud comme étant un réel framework de cybersécurité ».
Renan Choyer relève pour sa part que « la nouvelle Commission qui s’est mise en place en 2025 a présenté à deux textes : le Cyber Security Act en janvier, qui porte un schéma de certification EUCS, et un second texte tout récent, le Cloud & AI Development Act qui porte moins sur les moyens techniques de sécurisation, mais qui aborde la question de la souveraineté ». Cette proposition de texte veut mettre en place un niveau de confiance pour chaque service Cloud, IA, un satisfecit pour la position française et un changement de position des Allemands qui acceptent désormais d’intégrer une notion non technique de souveraineté dans une certification européen.
Propos recueillis lors des Rencontres du Clusif, qui se déroulaient le 1er juillet à Paris.
