Référentiel SecNumCloud

SecNumCloud est le référentiel de qualification délivré par l'ANSSI pour encadrer l'hébergement de données sensibles dans le cloud. Conçu pour protéger les systèmes d'information stratégiques contre les cybermenaces et les lois extraterritoriales, il constitue le standard de référence pour les entités régulées françaises. Pour les acteurs NIS2, ce référentiel représente un outil de réponse concrète à plusieurs obligations, particulièrement en matière de sécurité de la chaîne d'approvisionnement et de protection des actifs critiques.

Histoire et cadre du référentiel SecNumCloud

SecNumCloud naît en février 2015 sous le nom « Secure Cloud », avant de prendre sa forme actuelle en 2016. Le cadre juridique repose sur l'article R. 2321-1 du Code de la défense et le décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits et prestataires de sécurité.

La dernière version en date du référentiel, la mouture 3.2, remonte à mars 2022 et intègre des exigences supplémentaires en matière de souveraineté et de protection vis-à-vis du droit extra-européen. La circulaire du Premier ministre du 5 juillet 2021 dite « cloud au centre » impose aux administrations d'État l'utilisation de services qualifiés SecNumCloud pour héberger certaines données.

En décembre 2025, la Cyber Task Force a publié la première édition de son Observatoire SecNumCloud, marquant la maturité croissante de l'écosystème. En mars 2026, neuf prestataires détiennent une qualification active et douze candidatures sont en cours.

Périmètre couvert : que fait un prestataire SecNumCloud

Un prestataire SecNumCloud délivre des services cloud (IaaS, PaaS, SaaS, CaaS) répondant à trois catégories d'exigences : techniques, organisationnelles et juridiques. Le dispositif impose près de 1 200 points de contrôle audités par un évaluateur indépendant sous supervision directe de l'ANSSI.

Concrètement, un prestataire qualifié doit :

• Assurer l'hébergement de données au sein de l'Union européenne avec une « immunité extraterritoriale », c'est-à-dire l'assurance que l'hébergeur ne puisse pas être soumis au droit d'un État tiers susceptible d'exiger l'accès aux données (notamment le droit américain via le Cloud Act)
• Appliquer un chiffrement conforme aux recommandations ANSSI pour les données en transit et au repos
• Tracer l'ensemble des accès administrateurs et garantir l'authentification multifacteur
• Maintenir un SMSI robuste avec analyse de risques formalisée

Le référentiel ne couvre pas :

• La dépendance technologique aux composants non-européens : selon l'ANSSI, aucune infrastructure cloud, même opérée par un acteur européen, ne maîtrise l'intégralité de sa chaîne technologique
• La protection contre les vulnérabilités zero-day des couches logicielles sous-jacentes
• Les aspects métiers spécifiques : un prestataire SecNumCloud héberge des SI, il ne garantit pas la conformité fonctionnelle métier du client

Quand mobiliser un prestataire SecNumCloud

Hébergement de données sensibles réglementées

Le Cloud de confiance est requis lorsqu'une donnée appartient à une catégorie protégée par la loi ou est impliquée dans l'accomplissement d'un service essentiel de l'État, auquel s'ajoute l'impact de la violation de ces données. L'offre retenue doit être qualifiée SecNumCloud et immunisée contre tout accès non autorisé par des autorités publiques d'État tiers. Cas d'usage : dossiers médicaux (secteur santé), bases clients bancaires (infrastructures financières), plans industriels critiques.

Conformité chaîne d'approvisionnement NIS2

L'article 21 de la directive impose la sécurisation des relations avec les fournisseurs. Souscrire à un hébergeur SecNumCloud documente la sécurité de la chaîne d'approvisionnement en apportant une preuve d'audit externe indépendant. Cela couvre les risques liés à l'externalisation de l'hébergement applicatif ou de données critiques.

Plans de continuité et reprise d'activité

La qualification a une durée de validité de 3 ans renouvelable, durant lesquels le prestataire doit maintenir ses engagements sous surveillance continue. Ce suivi régulier facilite la mise en œuvre de plans de continuité d'activité robustes, l'un des piliers NIS2.

Réduction de surface d'attaque juridique

Pour les entités régulées par NIS2 traitant avec des sous-traitants cloud, SecNumCloud garantit une protection contre l'extraterritorialité juridique. Cela répond aux exigences de maîtrise des accès (contrôle d'accès et gestion des actifs) en excluant les injonctions gouvernementales étrangères.

Comment se déroule une mission SecNumCloud

Le recours à un prestataire SecNumCloud s'inscrit dans une démarche de contractualisation classique, mais nécessite plusieurs étapes spécifiques :

Phase 1 : Cadrage du périmètre (1–2 mois) Vérification du périmètre exact de qualification, car un prestataire qualifié peut ne pas l'être pour toutes ses offres. Il faut demander l'attestation et vérifier les services, régions et fonctionnalités effectivement couverts. Mapping avec l'inventaire des actifs critiques de l'entité.

Phase 2 : Migration technique (3–12 mois) Transfert des applications et données vers l'infrastructure qualifiée. Migration, audit, formation, exploitation, supervision, maintien en conformité et sortie contractuelle pèsent dans le coût final. Une offre moins chère au départ devient vite coûteuse si la réversibilité échoue.

Phase 3 : Contractualisation (1 mois) Négociation des clauses spécifiques : SLA, réversibilité, localisation précise des données, droit d'audit par le client, accord de sous-traitance RGPD. Les services incluent un support Enterprise avec personnel UE uniquement. Toutes les opérations liées aux services et données hébergées sont gérées exclusivement par du personnel basé dans l'UE.

Phase 4 : Exploitation continue Suivi opérationnel, audits de conformité réguliers, gestion des incidents via les procédures du prestataire (gestion des incidents).

Livrables typiques :

• Attestation de qualification ANSSI avec périmètre exact
• Rapport d'audit de conformité initial (optionnel selon contrat)
• Documentation technique de réversibilité
• Tableau de bord de supervision (journaux, alertes)
• Rapports d'audit de surveillance semestriels ou annuels

Durée globale : compter entre 6 et 18 mois pour une migration complète selon la complexité du SI.

Tarification indicative

Les offres SecNumCloud présentent un surcoût structurel lié aux exigences du référentiel. Chez OVHcloud, le supplément SecNumCloud s'établit à 12 % de plus sur le prix HT. La plupart des prestataires cloud certifiés par l'ANSSI proposent des offres spécifiques qualifiées SecNumCloud qui sont plus chères que leurs offres initiales, avec en moyenne une augmentation de tarif du fait de l'investissement supplémentaire.

Fourchettes indicatives 2025–2026 (marché français) :

• IaaS (Infrastructure as a Service) : entre 150 € et 500 €/mois par VM selon CPU, RAM, stockage + 12–20 % par rapport à équivalent non-qualifié
• PaaS (Platform as a Service) : 300 € à 1 200 €/mois pour environnements de développement, facturation généralement mensuelle
• SaaS (Software as a Service) : selon usage métier, fourchette large ; prévoir +15–25 % vs offres commerciales classiques
• Support et Professional Services : starter pack d'accompagnement généralement obligatoire, entre 3 000 € et 15 000 € selon complexité

Ces tarifs excluent la migration initiale, la formation des équipes et les audits internes nécessaires à la conformité continue. Le marché reste plus étroit que celui des hyperscalers. Les entreprises y trouvent un cadre de confiance solide, au prix d'un choix de services parfois plus réduit. Toutes les briques cloud ne disposent pas encore d'un équivalent qualifié. Les services data, l'intelligence artificielle managée, le serverless, certains outils analytics et plusieurs environnements développeurs restent moins abondants.

Différence SecNumCloud vs qualifications voisines

SecNumCloud vs HDS (Hébergeur de Données de Santé) Le référentiel HDS garantit un haut niveau de sécurité pour l'hébergement des données de santé, mais ne couvre pas les exigences de souveraineté propres à SecNumCloud. SecNumCloud impose une immunité extraterritoriale, c'est-à-dire l'assurance que l'hébergeur ne puisse pas être soumis au droit d'un État tiers. Un hébergeur HDS peut être contrôlé par une entité non européenne ; SecNumCloud l'interdit.

SecNumCloud vs ISO 27001 ISO 27001 est une norme internationale de gestion de la sécurité de l'information, applicable à tout type d'organisation. SecNumCloud est un référentiel français spécifique au cloud, plus exigeant sur les volets souveraineté, résistance extraterritoriale et transparence. ISO 27001 constitue un prérequis, SecNumCloud va au-delà.

SecNumCloud vs PASSI Le Prestataire d'Audit de la Sécurité des Systèmes d'Information audite la sécurité d'un SI existant. SecNumCloud qualifie un prestataire de services cloud. Le PASSI intervient souvent comme évaluateur lors de la qualification SecNumCloud, mais les deux périmètres sont distincts : l'un audite, l'autre héberge.

SecNumCloud vs PRIS/PDIS Les prestataires de réponse aux incidents et détection d'incidents interviennent en réaction ou prévention d'événements de sécurité. SecNumCloud encadre l'hébergement cloud en amont. Les trois sont complémentaires : un SI hébergé chez un SecNumCloud peut faire appel à un PDIS pour la supervision temps réel et un PRIS en cas de compromission.

Ressources officielles :

• Catalogue ANSSI – Prestataires SecNumCloud qualifiés
• ANSSI – Doctrine cloud au centre et recommandations SI sensibles
• MonEspaceNIS2 – Outil d'auto-évaluation

Sources de cette fiche

• https://fr.wikipedia.org/wiki/SecNumCloud
• https://www.donneespersonnelles.fr/secnumcloud-certification
• https://www.generation-nt.com/actualites/secnumcloud-referentiel-anssi-securite-souverainete-2071995
• https://www.legiscope.com/blog/certification-secnumcloud-anssi.html
• https://www.solutions-numeriques.com/cloud-de-confiance-lanssi-remet-les-pendules-a-lheure-sur-secnumcloud/
• https://www.delsolavocats.com/La-Cour-des-comptes-appelle-au-respect-du-referentiel-SecNumCloud-pour-l-hebergement-des-donnees-de-sante
• https://www.numerique.gouv.fr/offre-accompagnement/cloud-administrations/quelle-offre-cloud-choisir/
• https://blog.datacenter-paris.com/2026/01/28/secnumcloud-liste-des-hebergeurs-certifies-et-avantages-pour-vos-donnees-sensibles/
• https://www.justgeek.fr/cloud-certifie-secnumcloud-editeurs-francais-stockage-donnees-150679/
• https://www.ovhcloud.com/en/hosted-private-cloud/vmware/secnumcloud/prices/
• https://www.silicon.fr/Thematique/cloud-1370/Breves/secnumcloud-combien-coute-ovhcloud-446987.htm
• https://www.netexplorer.fr/blog/secnumcloud-tout-savoir-sur-cette-qualification
• https://cyber.gouv.fr/produits-services-qualifies
• https://cyber.gouv.fr/la-directive-nis-2
• https://monespacenis2.cyber.gouv.fr/