SecNumCloud

SecNumCloud est le référentiel de qualification de l’ANSSI pour les prestataires de services cloud de confiance. Sa version de référence actuelle est SecNumCloud v3.2 (2022, rafraîchie en 2024). Un prestataire qualifié SecNumCloud a été audité contre ~200 exigences couvrant la sécurité technique, la résilience opérationnelle — et, surtout, l’immunité aux lois extraterritoriales non européennes.

La clause d’extraterritorialité (Section 19.6 du référentiel) est ce qui rend SecNumCloud politiquement distinctif. Un prestataire dont l’actionnariat, le capital ou la gouvernance le soumet à des lois comme le CLOUD Act américain ne peut pas être qualifié — même si ses centres de données sont entièrement en France. Cela exclut les hyperscalers américains d’une qualification directe ; des offres comme Bleu (Microsoft + Capgemini + Orange) et S3NS (Google + Thales) sont des joint-ventures explicitement conçues pour satisfaire le critère d’immunité via une entité opérationnelle française majoritairement contrôlée.

Aujourd’hui, les fournisseurs qualifiés incluent OVHcloud, Outscale (Dassault Systèmes), Cloud Temple, Worldline, NumSpot et quelques autres. Bleu et S3NS ont obtenu le visa de qualification et ont des offres qualifiées en cours en 2026.

SecNumCloud est obligatoire ou fortement recommandé pour :

• Les SI sensibles de l’État (la doctrine « cloud au centre » issue de la circulaire du Premier ministre de 2021, réaffirmée en 2023).
• Les OIV et OSE français au titre de la transposition NIS2.
• Certains marchés publics (catalogues UGAP, contrats régionaux et municipaux).

Pour une mairie, un groupe hospitalier ou une entité financière hébergeant des charges en France, SecNumCloud est la réponse pratique à la question achats ce cloud est-il juridiquement protégé d’une ordonnance d’un tribunal américain. La couche complémentaire — les personnes qui utilisent le cloud — est celle où se place Engarde, distinct des autres acteurs qui partagent le nom Engarde.