Hébergement SecNumCloud ANSSI : Cloud Souverain Certifié 2026
- SecNumCloud = référentiel cybersécurité de l'ANSSI pour cloud souverain — version 3.2 en vigueur 2026.
- Hébergeurs certifiés : Outscale (3.2), NumSpot, Cloud Temple, OVHcloud (partiel). Bleu et S3NS en cours.
- Obligatoire pour : administrations centrales, ministères, OIV (Opérateurs d'Importance Vitale), données sensibles État.
- Plus exigeant que HDS — couvre cyber + souveraineté + immunité extra-territoriale (CLOUD Act).
Le référentiel SecNumCloud est édité par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information). Voir cyber.gouv.fr/SecNumCloud-3-2. Stratégie nationale "Cloud au Centre" (DINUM 2021) le rend obligatoire pour de nombreux services publics.
Qu'est-ce que SecNumCloud ?
Certification française plus exigeante que les standards internationaux :
- Combine ISO 27001 + ISO 27017 + ISO 27018
- + Exigences souveraineté (juridiction France/UE, immunité CLOUD Act)
- + Cybersécurité avancée (chiffrement clés détenues en UE, audit ANSSI)
- + Localisation datacenter et exploitation France/UE
Niveau de sécurité visé : secret d'État pour certaines configurations.
SecNumCloud vs ISO 27001 vs HDS
| Critère | ISO 27001 | HDS | SecNumCloud 3.2 |
|---|---|---|---|
| Cybersécurité de base | ✅ | ✅ | ✅✅ |
| Localisation France | ⚪ | ✅ | ✅✅ |
| Souveraineté juridique | ⚪ | ⚪ | ✅✅ |
| Immunité CLOUD Act | ❌ | ⚪ | ✅✅ |
| Audit ANSSI | ❌ | ⚪ | ✅ |
| Cible | Toute industrie | Santé | Administrations, OIV, secret d'État |
Hébergeurs SecNumCloud Certifiés (2026)
Certifiés 3.2 (Référentiel Actuel)
- Outscale (Dassault Systèmes) — SecNumCloud 3.2 ✅
- NumSpot (Docaposte + Bouygues Telecom + Dassault) — SecNumCloud 3.2 ✅
- Cloud Temple — SecNumCloud 3.2 ✅
- Thales SecNumCloud — certifié ✅
En Cours / Partiel
- OVHcloud — SecNumCloud 3.2 partiel (certaines offres)
- Bleu (Capgemini-Orange-Microsoft) — certification visée 2026
- S3NS (Thales-Google) — certification visée 2026
Top 3 Hébergeurs SecNumCloud
1. Outscale (3DS OUTSCALE)
- Filiale Dassault Systèmes
- SecNumCloud 3.2 dès origine
- Compatible API AWS (migration facilitée)
- Datacenter France, équipes France
- Tarification : devis professionnel (~100-1 000 €/mois selon usage)
2. NumSpot
- Joint-venture Docaposte (La Poste) + Bouygues Telecom + Dassault
- Cloud français récent (2024) focus secteur public
- SecNumCloud + HDS simultanés
- Services compute, storage, bases de données
3. Cloud Temple
- Cloud souverain français spécialisé secteur public
- SecNumCloud + ISO 27001 + HDS
- Infrastructure VMware basée
Qui Doit Utiliser SecNumCloud ?
Obligation depuis circulaire "Cloud au Centre" (DINUM, 2021) :
- Administrations centrales (ministères)
- Établissements publics sensibles
- OIV (Opérateurs d'Importance Vitale — énergie, transport, finance)
- OSE (Opérateurs de Services Essentiels — NIS2 directive)
- Données classifiées "diffusion restreinte" ou supérieur
- Recherche défense (Direction Générale de l'Armement)
Pour PME / startups : SecNumCloud généralement excessif. ISO 27001 + RGPD suffisent.
Coûts SecNumCloud
| Type usage | Budget annuel |
|---|---|
| Petite administration | 5 000 - 30 000 € |
| Direction ministérielle | 30 000 - 200 000 € |
| OIV moyen | 100 000 - 1 M€ |
| Grands ministères / OIV | 1 M+ € |
Cher mais nécessaire pour souveraineté maximale données stratégiques.
Différences avec HDS
| Critère | HDS | SecNumCloud |
|---|---|---|
| Champ | Données santé | Données sensibles État + cybersécurité |
| Régulateur | ASIP Santé | ANSSI |
| Audit | Annuel | Triennal + audit ANSSI |
| Périmètre | Santé uniquement | Multi-secteurs |
| Coût certification | ~50-100 k€ | ~200-500 k€ |
Possible cumul HDS + SecNumCloud (Outscale, NumSpot l'ont).
NIS2 et SecNumCloud
La directive européenne NIS2 (transposition France 2024-2025) élargit les obligations cyber :
- ~10 000 entités françaises concernées (vs 600 sous NIS1)
- Obligations cyber renforcées
- SecNumCloud devient référence pratique pour respecter NIS2 sur cloud
Voir cnil.fr — NIS2.
Questions Fréquentes
Qu'est-ce que SecNumCloud exactement ?
Référentiel de sécurité édité par l'ANSSI combinant ISO 27001/27017/27018 + exigences souveraineté française (juridiction, immunité CLOUD Act, localisation FR/UE). Plus exigeant que tout autre standard cloud. Réservé secteur public, OIV, données stratégiques.
Mon entreprise doit-elle être SecNumCloud ?
Probablement non si vous êtes PME/startup standard. Obligatoire uniquement pour : administrations, OIV, données classifiées État, certains secteurs (énergie, défense, finance critique). Pour 99 % des entreprises : ISO 27001 + hébergeur français RGPD suffisent.
Outscale ou NumSpot pour SecNumCloud ?
Outscale = acteur historique (certifié dès 2016), compatible API AWS, mature. NumSpot = plus récent (2024) mais joint-venture solide. Choix selon affinité technique et roadmap (NumSpot intègre rapidement nouveaux services).
SecNumCloud vs Cloud de Confiance (Bleu/S3NS) ?
SecNumCloud = certification technique précise. "Cloud de Confiance" = label politique français (immunité extra-territoriale juridique). Bleu/S3NS visent les deux. À ce jour (2026) : Outscale/NumSpot ont SecNumCloud effectif, Bleu/S3NS encore en construction.