SecNumCloud : le guide complet de la certification d’ici 2026

Comprendre immédiatement l’enjeu SecNumCloud

La qualification SecNumCloud est devenue le label de référence du « cloud de confiance » en France. Porté par l’ANSSI, ce référentiel très exigeant permet d’identifier les offres cloud capables de protéger des données sensibles, y compris face aux lois extraterritoriales, tout en garantissant un haut niveau de sécurité technique, opérationnelle et juridique.(cyber.gouv.fr)

Pour les DSI, RSSI et directions métiers, la question n’est plus « Faut-il s’y intéresser ? », mais « Comment s’y préparer d’ici 2026 ? ». Cet article vous propose un tour d’horizon complet de SecNumCloud, de son référentiel à la démarche de qualification, avec un focus sur la manière dont une entreprise peut structurer sa trajectoire vers le cloud de confiance.

Qu’est-ce que SecNumCloud ?

Une qualification de sécurité délivrée par l’ANSSI

SecNumCloud est un schéma de qualification de sécurité élaboré par l’ANSSI pour les prestataires de services d’informatique en nuage (IaaS, PaaS, SaaS, CaaS). Il s’appuie sur un référentiel d’exigences publié en 2016, largement révisé en 2022 avec la version 3.2 aujourd’hui en vigueur.(cyber.gouv.fr)

Cette qualification donne droit au « Visa de sécurité » de l’ANSSI et atteste :

• du niveau de sécurité de l’offre cloud évaluée ;

• de la compétence du prestataire et de la robustesse de ses pratiques ;(cyber.gouv.fr)

• de garanties fortes en matière de souveraineté (localisation des données, contrôle capitalistique, protection contre les lois extra-européennes).(cyber.gouv.fr)

Un pilier de la doctrine « cloud de confiance »

En France, la qualification SecNumCloud est utilisée comme socle de la doctrine publique du « cloud de confiance », en particulier pour les administrations et organismes manipulant des données sensibles (santé, finances publiques, infrastructures critiques, etc.).(lemonde.fr)

Parallèlement, au niveau européen, le schéma de certification EUCS (EU Cloud Services) est en cours d’élaboration, et la France défend l’idée d’un niveau « Élevé » largement inspiré de SecNumCloud.(cyber.gouv.fr)

Pourquoi SecNumCloud devient incontournable à l’horizon 2026 ?

Pression réglementaire et souveraineté numérique

Les grandes plateformes américaines du cloud détiennent encore entre 70 % et 80 % du marché mondial, ce qui pose des enjeux majeurs de dépendance et de souveraineté numérique pour l’Europe.(lemonde.fr) En réponse, la France a mis en place la doctrine « cloud au centre » et promeut le recours à des services de confiance qualifiés par l’ANSSI, dont SecNumCloud est la référence.

À mesure que se déploient la loi pour sécuriser l’espace numérique (SREN) et les politiques sectorielles (santé, finance, défense, collectivités), les exigences de recours à des services qualifiés se renforcent pour les systèmes les plus sensibles.(lemonde.fr)

Enjeux métiers : continuité, conformité, image

Au-delà du volet réglementaire, SecNumCloud répond à trois grands enjeux métiers :

• Continuité d’activité : exigences fortes en matière de disponibilité, sauvegarde, PRA/PCA et réversibilité des données.(cyber.gouv.fr)

• Conformité : complémentarité avec le RGPD et les réglementations sectorielles, grâce à des exigences de traçabilité, de gestion des incidents et de contrôle des sous-traitants.

• Confiance du marché : la qualification devient un critère de sélection pour de nombreux donneurs d’ordre publics et privés, en particulier pour les appels d’offres critiques.(cybermalveillance.gouv.fr)

Le référentiel SecNumCloud 3.2 en un coup d’œil

La version 3.2 du référentiel SecNumCloud intègre plus de 500 exigences couvrant l’ensemble du cycle de vie d’une offre cloud : gouvernance, architecture, exploitation, sécurité juridique, relation contractuelle, etc.(cyber.gouv.fr)

Les grands principes de SecNumCloud

Parmi les axes structurants du référentiel, on retrouve :

• Une gouvernance SSI mature : politique de sécurité formalisée, gestion des risques, comité de pilotage, rôle du RSSI, audits réguliers.

• La maîtrise opérationnelle : gestion du changement, gestion de configuration, supervision, gestion des vulnérabilités, réponse aux incidents.

• La protection des données et des traitements : chiffrement, contrôle d’accès, journalisation, cloisonnement logique et physique.

• La souveraineté juridique : localisation en Europe, maîtrise capitalistique et opérationnelle, immunité vis-à-vis des lois extraterritoriales.(cyber.gouv.fr)

• La continuité et la réversibilité : engagement sur la disponibilité, procédures de reprise, restitution des données en fin de contrat.(cyber.gouv.fr)

Types de services concernés

SecNumCloud s’applique à la plupart des modèles de services cloud, tels que décrits par l’ANSSI : SaaS, PaaS, IaaS et CaaS (containers as a service).(cyber.gouv.fr)

Chaque offre est qualifiée individuellement : un même fournisseur peut disposer de plusieurs services distincts, certains qualifiés, d’autres en cours de qualification ou non qualifiés. La qualification est donc attachée à l’offre cloud, pas à l’entreprise dans son ensemble.(cyber.gouv.fr)

Tableau de synthèse des exigences clés SecNumCloud

Le processus de qualification SecNumCloud

La qualification SecNumCloud suit un processus formalisé entre le prestataire, un centre d’évaluation agréé et l’ANSSI.(cyber.gouv.fr)

Étape 1 : demande de qualification et cadrage

Le prestataire dépose un dossier de demande auprès de l’ANSSI, après un premier échange de cadrage (contact recommandé via l’adresse dédiée de l’agence). L’objectif est de confirmer l’éligibilité de l’offre, de clarifier le périmètre et de préparer la stratégie d’évaluation avec un centre habilité.(cyber.gouv.fr)

Étape 2 : stratégie et travaux d’évaluation

Avec le centre d’évaluation, le fournisseur définit une stratégie couvrant l’ensemble des exigences applicables. Les travaux d’évaluation comprennent généralement :

• analyse documentaire (politiques, procédures, preuves d’exécution) ;

• entretiens et observations sur site (datacenters, équipes d’exploitation) ;

• tests techniques ciblés, revues d’architecture, vérification de la conformité juridique.(cyber.gouv.fr)

Étape 3 : décision, durée et suivi

À l’issue de l’évaluation, l’ANSSI prend une décision de qualification (ou de refus). En cas de succès, l’offre est qualifiée pour une durée maximale de trois ans, avec des audits annuels de surveillance pour vérifier le maintien du niveau de sécurité.(cyber.gouv.fr)

Au terme des trois ans, le prestataire peut demander un renouvellement. La qualification reste conditionnée au respect continu des engagements, notamment en cas d’évolution significative de l’offre ou de l’environnement de menace.(cyber.gouv.fr)

Se préparer à SecNumCloud : feuille de route pratique pour 2026

Se lancer dans une démarche SecNumCloud nécessite une transformation progressive de l’organisation, des infrastructures et des pratiques d’exploitation. Chez Score Group, nous constatons que les trajectoires réussies s’appuient sur une feuille de route structurée, même lorsque l’entreprise ne vise pas à court terme la qualification de sa propre offre mais souhaite s’appuyer sur des services qualifiés.

1. Cartographier données, risques et dépendances cloud

Premier chantier : identifier clairement quelles données et quels traitements sont concernés par des exigences de « cloud de confiance ». Il s’agit de :

• classer les données (sensibles, stratégiques, réglementées) ;

• cartographier les applications dépendantes du cloud ;

• analyser les risques métier, juridiques et techniques en cas de compromission ou d’indisponibilité.(cyber.gouv.fr)

2. Mettre l’infrastructure au niveau

L’infrastructure est le socle : segmentation réseau, durcissement des systèmes, supervision, gestion des vulnérabilités, plans de reprise d’activité… La division Noor ITS de Score Group accompagne les organisations sur l’infrastructure IT, la cybersécurité, les datacenters et les environnements cloud & hosting, dans une logique de convergence entre performance, résilience et exigences de sécurité avancées.

Cette mise à niveau facilite ensuite l’intégration de services qualifiés SecNumCloud ou la préparation d’une éventuelle démarche de qualification pour vos propres offres.

3. Renforcer la continuité et la réversibilité

SecNumCloud met fortement l’accent sur la continuité d’activité, la robustesse des sauvegardes et la réversibilité des données.(cyber.gouv.fr) Une stratégie cohérente de PRA/PCA est indispensable pour les environnements critiques. La division Noor ITS de Score Group intervient notamment sur la définition et la mise en œuvre de plans de continuité via son expertise PRA / PCA, en cohérence avec les exigences de disponibilité attendues dans un contexte SecNumCloud.

4. Mettre en place une gouvernance sécurité adaptée

La conformité au référentiel SecNumCloud ne repose pas uniquement sur des outils, mais sur une gouvernance mature :

• politique de sécurité formalisée et partagée ;

• rôles et responsabilités clairs (RSSI, DPO, comité de sécurité, etc.) ;

• gestion structurée des sous-traitants et des chaînes de confiance ;

• processus d’audit interne et d’amélioration continue.(cyber.gouv.fr)

Score Group agit comme intégrateur global en fédérant les volets énergie, digital et nouvelles technologies afin de construire des architectures cloud et hybrides à la fois efficaces, durables et alignées avec les meilleures pratiques de sécurité.

5. Anticiper les enjeux de souveraineté juridique

La version 3.2 de SecNumCloud renforce la protection face aux lois extra-européennes (comme le CLOUD Act américain) en imposant des contraintes fortes sur la localisation des données, la propriété de l’opérateur et la maîtrise des opérations.(cyber.gouv.fr)

Pour les organisations utilisant déjà des clouds non européens, une stratégie de réversibilité et de relocalisation progressive des charges sensibles vers des offres qualifiées ou en cours de qualification devient un chantier prioritaire à horizon 2026.

SecNumCloud, cloud souverain et perspectives européennes

Cloud souverain vs cloud de confiance

On distingue généralement :

• Cloud souverain : infrastructure entièrement contrôlée par des acteurs européens, avec hébergement et opérations localisés dans l’UE.

• Cloud de confiance : combinaison de technologies potentiellement non européennes opérées par un acteur qualifié respectant les exigences de SecNumCloud et de la doctrine nationale.(aneo.eu)

SecNumCloud fournit le cadre de sécurité et de souveraineté qui permet de labelliser des offres comme « de confiance », sans imposer un modèle technologique unique.

Vers le schéma européen EUCS

Au niveau européen, le schéma de certification EUCS vise à harmoniser les exigences de sécurité pour les services cloud. SecNumCloud sert de référence pour le niveau d’assurance élevé envisagé dans ce futur cadre, même si les discussions restent en cours sur la place des critères de souveraineté.(cyber.gouv.fr)

Pour les entreprises françaises et européennes, anticiper SecNumCloud d’ici 2026 constitue donc une manière pragmatique de préparer également l’arrivée d’EUCS, tout en sécurisant dès maintenant leurs usages cloud critiques.

Comment Score Group peut vous accompagner

Score Group, via sa division Noor ITS, accompagne les entreprises dans la conception et l’intégration d’architectures cloud et hybrides alignées avec les meilleures pratiques de sécurité et de résilience. Sans se substituer au rôle de l’ANSSI ni des centres d’évaluation, notre valeur réside dans :

• la mise à niveau de vos infrastructures et datacenters pour supporter des environnements « cloud de confiance » ;

• l’intégration de services de cybersécurité cohérents avec les exigences des référentiels nationaux ;

• la construction de trajectoires de migration vers des offres qualifiées ou en cours de qualification, adaptées à vos contraintes métiers.

Notre approche tripartite — Énergie, Digital, New Tech — permet d’allier efficacité opérationnelle, sobriété énergétique des infrastructures et innovation, dans la droite ligne de notre signature : « Là où l’efficacité embrasse l’innovation… ».

FAQ autour de SecNumCloud

SecNumCloud sera-t-il obligatoire pour toutes les entreprises d’ici 2026 ?

Non, SecNumCloud n’est pas destiné à devenir obligatoire pour toutes les organisations. La qualification vise en priorité les services cloud utilisés par les administrations, les opérateurs d’importance vitale ou de services essentiels, ainsi que les secteurs manipulant des données particulièrement sensibles (santé, défense, finances publiques, etc.).(cyber.gouv.fr) En revanche, de plus en plus de donneurs d’ordre privés exigent ou préconisent le recours à des services qualifiés pour leurs projets critiques. Pour une entreprise, l’enjeu est donc d’identifier quels systèmes et quelles données doivent, à terme, s’appuyer sur un cloud de confiance.

Quelle différence entre SecNumCloud et une simple certification ISO 27001 ?

ISO 27001 est une norme internationale de management de la sécurité de l’information, applicable à tout type d’organisation. SecNumCloud, lui, est un référentiel spécifique aux services cloud, conçu et opéré par l’ANSSI, beaucoup plus prescriptif sur la souveraineté, la localisation des données, la maîtrise opérationnelle et la relation contractuelle.(cyber.gouv.fr) Une offre peut être certifiée ISO 27001 sans répondre aux exigences SecNumCloud. À l’inverse, une qualification SecNumCloud implique une couverture très avancée de la plupart des exigences de sécurité, mais reste centrée sur l’offre cloud qualifiée.

Combien de temps faut-il pour obtenir une qualification SecNumCloud ?

La durée dépend fortement de la maturité initiale du prestataire. Les retours d’expérience publiés indiquent que la préparation et l’évaluation peuvent s’étaler sur plusieurs mois, voire plus de 12 mois pour des offres complexes, en particulier lorsqu’il faut faire évoluer l’architecture, les processus et la gouvernance.(cyber.gouv.fr) L’ANSSI recommande de prendre contact en amont pour affiner le périmètre et cadrer la stratégie d’évaluation. Pour une entreprise cliente, l’enjeu est surtout de suivre la liste des offres qualifiées disponible sur le site de l’ANSSI.

SecNumCloud est-il compatible avec les grands clouds publics américains ?

Les exigences de souveraineté de la version 3.2 (immunité vis-à-vis des lois extraterritoriales, contrôle capitalistique et opérationnel européen) rendent la qualification difficilement compatible avec les offres standard opérées directement par des fournisseurs soumis à ces lois.(cyber.gouv.fr) D’où le développement de montages spécifiques (coentreprises, opérateurs indépendants) visant à proposer des solutions « cloud de confiance » reposant sur certaines technologies tout en respectant les contraintes du référentiel. Pour les entreprises utilisatrices, la clé est de vérifier sur le site de l’ANSSI si l’offre revendiquée est effectivement qualifiée.

Comment vérifier qu’un prestataire est réellement qualifié SecNumCloud ?

L’ANSSI publie en ligne la liste officielle des offres qualifiées et des projets de qualification rendus publics.(cyber.gouv.fr) Il est recommandé de se référer systématiquement à cette liste plutôt qu’aux seuls argumentaires commerciaux. Par ailleurs, le portail Cybermalveillance.gouv.fr rappelle les différentes catégories de prestataires qualifiés (SecNumCloud, prestataires d’audit, de détection, etc.) et renvoie vers le catalogue officiel de l’ANSSI.(cybermalveillance.gouv.fr)

Et maintenant, comment avancer vers le cloud de confiance ?

Que vous envisagiez de migrer des applications sensibles vers une offre qualifiée ou de préparer vos propres services à l’horizon 2026, l’important est de structurer la démarche : cartographie des risques, trajectoire de migration, alignement de l’infrastructure et de la gouvernance. Chez Score Group, nos équipes Noor ITS vous accompagnent sur ces volets techniques et organisationnels, en lien avec vos enjeux métiers et réglementaires. Pour échanger sur votre situation et bâtir une feuille de route adaptée, il vous suffit de nous contacter via la page Contact.