SecNumCloud : la qualification ANSSI pour un cloud de confiance
SecNumCloud est le visa de sécurité de l'ANSSI garantissant un cloud immunisé contre les lois extra-européennes. Définition, exigences et démarche de qualification.

SecNumCloud est le référentiel de qualification édité par l'ANSSI (Agence nationale de la sécurité des systèmes d'information). Il atteste qu'un service cloud atteint le plus haut niveau d'exigence français en matière de sécurité — et, point décisif, qu'il est immunisé contre les législations extra-européennes comme le CLOUD Act.
Qu'est-ce que SecNumCloud ?
C'est un visa de sécurité officiel délivré par l'État. Un prestataire qualifié SecNumCloud (référentiel actuel 3.2) a démontré, audit à l'appui, qu'il satisfait plusieurs centaines d'exigences techniques et organisationnelles. La qualification ne se déclare pas : elle s'obtient après un audit indépendant et se maintient dans le temps.
Les exigences couvrent notamment :
- l'hébergement et l'exploitation en Europe, par des personnels habilités ;
- le chiffrement et une gestion rigoureuse des clés ;
- la réversibilité et l'absence de verrou propriétaire ;
- l'immunité juridique : la structure capitalistique ne doit pas permettre l'ingérence d'une autorité extra-européenne.
Pourquoi la qualification compte
SecNumCloud est devenu la référence de la doctrine « Cloud au centre » de l'État : pour le secteur public, héberger des données sensibles chez un prestataire qualifié est désormais la norme attendue. C'est aussi un critère structurant pour les opérateurs régulés et, plus largement, le socle du label cloud de confiance.
Pour une entreprise, exiger SecNumCloud dans un appel d'offres est le moyen le plus simple de garantir, en une ligne, à la fois la sécurité et la souveraineté juridique d'une offre.
SecNumCloud, RGPD et NIS2 : un faisceau cohérent
SecNumCloud ne remplace pas le RGPD ni la directive NIS2 : il les sert. Un hébergement qualifié facilite la conformité RGPD (pas de transfert hors UE) et fournit une bonne partie des garanties techniques attendues par NIS2. Les trois s'articulent autour d'un même objectif : la maîtrise des données.
Comment obtenir la qualification SecNumCloud ?
La démarche est exigeante et se déroule en plusieurs temps :
- Analyse d'écart par rapport au référentiel 3.2.
- Mise à niveau technique et organisationnelle.
- Audit par un prestataire accrédité.
- Délivrance de la qualification par l'ANSSI, puis maintien dans le temps.
Compter en général 8 à 18 mois selon la maturité de départ. Pour une organisation cliente, l'essentiel est plus simple : vérifier que l'offre retenue est effectivement qualifiée sur le périmètre concerné.
Faire le diagnostic en 2 minutes — évaluez votre écart à SecNumCloud et les prochaines étapes. Démarrer le diagnostic
Questions fréquentes
Qu'est-ce que SecNumCloud ?
Une qualification de l'ANSSI attestant qu'un service cloud atteint le plus haut niveau de sécurité français et est immunisé contre les lois extra-européennes.
Comment obtenir la qualification SecNumCloud ?
Par une analyse d'écart, une mise à niveau, puis un audit accrédité avant délivrance par l'ANSSI — généralement 8 à 18 mois.