SecNumCloud est le référentiel de l’ANSSI pour qualifier les prestataires cloud assurant un haut niveau de sécurité, de confidentialité et de souveraineté juridique des données. Il est indispensable pour les services cloud sensibles.
SecNumCloud est le référentiel de l’ANSSI qui permet de qualifier des prestataires cloud (IaaS, PaaS, SaaS) selon des exigences de sécurité et de souveraineté.
Il s’appuie sur l’ISO 27001 mais ajoute des obligations plus prescriptives (L'application de guides de sécurité, cloisonnement, MFA, chiffrement, audits PASSI, localisation…), afin d’offrir un niveau de confiance vérifiable par l’État et les grands donneurs d’ordre.
La qualification SecNumCloud, délivrée par l’ANSSI, est devenue un enjeu majeur pour toutes les organisations qui souhaitent proposer ou consommer des services cloud de confiance.
Bien plus qu’une simple certification de sécurité, elle s’inscrit dans la démarche de souveraineté numérique en garantissant que les données sensibles restent protégées face aux risques juridiques et technologiques.
Elle garantit que les services cloud qualifiés (logiciels SaaS, plateforme de services, hébergements) respectent de hauts standards de sécurité, de confidentialité et de souveraineté des données.
Face aux plateformes internationales, SecNumCloud se distingue par un niveau d’exigence élevé en matière de sécurité, de transparence et de localisation des données.
Elle est aujourd’hui incontournable pour répondre aux appels d’offres publics, de grands comptes ou répondre aux exigences des opérateurs d’importance vitale (O.I.V.) et les opérateurs de services essentiels (O.S.E.).
For companies and institutions, this means optimum protection against cyberthreats, while complying with French and European regulatory requirements .
Avec SecNumCloud, vous adoptez un cloud sécurisé et adapté aux enjeux stratégiques actuels.
SecNumCloud reflète l’approche française (ANSSI), réputée pour son niveau d’exigence élevé : s’il n’a pas de valeur obligatoire en Europe, il constitue néanmoins une référence solide et un socle naturel pour la future certification européenne pour les acteurs du cloud : EUCS (Schéma européen de certification pour les services cloud).
Être qualifié SecNumCloud, c’est afficher un niveau d’exigence parmi les plus élevés d’Europe en matière de cybersécurité et de souveraineté.
Pour les clients, c’est un signal fort : vos services cloud respectent un référentiel validé par l’ANSSI, l’autorité nationale française en cybersécurité.
Cela inspire une confiance, notamment auprès des acteurs publics et des grands comptes.
Dans le cadre de NIS 2 et de la stratégie Française pour le numérique, de nombreuses entreprises vont être obligée de recourir à des prestataires qualifiés SecNumCloud.
De plus en plus d’appels d’offres publics, de contrats dans le secteur de la santé, de la défense ou des infrastructures critiques exigent désormais des solutions qualifiées SecNumCloud.
Pour un fournisseur de solutions clouds ou un éditeur SaaS, c’est un atout indispensable pour travailler avec l’État ou les OIV (Opérateurs d’Importance Vitale).
Le marché du cloud est dominé par quelques hyperscalers mondiaux (AWS, Microsoft, Google).
Or, aucun d’entre eux n’est qualifié SecNumCloud, car le référentiel impose une protection contre les lois extraterritoriales. (Même s'il faut noter les démarches de création de filiales en cours de qualification entre ces grands acteurs et des entreprises françaises pour accéder aux marchés de l'état)
Cela donne un avantage compétitif unique aux acteurs français et européens capables de proposer des services conformes.
Être SecNumCloud, c’est se démarquer comme un acteur crédible du cloud souverain.
SecNumCloud n’est pas simplement une qualification nationale : il est aussi un tremplin vers la future certification européenne EUCS*
Les exigences françaises, parmi les plus strictes, préparent les entreprises à franchir facilement le cap de l’harmonisation européenne. Être qualifié aujourd’hui, c’est donc prendre une longueur d’avance sur les évolutions réglementaires et se positionner comme pionnier de la cybersécurité européenne.
Note :
* EUCS : European Union Cybersecurity Certification Scheme for Cloud Services.
C’est un projet piloté par l’ENISA (Agence européenne pour la cybersécurité) dans le cadre du Cybersecurity Act (Règlement (UE) 2019/881).L’objectif est de définir un cadre européen unifié de certification pour les services cloud (IaaS, PaaS, SaaS), avec plusieurs niveaux d’assurance (de base à élevé).
La qualification concerne des offres de services cloud que l'on souhaite mettre en valeur dans une entreprise. Elle ne va pas concerner toute l'entreprise, même si des organisations et des services spécifiés sont à inclure en fonction des offres retenues dans la qualification.
SecNumCloud peut couvrir l’ensemble de la chaîne de valeur de l'offre de service cloud choisie :
Le périmètre doit être défini précisément et validé par l’ANSSI lors des premières étapes de qualification.
Exemple : un fournisseur SaaS doit qualifier non seulement son application, mais aussi les couches d’infrastructure sous-jacentes (soit opérées en interne, soit via un fournisseur tiers lui-même qualifié SecNumCloud).
Les fournisseurs de services cloud (IaaS, PaaS, SaaS et CaaS) souhaitant proposer des offres sécurisées et souveraines :
Sensitive organizations (public sector, healthcare, defense, finance, etc.) looking for solutions that comply with the strictest standards.
Le référentiel SecNumCloud constitue le cœur du dispositif. Élaboré par l’ANSSI, il fixe les règles précises qu’un prestataire cloud doit respecter pour obtenir la qualification.
Inspiré de la norme internationale ISO 27001 mais beaucoup plus prescriptif, il ajoute des exigences fortes sur la souveraineté, la sécurité technique et la sécurité juridique.
Le référentiel SecNumCloud combine trois dimensions complémentaires – organisationnelle, technique et juridique – afin d’assurer une sécurité complète et une véritable souveraineté numérique.
SecNumCloud s’appuie sur les principes de la norme ISO 27001.
Le prestataire doit mettre en place un Système de Management de la Sécurité de l’Information (SMSI) robuste, avec :
- Une politique de sécurité documentée et approuvée par la direction.
- Un processus d’analyse de risques formalisé, révisé régulièrement.
- Des procédures claires pour l’administration, la gestion des actifs, les incidents, la continuité d’activité.
- Une gouvernance de la sécurité : rôles et responsabilités définis, séparation des tâches, audits réguliers.
- Un suivi et une amélioration continue, afin d’adapter le dispositif aux évolutions technologiques et réglementaires.
Cette dimension organisationnelle constitue le socle du pilotage de la sécurité.
Au-delà de la gouvernance, SecNumCloud impose des mesures techniques précises et vérifiables, largement fondées sur les guides de l’ANSSI :
- Contrôle d’accès et authentification : comptes nominatifs, double facteur obligatoire, interfaces d’administration cloisonnées.
- Chiffrement et cryptologie : utilisation des algorithmes et protocoles validés par l’ANSSI (référentiels CRYPTO_B1/B2, NT_TLS, NT_IPSEC, NT_SSH).
- Supervision et journalisation : collecte systématique des événements, corrélation, alertes et conservation sécurisée des journaux.
- Sécurité des infrastructures : cloisonnement des réseaux, protection physique des data centers, PRA/PCA, sauvegardes chiffrées et géographiquement séparées.
- Postes d’administration : terminaux durcis, isolés, conformes au guide [NT-ADMIN].
Ici, le prestataire n’a pas la liberté laissée par ISO 27001 : il doit appliquer les mesures prescrites et en fournir la preuve. Les exigences précises sont contenues dans les guides de l'ANSSI.
La spécificité de SecNumCloud réside également dans ses obligations juridiques et organisationnelles, qui vont au-delà de la cybersécurité classique :
- Localisation des données : toutes les données et leurs sauvegardes doivent être hébergées en Union européenne.
- Entité de droit européen : le prestataire doit être établi en Europe et ne pas être soumis à des lois extraterritoriales (ex. Cloud Act américain).
- Personnel : administration et exploitation réalisées par des employés situés dans l’UE, soumis au droit européen.
- Sous-traitance encadrée : tout recours à un tiers doit être documenté, contractuellement limité et soumis à des contrôles.
- Protection des données personnelles : conformité stricte au RGPD, avec analyses d’impact et désignation de DPO si nécessaire.
Ces exigences assurent une immunité juridique et une confiance renforcée, notamment pour les secteurs sensibles (santé, défense, infrastructures critiques).
La qualification SecNumCloud est délivrée par l’ANSSI aux prestataires de services cloud (IaaS, PaaS, SaaS, CaaS) qui respectent l’ensemble des exigences du référentiel.
Elle constitue un label officiel de cybersécurité et de souveraineté, garantissant aux clients que leur fournisseur applique un niveau de protection maximal et conforme au droit européen.
Sa spécificité – et aussi sa difficulté – tient au processus exigeant imposé par l’ANSSI, qui combine audits approfondis, contrôles réguliers et validation formelle par l’autorité nationale, rendant l’obtention de la qualification particulièrement sélective.
Le processus suit une méthode stricte :
- Candidature du prestataire : dépôt d’un dossier de demande précisant le périmètre du service (IaaS, PaaS, SaaS) et la conformité aux exigences.
- Audit de conformité : réalisé par un prestataire d’audit qualifié (PASSI), qui vérifie sur site et sur pièces la mise en œuvre des mesures organisationnelles, techniques et juridiques.
- Rapport transmis à l’ANSSI : l’auditeur remet un rapport complet, sur lequel l’ANSSI se base pour statuer.
- Décision de l’ANSSI : si toutes les exigences sont remplies, la qualification est délivrée et publiée sur le site officiel.
- Surveillance et maintien : la qualification n’est pas définitive. Elle est conditionnée à des audits périodiques et à une mise à jour continue des pratiques de sécurité.
Ce processus garantit une évaluation indépendante et un contrôle permanent de la conformité des prestataires qualifiés.
SecNumCloud qualification is based on a rigorous framework designed to validate the security and reliability of your cloud services.
Here are the main steps to follow:
Contrairement à certaines certifications, SecNumCloud n’introduit pas plusieurs niveaux de maturité.
Il fixe un niveau unique d’exigence, considéré comme le standard de référence pour protéger des données sensibles (hors “Diffusion Restreinte” ou “Secret Défense”, qui relèvent d’autres dispositifs).
- Périmètre de qualification : le prestataire choisit d’engager un ou plusieurs services cloud dans la démarche (exemple : son offre SaaS de messagerie, ou bien son IaaS complet).
- Portée précise : la qualification ne couvre que les activités auditées. Si le fournisseur propose d’autres services non inclus, ceux-ci ne peuvent pas se prévaloir de la qualification.
- Maintien : le prestataire doit prouver en continu que le service reste conforme, notamment lors de changements techniques, organisationnels ou contractuels.
En résumé, la qualification est binaire : soit l’offre est qualifiée et publiée par l’ANSSI, soit elle ne l’est pas.
L’ISO 27001 et SecNumCloud ne s’opposent pas, ils se complètent.
L’ISO 27001 constitue souvent la première étape : elle permet de mettre en place un cadre structuré de management de la sécurité (SMSI), d’impliquer la direction et de poser les bases d’une gouvernance claire.
Cette certification est déjà un atout de valorisation pour l’entreprise, tant auprès de ses clients que de ses partenaires. Cependant, la qualification SecNumCloud est un processus long et exigeant.
C’est pourquoi nous recommandons généralement de commencer par l’ISO 27001 qui prépare efficacement le terrain.
Ensuite, SecNumCloud vient compléter ce socle avec des exigences beaucoup plus poussées, en particulier sur le plan technique (cryptologie, supervision, cloisonnement), organisationnel (administration, sous-traitance) et juridique (souveraineté et localisation des données).
À notre avis, la qualification SecNumCloud représente un véritable levier stratégique pour les entreprises.
Nous la recommandons particulièrement à celles qui souhaitent adopter un haut niveau de sécurité, démontrer leur engagement envers la souveraineté numérique, ou encore se créer un avantage concurrentiel durable.
Si la démarche est exigeante et nécessite un investissement important, elle constitue un différenciateur fort sur les marchés régulés, les grands comptes et les appels d’offres publics.
Elle envoie également un signal clair de confiance et de maturité aux partenaires comme aux clients. De plus, cette qualification prépare l’avenir : avec l’arrivée prochaine de la certification EUCS au niveau européen et la mise en œuvre de réglementations comme NIS 2, ces exigences deviendront incontournables.
En vous engageant dès aujourd’hui, vous serez prêts et en avance sur vos concurrents.
Avec Feel Agile, vous bénéficiez d’un accompagnement complet – stratégique, opérationnel et technique – tout au long de votre démarche de conformité SecNumCloud.
Notre approche agile repose sur l’écoute, l’expertise et l’adaptabilité, afin de nous aligner sur vos priorités tout en respectant les exigences strictes de l’ANSSI.
Nous vous guidons depuis l’analyse initiale de vos processus jusqu’à la mise en conformité totale avec le référentiel.
Au-delà de la technique, nous renforçons la culture cybersécurité de vos équipes par des formations et des ateliers pratiques, pour garantir la pérennité de vos investissements.
SecNumCloud guarantees advanced data protection against cyberattacks and facilitates compliance with regulations such as the RGPD.
It ensures digital sovereignty by keeping data under French and European jurisdiction, thus protecting against extra-European laws.
This qualification strengthens the confidence of customers and partners, while opening up access to sensitive markets such as public bodies, OIVs and OSEs.
By reducing cyber risks and giving you a competitive edge, SecNumCloud is establishing itself as an essential security standard for cloud service providers.
Ensure the confidentiality and integrity of hosted data
Compliance with RGPD requirements and French laws
Ensuring service continuity and resilience in the face of cyber threats
.webp)
All you need to know about the SECNUMCLOUD standard
Do you have any questions? Would you like a quote for certification or support?
2025 FeelAgile