Confier ses données sensibles à un prestataire externe, c’est un peu comme louer un coffre-fort à quelqu’un : on espère qu’il est bien gardé, mais on n’a pas toujours les clés. Depuis 2022, la version 3.2 du référentiel SecNumCloud a changé la donne. Ce n’est plus seulement une question de chiffrement ou de pare-feux, mais de contrôle réel - juridique, technique et stratégique - sur où vont nos données et qui peut y accéder. Et surtout, comment les protéger face à des lois étrangères qui pourraient les réclamer à l’insu du propriétaire.
Les fondamentaux de la qualification SecNumCloud 3.2
Passer de la version 3.1 à la 3.2 du référentiel SecNumCloud, c’est comme passer d’un système de sécurité classique à une forteresse avec contrôle d’accès multi-niveaux. Ce n’est plus juste une affaire d’infrastructure technique : l’en savoir davantage sur les exigences récentes montre que l’ANSSI a durci la barre. L’objectif ? Garantir la souveraineté numérique en empêchant toute ingérence extérieure, qu’elle soit technique ou légale. Le cœur du référentiel repose sur trois piliers : la maîtrise technique, l’indépendance juridique et la transparence opérationnelle. Chaque prestataire qualifié doit prouver qu’il contrôle l’ensemble de sa chaîne de valeur, des serveurs jusqu’au capital.
| 🔎 Exigence | 🔧 Anciennes normes | 🔐 SecNumCloud 3.2 |
|---|---|---|
| Localisation des données | Recommandée en UE | Obligatoire en Europe (siège et infrastructure) |
| Accès aux données par des tiers | Limité par contrat | Interdit aux entités non européennes |
| Pression légale étrangère | Non abordée | Garantie d’immunité face au Cloud Act, FISA, etc. |
| Contrôle du capital | Aucune règle stricte | Plafond à 24 % par entité hors UE (39 % cumulé) |
| Audit de sécurité | Ponctuel | Contrôle périodique et traçabilité renforcée |
Souveraineté et contrôle : l'immunité juridique avant tout
La protection contre les lois extraterritoriales
Imaginez qu’un service américain stocke vos données, même partiellement. En théorie, le Cloud Act ou la loi américaine FISA pourrait forcer l’accès à ces données sans que vous en soyez informé. SecNumCloud 3.2 élimine ce risque en imposant une clause de non-soumission à ces cadres juridiques. Le prestataire doit prouver que ni lui ni ses sous-traitants ne sont sous la coupe d’un État tiers. C’est une rupture majeure : on ne se contente plus de dire « nos données sont en France », on le vérifie juridiquement.
Le verrouillage de l'actionnariat et du siège social
Le contrôle du capital est un levier puissant. Même si les serveurs sont en Europe, un actionnariat étranger majoritaire pourrait entraîner des pressions indirectes. Désormais, aucun acteur hors UE ne peut détenir plus de 24 % des parts d’un prestataire SecNumCloud 3.2, ni plus de 39 % en groupe. Ce seuil n’est pas anodin : il empêche toute prise de contrôle silencieuse. Et pour faire bonne mesure, le siège social doit être en Europe, tout comme les centres de décision. Y a de quoi rassurer un DSI face à un rachat par un géant américain.
Maîtriser les dépendances techniques et la virtualisation
La gestion des sous-traitants étrangers
Un prestataire peut utiliser un logiciel ou un composant étranger - mais à condition que cela ne donne aucun accès technique aux données. Cela signifie qu’un fournisseur tiers, même impliqué dans la maintenance, ne doit pas pouvoir lire, extraire ou surveiller les informations stockées. Le prestataire principal reste seul responsable. Cela oblige à des audits très poussés, notamment sur les interfaces d’administration. Si un patch vient d’un tiers américain, il doit être validé en interne, sans backdoor.
L'isolation physique et logique des plateformes
La virtualisation, c’est pratique, mais c’est aussi une faille potentielle. SecNumCloud 3.2 exige une maîtrise totale des hyperviseurs et des outils d’administration. Aucun accès caché, aucune porte dérobée. Tout doit être documenté, audité, traçable. Le prestataire doit pouvoir prouver qu’il peut isoler complètement une instance, même si elle partage le même matériel physique. En clair : pas de multitenancy risqué, pas de fuite de données via des vulnérabilités de type Spectre ou Meltdown. C’est du sérieux, et ça se vérifie.
Le processus de sélection : les étapes incontournables
Vérifier la validité du Visa de sécurité
Pas de raccourci : consultez la liste officielle des prestataires qualifiés sur le site de l’ANSSI. Attention, certains sont “en cours de qualification” - ce n’est pas la même chose. Demandez toujours le Visa de sécurité délivré, valide et à jour. Il faut aussi vérifier que c’est bien le service complet qui est certifié, pas une fonction isolée. Parfois, un hébergeur affiche “compatible SecNumCloud” alors que seule une partie de son infrastructure l’est.
Anticiper l'alignement avec le standard EUCS
SecNumCloud 3.2 n’est pas une innovation isolée. Il s’aligne sur le futur schéma européen de certification (EUCS), qui deviendra le standard de référence pour tout cloud sensible en Europe. En choisissant un prestataire SecNumCloud 3.2, vous êtes déjà dans les clous pour les prochaines années. C’est un bon moyen de se prémunir contre les changements réglementaires. Mieux vaut investir dans une solution pérenne maintenant, plutôt que de tout revoir dans cinq ans.
- 📄 Demander l’attestation de qualification SecNumCloud 3.2 (avec date de validité)
- 📊 Exiger un rapport d’audit résumé, notamment sur les contrôles d’accès et la gestion des incidents
- ⚖️ Intégrer les clauses contractuelles types garantissant la non-communication des données à des tiers
Maintenir la conformité sur le long terme
Les audits de contrôle périodiques
La qualification n’est pas éternelle. Elle doit être renouvelée régulièrement, avec des audits techniques, juridiques et opérationnels. Le prestataire doit prouver qu’il maintient ses efforts en cybersécurité, qu’il suit les mises à jour de sécurité et qu’il réagit rapidement aux incidents. Ces contrôles sont menés par des organismes accrédités, et les rapports sont partiellement accessibles. Ce n’est pas du marketing : c’est du vérifiable. Et ça fait toute la différence quand une entreprise traite des données de santé, de défense ou de recherche stratégique.
Un prestataire qui ne met pas à jour ses certifications ou qui tarde à publier ses rapports d’audit ? C’est un signal d’alerte. Même avec un audit de cybersécurité solide à la base, l’inertie est risquée. Le numérique bouge vite. Les menaces aussi. L’essentiel, c’est la trajectoire : un hébergeur qui évolue, qui intègre les nouvelles menaces, qui forme ses équipes, c’est ça, la vraie sécurité.
Les interrogations majeures
Quelle est la différence concrète entre SecNumCloud et une certification ISO 27001 ?
ISO 27001 est un standard international généraliste sur la gestion de la sécurité de l’information. SecNumCloud 3.2 va plus loin : il impose des exigences strictes de souveraineté, de localisation et d’immunité juridique. Ce n’est pas un simple cadre de bonnes pratiques, mais un référentiel contraint et audité pour les données sensibles.
Peut-on utiliser un SaaS qualifié si l'infrastructure sous-jacente ne l'est pas ?
Non. La qualification s’applique à l’ensemble de la chaîne d’hébergement. Si le SaaS tourne sur une infrastructure non certifiée, même partiellement, la chaîne est rompue. Le prestataire doit garantir que chaque couche, du matériel au logiciel, respecte les exigences de SecNumCloud 3.2.
Quelles sont les alternatives si mon logiciel métier n'est pas encore sur un cloud qualifié ?
Dans ce cas, privilégiez le chiffrement côté client avant envoi vers le cloud. Ainsi, même si les données sont compromises, elles restent illisibles. Une autre option : créer une zone “en confiance” pour les données sensibles, tout en gardant le reste en dehors, le temps d’une migration progressive.
Que devient la qualification en cas de rachat de l'hébergeur par un groupe étranger ?
Elle est perdue automatiquement. Tout changement de contrôle majoritaire, surtout par une entité hors UE, remet en cause l’indépendance juridique. Le prestataire doit alors entamer une nouvelle procédure de qualification, ou perdre le Visa. C’est une garantie forte pour les clients : pas de prise de contrôle sans conséquences.