Actualités & ressources

Actualités & ressources

Nos articles, conseils et nouveautés sur la cybersécurité, l'IA et la data.

← Tous les articles
Cybersécurité2026-06-28 · 10 min de lecture · KLE Formations

Cloud souverain : ce que le label SecNumCloud change vraiment en 2026

Serveurs d'un cloud souverain français portant un sceau de qualification de sécurité

SecNumCloud est devenu en quelques années le mot-clé de la souveraineté numérique française. Mais derrière ce label de l'ANSSI se cachent des exigences très concrètes, un marché qui se structure à vive allure, et un débat industriel loin d'être tranché. Voici ce que la qualification impose réellement en 2026, qui l'a obtenue, et pourquoi la « troisième voie » divise les experts.

SecNumCloud, le standard de la souveraineté

SecNumCloud est un référentiel d'exigences publié par l'ANSSI pour les prestataires de services cloud (IaaS, PaaS, SaaS, CaaS). Obtenir la qualification, c'est décrocher le « Visa de sécurité » de l'agence, au terme d'un audit de plusieurs années portant sur plus de 350 critères techniques, organisationnels, opérationnels et juridiques. Nous avons posé le décor général de la souveraineté numérique dans notre article pilier sur le Cloud Act ; concentrons-nous ici sur le référentiel lui-même et son marché.

Depuis la doctrine « cloud au centre », SecNumCloud est obligatoire pour l'hébergement des données sensibles des administrations de l'État. Pour le secteur privé, ce n'est pas une obligation générale, mais c'est devenu un standard de fait pour les secteurs régulés (finance, santé, défense, énergie) et pour les entités essentielles au titre de NIS2.

Ce que la version 3.2 a vraiment changé : l'immunité extraterritoriale

C'est le cœur du sujet. Dans sa version 3.2 (en vigueur depuis 2022), l'ANSSI a explicitement renforcé un critère décisif : l'immunité face aux lois extra-européennes. Un prestataire qualifié doit désormais démontrer que ni lui ni ses filiales ne peuvent être contraints, au titre de leur siège, de leur actionnariat ou des législations applicables, de transmettre des données à une autorité étrangère.

Concrètement, cela se traduit par des règles très strictes :

  • Impossible d'être qualifié si la maison mère est soumise à une loi extraterritoriale comme le Cloud Act américain. En pratique, une maison mère américaine ou chinoise est rédhibitoire.
  • Le capital ne peut être détenu à plus de 24 % par une entité non européenne.
  • Toutes les données (y compris les métadonnées, les sauvegardes et les données d'exploitation) doivent être stockées et traitées dans l'Espace économique européen.
  • Le personnel ayant accès aux données doit être situé dans l'EEE.

C'est précisément cette exigence qui distingue SecNumCloud d'une simple certification ISO 27001 ou d'un hébergement géolocalisé en France, et qui a poussé les géants américains à imaginer des montages juridiques pour tenter d'y accéder.

Qui est qualifié, qui ne l'est pas (encore)

À la mi-2026, l'écosystème s'est nettement étoffé. Selon le décompte de l'ANSSI, on compte environ neuf prestataires qualifiés et douze candidatures en cours d'instruction. Parmi les offres qualifiées figurent notamment OVHcloud, 3DS Outscale, Cloud Temple, Orange Business, Worldline, NumSpot et Scaleway (sur son périmètre IaaS dédié), aux côtés d'acteurs plus applicatifs comme Oodrive ou Whaller.

Du côté des candidatures, le cas le plus scruté est celui de Bleu, la coentreprise de Capgemini et Orange reposant sur la technologie Microsoft Azure : son premier jalon a été validé en avril 2025, et sa disponibilité commerciale est attendue au second semestre 2026. La liste officielle, tenue par l'ANSSI, évolue de mois en mois.

La « troisième voie » : le débat qui agite la filière

L'événement marquant a eu lieu fin décembre 2025 : S3NS, la filiale de Thales adossée à la technologie Google Cloud, a obtenu la qualification SecNumCloud 3.2 pour son offre PREMI3NS, la première à couvrir simultanément IaaS, PaaS et CaaS. Société de droit français entièrement contrôlée par Thales, S3NS a montré qu'un cloud bâti sur une technologie d'hyperscaler américain peut, sous conditions strictes, atteindre le plus haut niveau français.

C'est une « troisième voie », entre le cloud 100 % européen et l'hyperscaler non qualifié, et elle divise. Soyons honnêtes sur les deux positions :

  • Les défenseurs y voient une réponse très concrète au besoin des DSI : disposer d'un socle technique riche (PaaS, data, IA) comparable aux grands clouds publics, sans renoncer au cadre français de protection. L'encadrement SecNumCloud (gouvernance, opérations, droit applicable) est, selon eux, suffisant.
  • Les critiques pointent une « souveraineté par procuration » : dépendance aux feuilles de route, aux écosystèmes et aux formats du fournisseur américain, et exposition à la géopolitique. Certains experts restent prudents sur la pérennité de cette immunité en cas de forte pression juridique.

Le débat a d'ailleurs glissé, en 2025-2026, de la « souveraineté numérique » vers l'« autonomie technologique ». Il n'est pas tranché, et c'est un bon réflexe, en tant que futur professionnel, de savoir présenter les deux faces.

Le prix de la souveraineté

La qualification a un coût, qu'il faut regarder en face. Les offres SecNumCloud sont généralement 30 à 50 % plus chères que des services équivalents chez un hyperscaler non qualifié, en raison d'un périmètre géographique restreint à l'UE, d'audits ANSSI annuels et d'un catalogue de services managés souvent plus limité.

Un point de vigilance, enfin, contre le « souverain-washing » : une plateforme qui affiche « hébergée chez un prestataire qualifié SecNumCloud » n'est pas, pour autant, elle-même qualifiée. La nuance est subtile mais importante pour évaluer une offre.

Et au niveau européen ? Le chantier EUCS

À l'échelle de l'Union, le schéma de certification EUCS vise à harmoniser les exigences de sécurité du cloud. Mais les discussions butent sur une divergence de fond : faut-il y inclure des critères de souveraineté et de localisation (position française), ou s'en tenir à des exigences purement techniques qui faciliteraient l'accès des grands acteurs au label ? SecNumCloud sert de référence pour le niveau d'assurance le plus élevé envisagé, mais l'issue reste un enjeu politique majeur pour 2026-2027.

Une expertise rare, donc très recherchée

Pour qui se forme, tout cela dessine une opportunité claire. Maîtriser les environnements SecNumCloud, comprendre les critères d'immunité, savoir auditer une chaîne de sous-traitance ou conduire une migration vers un cloud qualifié : ces compétences sont rares et premium, particulièrement dans le secteur public, la défense, la santé et la finance. C'est l'une des raisons pour lesquelles la filière souveraineté devrait créer des dizaines de milliers d'emplois d'ici 2030, comme nous le détaillons dans notre article pilier.

Chez KLE Formations, notre parcours en cybersécurité forme aux fondations de ces métiers : sécurité des systèmes, conformité, protection des données. Accessible et finançable (CPF, France Travail, OPCO, Transitions Pro), il vise un titre RNCP de niveau 7. Pour situer la demande, lisez aussi nos articles sur NIS2 et sur les métiers de la cybersécurité.

Le label SecNumCloud n'est pas qu'un tampon administratif : c'est un marqueur stratégique qui redessine le marché du cloud en France, et qui a besoin de professionnels capables d'en comprendre toutes les subtilités, au-delà des slogans.


Sources : ANSSI / cyber.gouv.fr (référentiel SecNumCloud 3.2, liste des prestataires qualifiés et en cours) ; S3NS (qualification PREMI3NS, décembre 2025) ; analyses Legiscope, DonnéesPersonnelles.fr, IT for Business et Code Confiance (critères d'immunité, acteurs, coûts, débat de la troisième voie) ; CyberTaskForce (Observatoire SecNumCloud). Statuts et listes à jour à la mi-2026 ; le paysage des acteurs qualifiés évolue rapidement, vérifier la liste officielle de l'ANSSI.