Qu'est-ce que la qualification SecNumCloud ?
Quels sont les enjeux de la qualification SecNumCloud ?
Choisir un service qualifié SecNumCloud évalué par LSTI est un impératif pour la souveraineté et la sécurité de vos données sensibles :
- Confiance souveraine : Garantie d'un service de Cloud Computing conforme aux exigences françaises les plus strictes de l'ANSSI, idéal pour les données stratégiques.
- Sécurité maximale : Assurance du respect d'un très haut niveau d'exigences techniques et organisationnelles pour protéger le Système d'Information et les données hébergées.
- Résistance aux lois étrangères : Les exigences juridiques et de localisation des données offrent une protection contre l'application de lois extra-européennes (telles que le Cloud Act).
- Alignement ISO 27001 : Le référentiel intègre des exigences de qualité et de sécurité basées sur le standard international ISO/IEC 27001.
- Simplicité de conformité : Facilite le choix d'une infrastructure Cloud pour les organismes soumis à des réglementations strictes (OIV, OSE, HDS) concernant l'hébergement de leurs données critiques.
- Audit de surveillance annuel : La qualification est maintenue par des audits de surveillance annuels stricts, assurant une conformité pérenne et continue.
À qui s'adresse la qualification SecNumCloud ?
Une référence pour tous les prestataires de services Cloud
La qualification SecNumCloud s’adresse à l’ensemble des prestataires de services d'informatique en nuage (SaaS, PaaS, IaaS) qui souhaitent offrir un environnement de confiance pour l’hébergement et le traitement de données sensibles. Ce "Visa de sécurité" constitue le plus haut niveau de reconnaissance pour la sécurité et la souveraineté des services cloud opérant sur le marché français.
Cloud Souverain, un enjeu critique pour les secteurs stratégiques
Cette qualification est devenue un impératif pour les acteurs fournissant des services aux organismes dont les données sont stratégiques ou vitales :
- Les Administrations Publiques : Pour répondre aux doctrines de l'État (comme « Cloud au Centre ») imposant le recours à des solutions de cloud qualifiées pour les données sensibles.
- Les Opérateurs d'Importance Vitale (OIV) et de Services Essentiels (OSE) : Pour protéger les infrastructures critiques du pays contre les cyberattaques, l'espionnage et les ruptures de service.
- Le secteur de la Santé : Pour les prestataires souhaitant offrir une garantie de sécurité supérieure à la certification HDS (Hébergement de Données de Santé).
- Les Services Financiers et Juridiques : Pour assurer la confidentialité absolue et la résilience des données clients face aux menaces internationales.
SecNumCloud : Un levier de souveraineté et de différenciation
La Qualification SecNumCloud s'adresse aux prestataires qui souhaitent transformer la contrainte réglementaire en un avantage concurrentiel majeur. Elle permet de garantir aux clients finaux (les personnes concernées) que leurs données bénéficient d'une protection totale :
- Immunité juridique : Garantie que les données ne sont pas soumises à des lois extra-européennes à effet extraterritorial (type Cloud Act).
- Localisation européenne : Assurance que l'hébergement et l'administration des services sont réalisés au sein de l'Union européenne.
- Excellence technique : Preuve d'un niveau de sécurité audité de manière impartiale et rigoureuse par LSTI, couvrant l'intégralité des couches techniques et organisationnelles du service.
Comment se déroule l'évaluation SecNumCloud ?
L'obtention du Visa de sécurité SecNumCloud repose sur un processus d'évaluation rigoureux et transparent, encadré par l'ANSSI. Ce parcours exigeant garantit que votre service de cloud (SaaS, PaaS ou IaaS) répond aux standards de cybersécurité et de souveraineté les plus élevés.
Une relation tripartite pour une confiance renforcée
L'évaluation SecNumCloud s'inscrit dans un cadre tripartite impliquant trois acteurs clés :
- Le Prestataire de service Cloud : demandeur de la qualification pour son offre de service.
- L'ANSSI : autorité nationale qui instruit la demande, valide les jalons et prononce la décision finale de qualification.
- LSTI : organisme d'évaluation tiers indépendant, habilité par l'ANSSI pour conduire les audits techniques, organisationnels et juridiques.
Les 4 jalons clés du processus de qualification SecNumCloud
Conformément au référentiel de l'ANSSI, le parcours vers la qualification est structuré autour de quatre étapes fondamentales :
-
J0 : Validation de la candidature par l'ANSSI
Le processus débute par le dépôt d'un dossier de candidature auprès de l'ANSSI. L'autorité analyse la maturité de l'offre, son périmètre et sa conformité aux critères de souveraineté. La validation de ce "Jalon 0" est le prérequis indispensable pour lancer officiellement l'évaluation avec LSTI.
-
J1 : Définition de la stratégie d'évaluation
Une fois la candidature validée, les auditeurs spécialisés de LSTI collaborent avec vous pour élaborer une stratégie d'évaluation précise (plan d'audit). Ce document définit la méthodologie, le calendrier et les cibles de l'audit. Ce plan doit être formellement approuvé par l'ANSSI avant le passage à l'étape suivante.
-
J2 : Réalisation de l'évaluation initiale
C'est la phase opérationnelle conduite par LSTI. Elle se décompose en plusieurs volets :
- Audit documentaire : examen approfondi de vos politiques de sécurité, procédures d'exploitation et architecture technique.
- Audit sur site : vérification physique de la mise en œuvre des mesures de sécurité dans vos centres de données et vos centres opérationnels.
- Tests d'intrusion : réalisation de tests techniques poussés par des experts pour éprouver la robustesse de l'infrastructure et des applications face aux tentatives de compromission.
-
J3 : Décision de qualification
À l'issue des investigations, LSTI rédige un rapport d'évaluation exhaustif. Ce rapport est présenté lors d'une réunion formelle avec l'ANSSI. Sur la base de ces conclusions et de la levée des éventuelles non-conformités, l'ANSSI prend la décision d'octroyer le Visa de sécurité SecNumCloud.
Maintien et surveillance de la qualification SecNumCloud
La qualification SecNumCloud est délivrée pour une durée de trois ans. Pour garantir le maintien du niveau de sécurité dans le temps, des audits de surveillance annuels sont obligatoires. Ces contrôles permettent de vérifier que les évolutions de votre service restent en totale conformité avec le référentiel et les nouvelles menaces identifiées.
LSTI : organisme d'évaluation SecNumCloud habilité par l'ANSSI
En tant qu’organisme d’évaluation (OE) habilité par l’ANSSI, LSTI assure la vérification de la conformité des services de cloud au référentiel SecNumCloud. Notre mission est de fournir une évaluation impartiale et rigoureuse, fondée sur une expertise technique forgée par plus de 20 ans d'intervention dans le domaine de la cybersécurité.
LSTI a accompagné l’évolution des exigences de l’État français depuis la création des premiers référentiels de sécurité. Premier organisme d’évaluation à avoir conduit la toute première qualification SecNumCloud, LSTI dispose d'un recul unique sur l'application opérationnelle de cette norme. Depuis la naissance de ce référentiel, nos équipes ont évalué la majorité des acteurs aujourd'hui qualifiés, garantissant une maîtrise parfaite des attendus de l'ANSSI et une neutralité absolue dans le jugement des preuves de sécurité.
Vos questions sur la qualification SecNumCloud
-
Quelle est la différence entre la certification ISO 27001 et la qualification SecNumCloud ?
La différence entre la certification ISO 27001 et la qualification SecNumCloud réside principalement dans le niveau d'exigence et la nature de la vérification. Alors que l'ISO 27001 se concentre sur la mise en place d'un système de management de la sécurité de l'information (SMSI) sans imposer de seuils de sécurité technique spécifiques, SecNumCloud impose des contrôles techniques rigoureux et des obligations de souveraineté. En résumé, SecNumCloud s'appuie sur le socle de l'ISO 27001 tout en y ajoutant plus de 300 exigences supplémentaires, notamment sur la protection contre les lois extraterritoriales. -
Quelles sont les nouveautés majeures de la version 3.2 du référentiel ?
Pour identifier les nouveautés majeures de la version 3.2 du référentiel, il faut noter un renforcement significatif des critères de souveraineté juridique. Cette version impose que le siège social et les centres de données du prestataire soient situés dans l'Union européenne et que l'organisation soit immunisée contre les lois non-européennes ayant des effets extraterritoriaux. Elle intègre également des exigences renforcées sur la sécurité des couches logicielles, la gestion des accès à privilèges et la protection des secrets cryptographiques dans les environnements cloud. -
Quel est l'enjeu de la souveraineté juridique dans SecNumCloud ?
L'enjeu de la souveraineté juridique dans SecNumCloud est d'assurer que les données hébergées ne puissent être saisies ou consultées par des autorités de pays tiers via des lois extraterritoriales comme le Cloud Act américain. Le référentiel exige que le contrat de service soit régi par le droit français ou européen et que le prestataire puisse démontrer son indépendance vis-à-vis d'entités étrangères. Cette protection garantit aux clients que leurs données stratégiques restent sous le contrôle exclusif des juridictions européennes, évitant ainsi tout risque d'espionnage économique ou industriel. -
Comment utiliser le document Trame-d-evaluation-secnumcloud-v3.2_V1.0 fourni par l'ANSSI pour préparer son audit ?
Pour préparer efficacement votre audit, il convient de considérer le document Trame-d-evaluation-secnumcloud-v3.2_V1.0.xlsx comme votre outil de pilotage central. Ce fichier regroupe l'intégralité des exigences du référentiel SecNumCloud qui feront l'objet d'une évaluation par LSTI. En renseignant chaque ligne de cette trame, vous structurez la démonstration de votre conformité technique, organisationnelle et juridique par rapport aux exigences de sécurité et de souveraineté imposées par l'ANSSI. Cela permet d'identifier vos écarts en amont et de consolider les preuves nécessaires pour répondre aux exigences de qualification. -
Quelles sont les exigences de SecNumCloud concernant la sécurité de l'administration et de la maintenance du service ?
En ce qui concerne les exigences de SecNumCloud concernant la sécurité de l'administration et de la maintenance, le référentiel de l'ANSSI impose une isolation stricte des systèmes de gestion par rapport à l'internet public. L'administration du service cloud doit impérativement s'effectuer depuis des zones sécurisées et via des canaux de communication chiffrés, en utilisant une authentification forte à plusieurs facteurs pour chaque accès privilégié. Ces mesures garantissent que les opérations de maintenance ne peuvent pas être interceptées ou compromises par des tiers, assurant ainsi l'intégrité globale de l'infrastructure de service. -
Pourquoi la localisation du siège social et des centres de données est-elle une condition sine qua non de la qualification ?
Pour savoir pourquoi la localisation du siège social et des centres de données est une condition sine qua non, il convient d'examiner les critères de souveraineté portés par la version 3.2 du référentiel. La qualification SecNumCloud exige que les données soient stockées et traitées au sein de l'Union européenne et que le siège social du prestataire y soit également établi. Cette exigence géographique vise à garantir que le prestataire est soumis exclusivement aux lois européennes et françaises, empêchant ainsi toute forme de contrôle ou d'accès par des entités situées dans des juridictions ne garantissant pas le même niveau de protection des données. -
Comment la qualification SecNumCloud protège-t-elle les données contre l'extraterritorialité des lois étrangères comme le Cloud Act ?
Pour comprendre comment la qualification SecNumCloud protège les données contre l'extraterritorialité des lois étrangères comme le Cloud Act, il faut analyser les exigences d'indépendance juridique imposées par l'ANSSI. Le référentiel garantit que le prestataire de services cloud est immunisé contre les injonctions de pays tiers qui pourraient exiger la communication de données hébergées en Europe sans passer par les cadres de coopération judiciaire internationale. Cette protection est renforcée par l'obligation pour le prestataire de démontrer qu'il n'est pas contrôlé par une entité soumise à des législations extraterritoriales, offrant ainsi aux clients une garantie de confidentialité totale face aux risques d'ingérence ou d'espionnage économique étranger. -
Les exigences SecNumCloud sont-elles identiques pour les offres SaaS, PaaS et IaaS ?
Bien que le référentiel SecNumCloud v3.2 serve de socle commun pour l'ensemble des services cloud, son application technique varie en fonction de la nature et de la profondeur de l'offre évaluée. L'audit s'adapte directement au périmètre de responsabilité du fournisseur :
- Pour une infrastructure (IaaS) : L'évaluation se concentre de manière approfondie sur la sécurité des couches basses. Les exigences sont particulièrement strictes concernant le cloisonnement physique et réseau (hyperviseurs, baies de stockage), empêchant toute compromission d'un locataire vers un autre au niveau matériel.
- Pour une application (SaaS) ou une plateforme (PaaS) : Les exigences s'orientent vers les couches hautes. Le référentiel impose des garanties renforcées sur l'isolation logique des données entre les clients (multitenancy) au sein d'une même application ou base de données. De plus, la gestion des secrets et la robustesse des mécanismes de chiffrement (gestion des clés cryptographiques) y sont scrutées avec des critères spécifiques au niveau applicatif.
Ainsi, lors de la définition de la stratégie d'évaluation (Jalon M1), les équipes d'audit calibrent précisément ces exigences techniques selon que vous opériez du IaaS, du PaaS ou du SaaS, afin de garantir une conformité totale aux attentes de l'ANSSI.
En savoir plus
Pourquoi choisir LSTI ?

Expertise reconnue
Avec plus de vingt ans d’expérience, LSTI accompagne plus de 300 organisations en France et en Europe en tant qu’organisme de certification et centre d’évaluation de référence, intervenant dans les domaines de la cybersécurité, de la confiance numérique et de la sécurité de l’information.

Auditeurs spécialisés
Nos équipes d’auditeurs sont composées de professionnels confirmés, maîtrisant les référentiels de cybersécurité de l’ANSSI, les pratiques de management de la sécurité de l’information et les cadres de confiance numérique européens. Leur approche garantit des évaluations exigeantes, équilibrées et adaptées aux contextes opérationnels de chaque organisation.

Tiers indépendant et accompagnement dédié
Habilité par l’ANSSI, LSTI garantit impartialité, transparence et cohérence sur l’ensemble du cycle : préparation, audits, surveillances et renouvellements. Un interlocuteur dédié assure la continuité et la lisibilité du parcours de certification.




