Retour aux articles
SecNumCloud en entreprise : guide pratique 2026 (qualification, choix, IA)
SecNumCloud Souveraineté Cloud Sécurité

SecNumCloud en entreprise : guide pratique 2026 (qualification, choix, IA)

Hichem AMMAR-BOUDJELAL
Hichem AMMAR-BOUDJELALCEO & Co-fondateur de DPLIANCE
· Mis à jour le 11 min de lecture

Quick Answer : qu’est-ce que SecNumCloud en 2026 ?

SecNumCloud est le référentiel de qualification cloud de l’ANSSI (Agence nationale de la sécurité des systèmes d’information — l’autorité française de cybersécurité). Il garantit deux choses cumulativement :

  • Niveau de sécurité élevé : isolement des environnements, chiffrement, gestion des accès, supervision continue, certifications ISO 27001 / 27017 / 27018.
  • Souveraineté juridique : prestataire de droit européen avec immunité documentée aux lois extraterritoriales — notamment le Cloud Act américain (qui force toute entreprise US à livrer ses données, où qu’elles soient) et le FISA Section 702 (la base légale qui permet aux services de renseignement américains d’accéder aux données des entreprises US).

À qui s’adresse SecNumCloud ?

  • Obligatoire : opérateurs d’importance vitale (OIV — entreprises essentielles à la nation : énergie, télécoms, transports, santé), opérateurs de services essentiels (OSE), administrations sensibles, secteur défense.
  • Fortement recommandé : santé HDS (Hébergeur de Données de Santé) sensible, finance critique, industries stratégiques.
  • Optionnel : autres organisations cherchant un signal de souveraineté maximale.

Fournisseurs qualifiés en 2026 : OVHcloud, Outscale, 3DS Outscale, Oodrive, Worldline. Numspot en cours. AWS, Azure, GCP : non qualifiés (et ne le seront probablement jamais via leurs entités principales).

Surcoût : 1,5 à 3 fois plus cher qu’un cloud public standard. À justifier par le niveau d’exigence réel.

Pour la majorité des organisations B2B, un cloud français non qualifié SecNumCloud (Scaleway, OVH hors offre SecNumCloud) suffit et coûte moins cher. SecNumCloud reste réservé aux cas où la qualification ANSSI est explicitement requise par la réglementation ou les contrats.

Pourquoi SecNumCloud existe — et pourquoi 2026 est un tournant

Le référentiel SecNumCloud, publié par l’ANSSI en 2016 et durci en 2022 (version 3.2), répond à un constat structurant : les certifications de sécurité internationales (ISO 27001, SOC 2) ne couvrent pas la dimension juridictionnelle. Une infrastructure techniquement sécurisée, mais opérée par une entité juridique soumise à une législation étrangère, ne protège pas contre une réquisition extraterritoriale.

Trois bascules rendent SecNumCloud central en 2026 :

Bascule 1 — Cloud Act et FISA Section 702 actifs. Les autorités américaines peuvent légalement exiger d’une entreprise US (et de ses filiales) de produire des données stockées n’importe où dans le monde. Ce risque, longtemps théorique, est devenu opérationnel pour plusieurs grandes organisations européennes.

Bascule 2 — Application progressive de NIS 2. La directive européenne NIS 2 (transposée en France en 2024-2025) impose des obligations de cybersécurité à un périmètre élargi d’acteurs (OSE), avec souveraineté comme critère implicite pour les services essentiels.

Bascule 3 — Émergence des offres « cloud de confiance ». Microsoft + Capgemini + Orange (« Bleu ») et Google + Thales (« S3NS ») tentent en 2026 d’obtenir SecNumCloud via des entités juridiques dédiées. La crédibilité de ces montages reste contestée — l’ANSSI exige une immunité juridique réelle, pas une simple structure d’évitement.

Les 3 niveaux du référentiel SecNumCloud

Le référentiel ANSSI définit trois niveaux de qualification :

SecNumCloud niveau 1 (Élémentaire) : prérequis de sécurité de base, sans exigence forte de souveraineté juridique. Rarement déployé en 2026.

SecNumCloud niveau 2 (Standard) : exigences de sécurité élevées + souveraineté juridique requise. C’est le niveau de référence pour la plupart des qualifications actives.

SecNumCloud niveau 3 (Renforcé) : exigences maximales, isolement physique des infrastructures, accès restreint au personnel ressortissant français ou européen avec habilitation. Réservé aux usages les plus critiques (défense, certaines administrations).

Pour un usage entreprise standard, le niveau 2 est généralement la cible.

Cas d’usage où SecNumCloud s’impose en 2026

Cinq cas d’usage où l’organisation n’a pas vraiment le choix.

1. Opérateurs d’importance vitale (OIV). Définis par le Code de la défense, ~250 OIV en France couvrent énergie, transport, santé, télécoms, finance, alimentation, secteur public sensible. Pour leurs systèmes d’information critiques, SecNumCloud est exigé.

2. Opérateurs de services essentiels (OSE) — directive NIS 2. Le périmètre élargi de NIS 2 (~10 000 acteurs en France) impose des obligations de cybersécurité. Pour les services essentiels, le cloud souverain devient un standard.

3. Hébergement de données de santé sensibles. Pour les organisations qui dépassent le seuil HDS standard (donnée massive, recherche médicale, certains traitements imagerie), SecNumCloud est de plus en plus la référence — même si HDS et SecNumCloud restent deux qualifications distinctes.

4. Secteur défense et industries souveraines. Pour tout système traitant des données classifiées (Diffusion Restreinte, Confidentiel Défense), SecNumCloud niveau 3 est requis.

5. Marchés publics « souverains ». Nombreux appels d’offres administratifs en 2026 imposent SecNumCloud pour les fournisseurs de solutions hébergeant des données sensibles. La qualification devient un critère de recevabilité.

Fournisseurs qualifiés en 2026 — les acteurs réels

OVHcloud — Hosted Private Cloud SecNumCloud Leader français du cloud, qualifié SecNumCloud niveau 2. Offre la plus mature en termes de catalogue de services. Présence de GPU pour IA en option.

Outscale (filiale Dassault Systèmes) Acteur souverain français pure-play, qualifié SecNumCloud. Adapté aux organisations qui cherchent un cloud français à 100 % de capital européen.

3DS Outscale Variante de l’offre Outscale.

Oodrive Spécialisé sur la collaboration documentaire et le partage sécurisé. Qualifié SecNumCloud.

Worldline Qualifié sur ses services de paiement et de gestion de transactions.

Numspot (en cours de qualification 2026) Consortium Bouygues Telecom / Docaposte / Dassault Systèmes / La Banque Postale. Positionnement « cloud de confiance souverain ». À surveiller.

Bleu (Microsoft + Capgemini + Orange) et S3NS (Google + Thales) Tentent la qualification en 2026 via des entités juridiques européennes dédiées. Les avis ANSSI restent à publier sur la solidité juridique réelle. Crédibilité contestée par les acteurs souverains français.

SecNumCloud + IA : le sujet 2026

L’arrivée massive de l’IA générative en entreprise (2024-2026) crée une demande pour des stacks IA SecNumCloud. Trois architectures émergent :

Architecture 1 — IA managée chez un fournisseur SecNumCloud

OVHcloud propose en 2026 des services d’IA managée incluant des modèles Mistral en partenariat. Outscale développe des offres similaires. Pour les organisations qui ne veulent pas opérer leur propre infrastructure GPU, c’est l’option la plus simple.

Architecture 2 — LLM sur instance GPU SecNumCloud

Acheter une instance GPU SecNumCloud (OVHcloud H100 par exemple) et y déployer Mistral via vLLM ou Mistral Inference. Plus de contrôle, plus de coût. Voir notre guide LLM local en entreprise.

Architecture 3 — Mistral on-premise sur infrastructure interne SecNumCloud-équivalente

Pour les organisations très sensibles, déploiement sur datacenter privé respectant les exigences SecNumCloud par construction. Maximum de contrôle, maximum de coût.

Voir aussi notre guide IA souveraine pour le cadre stratégique.

Coût et trade-off : SecNumCloud vs Scaleway / OVH non-qualifié

Soyons honnêtes : SecNumCloud est un sur-coût significatif (1,5x à 3x un cloud public équivalent). Pour la majorité des organisations B2B sans exigence réglementaire spécifique, Scaleway ou OVHcloud (offre standard non-SecNumCloud) offre déjà :

  • Hébergement France
  • Capital européen
  • Conformité RGPD native
  • Pas de transit US sous DPF
  • Catalogue de services riche
  • Tarification compétitive

La différence avec SecNumCloud : la qualification ANSSI formelle, qui apporte une garantie juridique supplémentaire (immunité documentée aux lois extraterritoriales) et un niveau d’audit plus poussé.

Règle de décision simple :

  • OIV / OSE / défense / santé HDS sensible : SecNumCloud obligatoire
  • Marché public exigeant SecNumCloud : SecNumCloud requis
  • Organisation B2B standard cherchant souveraineté : Scaleway ou OVH standard suffisent
  • Organisation avec données sensibles non régulées : arbitrage à faire selon l’évaluation interne du risque DPF / Cloud Act

Comment choisir un fournisseur SecNumCloud en 2026

Cinq critères d’évaluation.

1. Couverture fonctionnelle : compute, stockage, base de données, GPU, IA, conteneurs, fonctions serverless. OVHcloud est le plus riche, Outscale couvre l’essentiel, les autres sont plus spécialisés.

2. Présence GPU et IA : pour les usages IA, vérifier la disponibilité de GPU performants (H100, MI300X) et l’écosystème logiciel (compatibilité Mistral Inference, vLLM, frameworks).

3. Tarification : à demander en devis pour usage représentatif (pas de tarification publique standardisée pour le SecNumCloud).

4. Engagement contractuel : vérifier la clause d’immunité juridique extraterritoriale, les délais de notification en cas de réquisition, les conditions de réversibilité.

5. Solidité de l’opérateur : actionnariat, équipe technique, références clients, historique d’incidents publiés.

Ce qu’on refuse de promettre

Trois antiPatterns récurrents qu’on évite chez DPLIANCE quand on cadre un projet SecNumCloud.

« Tout doit passer en SecNumCloud par principe. » Faux. SecNumCloud coûte 1,5x à 3x un cloud public standard. Pour 80 % des organisations B2B sans contrainte réglementaire (OIV, OSE, défense, certains secteurs santé), Scaleway ou OVHcloud non-SecNumCloud apportent déjà la souveraineté française à un coût compétitif. Sur-investir en SecNumCloud quand le besoin ne le justifie pas dégrade le ROI.

« Bleu ou S3NS sont SecNumCloud. » Pas encore qualifiés en 2026 (statut à confirmer). Les montages juridiques dédiés (Microsoft + Capgemini + Orange ; Google + Thales) tentent la qualification mais sont contestés par les acteurs souverains français. Pour un besoin SecNumCloud certain en 2026, les options confirmées restent OVHcloud, Outscale, Oodrive et Worldline.

« On déploie l’IA SecNumCloud comme l’IA standard. » Pas tout à fait. L’écosystème IA SecNumCloud est plus restreint que l’IA cloud public. Pas de Cosmos DB, pas certaines bases vectorielles managées. Il faut souvent monter sa propre stack (Mistral via vLLM + Qdrant self-hosted) sur des instances GPU SecNumCloud — démarche plus DevOps que cloud-as-a-service. Compter une expertise interne ou un intégrateur expérimenté.

DPLIANCE est un éditeur de logiciels. Quand on conçoit une solution IA sur mesure qui doit tourner sur SecNumCloud, on s’occupe de la stack complète : choix de l’opérateur SecNumCloud, déploiement Mistral on-premise sur GPU SecNumCloud, intégration RAG, journalisation conforme, documentation pour audit ANSSI.

FAQ

Qu’est-ce que la qualification SecNumCloud ?

SecNumCloud est un référentiel de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) qui qualifie des prestataires de services cloud pour leur niveau de sécurité ET leur immunité aux lois extraterritoriales (notamment le Cloud Act américain). Un prestataire SecNumCloud doit être de droit européen, juridiquement protégé contre les transferts de données hors UE imposés par une autorité étrangère.

Qui doit utiliser un cloud SecNumCloud ?

Obligatoire pour : les opérateurs d’importance vitale (OIV), les opérateurs de services essentiels (OSE), certaines administrations sensibles, et les services manipulant des données classifiées défense. Recommandé fortement pour : les entreprises traitant des données stratégiques (industrie souveraine, énergie, santé HDS, certains acteurs de la finance). Optionnel mais valorisable pour les autres.

Quels fournisseurs sont qualifiés SecNumCloud en 2026 ?

OVHcloud (Hosted Private Cloud SecNumCloud), Outscale (filiale Dassault Systèmes), 3DS Outscale, Oodrive, Worldline. Numspot (consortium Bouygues Telecom / Docaposte / Dassault Systèmes / La Banque Postale) en cours de qualification. La liste officielle est publiée par l’ANSSI sur cyber.gouv.fr.

Microsoft Azure ou AWS peuvent-ils être SecNumCloud ?

Non en 2026. Le référentiel exige l’immunité juridique aux lois extraterritoriales — ce qui exclut tout fournisseur dont la maison-mère est de droit américain, même via des montages contractuels. Les offres « Bleu » (Microsoft + Capgemini + Orange) et « S3NS » (Google + Thales) tentent d’obtenir la qualification en 2026 via des entités juridiques européennes dédiées, mais le statut reste à confirmer.

SecNumCloud est-il compatible IA ?

Oui — et c’est un sujet en pleine émergence en 2026. Les fournisseurs SecNumCloud (OVHcloud, Outscale) proposent des offres GPU et des services d’IA souveraine, parfois en partenariat avec Mistral. Pour déployer un LLM sur SecNumCloud, deux options : (1) acheter une instance GPU et déployer Mistral on-premise via vLLM ; (2) utiliser une offre IA managée du fournisseur SecNumCloud.

Combien coûte SecNumCloud par rapport au cloud standard ?

Les offres SecNumCloud sont généralement 1,5x à 3x plus chères que les offres cloud public équivalentes (AWS / Azure / GCP). L’écart est dû au niveau de sécurité, à l’isolement, à la souveraineté juridique, et à l’écosystème plus restreint. Pour la plupart des cas d’usage non critiques, c’est un sur-coût difficile à justifier — réservé aux usages réellement sensibles.

Comment choisir entre SecNumCloud et un cloud français non qualifié ?

Si vous êtes OIV/OSE : SecNumCloud obligatoire. Si vos données sont sensibles mais sans obligation : Scaleway (français, pas SecNumCloud) suffit dans 80 % des cas et coûte moins cher. SecNumCloud apporte la qualification ANSSI mais pas systématiquement plus de sécurité opérationnelle qu’un Scaleway bien configuré.

Sources : ANSSI, référentiel SecNumCloud version 3.2 (cyber.gouv.fr) ; directive (UE) 2022/2555 (NIS 2) et transposition française ; documentation OVHcloud Hosted Private Cloud SecNumCloud ; documentation Outscale ; rapports publics sur les offres Bleu et S3NS ; Code de la défense (OIV).

Pour cadrer un projet d’infrastructure SecNumCloud (ou alternative souveraine) — choix de fournisseur, intégration IA, conformité — voir notre guide IA souveraine, notre guide LLM local en entreprise, notre guide cloud souverain en entreprise, ou contactez-nous via nos solutions IA sur mesure.

Écrivez-nous

contact@dpliance.com
Nous contacter