SecNumCloud : comprendre le standard du cloud de confiance
L’ISO 27001 ne suffit plus. Découvrez SecNumCloud, le visa de l’ANSSI alliant sécurité de pointe et souveraineté juridique. Premier volet pour décrypter ce standard du cloud de confiance.
SecNumCloud : les enjeux stratégiques de la qualification
Cet article est le deuxième de notre série sur le référentiel SecNumCloud, ses enjeux stratégiques, et la trajectoire de Scaleway vers l’obtention de cette qualification exigeante.
Précédemment, nous avons vu comment SecNumCloud redéfinit les critères de confiance dans le cloud : un référentiel public, des exigences techniques et organisationnelles élevées, un audit indépendant et une décision de qualification portée par l’ANSSI.
Dans cet article, nous passons de la définition du référentiel à ses implications concrètes pour un fournisseur cloud. Car viser SecNumCloud ne consiste pas seulement à répondre à des exigences de conformité : c’est faire des choix structurants d’architecture, d’exploitation et de souveraineté technologique.
Les choix stratégiques derrière la qualification
Pour un fournisseur cloud, s’engager dans la qualification SecNumCloud est une démarche forte. Techniquement, elle répond à la sophistication croissante des menaces de cybersécurité ; juridiquement, elle répond à l'ingérence de lois extraterritoriales étrangères. En pratique, elle répond aux attentes (implicites ou explicites) d’industries de plus en plus nombreuses à se préoccuper de ces sujets.
Mais cette démarche dépasse la simple mise en conformité : elle impose des choix industriels structurants.
Viser ce standard de l'État soulève en effet des questions concrètes sur l'architecture et le modèle économique :
- Le dilemme de l'architecture : Faut-il construire une infrastructure qualifiée distincte et isolée pour les clients critiques, ou élever l'ensemble de ses infrastructures publiques au niveau d'exigence SecNumCloud ?
- L'impact financier et opérationnel : Le cloisonnement physique, la traçabilité documentaire et les audits réguliers nécessitent des investissements importants. L'enjeu est d'absorber ces coûts sans pénaliser la compétitivité des offres ni impacter les clients qui n'ont pas de besoin d’un tel niveau d’exigence.
Chaque acteur du marché répond à ces défis avec sa propre stratégie. Chez Scaleway, notre ambition d'hyperscaler européen nous a amenés à prendre des décisions d'architecture spécifiques et différenciantes.
Au-delà du référentiel : les angles morts de la souveraineté technologique
Si SecNumCloud constitue une défense solide contre les cyberattaques et l’ingérence juridique étrangère, il est essentiel d'avoir une lecture critique de ce que le référentiel — qui reste un outil de cybersécurité et non de politique industrielle — ne couvre pas.
La qualification garantit bien une autonomie dans l'exploitation du service : le prestataire garde le contrôle total de l'administration, ce qui vous met à l'abri d'une interruption d'accès imposée de l'extérieur. Toutefois, le référentiel n'encadre pas les choix logiciels du fournisseur. La question de l'indépendance technologique à long terme et de la réversibilité reste donc ouverte.
C'est précisément sur ces enjeux que l'approche de Scaleway prend le relais pour éviter deux écueils :
Le risque de dégradation progressive
Une offre cloud, même qualifiée, qui repose sur des briques technologiques fermées ou sous licence extra-européenne reste vulnérable à une interruption des mises à jour. Si l'accès à ces fournisseurs tiers venait à être coupé (par exemple à la suite d’une décision d’un État tiers), l'impossibilité de maintenir et de patcher les systèmes entraînerait une érosion inévitable de votre niveau de sécurité.
Au-delà même des enjeux sécuritaires, cette rupture vous priverait de toute mise à jour fonctionnelle et de toute innovation, figeant ainsi votre système d'information dans le passé et pénalisant lourdement votre compétitivité.
Le piège de la "cage dorée" (Vendor Lock-in)
SecNumCloud n'impose aucune exigence quant à l'ouverture des technologies utilisées : un fournisseur peut parfaitement vous offrir un environnement qualifié tout en vous enfermant dans un écosystème propriétaire. Le jour où vous souhaitez migrer vos données ou changer d'architecture, les coûts de réversibilité deviennent prohibitifs.
Une véritable souveraineté cloud implique en réalité une véritable indépendance, c'est-à-dire la liberté d’avoir toujours le choix de changer de partenaire technologique. Si votre infrastructure est tellement imbriquée dans les technologies d'un acteur qu'il vous est impossible de le quitter, vous n'êtes plus souverain, vous êtes captif. D’où l’importance de la réversibilité : la liberté de reprendre le contrôle de son infrastructure à tout moment.
Pour Scaleway, la réponse à ces limites tient dans notre ADN : l’ouverture et l'interopérabilité. La souveraineté ne se limite pas à la seule protection juridique ; elle réside fondamentalement dans la liberté de choix.
En privilégiant l’Open Source et les standards ouverts, nous ne nous contentons pas de sécuriser vos données selon les plus hautes exigences de l'État : nous garantissons que vous restez maître de vos choix technologiques, sans dépendance critique ni enfermement propriétaire. C'est pourquoi nous concevons nos infrastructures pour qu'elles soient nativement réversibles.
En facilitant l'interopérabilité applicative et la portabilité des données, nous vous garantissons une chose : vous choisissez de rester chez Scaleway pour la qualité de nos services, et non parce que vous y êtes techniquement ou financièrement enfermés.
La trajectoire de Scaleway vers la qualification
Vu de l'extérieur, obtenir la qualification de l'ANSSI peut sembler n'être qu'une formalité administrative. Pour un fournisseur cloud, cette démarche est en réalité un véritable marathon qui s'étale sur plusieurs mois voire années. Extrêmement rigoureux, le processus d'évaluation est structuré par l'ANSSI autour de jalons précis :
Jalon 0 : Acceptation de la demande de qualification
Il ne s'agit pas d'une simple déclaration d'intention, mais plutôt de définir précisément notre cible : quelle offre SecNumCloud voulons-nous proposer ? Quels produits précis seront inclus dans ce périmètre ? En somme, fixer un cap. Pour valider ce jalon, nos équipes ont dû produire et soumettre une documentation riche, comprenant notamment un dossier d'architecture exhaustif. Ce document détaille l'ensemble de nos choix d'architecture et les briques techniques mobilisées. C'est ainsi que l'ANSSI a pu formellement valider la recevabilité de notre démarche en décembre 2024.
Jalon 1 : Acceptation de la stratégie d'évaluation
Une fois le périmètre figé, il faut déterminer comment et quand cette offre sera éprouvée. Ce jalon est celui de la planification : nous y avons défini les modalités d'évaluation, sélectionné le cabinet d'audit indépendant (CESTI) accrédité par l'État, et fixé le calendrier des prochaines étapes. C'est la feuille de route officielle qui scelle la méthode de contrôle. Pour nous, ce jalon a été passé en juillet 2025.
Jalon 2 : Acceptation des travaux d’évaluation
C’est une phase particulièrement critique, longue et complexe. Nous sommes actuellement en plein cœur de l'évaluation de l'offre que nous proposons. Cette évaluation se divise en un audit documentaire minutieux, suivi d'un audit technique sur le terrain. Les auditeurs indépendants inspectent notre infrastructure, nos processus et notre code en profondeur pour vérifier que la réalité correspond à nos engagements. L’ANSSI va ensuite devoir valider la rigueur des travaux menés par les auditeurs et le strict respect de la méthodologie.
Jalon 3 : Décision de qualification
Sur la base du rapport des auditeurs, l’ANSSI évalue le service cloud et rend son verdict final.
Ces étapes, de même que leur préparation, mobilisent toutes les strates de Scaleway (ingénierie, sécurité, juridique, ressources humaines, opérations).
Enfin, il faut noter que la qualification s'inscrit dans un cycle de vie exigeant, soumis à des audits de surveillance annuels et à un renouvellement complet tous les trois ans. Cette temporalité assure que l’offre d’un fournisseur reste à la hauteur des standards SecNumCloud et continue de s’adapter aux nouveaux enjeux de cybersécurité et de souveraineté.
La qualification SecNumCloud n’est donc pas un simple aboutissement administratif : c’est une trajectoire structurante, qui engage à la fois l’architecture, les opérations, les processus internes et la vision technologique d’un fournisseur cloud.
Dans le prochain article de cette série, nous entrerons dans les coulisses de ces choix chez Scaleway, pour comprendre comment cette ambition se traduit concrètement dans la conception de notre offre qualifiée.
Articles recommandés