L’obtention, fin 2025, du visa SecNumCloud par S3NS, un cloud opéré par Thales et Google Cloud, a ravivé le débat sur la compatibilité entre cloud de confiance, souveraineté et technologies non européennes. Cette qualification éclaire ce que SecNumCloud est et n’est pas.
« La qualification d’une offre n’est ni une décision arbitraire, ni un choix politique”. Le ton est donné par Vincent Strubel, à la tête de l’Agence nationale de la sécurité des systèmes d’information (Anssi).
Ce que n’est pas SecNumCloud
Par cette mise au point publiée le 6 janvier 2026, le directeur général entend clarifier ce que recouvre – et surtout ce que ne recouvre pas – le visa de sécurité “SecNumCloud”alors que son obtention par S3NS a ravivé des débats sur la souveraineté numérique.
S3NS est l’offre de cloud commercialisée par Thales et Google Cloud, dont la co-entreprise est détenue majoritairement par l’industriel français. C’est sa solution “Cloud de confiance”, rebaptisée “Premi3ns”qui a reçu la précieuse qualification fin décembre dernier.
Allier sécurité et richesse des services
Il s’agit d’une offre de cloud disposant à la fois d’un haut niveau de sécurité, proposé par Thales, et de la richesse fonctionnelle des hyperscalers de cloud public. On y retrouve les services phares de Google Cloud comme Compute Engine pour la gestion des machines virtuelles, Cloud Storage pour le stockage d’objets et Cloud SQL pour les bases de données relationnelles, ainsi que Google Kubernetes Engine pour la conteneurisation et BigQuery pour les entrepôts de données.
Ces garanties de sécurité ont déjà conquis plus de 60 clients cumulés sur les offres Premi3ns (SecNumCloud) et Crypt3ns, anciennement “Contrôles locaux avec S3NS”.
S’agissant du premier cloud “hybride” alliant technologies françaises et américaines, cette qualification a fait couler beaucoup d’encre. C’est la soumission de Google aux lois extraterritoriales américaines, dont le CLOUD Act et le Fisa qui permettent aux autorités d’accéder aux données stockées, qui a soulevé des inquiétudes.
Un label reposant sur 1200 exigences
D’où l’importance pour Vincent Strubel de mettre en avant la neutralité de la décision de son agence : SecNumCloud n’est pas un label de souveraineté au sens politique du terme, mais un outil de cybersécurité destiné à des usages sensibles, fondé sur une évaluation rigoureuse et standardisée des risques.
La qualification couvre près de 1200 exigences. Celles-ci visent à apporter des garanties sur l’ensemble des menaces susceptibles d’affecter un service de cloud : cyberattaques, risques juridiques liés au droit applicable, défaillances organisationnelles…
Aucune interdiction de principe
Du côté de la question de la soumission aux législations extraterritoriales, la doctrine de l’Anssi se veut sans ambiguïté. Le risque n’est pas traité par l’exclusion systématique des technologies non européennes mais par le contrôle effectif des données et des opérations. SecNumCloud impose que le prestataire qualifié soit européen, tant par son siège que sa capitalisation, et qu’il conserve seul la maîtrise de l’exploitation du service.
De plus, les fournisseurs ou sous-traitants non européens peuvent intervenir à condition de ne disposer d’aucun accès aux données hébergées.
Dans cette configuration, souligne l’Anssi, le fournisseur de la technologie cloud ne se trouve pas en situation de “possession, custody or control” au sens des législations extraterritoriales. Il ne peut donc ni accéder aux informations, ni répondre à une injonction d’une autorité étrangère.
Aller au-delà de la confidentialité des données
Autre enseignement mis en avant par le patron de l’Anssi : la souveraineté du cloud ne se limite pas à la confidentialité des données. En effet, elle couvre également la disponibilité des services, dans un contexte géopolitique marqué par la multiplication des sanctions et des restrictions d’exportation.
Le référentiel SecNumCloud impose ainsi au prestataire qualifié de démontrer son autonomie dans l’exploitation de la solution, afin d’éviter tout scénario de “kill switch” imposé par un acteur tiers. Un fournisseur de technologie non européen ne doit disposer d’aucun levier lui permettant d’interrompre un service ou de cibler certains clients.
Vincent Strubel rappelle également un principe essentiel, souvent omis : aucun acteur cloud, en Europe ou ailleurs, ne maîtrise aujourd’hui l’intégralité de la chaîne matérielle et logicielle sur laquelle reposent ses services.
Limiter les conséquences des dépendances
SecNumCloud ne prétend pas supprimer ces dépendances. Il vise, en revanche, à en limiter les conséquences sur la sécurité et le droit applicable, en s’assurant que le prestataire conserve la capacité d’exploiter la solution sans intervention extérieure et que toute rupture d’accès à des mises à jour se traduirait par une dégradation progressive – et non immédiate – du niveau de sécurité.
Dans cette perspective, l’Anssi juge largement artificielle l’opposition entre cloud “hybride” et cloud “non hybride”, tous dépendant, à des degrés divers, de technologies non européennes.
Victor Vuillard, chief technology officer de S3NS, a également pris la parole pour rappeler les garanties mises en place. Il insiste notamment sur la prise en compte du risque de malveillance interne, explicitement visé par le référentiel à travers les exigences relatives à la séparation des responsabilités et à la gestion des droits d’accès.
Les équipes sont séparées
Selon le CTO, les équipes chargées de définir les règles de sécurité, celles qui opèrent l’infrastructure et celles qui en contrôlent le respect sont distinctes. Les activités d’administration sont journalisées et supervisées via plusieurs dispositifs, dont un SOC externe qualifié PDIS par l’Anssi, afin qu’une même équipe ne puisse maîtriser l’ensemble de la chaîne ni supprimer unilatéralement les traces de ses actions.
Il évoque également l’usage de mécanismes de validation multipartite pour certaines opérations sensibles, telles que l’activation de fonctions de débogage ou la modification de configurations critiques, afin d’empêcher qu’un administrateur puisse agir seul. Les données des clients, chiffrées au repos et en transit, ne sont pas accessibles aux équipes d’exploitation.
Sécuriser la supply chain logicielle
Sur la chaîne d’approvisionnement logicielle, Victor Vuillard distingue le système d’information d’administration, reposant en grande partie sur des briques open source, et l’infrastructure cloud elle-même. Pour cette dernière, il indique que les mises à jour du partenaire technologique sont d’abord déployées dans une région de quarantaine, puis soumises à des analyses comportementales et à des contrôles de binaires avant d’être autorisées en production.
Enfin, le CTO rappelle que ces dispositifs techniques s’inscrivent dans un cadre plus large incluant des exigences organisationnelles et humaines, prévues par le référentiel SecNumCloud, sans lesquelles la sécurité du service ne peut être assurée.
Bleu en attente de qualification
L’exemple de S3NS n’est toutefois pas isolé. Bleul’offre de cloud portée par Orange et Capgemini autour de la technologie Microsoft Azure, est elle aussi engagée dans un processus de qualification SecNumCloud. Le jalon 1 (J1) a été accepté en novembre 2025.
Plusieurs industriels, tels que EDF et Dassault Aviationont été séduits par cette approche alliant sécurité et puissance.
Le marché challengé
L’attribution — ou la perspective d’attribution — du visa SecNumCloud à des offres comme S3NS et Bleu rebat nécessairement les cartes du marché du cloud pour les usages sensibles.
Elle oblige les acteurs publics et privés à clarifier leurs critères de choix, et met en lumière des visions parfois divergentes de la souveraineté numérique : souveraineté entendue comme maîtrise juridique et opérationnelle d’un côté, souveraineté conçue comme indépendance technologique et industrielle de l’autre. Les conséquences concrètes de cette évolution — en termes de stratégies d’achat, de structuration de l’offre et de politiques publiques — restent à observer.
Cette évolution pousse également les fournisseurs français historiques du cloud à se repositionner sur le terrain des fonctionnalités, de l’évolutivité et de la richesse des services proposés, longtemps considérés comme l’apanage des hyperscalers.
