SecNumCloud est la qualification de l'ANSSI pour les services cloud dits 'de confiance', exigée pour les administrations et les opérateurs critiques français. La version actuelle (v3.2) renforce les exigences techniques et impose une immunité aux lois extra-territoriales (Cloud Act, FISA, CHIPS).
Fournisseurs cloud (IaaS, PaaS, SaaS) ciblant les administrations, OIV, opérateurs régulés. Aussi pertinent pour des intégrateurs qui doivent valider la qualification de leurs sous-traitants cloud.
Le référentiel reprend ISO 27001 et y ajoute environ 120 exigences spécifiques : chiffrement homologué ANSSI, gestion des clés sur le territoire UE, immunité juridique de l'entité légale (siège dans l'UE, capital européen), gouvernance France-based pour les services concernés, traçabilité accès, supervision sécurité 24/7.
La qualification s'applique à des services précis (pas à l'entité dans son ensemble). Un même fournisseur peut avoir certains services qualifiés et d'autres non. À l'achat, vérifier le périmètre exact du service qualifié, pas juste le nom du fournisseur.
À ce jour : OVHcloud (certains services), Outscale, Cloud Temple, Worldline, plus quelques autres. Les hyperscalers américains (AWS, Azure, GCP) ne sont pas qualifiables en l'état actuel à cause de l'exigence d'immunité juridique. Des montages 'cloud souverains' (Bleu, S3ns) sont en cours de qualification.
Démarrez par un pré-audit à 299€, livré sous 48h. Sans engagement.