Klaerenn
⌘K
Klaerenn
Tribunes

I want to play a game

48 PME, 9 millions d'euros, un dispositif d'accompagnement vers SecNumCloud conçu avec le mauvais outil, le mauvais référentiel, et aucun bilan public trois ans plus tard. Anatomie d'un piège à subventions.
I want to play a game
« Vous avez volontairement choisi de participer. »
« Vivre ou mourir, à vous de choisir. » — Jigsaw, SAW

Le 22 décembre 2022, le gouvernement lance en fanfare un dispositif d'accompagnement des PME vers la qualification SecNumCloud. Trois ans et demi plus tard, 48 startups et PME y sont entrées. Aucun bilan public n'a été communiqué sur le nombre d'entre elles qui en sont ressorties avec le Visa de sécurité. Le silence est en soi une donnée.

Ce qui suit est une reconstitution du mécanisme, à partir du cahier des charges publié par Bpifrance, des communiqués officiels et des listes de prestataires qualifiés ANSSI.

Le guichet

L'intention est claire. La qualification SecNumCloud est un parcours long et coûteux. Les PME éditrices de SaaS ou PaaS n'ont ni les ressources ni l'expertise pour s'y engager seules. L'État décide de les accompagner via France 2030, avec un guichet Bpifrance dédié, en lien avec l'ANSSI et la DGE ¹.

Le dispositif comprend quatre modules. Le module 1 est un audit initial sur l'ensemble du spectre SecNumCloud pour évaluer les écarts. Le module 2 est une formule « transformation » s'appuyant sur le guide d'hygiène ANSSI, comprenant des actions concrètes à implémenter. Le module 3 est une formule « conformité », un audit à blanc en application des pratiques de l'ANSSI. Le module 4 est l'aide à la qualification elle-même ². Un jalon validé par l'ANSSI à l'issue de chaque module conditionne l'accès au suivant. Le module 4 n'est accessible qu'en cas de validation de l'ensemble du parcours ².

L'aide publique s'échelonne entre 40 000 et 180 000 euros par projet ³. Trois relèves ont été opérées : 21 entreprises retenues en février 2023, une deuxième vague le 19 juillet 2023, puis 27 nouvelles entreprises annoncées par Marina Ferrari le 22 mars 2024, portant le total à 48 et le budget mobilisé à 9 millions d'euros ⁴. La communication officielle mobilise quatre ministres ou secrétaires d'État successifs (Le Maire, Barrot, Bonnell, Ferrari), deux directeurs généraux de l'ANSSI (Poupard puis Strubel), un événement dédié chez OVHcloud le 1er février 2023 ⁵, et des relais French Tech régionaux. L'étiquette France 2030 et l'enveloppe globale de la stratégie cloud à 667 millions d'euros donnent au dispositif une caution de sérieux par effet de halo.

Le mauvais outil

Le cahier des charges précise que les modules d'accompagnement sont délivrés par des PASSI disposant des portées 1 (audit d'architecture), 2 (audit de configuration) et 5 (audit organisationnel et physique), ou par des PACS disposant des portées 2 (conseil gestion des risques) et 3 (conseil sécurité des architectures) après l'entrée en vigueur de ce référentiel ².

Le problème est factuel. PASSI est un référentiel d'audit. Il qualifie des prestataires pour auditer des systèmes d'information : tests d'intrusion, audit d'architecture, audit de configuration, audit de code source, audit organisationnel et physique ⁶. Ce sont des activités de contrôle, pas d'accompagnement. Les modules 1 à 3 du dispositif BPI étaient du conseil et de l'accompagnement à la montée en maturité. C'est exactement ce que couvre le référentiel PACS ⁷.

Mais la confusion ne portait pas seulement sur le type de prestataire. Elle portait sur la cible. L'audit de qualification SecNumCloud est réalisé selon la trame d'évaluation SNC v1.0 et les 360 points de contrôle du référentiel v3.2 ¹¹. Un audit PASSI portées 1/2/5 utilise une autre grille, une autre méthodologie, un autre périmètre. Le module 2 (transformation) s'appuie sur le guide d'hygiène ANSSI ², qui est un socle généraliste de 42 mesures, pas un référentiel de qualification cloud. La gap analysis du module 1 était une approximation de la cible SNC. La remédiation du module 2 était guidée par le mauvais référentiel. L'audit à blanc du module 3 n'était pas un audit SNC. Le dispositif préparait les PME à un examen avec le mauvais programme.

Le cahier des charges prévoyait la bascule vers des PACS « après l'entrée en vigueur de ce référentiel ». Deux problèmes. Le référentiel PACS v1.0 est publié le 19 juillet 2023 ⁷, mais les premiers Visas de sécurité PACS ne sont délivrés qu'en juillet 2024 : Orange Cyberdefense, Intrinsec et Holiseum, tous trois sur les seules portées RISQUE et HOMOL ⁸. Alcyconie a obtenu la portée CRISE. Seul ORNISEC détient aujourd'hui les quatre portées, y compris ARCHI ⁸ᵇ. Plus de vingt prestataires sont encore en cours de qualification ⁹. Or le cahier des charges BPI exige précisément les portées RISQUE (portée 2) et ARCHI (portée 3) ². Au moment où le guichet a fermé, le 19 juillet 2023, aucun PACS n'était qualifié. La bascule prévue par le cahier des charges n'a jamais eu lieu. Les 48 PME lauréates ont toutes été accompagnées par des PASSI faisant du conseil sous un label d'audit.

Le juge et partie

La confusion de périmètre n'était pas seulement un problème de qualification. Elle contredisait le référentiel PASSI lui-même.

Le référentiel exige du prestataire d'audit qu'il agisse « avec impartialité, sans conflit d'intérêts avec d'autres prestations » ¹². Il définit l'audit comme un « processus systématique, indépendant et documenté » ¹². Or, dans le dispositif BPI, le même PASSI faisait le module 1 (diagnostic), le module 2 (transformation/conseil), le module 3 (audit à blanc), et émettait les avis inter-modules. Le PASSI qui conseillait la PME en module 2 était le même qui auditait le résultat de son propre conseil en module 3. Il avait un intérêt financier et réputationnel dans l'issue. L'indépendance requise par le référentiel était structurellement impossible dans un parcours où le même prestataire cumulait les fonctions de conseil et d'évaluation.

Le cahier des charges BPI a construit un dispositif que le référentiel de qualification des prestataires qu'il mobilisait interdit par construction.

Bpifrance sait pourtant concevoir des garde-fous contre ce conflit d'intérêts. Le dispositif Cyber PME, qui finance la mise en œuvre de plans de sécurisation pour les PME, plafonne à 10 % du montant total des dépenses éligibles les devis émis par l'expert ayant réalisé le diagnostic initial ¹⁰. Celui qui fait le diag ne peut pas capter le gros du marché de remédiation qu'il a lui-même prescrit. Ce verrou était totalement absent du dispositif d'accompagnement SecNumCloud.

La supervision par l'ANSSI était théorique. Le cahier des charges prévoyait que des réunions « pourront être organisées de manière ad-hoc » par Bpifrance avec les administrations concernées ². Du best-effort, pas un comité de pilotage structuré. Bpifrance pilotait le flux financier. L'ANSSI validait les jalons sur dossier, sur la base du rapport fourni par le PASSI accompagnateur, sans contre-audit. Le PASSI faisait le travail, le PASSI faisait le rapport, Bpifrance payait sur la base du rapport, l'ANSSI validait sur la base du rapport.

L'escalade

L'aide publique ne couvrait pas le coût réel. Le cahier des charges était explicite : les entreprises candidates devaient apporter une part d'autofinancement pour leurs coûts internes de participation aux modules ainsi que pour le financement de l'audit de qualification ². Les tickets BPI (40 000 à 60 000 euros par module) couvraient la prestation du PASSI accompagnateur. La PME finançait sur fonds propres tout le reste.

Or chaque poste d'investissement a un seuil plancher. On ne déploie pas un demi-SIEM. On ne recrute pas un demi-RSSI. On ne chiffre pas la moitié de ses flux. On ne documente pas 180 points de contrôle sur 360 en espérant un demi-Visa. La qualification SecNumCloud est binaire : on l'obtient ou on ne l'obtient pas. Chaque investissement technique (refonte d'architecture, cloisonnement réseau, PCA/PRA, chiffrement au repos et en transit) n'a de sens que dans la perspective du Visa final. Hors de cette perspective, c'est du surcoût pur pour une PME de 30 à 50 personnes dont les concurrents ne portent pas ce fardeau.

Pour une PME de cette taille, l'investissement interne se situait entre 500 000 euros et un million d'euros. Le ticket BPI de 40 000 euros était une amorce qui déclenchait un investissement dix à vingt fois supérieur.

Le mécanisme de jalons inter-modules verrouillait le parcours. À chaque go/no-go, la PME était face au même calcul : elle avait déjà trop investi pour s'arrêter, et pas assez pour en avoir fini. Pas de label intermédiaire, pas de certificat de conformité partielle, pas de filet de sécurité, pas de recours. La convention BPI n'était pas un contrat commercial avec obligation de résultat. C'était une subvention conditionnelle. Si Bpifrance disait stop, c'était stop. La PME ne pouvait pas contester le rapport du PASSI censé l'accompagner, ni demander un second avis à l'ANSSI, qui n'était pas partie à la convention, ni même comparer son avancement à celui des autres lauréats, puisqu'aucune donnée n'était publique.

Le parcours type

Prenons le parcours type. Une PME de 40 personnes, éditrice SaaS, répond au communiqué France 2030. Elle est retenue. Elle signe une convention Bpifrance, choisit un PASSI sur la liste ANSSI, et entre en module 1.

Le PASSI produit un audit initial. Sa grille n'est pas la trame d'évaluation SNC v1.0 de l'ANSSI : ce n'est pas un audit SecNumCloud, c'est un audit PASSI portées 1/2/5 adapté au contexte. La PME n'a pas les compétences internes pour évaluer l'écart entre cette grille et la cible réelle. Le rapport identifie des écarts significatifs. La PME passe en module 2.

Elle recrute un RSSI ou externalise la fonction. Elle refond son architecture réseau, met en place du chiffrement au repos et en transit, déploie un SIEM, documente ses processus, construit un PCA/PRA. Ticket BPI : 60 000 euros. Investissement interne : 400 000 euros minimum, souvent davantage. Mobilisation de l'équipe : douze à dix-huit mois. Pendant ce temps, ses concurrents non engagés dans le dispositif développent leur produit.

Le PASSI accompagne, conseille, oriente la remédiation. Puis, en sortie de module 2, il émet un avis de passage en module 3. C'est le même prestataire qui a identifié les écarts, prescrit la remédiation, et évalue maintenant si la remédiation est suffisante. La PME n'a aucun moyen de challenger cet avis. L'avis est transmis à Bpifrance. La supervision ANSSI est ad-hoc.

Si le jalon est validé, la PME entre en module 3, audit à blanc. Nouveau rapport du même PASSI. Nouveau jalon. Si c'est go, elle accède au module 4, l'audit de qualification réel, conduit cette fois par un PASSI spécifiquement agréé SNC ¹¹. C'est un autre audit, une autre grille, un autre niveau d'exigence. La PME qui a passé trois modules avec succès découvre ici que la préparation portait sur le mauvais programme. Les écarts identifiés par l'évaluateur SNC ne recoupent pas ceux du PASSI accompagnateur, parce que les deux ne regardent pas la même chose. L'audit à blanc était un audit PASSI. L'audit réel est un audit SNC. Retour à la remédiation, cette fois sans ticket BPI, sans accompagnement financé, et avec un décalage que trois modules n'ont pas comblé parce qu'ils ne visaient pas la bonne cible.

Si le jalon est refusé, en module 2 ou en module 3, Bpifrance arrête le financement. La PME a investi 500 000 à 800 000 euros en interne, mobilisé ses équipes pendant un an ou deux, consommé les tickets publics. Elle repart avec un rapport PASSI qui documente ses faiblesses, pas de label, pas de certificat partiel, pas de recours, et aucune indication sur ce qu'elle doit faire ensuite. Le dispositif ne prévoit pas d'accompagnement à la sortie, pas de réorientation vers un parcours allégé, pas de passerelle vers d'autres mécanismes de financement. La PME est seule, moins riche, et sans interlocuteur.

Le silence

Le guichet a été conçu et lancé par Guillaume Poupard en décembre 2022. Vincent Strubel a pris ses fonctions le 4 janvier 2023 et a hérité de l'exécution. Il ne pouvait pas facilement remettre en cause un dispositif inauguré par son prédécesseur avec le patronage de quatre ministres et l'étiquette France 2030.

Trois ans et demi après le lancement, les premières PME lauréates de février 2023 ont largement dépassé l'objectif de qualification sous deux ans affiché dans le cahier des charges. Sur 48 PME entrées dans le dispositif, le nombre de Visas SecNumCloud délivrés n'est documenté nulle part. L'absence de tout bilan de conversion, même partiel, n'est pas un oubli de communication. C'est le signe que le chiffre ne serait pas bon à montrer.

Ce que je sais, ce que je ne sais pas

Ce que je sais. Le cahier des charges BPI exigeait des PASSI pour des prestations de conseil. La bascule vers des PACS prévue par le texte n'a jamais été opérée. Le module 2 était calé sur le guide d'hygiène ANSSI, pas sur le référentiel SNC v3.2 : le dispositif préparait les PME sur le mauvais programme. Le même prestataire diagnostiquait, accompagnait et émettait l'avis de continuation, dans une configuration que le référentiel PASSI interdit : celui-ci exige l'impartialité et l'absence de conflit d'intérêts avec d'autres prestations ¹². Le dispositif Cyber PME intègre un garde-fou anti-conflit d'intérêts que le dispositif SNC n'avait pas. L'audit PASSI portées 1/2/5 n'est pas un audit SecNumCloud ¹¹. La supervision ANSSI était prévue en mode ad-hoc, sans comité de pilotage formalisé. Quarante-huit PME sont entrées dans le dispositif. Aucun bilan de sortie n'est public.

Ce que je ne sais pas. Combien de lauréats ont obtenu le Visa SecNumCloud. Quels PASSI ont capté le gros des conventions d'accompagnement. Si l'ANSSI a effectivement conduit des revues de jalons techniques ou tamponné sur dossier. Si des PME arrêtées en cours de route ont contesté la décision. Quel volume d'investissement privé total le dispositif a déclenché.

Position

Le dispositif ne préparait pas à la qualification SecNumCloud. Il préparait à un audit PASSI portées 1/2/5, calé sur le guide d'hygiène, dans une configuration que le référentiel PASSI interdit. Même la PME qui passait tous les jalons arrivait au vrai examen avec le mauvais programme. Le dispositif a été conçu sans les garde-fous que Bpifrance met en place sur ses propres programmes cyber, avec un outil de financement piloté par une banque pour un processus de qualification technique piloté par personne.

Neuf millions d'euros d'argent public ont servi d'amorce. Ils ont déclenché des dizaines de millions d'investissement privé chez 48 PME, pour une préparation structurellement décalée de la cible. Le bilan est opaque et le taux de conversion probablement faible.

Ce qu'il faudrait publier : le nombre de Visas SNC délivrés aux 48 lauréats, l'investissement total déclenché, et la raison pour laquelle la bascule vers des PACS n'a jamais été opérée.

Le guichet est fermé. La qualification SecNumCloud est passée en v3.2. Les PME qui sont restées en chemin n'ont ni le Visa, ni de label intermédiaire, ni de passerelle vers un autre dispositif. Celles qui ont franchi les modules découvrent un audit de qualification qui porte sur autre chose. Le guide d'hygiène sur lequel reposait le module 2 n'est le référentiel de personne.

Références

¹ Communiqué de presse conjoint Matignon/DGE/ANSSI, 22 décembre 2022. presse.economie.gouv.fr

² Bpifrance, cahier des charges « Guichet d'accès au dispositif d'accompagnement à la qualification SecNumCloud ». bpifrance.fr

³ Campus Numérique AURA, « Accompagnement à la qualification SecNumCloud — aide BPI », décembre 2024. campusnumerique.auvergnerhonealpes.fr

⁴ Communiqué de presse DGE/DINUM/ANSSI/Bpifrance, 22 mars 2024. entreprises.gouv.fr

⁵ OVHcloud, événement « Accompagnement SecNumCloud — partenaires de l'écosystème Open Trusted Cloud », 1er février 2023.

⁶ ANSSI, « Prestataires d'audit de la sécurité des systèmes d'information — référentiel d'exigences PASSI ». cyber.gouv.fr

⁷ ANSSI, « Prestataires d'accompagnement et de conseil en sécurité des systèmes d'information — référentiel d'exigences PACS », v1.1. cyber.gouv.fr

⁸ ANSSI, liste des prestataires qualifiés PACS — Visas de sécurité délivrés. Orange Cyberdefense (juillet 2024, portées RISQUE et HOMOL), Intrinsec (portées RISQUE et HOMOL), Holiseum (portées RISQUE et HOMOL), Alcyconie (portée CRISE). cyber.gouv.fr

⁸ᵇ ORNISEC, qualifié PACS sur les quatre portées (HOMOL, RISQUE, ARCHI, CRISE). Imineti by Niji, qualifié PACS en janvier 2025. ornisec.com · niji.fr

⁹ ANSSI, liste des prestataires en cours de qualification PACS, consultée avril 2026. cyber.gouv.fr

¹⁰ Bpifrance, « Cyber PME — Phase B », cahier des charges. Plafond de 10 % pour le prestataire ayant réalisé la Phase A. bpifrance.fr

¹¹ ANSSI, « SecNumCloud — référentiel d'exigences v3.2 ». cyber.gouv.fr

¹² ANSSI, « Prestataires d'audit de la sécurité des systèmes d'information — référentiel d'exigences PASSI », v2.2, novembre 2024. Exigences d'impartialité, d'indépendance et d'absence de conflit d'intérêts avec d'autres prestations. cyber.gouv.fr

More like this

Status: clean

Status: clean

En un mois, une IA a trouvé plus de dix mille failles critiques. 75 corrigées. Tout le monde en tire la même leçon : patcher plus vite. C'est la mauvaise. Le taux ne bouge pas, le volume double, et l'instrument de mesure devient aveugle au même moment.
The Thing That Should Not Be

The Thing That Should Not Be

ATLAS copie ATT&CK pour l'IA. Quatre attaques en deux mois, mêmes identifiants, aucun mécanisme en commun. Le framework nomme les techniques sans armer les défenseurs. L'industrie l'adopte parce qu'il ressemble à ATT&CK. La ressemblance est le piège.
L'ubérisation labellisée de la cybersécurité des PME

L'ubérisation labellisée de la cybersécurité des PME

L'État vient de subventionner un label cyber pour les PME, opéré par un acteur dont le métier principal est la commercialisation de données IT au marché financier, sans coordination publique avec Cybermalveillance, sans aucune exigence cyber dans son référentiel. Anatomie.
Pitch Black

Pitch Black

Huit vecteurs de dégradation frappent le NIST. L'Europe a bâti sa conformité sur ses standards, du NVD au CISSP. Elle construit des alternatives sur un seul niveau. Elle n'a pas de système.
Mon Oncle

Mon Oncle

Décret SecNumCloud paru le 16 avril 2026, 23 mois après la loi. La veille, l'ANTS fuitait 19 millions de données. Aucun hébergement qualifié n'aurait empêché cette fuite. Le décret est utile pour ce qu'il est. Le confondre avec ce dont on aurait besoin reste l'illusion centrale.
The Prestige

The Prestige

D3FEND devait être le miroir défensif d'ATT&CK. J'ai examiné ses 267 techniques, leur provenance, leur distribution. Ce que j'ai trouvé ne correspond pas à l'ambition affichée. Quatorzième article de la série.