SecNumCloud pour les autres ?
Le 6 janvier 2025, Vincent Strubel, directeur général de l'ANSSI, publiait sur LinkedIn une mise au point sur SecNumCloud : « Ce n'est pas une médaille en chocolat, et ce n'est pas pour tout le monde. » ¹ Près de 1 200 points de contrôle. Des exigences visant à réduire les risques liés aux lois extraterritoriales américaines et chinoises. Un processus de qualification qui coûte entre 1 et 2 millions d'euros et prend 18 à 24 mois.
À Bruxelles, la France défend avec constance l'intégration de ces critères dans le schéma européen EUCS. La CNIL, la CSNP, l'ANSSI : tous martèlent que le niveau High+, équivalent européen de SecNumCloud, doit inclure des garanties contre les risques liés aux lois extraterritoriales. ² La France a « perdu tous ses alliés » sur ce dossier avant de « reformer des alliances » après l'élection de Trump, selon Guillaume Poupard. ³
La position française tient en une phrase : les données sensibles européennes doivent être protégées des ingérences étrangères. Le Cloud Act américain et la loi chinoise sur le renseignement de 2017 permettent à ces puissances d'exiger l'accès aux données hébergées par leurs entreprises, où qu'elles soient stockées.
Les exigences françaises pour les autres
Pour les prestataires privés traitant des données sensibles de l'État, la doctrine « Cloud au centre » impose le recours à des offres présentant un niveau de sécurité équivalent à celui des offres qualifiées SecNumCloud. L'article 31 de la loi SREN de mai 2024 grave cette exigence dans le marbre pour les données « d'une sensibilité particulière ». ⁴ Mais cet article ne s'applique qu'aux prestataires privés. L'État, lorsqu'il développe ses propres outils, n'est pas soumis à cette obligation légale.
Pour les industriels européens, la France pousse à Bruxelles pour que le niveau le plus élevé d'EUCS intègre des garanties contre les risques liés aux juridictions non-européennes. L'enjeu : que les hyperscalers américains ne puissent pas prétendre au plus haut niveau de certification sans ces garanties.
Et pour l'État lui-même ?
La Suite numérique (Visio, Docs, Tchap, Resana, Grist, France Transfert, Webinaire, Webconf) constitue l'offre collaborative que l'État impose à ses agents par circulaire. ⁵
Sur cette Suite, la DINUM communique avec prudence. Pour Docs et Visio : « hébergés sur une infrastructure qualifiée SecNumCloud » (Outscale). ⁶ Pour les autres briques : silence.
Or une infrastructure qualifiée SecNumCloud (IaaS) n'équivaut pas à un service qualifié SecNumCloud (SaaS). L'ANSSI l'écrit explicitement : « La qualification SecNumCloud apporte une confiance sur l'offre cloud [...]. Elle ne préjuge en revanche pas du niveau de sécurité des services numériques des clients qui seront portés par ces offres cloud. » ⁷
À ce jour, la liste officielle de l'ANSSI recense une seule suite collaborative qualifiée SecNumCloud en SaaS : Oodrive (Work, Share, Meet). ⁸ L'État développe Visio au lieu d'utiliser Oodrive Meet. Il développe Docs au lieu d'utiliser Oodrive Work.
La circulaire de janvier 2026 évoque des solutions « développées dans l'esprit du référentiel SecNumCloud ». ⁹ Formule juridiquement vide. L'esprit d'un référentiel de 1 200 points de contrôle ne protège rien.
La supply chain
La Suite repose sur des composants dont les éditeurs sont soumis à des juridictions non-européennes : LiveKit (San Francisco) pour Visio, Element (UK/US) pour Tchap, Grist (New York). Des dépendances que SecNumCloud exige précisément de maîtriser et de documenter.
Les assets Tchap pointent vers OVH Object Storage (s3.gra.io.cloud.ovh.net), non qualifié SecNumCloud. Resana est opéré par Interstis, sans mention de qualification.
Le bilan sécurité
En moins d'un an, trois plateformes de la DINUM ont été compromises :
| Plateforme | Date | Impact | Modèle |
|---|---|---|---|
| Osmose | Avril 2025 | 3 502 profils agents scrapés ¹⁰ | SaaS français (Jalios) sur Outscale |
| Resana | Novembre 2025 | ~1M fonctionnaires, rançon 20k$ ¹¹ | Développement interne |
| HubEE | Janvier 2026 | 160 000 documents ¹² | Plateforme DINUM |
Trois modèles différents. Trois compromissions. Le point commun : des défaillances dans les pratiques de sécurité, pas dans le choix d'hébergement.
Osmose mérite attention. Solution SaaS française (Jalios), hébergée sur infrastructure qualifiée SecNumCloud (Outscale), fermée en mai 2025 pour être remplacée par Resana, développé en interne. Six mois plus tard, Resana était compromis.
La question qui reste
L'État français exige des prestataires privés un niveau de protection qu'il ne s'applique pas à lui-même. Il défend à Bruxelles des garanties contre les lois extraterritoriales tout en déployant des outils dont la supply chain dépend de composants soumis à ces mêmes lois.
Cela pose une question plus fondamentale : si l'État lui-même ne parvient pas à garantir la protection de ses propres données sensibles contre les juridictions étrangères, sur quelle base peut-il exiger cette garantie des prestataires privés ?
Les composants LiveKit, Element et Grist soumettent le code source de La Suite à des juridictions non-européennes, les mêmes dépendances que l'État reproche aux hyperscalers américains.
L'IGI 1337 définit l'organisation SSI de l'État et les autorités compétentes au sein de chaque ministère. L'II 901, applicable aux SI sensibles, impose une analyse de risques préalable à toute externalisation. Si cette analyse conclut à un risque résiduel inacceptable, notamment la sujétion à un droit extraterritorial, l'autorité qualifiée ministérielle pourrait légitimement refuser l'adoption de La Suite. C'est, paradoxalement, le seul levier dont disposent les RSSI ministériels pour résister à une injonction politique qui ignore les questions qu'elle prétend résoudre.
Ce que je sais, ce que je ne sais pas
Je sais que la DINUM ne revendique la qualification SecNumCloud que pour Docs et Visio, et uniquement au niveau infrastructure. Je sais que les autres briques ne font l'objet d'aucune communication sur leur qualification. Je sais que la supply chain repose sur des composants édités par des entreprises soumises à des juridictions non-européennes.
Je ne sais pas si La Suite dispose d'une décision d'homologation formelle, ni à quel niveau. Je ne sais pas combien de ministères ont conduit une analyse de risques conforme à l'II 901 avant d'adopter La Suite. Je ne sais pas si des AQSSI ministérielles ont refusé d'accepter le risque résiduel.
Position
La crédibilité de la France sur EUCS dépend de sa cohérence. Exiger des industriels européens 1 200 points de contrôle tout en déployant des outils « dans l'esprit » du référentiel affaiblit la position française à Bruxelles et discrédite SecNumCloud auprès des éditeurs nationaux.
La sécurité des données de l'État ne se décrète pas par circulaire. Elle se construit par des qualifications vérifiables, des analyses de risques documentées et des pratiques d'exploitation rigoureuses. Trois compromissions en neuf mois suggèrent que ce travail reste à faire.
Tant que l'État ne s'appliquera pas les standards qu'il impose aux autres, sa doctrine « Cloud au centre » restera ce qu'elle est : une injonction politique, pas une garantie de sécurité.
Sources
¹ Vincent Strubel, LinkedIn, 6 janvier 2025 — repris par Silicon.fr
² CNIL, « Cloud : les risques d'une certification européenne », 19 juillet 2024
³ Guillaume Poupard, Journal du Net, juin 2025
⁴ Loi SREN, article 31, JORF 22 mai 2024
⁵ Circulaire n°6469/SG, 22 janvier 2026
⁶ DINUM, lasuite.numerique.gouv.fr
⁷ ANSSI, « Recommandations pour l'hébergement dans le cloud », juillet 2024
⁸ ANSSI, liste des offres qualifiées SecNumCloud, janvier 2026
⁹ Circulaire n°6469/SG, annexe technique
¹⁰ BreachForums, post "Angel_Batista", 31 janvier 2026 — données vérifiées par @SebLatombe
¹¹ France Info, « L'Œil du 20 heures », 26 novembre 2025
¹² CERT-FR, janvier 2026
