SecNumCloud : entre standard de sécurité et débat de souveraineté 

La qualification SecNumCloud de S3NS fin décembre 2025 a suscité de nombreux débats sur les réseaux. Ces débats ont incité Vincent Strubel, Directeur général de l’ANSSI, à publier un long post LinkedIn clarifiant ce qu’est et ce que n’est pas SecNumCloud. Dans ce post, Vincent Strubel rappelle que SecNumCloud est une qualification exigeante, fondée sur un référentiel formalisé qui atteste qu’un service cloud présente un haut niveau de sécurité adapté aux usages sensibles. « Concrètement, cela se traduit par une procédure de qualification longue et exigeante, dans laquelle près de 1 200 exigences (‘points de contrôle’) sont vérifiées in situ par un évaluateur indépendant, agissant sous le contrôle de l’ANSSI, qui ne se prive pas au demeurant de demander parfois à l’évaluateur d’approfondir son travail, ou de réévaluer de manière plus stricte ses conclusions », précise Vincent Strubel. 

Le Directeur général de l’ANSSI insiste également sur le fait que SecNumCloud couvre des risques cyber, juridiques et organisationnels, y compris ceux liés au droit extraterritorial, mais qu’il ne peut pas résoudre l’ensemble des dépendances technologiques ou assurer une autonomie complète du point de vue industriel. « Une qualification SecNumCloud ne signifie pas que le prestataire de cloud peut opérer à long terme en autarcie complète, sans s’appuyer sur des fournisseurs non européens ni disposer de mises à jour fournies par des tiers. Une coupure de l'accès à ces fournisseurs, et aux mises à jour associées, entraînerait une dégradation progressive du niveau de sécurité », note-t-il dans sa publication. 

Sécurité, extraterritorialité et autonomie : des notions distinctes 

En réponse à la publication de Vincent Strubel, Eric Haddad, CEO de Numspot, joue - lui aussi - la carte de la clarification. Il estime qu’une confusion persiste dans le débat public entre sécurité, extraterritorialité juridique et autonomie numérique. « SecNumCloud vise un haut niveau de sécurité et une forme de protection juridique face aux lois extraterritoriales, mais la qualification ne garantit ni l’autonomie technologique, ni la réversibilité », avance-t-il. Dans le cas de Numspot, société 100 % française, la question de l’exposition aux lois extraterritoriales ne se pose pas. Eric Haddad considère que ces enjeux concernent davantage les acteurs disposant de capitaux ou de sous-traitants américains. 

Sur le volet « dépendance », Eric Haddad identifie deux risques majeurs. Le premier concerne la dépendance technique liée à l’adhérence croissante des cas d’usage aux technologies logicielles de grands acteurs, notamment américains. Le second est lié à la dépendance économique résultant de contrats globaux sur plusieurs années, susceptibles de créer une trajectoire d’augmentation des dépenses et d’enfermement commercial. « L’appréciation de ces risques dépend du secteur d’activité et du niveau de sensibilité des données ou des missions concernées. Entre une entreprise qui évolue dans l’agroalimentaire et une autre spécialisée dans les services aux collectivités ou aux acteurs de la défense, les enjeux ne sont pas les mêmes », analyse-t-il. 

L’arrivée de Bleu et S3NS, facteur de complexification du débat ? 

Quant à Michel Paulin, Président du Comité Stratégique de Filière « Solutions et Logiciels Numériques de Confiance », il alerte lui aussi sur les limites de SecNumCloud. « Un certain nombre d’acteurs ont intérêt à faire croire que SecNumCloud serait comme une ‘certification de souveraineté’. Ses deux attributs principaux sont d’être le standard de sécurité le plus élevé aujourd’hui en Europe, et d’exiger un statut de protection aux lois extraterritoriales de manière directe. C’est excellent, mais cela ne veut pas dire pour autant que c’est ‘souverain’ », souligne-t-il. 

Selon Michel Paulin, l’arrivée de Bleu et S3NS sur le marché, et leur volonté d’obtenir la qualification SecNumCloud, complexifient la compréhension des enjeux. « Est-ce qu’il faut considérer que c’est un blanc-seing de souveraineté ? D’une certaine façon, nous retombons dans une forme de narratif affirmant qu’il n’existe pas d’alternative aux acteurs dominants. Ces acteurs ont déjà les plus importantes parts de marché et ils expliquent, comme par hasard, qu’ils sont la seule voie possible pour proposer des solutions souveraines », ajoute-t-il. 

Pour Michel Paulin, un effort pédagogique important doit être fait auprès des dirigeants pour expliquer que c'est « un petit peu plus complexe que cela ». Selon le Président du Comité Stratégique de Filière, il est nécessaire de gratter la surface du marketing ambiant qui masque les réalités. « Les dépendances technologiques sont multiples. Il faut commencer par bien les comprendre et les factualiser, plutôt que de sauter sur une solution qui dit avoir une certification de souveraineté », conclut-il. 

Dissocier débat technique et arbitrage politique 

Cloud Temple, en la personne de Christophe Lesur, son CEO, adopte une lecture plus institutionnelle. Pour le dirigeant, la prise de parole de Vincent Strubel vise avant tout à rappeler la nature technique du référentiel SecNumCloud. « Celui-ci définit des exigences de sécurité et non des orientations politiques. La clarification consiste donc à dissocier le débat technique du débat politique, dans un contexte où les discussions publiques ont souvent mêlé ces deux registres », explique-t-il. 

Du côté de Docaposte, la ligne est nuancée. « SecNumCloud reste avant tout une qualification de sécurité, avec une dimension de souveraineté. Mais il faut être précis sur ce que cela recouvre. Mettre sur un même plan des acteurs entièrement souverains et des offres dépendantes de technologies américaines pose question. Même si des garanties techniques existent, ces offres restent liées à des fournisseurs non européens », soulève Olivier Vallet, P-DG du groupe. Il est donc nécessaire de distinguer clairement les niveaux de souveraineté pour que les clients puissent arbitrer en connaissance de cause, selon le dirigeant de Docaposte. 

Ouverture du marché et dynamique européenne 

Enfin, l’ouverture de la qualification à des consortiums incluant des acteurs américains est vue comme un événement positif par certains acteurs du marché. C’est le cas d’Éric Haddad. « Même si je comprends les interrogations exprimées par certains observateurs français, la présence de ces consortiums élargit le marché et crée des opportunités. Un élargissement à l’échelle européenne renforcerait encore plus la dynamique concurrentielle », note-t-il. 

SCC partage cette approche européenne. L’entreprise considère SecNumCloud comme une initiative pertinente pour renforcer les exigences de sécurité et de souveraineté, mais souligne les limites d’une approche strictement nationale. « Nous plaidons pour une convergence européenne des référentiels afin d’éviter la fragmentation du marché et permettre l’émergence d’acteurs capables d’opérer à l’échelle du continent », avance Gaël Menu, Directeur général de SCC. 

SCC plaide par ailleurs pour des critères d’accès fondés sur le respect d’exigences techniques et de sécurité, plutôt que sur la seule localisation du siège. « SCC, dont le siège se situe au Royaume-Uni, emploie malgré tout 2 700 personnes en France. Malgré notre ancrage opérationnel local, nous nous retrouvons parfois exclus de certains dispositifs », regrette Gaël Menu. 

Au terme de ces prises de position, un point de convergence apparaît : SecNumCloud fixe un standard de sécurité élevé et introduit une protection juridique structurée, mais il ne saurait, à lui seul, résoudre la question plus large des dépendances technologiques et industrielles. Trois lignes de tension structurent désormais le débat : la distinction entre sécurité et souveraineté, l’arbitrage entre dépendance technique et dépendance économique, et enfin l’opposition entre cadre national et convergence européenne. L’arbitrage final revient aux entreprises, en fonction de leur secteur, de leur exposition aux risques et de leur niveau d’exigence en matière d’autonomie stratégique.