La qualification SecNumCloud obtenue par S3NS, la coentreprise entre Thales et Google Cloud, a relancé le débat sur la souveraineté du cloud en Europe. Dans un billet de clarification, Vincent Strubel, directeur général de l’ANSSI, rappelle ce que garantit réellement SecNumCloud… et ce qu’elle ne couvre pas, notamment en matière de dépendances technologiques extra-européennes.
L’obtention fin 2025 de la qualification SecNumCloud par S3NS, offre de cloud dite « hybride » reposant sur une technologie américaine opérée par un acteur européen, a cristallisé les tensions autour de la notion de cloud de confiance. Face aux interprétations parfois contradictoires, Vincent Strubel, directeur général de ANSSI, a pris la parole pour clarifier le périmètre exact de la qualification.
Premier rappel posé sans ambiguïté : SecNumCloud n’est ni un label politique ni un outil de politique industrielle. Il s’agit d’une qualification de cybersécurité, fondée sur un référentiel exigeant, appliqué de manière identique à tous les candidats. Près de 1 200 points de contrôle sont audités par un évaluateur indépendant, sous supervision directe de l’ANSSI. Le dispositif vise des usages sensibles, et non l’ensemble des besoins cloud du marché.
Immunité juridique et continuité de service
Sur le terrain du droit extraterritorial, au cœur des débats, SecNumCloud apporte des garanties claires. Le prestataire qualifié doit être européen, tant par son capital que par son siège, et conserver un contrôle exclusif sur les données de ses clients. Les sous-traitants non européens peuvent intervenir, mais sans accès aux données ni aux opérations d’administration.
Ce cadre permet de se prémunir contre les risques liés à des législations comme le CLOUD Act ou les lois FISA américaines. Il protège également contre le scénario du « kill switch », c’est-à-dire une coupure de service imposée par une autorité étrangère. L’autonomie d’exploitation exigée par SecNumCloud interdit à un fournisseur technologique tiers de suspendre un service opéré par un acteur européen qualifié.
Des dépendances qui demeurent
En revanche, et c’est l’un des points clés du billet de Vincent Strubel, SecNumCloud n’élimine pas les dépendances technologiques. Une offre qualifiée peut rester dépendante de briques logicielles ou matérielles non européennes, qu’il s’agisse de systèmes d’exploitation, de bases de données, de composants open source ou de processeurs.
Cette réalité ne concerne pas uniquement les offres dites hybrides. Selon l’ANSSI, aucune infrastructure cloud, même opérée par un acteur européen, ne maîtrise l’intégralité de sa chaîne technologique. Une rupture durable d’accès aux mises à jour de composants non européens entraînerait, à terme, une dégradation du niveau de sécurité, quel que soit le modèle retenu.
Localisation et gestion de crise
La qualification impose par ailleurs la localisation des données au sein de l’Union européenne. Si cette exigence ne suffit pas à elle seule à neutraliser le droit extraterritorial, elle facilite l’application du droit européen et l’intervention opérationnelle en cas d’incident, notamment par les équipes de réponse à incident et le CERT-FR.
Une approche globale de la menace
L’ANSSI rappelle enfin que le droit extraterritorial n’est qu’un risque parmi d’autres. Les fournisseurs de cloud sont des cibles de choix pour des cyberattaques avancées, et le facteur humain reste un point critique. C’est pourquoi SecNumCloud impose des exigences strictes sur l’architecture technique, le cloisonnement des environnements, le chiffrement des données, mais aussi sur la gestion des ressources humaines et la détection des abus internes.
Souveraineté, mais sans illusion
Pour l’ANSSI, les offres qualifiées SecNumCloud peuvent être qualifiées de « souveraines » au sens de la cybersécurité et de l’application du droit européen. Elles ne constituent toutefois pas une réponse complète aux enjeux de dépendance technologique, qui relèvent d’actions industrielles et politiques plus larges. SecNumCloud protège efficacement contre certaines menaces critiques, sans promettre une autonomie technologique totale.
