Le retour en grâce du SecNumCloud 

Porté par l’Enisa (l’agence en charge de la cybersécurité au sein de l’UE), le schéma européen de certification des services cloud (EUCS) a fait l’objet, ces dernières années, d’âpres débats entre les Étatsmembres, quant à savoir s’il fallait s’aligner sur le plus haut niveau de protection contre les lois extra-territoriales, à savoir le SecNumCloud français porté au travers de l’initiative High+. Alors que les versions initiales de l’EUCS, prévoyaient un schéma aligné sur ce niveau de protection élevé, les versions ultérieures l’abandonnèrent, sous la pression du lobbying américain. Le Cnil s’en était d’ailleurs à l’époque, en juillet 2024, inquiétée.

Le printemps du SecNumCloud, au niveau français et européen

Avec le retour de Donald Trump au pouvoir, la donne géopolitique a profondément modifié la vision des acteurs français et européens, sur le caractère urgent et impérieux de se protéger contre la menace des lois extraterritoriales américaines. “Les discussions européennes actuelles et la possibilité qu’un niveau High+, ou un équivalent, puisse passer revient, du fait même de l’arrivée de Donald Trump”, constate Servane Augier, directrice des affaires publiques de NumSpot.

La santé, la finance et la défense en priorité

Les secteurs stratégiques comme la santé, la finance et la défense pourraient se voir obligés de recourir à une solution cloud souveraine, selon un résumé des débats du Conseil de l’UE, datant du 25 avril dernier et dévoilé par Contexte. Compte tenu du flou que recouvre la notion de “cloud souverain” (cf. plus bas les questions soulevées par cette définition), ce consensus ne signifie pas pour autant que la qualification SecNumCloud sera unanimement adoptée dans le cadre de l’EUCS. Il témoigne néanmoins de la volonté des États européens de passer par des “capacités cloud contrôlées par l’UE et certifiées sur leur cybersécurité.”

Le (SecNum)Cloud au centre

Élaborée en juillet 2021, la doctrine “Cloud au centre” vise à encourager la migration vers le cloud des administrations et opérateurs de l’État. En mai 2023, une mise à jour de cette doctrine précise que “l’hébergement des données d’une sensibilité particulière” doit se faire par des solutions disposant de la qualification SecNumCloud. Le 22 avril dernier, nous apprennent nos confrères de Politico, une lettre a été envoyée par les ministres de l’Action publique (Laurent Marcangeli), des Comptes publics (Amélie de Montchalin) et du Numérique (Clara Chappaz) aux autres ministères, pour les encourager à s’assurer de la protection de leurs données sensibles vis-à-vis des accès extraterritoriaux. Cette forme de rappel à l’ordre intervient dans le contexte particulier de la guerre commerciale lancée par Donald Trump. Ainsi, la lettre du 22 avril évoque clairement les “évolutions du contexte international” et demande de privilégier le recours à des “solutions conçues et développées selon les standards européens” pour participer à “une plus grande indépendance de l’État.” Pour rappel, la loi visant à sécuriser et réguler l’espace numérique (SREN), adoptée le 10 avril 2024, impose déjà le référentiel SecNumCloud aux administrations, aux opérateurs de l’État et à certains groupements d’intérêt public, pour le stockage des données considérées comme sensibles.

Les enjeux de la qualification SecNumCloud

Dans le contexte géopolitique actuel, une course se joue actuellement entre les fournisseurs de solutions cloud, pour obtenir la précieuse qualification SecNumCloud. À date du 9 mai 2025, 9 fournisseurs (parmi lesquels Cloud Temple, OVH, Cegedim et Outscale) peuvent se prévaloir de l’avoir obtenue, pour 15 offres de services distinctes. Onze prestataires sont encore en attente de la qualification. 

Parmi ceux-ci figurent les trois consortiums Bleu, Numspot et S3NS, dont l’ambition est de s’adresser directement aux grandes infrastructures publiques (les hôpitaux notamment) qui ont besoin d’un niveau de sécurité optimal et d’outils performants, capables d’une grande puissance de calcul et de capacités de stockage conséquentes.  La question de la souveraineté numérique est en outre, pour ces acteurs, particulièrement stratégique. 

La présence d’un acteur comme Google dans le consortium S3NS ou comme Microsoft Azure dans le consortium Bleu pourra surprendre et faire craindre que les données stockées dans ces cloud soient soumises au redouté principe d’extraterritorialité de la loi. “S3NS et Bleu sont des montages, dans lesquels les Américains sont présents technologiquement, mais ils ont essayé de se faire absents de l’actionnariat pour éviter que l’attelage en question soit soumis aux lois extraterritoriales, à savoir le Cloud Act et l’article 702 de la loi FISA  (le Foreign Intelligence Surveillance Act, qui est le prolongement du Patriot Act, autorise les agences de renseignement à collecter sans mandat des données de citoyen et d’entreprises hors États-Unis, avec l’assistance des fournisseurs de communication électronique, ndlr). Ce sont les deux lois américaines qui présentent un risque de réquisition des données pour les utilisateurs des GAFAM. Leur raison d’être est de proposer les solutions technologiques de Google et de Microsoft dans un environnement qui ne serait pas soumis à ces lois et qui serait donc en capacité d’aller passer cette qualification SecNumCloud”, explique Servane Augier. En l’occurrence, la qualification SecNumCloud impose pour les consortiums un actionnariat à 61 % en Union Européenne (section 19.6 b du référentiel). Le reste de l’actionnariat peut être hors UE mais sans droit de vote au conseil d’administration de la société.

Selon Servane Augier, ces dispositions, ce principe “répond à l’enjeu de cybersécurité, mais cela ne répond pas du tout à l’enjeu d’autonomie technologique qui est un des grands enjeux pour l’Europe. À partir du moment où vous proposez des services issus de Google et Microsoft, vous n’avez aucune autonomie technologique”.

“Cloud souverain”, une définition floue et variable

Si la doctrine “cloud au centre” a sa définition, cloud de confiance aussi, chacun y va de sa propre définition en matière de “cloud souverain”. “C’est un sujet d’exaspération pour moi. Lorsque j’entends que AWS s’installe en Allemagne et clame que, ce faisant, ils deviennent souverains européens, je me dis qu’on marche sur la tête. Les mots ont un sens !”, s’exclame Servane Augier, estimant que “l’écosystème doit commencer à communiquer de manière unifiée pour que tout le monde puisse s’y retrouver”. 

Interrogée par mind Health, la direction du consortium Bleu considère quant à elle que le principe de souveraineté porte d’abord sur les données, “c’est-à-dire mettre les données en sécurité au sens cybersécurité et au sens immunité aux lois extraterritoriales”, précise-t-elle, ajoutant que la souveraineté “est un terme très générique, qui englobe beaucoup de notions différentes. Nous parlons plutôt d’autonomie stratégique, dans laquelle nous nous inscrivons au sens où nous allons offrir une option de plus aux clients sur le marché français et, de ce fait, nous allons contribuer à réduire leur dépendance à des prestataires non-européens”.

Le consortium S3NS préfère quant à lui le terme de “cloud de confiance” à celui de cloud souverain. Pour rappel, ce label né en 2021 sous l’impulsion de Bruno Lemaire et Cédric O (alors respectivement ministre de l’Economie et des Finances et secrétaire d’État chargé du Numérique) repose sur le référentiel SecNumCloud. Cependant, le cloud de confiance, différe du cloud souverain, il est transparent, réversible et interopérable”’, a précisé Michel Paulin, CEO d’OVHcloud lors d’un événement organisé par European Champions Alliance. 

Au-delà de la souveraineté, l’autonomie technologique

Pour la directrice des affaires publiques de NumSpot, être souverain suppose, pour une entreprise française, “de ne pas être soumis à des lois autres qu’européennes”. S’ajoute à ce critère fondamental deux conditions : “les données doivent être stockées mais aussi opérées sur le territoire. Typiquement, se souvient-elle, à une époque, lorsque vous utilisiez le correcteur orthographique de Word, les données étaient envoyées en Floride…” Enfin, et c’est la proposition de valeur qui distingue NumSpot de ses deux principaux concurrents, l’indépendance technologique est pour l’acteur 100% français (qui s’appuie sur des solutions open source) la garantie de n’être soumis à aucun type de pression.

“Cette autonomie était autrefois perçue comme un enjeu régalien, au sens où la sphère de l’État devait contribuer à faire émerger des acteurs garantissant l’autonomie numérique française. Mais les entreprises s’emparent désormais du sujet parce que le contexte géopolitique montre que le risque est réel. Peut-être que Donald Trump n’ira pas jusqu’à couper l’accès à Microsoft. En revanche, si les mises à jour ne sont plus faites en temps et en heure, le problème est le même. Ces scénarios, qui passaient pour des chiffons rouges agités de manière excessive, sont maintenant pris en compte”, observe Servane Augier.

Donald Trump, VRP des solutions souveraines européennes

Le 27 janvier dernier, le 47e président des États-Unis limogeait les membres démocrates de la commission paritaire chargée de veiller à la bonne application du Data Privacy Framework (cf. notre encadré). Cette nouvelle menace sur le cadre juridique encadrant le transfert des données entre l’Europe et les États-Unis a eu un effet que le président Trump n’avait sans doute pas anticipé. 

“J’avais coutume de dire en plaisantant que j’avais recruté un excellent commercial à Washington, mais c’est aujourd’hui moins amusant, parce que nous sommes maintenant nombreux à le dire dans la sphère des solutions souveraines”, rapporte Servane Augier. “Le contexte géopolitique actuel est en effet favorable au modèle de cloud de confiance que nous proposons, nous observons un intérêt plus marqué de la part de nombreuses entreprises et administrations”, note à son tour le consortium Bleu.

La course au SecNumCloud : point d’étape

Ainsi poussés par le vent favorable des menaces venant d’outre-Atlantique, les trois principaux consortiums cherchant à obtenir la qualification SecNumCloud, ont multiplié ces dernières semaines les annonces pour démontrer qu’ils étaient bien dans la course.

L’enjeu est de taille car tous ont adopté une même stratégie commerciale, consistant à ne pas attendre la qualification complète pour signer de nouveaux clients. Lancées en début d’année, elles portent le nom de Early Adopters Program chez S3NS, de Départ Lancé chez Bleu. NumSpot aura attendu le 7 avril dernier pour lancer son offre commerciale mais entend se distinguer par une offre de services déjà mature. 

Pour rappel, trois étapes principales jalonnent le processus permettant d’obtenir la qualification complète. Le jalon J0 marque le dépôt du dossier, J1 apporte des précisions sur l’architecture de la solution candidate au référencement, J2 correspond à l’entrée dans la phase d’audit et J3 signe la qualification complète. 

Numspot : en route vers le J2

Numspot est aujourd’hui en phase J1. “Le franchissement du deuxième jalon est prévu pour l’automne et la qualification complète pour début 2026”, précise Servane Augier. L’acteur 100% français (composé de Docaposte, Dassault Systèmes, Bouygues Telecom et la Banque des Territoires) a l’avantage d’avoir l’État parmi ses principaux actionnaires et de s’appuyer sur des infrastructures Iaas (celles d’Outscale) ayant déjà obtenu la qualification SecNumcloud et ayant fait leur preuve sur le terrain (Outscale, marque de Dassault Systèmes, est utilisé dans le domaine très sensibles de la construction aéronavale). Numspot précise dans son communiqué du 7 avril dernier que “les services concernés [par le jalon J1] sont l’encapsulation de la couche IaaS d’Outscale et l’ensemble de la couche fondatrice des offres de services de NumSpot. Nous avons créé une console en mettant à disposition des outils pour faciliter l’expérience utilisateurs, et surtout la gestion des identités. Cela nous permet d’ajouter dans les plateformes tous les services PaaS, que nous avons déjà développés, mais que l’on fera qualifier SecNumCloud dans un deuxième temps”, explique Servane Augier. L’offre Numspot compte aujourd’hui une cinquantaine de clients, dont une dizaine dans le secteur de la santé, parmi lesquels Docaposte (notamment pour servir de socle à son IA générative DALVIA Santé), mais aussi l’application BB’Consult ou la société Domelior. 

S3NS : un temps d’avance 

Le consortium S3NS, porté par Thalès et Google Cloud, a lui-aussi franchi le jalon J1 de la qualification SecNumCloud, en décembre 2024. Avec 30 services IaaS et PaaS déjà disponibles, et une quarantaine d’autres dans la roadmap, il se prévaut d’avoir aujourd’hui “le catalogue de services le plus riche, parmi les solutions qualifiées ou en cours de qualification SecNumCloud”. Interrogée par mind Health, la direction de la communication du consortium confie que son Early Adopters Program compte aujourd’hui une quinzaine de clients, parmi lesquels dans le secteur de la santé la Chaire ​Innovation Bloc Opératoire Augmenté (BOPA) de l’AP-HP et l’Agence du numérique en santé. La qualification complète SecNumCloud de S3NS est “attendue dans les mois à venir”.

Bleu, provisoirement lanterne rouge 

L’acteur français Bleu,  détenu à 100% par Capgemini et Orange, mais qui s’appuie sur un partenariat technologique avec Microsoft Azure, a fait savoir le 17 avril dernier que l’Anssi avait validé le jalon JO de sa qualification “pour un large catalogue de services IaaS, PaaS, CaaS” et précise que la qualification complète de ses services est prévue pour le premier semestre 2026. Si le consortium Bleu a donc, à l’heure actuelle, quelques mois de retard sur ses deux principaux concurrents, il compte rapidement le rattraper et être pleinement qualifié en même temps qu’eux. Le premier semestre 2026 sera donc, selon toute vraisemblance, le théâtre d’une concurrence sévère entre les différentes offres proposées.