L’attribution de la qualification SecNumCloud 3.2 à l’offre cloud de S3NS, coentreprise entre Thales et Google Cloud, a ravivé les interrogations sur la capacité réelle de ce label à protéger juridiquement les données hébergées contre les législations extraterritoriales. Vincent Strubel, directeur général de l’ANSSI, apporte dans un billet détaillé une mise au point attendue, en distinguant clairement les garanties offertes par la qualification et les limites à ne pas ignorer.
Alors que S3NS annonce avoir décroché la certification SecNumCloud pour son infrastructure cloud opérée en France, de nombreuses voix s’interrogent sur la portée réelle de cette reconnaissance dans un contexte de tensions réglementaires entre juridictions. L’ANSSI, par la voix de Vincent Strubel, son directeur général, rappelle que cette qualification repose sur des exigences précises de contrôle européen, mais qu’elle ne constitue pas un bouclier juridique absolu. Le message est clair : la sécurité résulte d’une maîtrise structurelle, pas d’un statut d’immunité.
Dans son analyse publiée sur LinkedIn, Vincent Strubel démythifie les raccourcis souvent véhiculés autour de SecNumCloud. Il insiste sur le fait que ce référentiel impose des mécanismes de protection concrets, mesurables et audités, mais ne saurait être confondu avec une garantie juridique universelle. C’est la cohérence opérationnelle, organisationnelle et juridique de bout en bout qui fonde la résilience du cloud qualifié, non un label magique.
Une architecture sous contrôle européen intégral
Le référentiel SecNumCloud 3.2 élève le niveau d’exigence en matière de souveraineté opérationnelle. Il impose que l’ensemble du service — exploitation, administration, support, maintenance — soit contrôlé par une entité de droit européen, détenue majoritairement par des capitaux européens, et administrée exclusivement depuis le territoire européen. « Il ne suffit pas que les données soient hébergées en France. Il faut aussi que leur traitement le soit, que les administrateurs le soient, que les logiciels le soient, et que les décisions le soient », résume Vincent Strubel. Ce principe de cohérence interne vise à empêcher tout levier d’ingérence, y compris indirect.
Dans le cas de S3NS, la qualification s’applique à une offre spécifique, isolée des infrastructures globales de Google Cloud, exploitée depuis la France par des personnels Thales, avec une gouvernance et des processus distincts. Le service qualifié bénéficie d’un cloisonnement strict, tant sur le plan logique que juridique. Comme le précise l’ANSSI, « la qualification porte sur un périmètre restreint. Elle ne concerne pas toute l’entreprise, ni tous ses services. Elle ne concerne pas, par exemple, la relation contractuelle entre S3NS et Google Cloud, mais uniquement le service qualifié. »
Une protection contre l’extraterritorialité fondée sur les faits
Contrairement à une idée reçue tenace, la qualification SecNumCloud ne « soustrait » pas un service aux lois extraterritoriales. Elle agit en amont, en structurant le service de manière à rendre inopérantes les demandes de transfert de données émanant d’autorités étrangères. « La qualification ne soustrait pas à l’application du droit », affirme Strubel. Mais elle garantit que seul le prestataire qualifié a la capacité d’accéder aux données, ce qui empêche tout tiers — même juridiquement contraint à l’étranger — d’agir concrètement.
Le raisonnement est stratégique : l’extraterritorialité n’est efficace que si une autorité peut contraindre un acteur lié opérationnellement à la donnée. Or, le référentiel impose que ces liens soient rompus : pas de sous-traitant non européen, pas d’administrateur hors UE, pas de dépendance fonctionnelle ou décisionnelle vis-à-vis de l’extérieur. « SecNumCloud coupe ce lien. Il est donc extrêmement dissuasif pour toute tentative d’intrusion juridique », insiste Strubel. Cette organisation fait reposer la défense non sur la promesse d’un fournisseur, mais sur l’absence de surface d’attaque juridique exploitable.
Des composants logiciels pas nécessairement souverains
Vincent Strubel précise que le label SecNumCloud ne garantit pas l’origine souveraine des composants techniques utilisés. « Le label ne garantit pas que tous les composants logiciels utilisés sont de fabrication européenne. Il ne garantit pas que les mises à jour logicielles sont toutes auditées ligne par ligne. Il ne garantit pas une indépendance totale vis-à-vis des chaînes d’approvisionnement logicielles mondiales. »
Cependant, le prestataire reste responsable de maîtriser ces dépendances par des mécanismes d’isolation, de journalisation, de supervision et de capacité de remédiation. La sécurité, ici, n’est pas fondée sur la pureté technologique, mais sur la capacité à détecter, encadrer et neutraliser tout comportement non souhaité. « Le référentiel ne traite pas directement de la maîtrise de la chaîne d’approvisionnement logicielle. Ce n’est pas son objet. »
Il s’agit d’une vision réaliste de la souveraineté numérique : ne pas ériger de faux murs d’autarcie, mais garantir une gouvernance contrôlée, documentée et résistante aux vulnérabilités importées. La qualification oblige le fournisseur à prendre la responsabilité pleine et entière de chaque composant utilisé, y compris ceux d’origine étrangère. Elle impose une capacité de justification technique, de remédiation rapide et de supervision continue.
Un référentiel de confiance opposable, pas un label marketing
La mise au point de l’ANSSI vise aussi à replacer la qualification dans son rôle exact : un outil de maîtrise opérationnelle, pas un argument commercial. « La sécurité n’est pas un état, c’est un processus. Un cloud qualifié peut être exploité de manière négligente, tout comme un cloud non qualifié peut être bien maîtrisé. Mais la qualification impose un niveau de preuves, de contrôles et d’anticipation que peu d’acteurs atteignent. C’est une garantie de moyens, pas une promesse de miracle », conclut Vincent Strubel.
Dans un marché saturé de revendications sur la « confiance », cette clarification rappelle que SecNumCloud repose sur une méthodologie d’audit éprouvée, des critères publics et un encadrement continu. Pour les entreprises, les administrations et les fournisseurs de services, il constitue un repère utile pour identifier les prestataires capables de répondre aux enjeux de confidentialité, de résilience et de souveraineté opérationnelle, sans tomber dans les illusions de l’immunité absolue.
