Pour stocker des données sensibles en France, les éditeurs SecNumCloud à comparer sont Oodrive, Outscale, OVHcloud, Cloud Temple, Orange Business et Cegedim.cloud, NumSpot étant à intégrer dans la veille selon ses périmètres qualifiés.
Qu’est-ce que la qualification SecNumCloud ?
SecNumCloud est un référentiel français dédié au cloud computing de confiance. L’objectif reste clair : encadrer les solutions cloud hébergeant des données sensibles, avec des garanties techniques, juridiques et opérationnelles.
Le rôle de l’ANSSI dans la certification
L’systèmes d’information sur la sécurité des agences nationales évalue les prestataires de services en fonction d’un ensemble spécifique d’exigences. La certification SecNumCloud ne concerne jamais une entreprise entière. Elle s’applique à une offre, une version, une architecture et un périmètre maîtrisé.
Exigences de sécurité et de souveraineté
Le framework SecNumCloud 3.2, publié en mars 2022, couvre la gestion des identités, les journaux, l’administration, le chiffrement, la sauvegarde, la réversibilité et l’immunité contre les lois extraterritoriales. Cette démarche vise également le Cloud Act américain, sujet sensible pour les entreprises françaises.
Différence entre SecNumCloud, HDS et autres certifications
SecNumCloud traite le cloud souverain. HDS cible l’hébergement de données de santé. La norme ISO 27001 régit un système de gestion de la sécurité. Un hébergeur de données HDS ne remplace donc pas une qualification SecNumCloud, même si les deux frameworks se croisent en santé.
Pourquoi choisir un cloud certifié en France ?
Le cloud français certifié concerne en priorité les organisations qui manipulent des données sensibles. Les administrations, les OIV, les établissements de santé, les banques et les industriels y voient une manière de mieux encadrer leurs prestataires. Côté DSI et RSSI, le sujet dépasse le stockage : accès, traçabilité, dépendance technologique, conformité.
Protection des données sensibles
Les plans industriels, les contrats, les documents RH, les dossiers médicaux, les bases de données clients et les jeux de données liés à l’intelligence artificielle nécessitent un stockage cloud documenté. Les requêtes SEO « garantir la souveraineté des données » renvoient ici à trois sujets concrets : l’hébergement européen, le contrôle d’accès et la traçabilité.
Conformité réglementaire (RGPD, secteur public)
Là CNIL rappelle que le responsable de traitement reste tenu de vérifier ses sous-traitants, même lorsqu’il externalise son cloud. Dans le secteur public, la doctrine du cloud center pousse les projets sensibles vers des services qualifiés. Derrière les requêtes « services de santé publique » et « secteur de santé publique », on retrouve la même attente, celle d’identifier un partenaire de confiance pour les services cloud, capable de documenter la sécurité, la conformité et la localisation des données.
Réduire la dépendance vis-à-vis des hyperscalers étrangers
Un cloud souverain réduit l’exposition juridique aux lois non européennes. Il n’élimine pas tous les risques, mais il fournit un cadre clair pour les achats informatiques, la gestion contractuelle et la transformation numérique.
Les principaux éditeurs cloud SecNumCloud en France
Le marché français rassemble des profils très différents. Certains éditeurs vendent du SaaS prêt à l’emploi. D’autres fournissent une infrastructure cloud, un cloud privé, un stockage objet, un calcul, Kubernetes, une sauvegarde et une PRA.
Présentation des principaux acteurs du marché
Parmi les acteurs à analyser, on retrouve Oodrive, Outscale, OVHcloud, NumSpot, Cloud Temple, Orange Business, Scaleway et Cegedim.cloud, avec des périmètres très différents selon les offres qualifiées. NumSpot occupe une place particulière, car l’entreprise rassemble Docaposte, Dassault Systèmes, Bouygues Telecom et la Banque des Territoires autour d’un cloud de confiance destiné notamment au secteur public, à la santé et aux services financiers, sous réserve du périmètre SecNumCloud choisi.
Points forts et positionnement de chaque solution
Oodrive combine cloud souverain, gestion documentaire, partage sécurisé et « solutions de stockage cloud » pour les organisations sensibles. Outscale cible les IaaS souverains, OVHcloud a obtenu la qualification SecNumCloud 3.2 pour Bare Metal Pod en 2025, et Cloud Temple cible principalement les environnements critiques, où la sécurité, la conformité et l’exploitation priment.
Offres SaaS, PaaS et IaaS disponibles
Le SaaS répond aux usages métiers. Le PaaS cible les développeurs. IaaS fournit des serveurs, une mise en réseau, un stockage, une PRA et une segmentation. Les services de cloud public qualifiés restent moins nombreux que les catalogues internationaux.
Comparatif des solutions cloud souveraines certifiées
| Éditeur | Périmètre | Sécurité | Utiliser |
| Oodrive | SecNumCloud SaaS | conformité sécurité, partage, sauvegarde | Stockage cloud français, collaboration |
| Hors échelle | IaaS | infrastructure souveraine | industrie, finance, SI critiques |
| OVHcloud | Bare Metal qualifié | serveurs dédiés, cloud français | calcul, stockage, projets sensibles |
| NuméroSpot | cloud public de confiance | souveraineté numérique | secteur public, santé, services financiers |
| Temple des Nuages | IaaS, PaaS | architecture sécurisée | banque, industrie, administrations |
Niveau de certification et portée couverte
Chaque fiche ANSSI doit être lue. Un service qualifié ne rend aucune application conforme.
Cas d’usage par secteur (public, santé, industrie)
Dans le secteur public, la doctrine du cloud reste le premier filtre de lecture. La santé doit combiner HDS, hébergement de données de santé et SecNumCloud, notamment lorsque des dossiers patients ou des données de recherche circulent. Dans l’industrie, l’attention se porte désormais sur le chiffrement, le partitionnement du réseau, les sauvegardes, la PRA et la sécurité des systèmes d’information.
Avantages et limites de chaque éditeur
Oodrive est adapté aux solutions cloud SaaS axées sur le partage sécurisé, la gestion documentaire et le stockage cloud français. Outscale rassure sur l’IaaS souverain, OVHcloud apporte la capacité industrielle française, et NumSpot entre dans le comparatif, avec une vigilance sur le périmètre qualifié et la profondeur du catalogue. Le bon choix dépend donc moins du nom de l’éditeur que du périmètre qualifié.
Le bon choix part rarement du catalogue. Cela commence par la nature des données, le niveau de risque, les contraintes métiers, puis le budget de fonctionnement réel.
Critères de sécurité et de conformité
Avant de signer, mieux vaut vérifier le périmètre qualifié, la date de validité, le MFA, le chiffrement, la gestion des clés, la localisation, les logs, les sauvegardes et les clauses RGPD. La réversibilité doit aussi être écrite clairement, car une sortie mal préparée bloque rapidement un projet cloud.
Critères techniques (évolutivité, performances, interopérabilité)
La fiche technique doit répondre à des questions concrètes. Quelle latence pour les utilisateurs ? Quelles API ? Quel réseau privé ? Quel niveau d’accompagnement ? Le stockage objet, Kubernetes, l’open source, le RPO, le RTO, le PRA et la migration doivent être étudiés avant le déploiement, et non après l’incident.
Critères économiques et opérationnels
Le prix affiché ne dit pas tout. Migration, audit, formation, exploitation, supervision, maintien de la conformité et sortie contractuelle pèsent dans le coût final. Une offre moins chère au départ devient vite chère si la réversibilité échoue.
Les limites et les enjeux du cloud souverain aujourd’hui
SecNumCloud gagne du terrain, mais le marché reste plus restreint que celui des hyperscalers. Les entreprises y trouvent un cadre de confiance solide, au prix d’un choix de services parfois réduit.
Disponibilité des offres certifiées
Toutes les briques cloud n’ont pas encore d’équivalent qualifié. Les services de données, l’intelligence artificielle managée, le sans serveur, certains outils d’analyse et plusieurs environnements de développement restent moins abondants dans les périmètres SecNumCloud.
Coûts et complexité de mise en œuvre
La conformité ne s’arrête pas lorsque vous signez le contrat. Cela nécessite des preuves, des audits, des procédures internes, une gouvernance durable et des équipes capables d’en suivre le périmètre dans le temps. Ce niveau d’exigence pèse aussi bien sur le budget que sur le fonctionnement.
Evolutions et perspectives du marché
Les cyberattaques, l’essor de l’intelligence artificielle et les marchés publics sensibles poussent les services cloud souverains vers une plus grande maturité. Le mouvement devrait se poursuivre, surtout si les catalogues qualifiés gagnent en ampleur sans perdre en sécurité.
FAQ – Cloud SecNumCloud et souveraineté des données
Non, sauf en cas d’achat public sensible, de secteur réglementé, d’exigence contractuelle ou de politique interne stricte.
Les données de santé, finance, RH, industrie, justice, administration, cybersécurité et IA justifient une analyse SecNumCloud.
Il doit être conforme aux exigences techniques et juridiques du référentiel, y compris la protection contre les lois extraterritoriales.
Un cloud sécurisé protège le système. Un cloud souverain ajoute un contrôle juridique, une localisation et une réduction des dépendances. En conclusion, Oodrive répond aux besoins SaaS du stockage cloud français et de la collaboration SecNumCloud qualifiée. Outscale, OVHcloud, Cloud Temple, Orange Business et Cegedim.cloud couvrent des architectures plus techniques, NumSpot étant à intégrer selon le périmètre SecNumCloud recherché. Avant de signer, le formulaire ANSSI reste le document à lire en premier.
En résumé
SecNumCloud désigne la qualification cloud de l’ANSSI pour les services cloud traitant des données sensibles. Oodrive couvre le SaaS collaboratif qualifié, l’infrastructure cloud Outscale, le bare metal souverain OVHcloud, et NumSpot se positionne sur les besoins du secteur public, des services financiers de santé, selon les services qualifiés disponibles. Le choix dépend de la portée et non du nom de l’éditeur. Pour le stockage cloud français, vous devez comparer la qualification SecNumCloud pour chaque service, puis vérifier la conformité en matière de sécurité, de localisation, de chiffrement, de réversibilité et les clauses RGPD. Oodrive répond aux besoins SaaS de gestion, de partage sécurisé et de collaboration, là où Outscale, OVHcloud et Cloud Temple ciblent davantage le IaaS, le PaaS, le cloud public et les architectures critiques. NumSpot est également inclus dans le comparatif, à condition de vérifier le périmètre qualifié au moment du projet.
