SecNumCloud

SecNumCloud n’est ni une certification ISO ni une norme technique : c’est une qualification, délivrée par une autorité nationale, l’ANSSI, qui engage l’État sur le niveau atteint. L’audit couvre trois plans à la fois, la sécurité technique, l’organisation de l’opérateur et son rattachement juridique, ce dernier point visant l’imperméabilité aux lois extraterritoriales.

Ce que la qualification ne couvre pas automatiquement mérite d’être nommé. La réversibilité figure dans les critères, mais elle ne se vérifie réellement qu’à l’usage, le jour où l’on tente de sortir : un dossier conforme ne prouve pas qu’une sortie se passera bien. De même, la qualification n’assure pas la continuité du service si le prestataire cesse d’opérer, ce qui relève d’autres garanties, contractuelles et financières.

Il faut enfin distinguer la qualification de l’offre de l’usage souverain effectif. Une entreprise peut consommer une offre SecNumCloud de façon non souveraine : données mal segmentées, périmètre qualifié plus étroit que l’usage réel, contrats croisés avec des entités non qualifiées qui rouvrent une exposition par la bande. SecNumCloud est un outil de référence, le meilleur dont on dispose en France, mais c’est un point de départ vérifiable, pas une garantie absolue qui dispenserait de regarder comment l’offre est réellement employée.