Décret SecNumCloud et données sensibles : un cadre enfin opposable pour l’État
Le décret n° 2024-196 du 11 mars 2024, pris pour l’application de la loi n° 2024-449 dite loi SREN sur la sécurisation de l’espace numérique et publié au Journal officiel du 22 mars 2024, ferme une longue parenthèse d’incertitude pour les DSI publiques. En rendant obligatoire une qualification SecNumCloud ou, à terme, une certification européenne EUCS pour l’hébergement des données sensibles, ce texte transforme une doctrine cloud jusque-là indicative en véritable norme de conformité opposable. Pour les responsables de la sécurité des systèmes d’information, la fenêtre de tolérance se referme et le compte à rebours réglementaire commence.
Le décret précise que toute donnée classée comme donnée sensible par l’État, y compris les données de santé et les données financières, doit être hébergée sur des offres de services cloud qualifiées ou en cours de qualification SecNumCloud, conformément au référentiel officiel de l’ANSSI « Exigences de sécurité pour les prestataires de services cloud ». Cette réglementation s’applique aux opérateurs de l’État, aux ministères, aux établissements publics et aux GIP concernés, ce qui élargit fortement le périmètre des systèmes d’information impactés par la souveraineté numérique. Les sous-traitants privés qui traitent ces données sensibles pour le compte de l’administration entrent de facto dans le champ de la loi de sécurisation de l’espace numérique et devront démontrer leur alignement sur ces exigences de cybersécurité et de résilience.
Le texte prévoit un délai de dix-huit mois pour migrer les projets existants vers des offres de cloud conformes, dès lors qu’une solution de cloud souverain ou de cloud de confiance qualifiée existe sur le marché. À défaut d’offre disponible, une dérogation d’un an renouvelable peut être accordée, mais elle devra être justifiée au regard de l’ordre public, de la continuité des services essentiels et de la sécurité nationale. Pour les RSSI, chaque nouveau projet numérique manipulant des données sensibles devient un dossier de conformité à part entière, avec un risque juridique désormais explicite et documentable, y compris en cas de contrôle par les autorités de supervision.
Ce décret SecNumCloud sur les données sensibles consacre aussi le rôle central de l’ANSSI dans la régulation du cloud. Le référentiel ANSSI SecNumCloud, détaillé dans la fiche officielle « Exigences de sécurité pour les prestataires de services cloud », déjà structurant pour quelques grands opérateurs de cloud souverain comme OVHcloud, 3DS Outscale ou Bleu, devient la boussole technique pour tous les opérateurs de l’État et leurs prestataires. La qualification SecNumCloud n’est plus un label optionnel de sécurité, mais un prérequis pour accéder aux appels d’offres portant sur des données sensibles ou des données de santé, en attendant l’articulation avec le futur schéma européen EUCS et les autres cadres de certification de cybersécurité.
La loi SREN et le décret SREN associé encadrent désormais la souveraineté numérique française dans un espace numérique dominé par quelques hyperscalers. En pratique, la doctrine cloud de l’État se traduit par une hiérarchisation stricte des offres de services cloud, selon le niveau de sécurité, de confidentialité et de souveraineté exigé pour chaque famille de données. Les DSI doivent donc cartographier précisément leurs données, distinguer les données sensibles des autres données, puis aligner leurs systèmes d’information sur ce nouveau référentiel, en intégrant dès maintenant le calendrier prévisionnel de la certification EUCS et les futures mises à jour du cadre réglementaire.
Encadré pratique : jalons types d’un calendrier de migration SecNumCloud
– Mois 0 à 3 : inventaire des applications, classification des données sensibles, identification des traitements critiques.
– Mois 4 à 9 : choix des prestataires qualifiés, définition des architectures cibles, contractualisation et préparation des environnements.
– Mois 10 à 18 : migrations progressives, tests de sécurité, mise à jour des procédures d’exploitation et revue de conformité avant fin de délai.
Référentiel ANSSI, qualification SecNumCloud et impact sur les architectures SI
Le référentiel ANSSI SecNumCloud couvre dix domaines, de la cryptologie à la localisation de l’actionnariat, et redéfinit la sécurité du cloud pour les données sensibles. Pour les RSSI, cela signifie que la conformité ne se limite plus à cocher des cases ISO 27001, mais à démontrer une maîtrise fine de la chaîne de confiance, du code source jusqu’aux administrateurs d’infrastructure. Les offres cloud non qualifiées deviennent difficiles à justifier pour les projets manipulant des données de santé ou des données stratégiques de l’État, en particulier lorsque des alternatives qualifiées existent déjà sur la liste publique des prestataires SecNumCloud publiée par l’ANSSI.
La qualification SecNumCloud impose par exemple une localisation des données et des traitements dans l’Union européenne, une protection renforcée contre les lois extraterritoriales et une gouvernance capitalistique contrôlée. Ces exigences techniques et juridiques structurent désormais les architectures des systèmes d’information publics, en particulier pour les projets de modernisation numérique dans la santé et la protection sociale. Les GIP concernés comme l’Agence du numérique en santé ou le Centre d’accès sécurisé aux données doivent réviser leurs schémas directeurs cloud pour rester en conformité avec le décret, en s’appuyant sur les guides de mise en œuvre publiés par l’ANSSI et les retours d’expérience des premiers projets certifiés.
Pour les DSI, chaque nouvelle fenêtre de migration vers le cloud devient un arbitrage entre performance, coût et souveraineté numérique. Les offres de cloud souverain qualifiées SecNumCloud sont parfois moins riches fonctionnellement que les services des hyperscalers, mais elles répondent aux exigences de la loi de sécurisation et du décret SREN. L’enjeu consiste à segmenter les systèmes d’information, en réservant les offres cloud les plus robustes aux données sensibles et en utilisant d’autres environnements pour les charges moins critiques, tout en gardant une vision consolidée des risques et des dépendances.
Cette segmentation suppose une observabilité multi cloud robuste, capable de suivre les flux de données entre environnements qualifiés et non qualifiés. Sans une telle visibilité, le risque de fuite de données sensibles vers des services non conformes explose, comme le montrent les analyses détaillées sur l’observabilité multi cloud. Les RSSI doivent donc intégrer le référentiel ANSSI dans leurs outils de gouvernance, de gestion des risques et de conformité, plutôt que de le traiter comme une simple annexe contractuelle, et s’assurer que les tableaux de bord de supervision reflètent bien les contraintes SecNumCloud et les obligations issues de la loi SREN.
Les appels d’offres publics intègrent désormais des clauses explicites de qualification SecNumCloud et de conformité au décret SecNumCloud sur les données sensibles. Les opérateurs de l’État qui pilotent des projets numériques critiques, comme les plateformes de données de santé ou les systèmes de paie, doivent anticiper ces exigences dès la phase de cadrage. À défaut, ils s’exposent à des renégociations coûteuses, voire à des remises en cause complètes de leurs choix d’architecture cloud, comme l’illustre le cas d’un ministère ayant dû rebasculer en urgence une application RH vers un prestataire qualifié : en moins de six mois, le projet a absorbé plus de 20 % de budget supplémentaire pour réintégrer les contraintes de souveraineté et de sécurité imposées par le décret.
Stratégie pour les RSSI : prioriser les risques et préparer les migrations
Pour un RSSI, la première étape face au décret SecNumCloud sur les données sensibles consiste à établir une cartographie précise des données et des flux. Il faut distinguer les données sensibles des autres données, qualifier les données de santé, identifier les traitements critiques pour l’ordre public et les missions régaliennes de l’État. Cette analyse permet de prioriser les projets de migration vers des offres de cloud souverain ou des offres cloud qualifiées, en tenant compte des échéances réglementaires et des capacités internes de transformation, mais aussi des contraintes budgétaires et des ressources humaines disponibles.
Les systèmes d’information qui traitent des données sensibles cloud doivent faire l’objet d’un plan de remédiation détaillé, avec des jalons alignés sur les dix-huit mois prévus par le texte. Les RSSI ont intérêt à utiliser cette contrainte réglementaire comme un levier pour réduire la dette technique, rationaliser les environnements et renforcer la sécurité globale du numérique. Les enseignements tirés des analyses sur le coût réel d’un ransomware montrent que la consolidation des plateformes et la maîtrise des dépendances réduisent fortement l’impact des crises, à condition de disposer d’une feuille de route claire : cartographie, trajectoire de migration, critères de dérogation et plan de tests de reprise d’activité.
Les projets en périphérie, notamment ceux qui s’appuient sur l’edge computing ou des architectures distribuées, ne sont pas épargnés par la réglementation. Dès lors qu’ils manipulent des données sensibles ou des données de santé, ils doivent respecter la doctrine cloud de l’État et le référentiel ANSSI, comme le rappellent les retours d’expérience sur l’edge computing en entreprise. Les RSSI doivent donc intégrer ces contraintes dès la conception, plutôt que de tenter de régulariser a posteriori des projets déjà en production, en s’appuyant sur une checklist opérationnelle partagée avec les métiers et les équipes d’architecture.
Le décret SREN et la loi SREN ouvrent une nouvelle fenêtre stratégique pour les acteurs français du cloud, qui voient la qualification SecNumCloud devenir un standard de fait pour les données sensibles. Les offres de cloud de confiance et les solutions de cloud souverain alignées sur le référentiel ANSSI gagnent en attractivité auprès des opérateurs de l’État et de leurs prestataires. Pour les DSI, l’enjeu n’est plus de savoir s’il faut aller vers le cloud, mais de choisir quelles données y placer, sous quelles garanties de souveraineté numérique et avec quel niveau de sécurité opérationnelle, en gardant en ligne de mire l’arrivée de la certification EUCS et l’évolution des exigences de cybersécurité européennes.