Tous les articles
Décryptage10 min de lecture

SecNumCloud, NIS2, DORA : la grille de lecture du cloud de confiance

Trois sigles reviennent dans toutes les discussions sur le cloud de confiance, et ils sont systématiquement confondus. SecNumCloud est une qualification volontaire, NIS2 une directive de cybersécurité, DORA un règlement financier. Natures juridiques différentes, périmètres différents, mais un même mouvement de fond : la maîtrise de vos dépendances cesse d’être une opinion pour devenir une obligation.

SecNumCloud : le plus haut niveau d’exigence français

SecNumCloud est la qualification délivrée par l’ANSSI aux fournisseurs de cloud, sur la base d’un référentiel d’exigences. Sa version 3.2 (2022) a ajouté aux critères techniques et organisationnels un volet décisif : la protection contre les droits extra-européens. Structure du capital, contrôle effectif de l’entreprise, localisation des opérations et du support : le référentiel vise à garantir qu’aucune loi non européenne (CLOUD Act et FISA en tête, nous les détaillons ici) ne puisse contraindre le fournisseur.

À quoi ça sert : la doctrine « cloud au centre » de l’État français impose le cloud qualifié pour les données sensibles de l’administration, et de nombreux acheteurs (collectivités, OIV, santé) l’exigent par prudence ou par obligation. Outscale et OVHcloud comptent parmi les fournisseurs disposant d’offres qualifiées ; les coentreprises adossées aux hyperscalers américains (Bleu avec Microsoft, S3ns avec Google) se sont construites précisément pour viser cette qualification, ce qui dit quelque chose du niveau d’exigence.

À l’échelle européenne, l’équivalent (le schéma de certification EUCS) est en discussion depuis 2020 et bloque exactement sur ce point : faut-il des critères d’immunité juridique à la SecNumCloud ? La France dit oui, d’autres États membres non, les hyperscalers font campagne. Tant que ce n’est pas tranché, SecNumCloud reste la référence la plus exigeante du marché.

NIS2 : la cybersécurité devient l’affaire de dizaines de milliers d’entreprises

La directive (UE) 2022/2555, dite NIS2, élargit massivement le périmètre de son aînée : 18 secteurs couverts, des « entités essentielles » et « importantes » qui se comptent en dizaines de milliers rien qu’en France (énergie, transports, santé, eau, numérique, administration, espace, agroalimentaire, déchets...). Beaucoup d’ETI et de PME y entrent sans le savoir encore.

Deux points concernent directement le sujet de ce site :

  • La sécurité de la chaîne d’approvisionnement (article 21) : les mesures de gestion des risques doivent couvrir vos fournisseurs et prestataires, cloud compris. « C’est notre hébergeur, pas nous » cesse d’être une réponse recevable.
  • La responsabilité des dirigeants: les organes de direction approuvent les mesures et peuvent répondre des manquements, avec des sanctions pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles.

La transposition nationale a pris du retard dans plusieurs États membres, mais le sens de l’histoire est sans ambiguïté : il faut un inventaire de ses dépendances numériques, tenu à jour, opposable.

DORA : le secteur financier passe le premier

Le règlement (UE) 2022/2554 sur la résilience opérationnelle numérique s’applique depuis le 17 janvier 2025 à la quasi-totalité du secteur financier européen (banques, assurances, sociétés de gestion, prestataires crypto...). Règlement, donc d’application directe : pas de transposition, pas de délai national. Ses exigences préfigurent ce qui attend les autres secteurs :

  • Le registre des prestataires TIC : chaque entité tient un registre complet de ses fournisseurs informatiques, fonctions critiques identifiées, remis au régulateur.
  • Les clauses contractuelles obligatoires : audit, accès, localisation des données, conditions de résiliation.
  • La stratégie de sortie : pour les fonctions critiques, une stratégie de réversibilité documentée et testable. Pouvoir partir n’est plus un vœu, c’est une exigence réglementaire.
  • La surveillance des prestataires critiques : les autorités européennes de supervision peuvent superviser directement les fournisseurs TIC désignés critiques pour le secteur, mécanisme taillé pour les grands clouds dont dépend la place financière.

La grille de lecture, en quatre questions

  1. Mes données exigent-elles l’immunité juridique ? Si vous traitez du sensible (santé, public, stratégique), la réponse oriente vers SecNumCloud. Sinon, un fournisseur européen sérieux suffit souvent.
  2. Suis-je dans le périmètre NIS2 ou DORA ? Vérifiez sérieusement : le périmètre NIS2 surprend. Si oui, votre registre de dépendances est le premier livrable.
  3. Que dit l’inventaire réel ? Pas l’architecture sur les slides : la réalité observable. Qui sert votre site, vos sous-domaines, vos emails, vos DNS. Notre audit donne cette photographie en une minute, preuves à l’appui.
  4. Ma stratégie de sortie est-elle réaliste ? Formats ouverts, API compatibles (le stockage objet compatible S3 chez OVHcloud ou Scaleway simplifie une migration), coûts de sortie, dépendances aux services propriétaires.

Ce qu’il faut retenir

SecNumCloud dit « voici le niveau d’exigence maximal disponible », NIS2 dit « vous êtes responsable de vos fournisseurs », DORA dit « prouvez que vous pouvez partir ». Les trois convergent vers la même discipline : connaître ses dépendances, les choisir en conscience, documenter la réversibilité. Le premier pas tient en une phrase : commencez par mesurer ce dont vous dépendez réellement.

Et votre site, il dépend de qui ?

Hébergement, CDN, polices, emails, DNS : l’audit photographie vos dépendances en une minute.

Analyser un site

À lire ensuite

AnalyseL’empreinte invisible des géants américains sur le web européenLireDécryptageCloud Act, FISA 702 : pourquoi héberger en Europe ne suffit pasLire