Cloud souverain : ce que SecNumCloud change vraiment pour les DSI

SecNumCloud est souvent présenté comme la réponse française au problème de dépendance au cloud américain. C'est vrai — mais insuffisant comme lecture. La qualification ANSSI impose des contraintes techniques et juridiques qui redessinent l'architecture des systèmes d'information.

Première contrainte fondamentale : l'immunité extraterritoriale. Un prestataire qualifié SecNumCloud doit être contrôlé par des capitaux européens et ne peut être soumis à des lois de pays tiers permettant un accès aux données sans consentement. Cela exclut de facto les filiales européennes des hyperscalers américains — AWS, Azure, GCP — quelle que soit leur localisation physique.

Deuxième contrainte : le périmètre fonctionnel. L'offre SecNumCloud couvre aujourd'hui principalement l'IaaS et le PaaS de base. Pour les briques applicatives (collaboration, analytics, IA générative), l'offre qualifiée reste limitée. Les DSI doivent donc composer : cloud souverain pour les données critiques et sensibles, cloud standard pour les usages non sensibles — ce qui implique une cartographie précise des données avant toute décision d'architecture.

Troisième contrainte : coût et maturité. Les prestataires qualifiés — OVHcloud, Outscale (Dassault Systèmes), S3NS (Thales × Google), Bleu (Orange × Capgemini × Microsoft) — affichent des niveaux de service et une profondeur de catalogue qui ne sont pas encore comparables aux hyperscalers sur tous les segments. La décision doit être fondée sur une analyse de risque documentée, pas sur une posture défensive.