Glossaire : les termes clés de la souveraineté numérique

De SecNumCloud à GAIA-X, du CLOUD Act à NIS2 — les définitions opérationnelles pour décideurs et équipes techniques.

Glossaire : les termes clés de la souveraineté numérique

SecNumCloud : qualification délivrée par l'ANSSI aux prestataires de cloud répondant aux exigences de sécurité françaises. Elle garantit l'immunité contre les lois extraterritoriales de pays tiers (CLOUD Act notamment). Condition requise pour les OIV, les OSE et de nombreuses administrations.

CLOUD Act (2018) : loi américaine obligeant les entreprises technologiques américaines à fournir aux autorités US les données qu'elles détiennent, y compris stockées hors des États-Unis. S'applique aux filiales européennes de sociétés américaines — principal argument en faveur du cloud souverain européen.

GAIA-X : initiative européenne (2019) pour créer un espace de données de confiance fondé sur des règles de portabilité, d'interopérabilité et de transparence. Pas un prestataire cloud, mais un cadre de certification et de fédération. Les data spaces sectoriels (Catena-X automobile, EHR4CR santé) en sont l'expression la plus concrète.

NIS2 : directive européenne sur la sécurité des réseaux et des systèmes d'information (2022). Élargit le périmètre des entités soumises aux exigences de cybersécurité, renforce les obligations de notification d'incidents et de chaîne d'approvisionnement. Transposée en droit français via la loi de transposition.

Réversibilité / portabilité : capacité à récupérer ses données et à changer de prestataire sans perte ni coût prohibitif. Souvent absente des contrats cloud standard — à négocier contractuellement et à tester techniquement (formats ouverts, API documentée, export complet).

Zero Trust : modèle de sécurité fondé sur le principe "ne jamais faire confiance, toujours vérifier". Aucun utilisateur, appareil ou flux réseau n'est considéré comme fiable par défaut, même en interne. Implémentation typique : IAM renforcé (MFA, RBAC), microsegmentation réseau, inspection du trafic chiffré.

OIV / OSE : Opérateurs d'Importance Vitale / Opérateurs de Services Essentiels. Organisations désignées par l'État comme critiques pour le fonctionnement de la nation. Soumis à des obligations renforcées de sécurité (LPM, NIS2) et souvent tenus de recourir à des solutions qualifiées SecNumCloud.