# strubel-secnumcloud-anssi-linkedin-2026-01-06

## Veille

SecNumCloud ANSSI - qualification sécurité cloud, risques extraterritoriaux, offres hybrides

## Titre Article

SecNumCloud en (pas si) bref

## Date

2026-01-06

## URL

https://www.linkedin.com/pulse/secnumcloud-en-pas-si-bref-vincent-strubel-505ge/

## Keywords

SecNumCloud, ANSSI, qualification, cloud souverain, cybersécurité, CLOUD Act, extraterritorialité, données sensibles, offres hybrides, localisation données, RGPD

## Authors

Vincent Strubel

## Ton

Profil : Article LinkedIn pédagogique, registre expert et accessible, perspective autorité institutionnelle (directeur ANSSI).
Style : Ton didactique structuré avec FAQ intégrée. Organisation en sections thématiques claires couvrant définition, risques, limitations et questions fréquentes. Utilise des métaphores concrètes ("maison avec volets blindés mais porte fermée par un rideau"). Équilibre entre rigueur technique et vulgarisation. Clarification de malentendus persistants. Public cible : DSI, RSSI, décideurs IT, professionnels cloud.

## Pense-betes

- **Contexte** : Qualification SecNumCloud d'une offre "hybride" (techno US opérée par prestataire européen) a généré débats
- **Définition** : Qualification ANSSI attestant haut niveau sécurité pour usages sensibles État et entreprises françaises
- **Référentiel** : Plus de 1200 exigences vérifiées dans le processus d'évaluation
- **Risque extraterritorial** : Protection contre CLOUD Act et lois FISA américaines
- **Kill switch** : Prestataire européen ne peut être contraint de couper services pour sanctions/restrictions export
- **Exigences capitalistiques** : Siège social et capitalisation européens, inaccessibilité données aux sous-traitants non-UE
- **Limitation clé** : "SecNumCloud ne signifie pas l'absence de dépendance" - impossible de forker toute la stack depuis Linux
- **Localisation UE** : Obligatoire - soumet infrastructures au droit européen, facilite intervention CERT-FR
- **Cyberattaques** : Menace principale couverte par cloisonnement fort, administration isolée, chiffrement systématique
- **Risque humain** : Chapitre entier gestion RH pour qu'aucun employé ne puisse compromettre service sans détection
- **Souveraineté** : 3 enjeux (ne pas être victime facile, appliquer ses règles, liberté de choix) - SecNumCloud répond aux 2 premiers
- **Offres hybrides** : Satisfont exactement mêmes exigences que autres offres qualifiées
- **Métaphore** : Critères uniquement capitalistiques ou techniques = maison volets blindés + barreaux mais porte rideau

## RésuméDe400mots

Vincent Strubel, directeur général de l'ANSSI, publie sur LinkedIn un article de clarification suite aux débats générés par la qualification SecNumCloud d'une offre cloud "hybride" utilisant une technologie américaine opérée par un prestataire européen.

SecNumCloud est une qualification délivrée par l'ANSSI attestant qu'un service cloud présente un haut niveau de sécurité adapté aux usages sensibles de l'État et des entreprises françaises. Le processus d'évaluation vérifie plus de 1200 exigences couvrant les risques techniques, juridiques et organisationnels.

Concernant le droit extraterritorial, SecNumCloud garantit que les données ne sont pas soumises à des dispositions non-européennes contre lesquelles les clients n'auraient pas de recours. L'exigence d'un prestataire européen (siège social et capitalisation), l'inaccessibilité des données aux sous-traitants non-européens et l'autonomie d'exploitation protègent contre les injonctions du CLOUD Act ou des lois FISA américaines. Le scénario du "kill switch" est également couvert : un prestataire européen qualifié ne peut être contraint de couper ses services en raison de sanctions ou restrictions d'exportation.

Strubel reconnaît néanmoins une limitation importante : "SecNumCloud ne signifie pas l'absence de dépendance." Aucun acteur ne peut "forker et maintenir en autarcie toute la stack technologique du cloud, depuis le noyau Linux jusqu'à Openstack." Une coupure d'accès aux fournisseurs non-européens entraînerait une dégradation progressive de la sécurité.

La localisation des données au sein de l'Union européenne est obligatoire, soumettant les infrastructures physiques au droit européen et facilitant l'intervention du CERT-FR et autres services étatiques en cas d'incident.

Sur le plan technique, les cyberattaques constituent "la menace la plus tangible pesant sur les usages sensibles du cloud." Le référentiel impose un cloisonnement fort entre clients, une chaîne d'administration isolée, une gestion sécurisée des mises à jour et un chiffrement systématique des données. Le risque humain est couvert par un chapitre entier sur la gestion des ressources humaines.

En réponse aux questions fréquentes, Strubel précise que les offres hybrides satisfont exactement les mêmes exigences que les autres offres qualifiées. Il utilise une métaphore éclairante : avoir uniquement des critères capitalistiques ou uniquement des critères techniques reviendrait à avoir une maison "avec des volets blindés et des barreaux aux fenêtres, mais dont la porte serait fermée par un rideau."

SecNumCloud répond à deux des trois enjeux de souveraineté numérique (ne pas être victime facile, appliquer ses propres règles) mais ne crée pas de solutions technologiques alternatives. C'est un outil de cybersécurité formalisé, pas une politique industrielle.

## GrapheDeConnaissance

- Vincent Strubel —dirige→ ANSSI (ORGANISATION, 0.98)
- ANSSI —a_créé→ qualification SecNumCloud (CONCEPT, 0.98)
- SecNumCloud —mesure→ plus de 1 200 exigences vérifiées (MESURE, 0.95)
- SecNumCloud —résout→ risque extraterritorial (CLOUD Act, FISA) (CONCEPT, 0.95)
- siège social et capitalisation européens —fait_partie_de→ exigences SecNumCloud (CONCEPT, 0.93)
- localisation des données en UE —fait_partie_de→ exigences SecNumCloud (CONCEPT, 0.93)
- Vincent Strubel —affirme_que→ « SecNumCloud ne signifie pas l'absence de dépendance » (CITATION, 0.9)
- Vincent Strubel —affirme_que→ les offres hybrides satisfont exactement les mêmes exigences que les autres offres qualifiées (AFFIRMATION, 0.92)
- SecNumCloud —résout→ 2 des 3 enjeux de souveraineté numérique (CONCEPT, 0.88)
- localisation des données en UE —permet→ intervention du CERT-FR (CONCEPT, 0.85)

---
Canonical: https://www.thekb.eu/fr/fiches/strubel-secnumcloud-anssi-linkedin-2026-01-06/
