SecNumCloud : le plus haut niveau de sécurité français
Le plus haut niveau de sécurité cloud français, délivré par l'ANSSI. Wimi s'engage dans ce processus rigoureux pour garantir à ses clients une protection maximale de leurs données et une immunité totale face aux lois extraterritoriales. Obtention prévue T1 2026.
Qu'est-ce que SecNumCloud ?
En tant qu’autorité nationale en matière de sécurité et de défense des systèmes d’information, l’ANSSI accorde des Visas de sécurité ANSSI à des solutions, produits ou services qui démontrent un niveau élevé de sécurité et de confiance.
Dans le cadre de cette démarche, l’agence a élaboré en 2016 le référentiel SecNumCloud pour permettre la qualification de prestataires de services d’informatique en nuage, dit cloud.
Son objectif : promouvoir, enrichir et améliorer l’offre de prestataires de cloud à destination des entités publiques et privées souhaitant externaliser, auprès de prestataires de confiance, l’hébergement de leurs données, applications ou systèmes d’information.
Seules 3 offres sont qualifiées SecNumCloud sur l'ensemble du marché français. Wimi s'engage dans ce processus exigeant pour offrir à ses clients une suite collaborative souveraine et conforme aux plus hauts standards de sécurité (qualification prévue T1 2026).
Informations tirées du Référentiel SNC 3.2*
Contre quelles menaces la qualification SecNumCloud permet-elle de se prémunir ?
La qualification SecNumCloud répond à des objectifs de sécurité spécifiques face aux menaces. Elle offre un haut niveau de protection et permet de :
Protégez vos données stratégiques des accès non autorisés. Avec SecNumCloud, vos informations sensibles restent sous contrôle français, à l'abri des ingérences extérieures et des acteurs malveillants isolés.
Face à l'augmentation des ransomwares et attaques ciblées, sécurisez vos opérations quotidiennes. SecNumCloud impose des standards de protection renforcés contre les menaces évolutives du cybercrime organisé.
Évitez que vos données ne tombent sous juridiction étrangère. SecNumCloud garantit l'immunité face au Cloud Act et autres législations extraterritoriales compromettant votre souveraineté numérique.
Traitez vos informations confidentielles en toute conformité. SecNumCloud certifie que votre infrastructure répond aux exigences les plus strictes pour la manipulation de données à caractère sensible.
La qualification SecNumCloud vise à assurer la confiance en la résilience du service cloud qualifié face à une possible injonction d’un État non membre de l’UE qui s’appuierait sur l’extra-territorialité de son droit. Le processus de qualification évalue notamment les facteurs qui permettront au prestataire qualifié de résister à une injonction de ce type.
Il est à noter que la qualification SecNumCloud ne préjuge pas du niveau de sécurité d’un service numérique d’un client qui sera hébergé sur l’offre cloud qualifiée SecNumCloud (exemple : un site web hébergé sur une offre qualifiée SecNumCloud).
Source : Le référentiel SNC 3.2
Synthèse des 14 chapitres d’exigences du SecNumCloud 3.2
- Application du guide d'hygiène informatique de l'ANSSI niveau renforcé
- Documentation et mise en œuvre d'une politique de sécurité approuvée par la direction
- Appréciation des risques documentée couvrant l'ensemble du périmètre, incluant les risques liés au droit extra-européen
- Révision annuelle de la politique et de l'appréciation des risques
- Désignation d'un responsable de la sécurité des SI et d'un responsable de la sécurité physique
- Désignation d'un délégué à la protection des données pour le traitement de données à caractère personnel
- Identification et gestion des risques liés aux cumuls de responsabilités
- Vérifications des antécédents proportionnelles aux risques, renforcées pour les administrateurs à privilèges élevés
- Charte d'éthique signée par tous les intervenants
- Engagement de responsabilité pour les administrateurs d'infrastructure
- Plan de formation à la sécurité adapté aux missions
- Inventaire à jour des équipements et logiciels du service
- Identification des besoins de sécurité de l'information
- Procédure de gestion des supports amovibles
- Politique de contrôle d'accès documentée et révisée annuellement
- Comptes nominatifs pour les utilisateurs sous responsabilité du prestataire
- Authentification multifacteur forte pour l'accès aux interfaces d'administration
- Interfaces d'administration du prestataire non accessibles depuis un réseau public
- Cloisonnement approprié entre commanditaires
- Chiffrement des données stockées empêchant leur récupération lors de réallocation
- Chiffrement des flux réseau selon les règles et recommandations de l'ANSSI
- Stockage uniquement des empreintes de mots de passe avec fonction de hachage et sel cryptographique
- Protection des clés cryptographiques par conteneur de sécurité
- Utilisation exclusive de certificats issus d'autorités de certification de l'UE
- Distinction entre zones publiques, zones privées et zones sensibles
- Contrôle d'accès physique par au moins 1 facteur pour les zones privées, 2 facteurs pour les zones sensibles et journalisation et revue mensuelle des accès aux zones sensibles
- Protection contre les sinistres physiques et naturels
- Mesures de continuité électrique et climatique
- Procédures d'exploitation documentées et à jour
- Gestion des changements avec information aux commanditaires
- Séparation physique des environnements de développement et de production
- Mesures contre les codes malveillants
- Politique de sauvegarde quotidienne avec stockage à distance suffisante et journalisation des événements pendant au minimum 6 mois
- Synchronisation des horloges sur sources fiables
- Infrastructure d'analyse et de corrélation des événements
- Capacité d'inspection et de suppression des entrants et sortants de l'infrastructure
- Cartographie du système d'information à jour
- Cloisonnement des réseaux selon la sensibilité et la nature des flux
- Pare-feu applicatif pour les interfaces d'administration exposées sur réseau public
- Sondes de détection d'incidents de sécurité sur les interconnexions
- Règles de développement sécurisé documentées
- Procédure de contrôle et validation des changements en pré-production
- Environnement de développement sécurisé et protégé
- Tests de sécurité et de conformité pendant le développement
- Protection et anonymisation des données de test
- Liste exhaustive des tiers participants à jour
- Exigences de sécurité équivalentes dans les contrats avec les tiers
- Clauses d'audit dans les contrats avec les tiers
- Surveillance régulière des mesures mises en place par les tiers
- Procédure de réponse rapide et efficace aux incidents
- Communication sans délai aux commanditaires des incidents
- Documentation de toute violation de données à caractère personnel et notification à la CNIL si nécessaire
- Classification des incidents incluant les violations de données personnelles
- Processus d'amélioration continue
- Plan de continuité d'activité documenté et révisé annuellement
- Procédures de maintien et restauration du service
- Tests réguliers du plan de continuité
- Sauvegarde hors-ligne de la configuration de l'infrastructure
- Identification des exigences légales, réglementaires et contractuelles applicables
- Programme d'audit sur trois ans incluant au moins un audit PASSI qualifié par an
- Revue initiale indépendante avant la qualification
- Revue indépendante en cas de changement majeur
Convention de service
- Convention obligatoire avec chaque commanditaire définissant obligations, droits et responsabilités
- Application du droit d'un État membre de l'UE
- Clause de réversibilité pour récupération des données
- Clause de révision avec résiliation sans pénalité en cas de perte de qualification
Localisation des données
- Stockage et traitement des données au sein de l'Union Européenne
- Opérations d'administration et supervision depuis l'UE
- Support possible depuis hors UE avec mécanismes de contrôle documentés
Régionalisation
- Interfaces disponibles en français
- Support de premier niveau en français
Fin de contrat
- Effacement sécurisé de l'intégralité des données avec préavis de 21 jours
Protection des données à caractère personnel
- Justification du respect des principes de protection des données (finalités, traçabilité, minimisation, etc.)
- Respect des droits des personnes concernées
Protection vis-à-vis du droit extra-européen
- Siège statutaire établi dans l'UE
- Capital social et droits de vote limités pour entités hors UE (24% individuellement, 39% collectivement)
- Sociétés tierces hors UE ne doivent pas pouvoir accéder techniquement aux données
- Autonomie d'exploitation continue garantie
- Respect de la législation sur les droits fondamentaux de l'UE
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.
"Wimi est une solution parfaitement adaptée à la collaboration en mode projet. Sa simplicité de prise en main et la flexibilité offerte en fonction des usages nous ont convaincus. La Covid-19 et les périodes de télétravail n'ont fait qu'amplifier la nécessité d'avoir une telle solution pour maintenir les échanges et poursuivre nos projets."
"Wimi nous permet de centraliser notre processus de création et de planification de contenus. La plateforme nous apporte une vision claire et centralisée de notre production. Je le recommande sans hésiter aux équipes qui veulent gagner en agilité et optimiser leur processus de création de contenus."
"Wimi nous permet de faciliter la communication entre le staff et les joueurs, de fluidifier le partage des données et d’accélérer la planification de nos évènements sportifs. Le budget est aussi très attractif au regard du périmètre fonctionnel, riche et ergonome couvert par la solution."
"Wimi est un outil sécurisé et sécurisant qui répond clairement aux besoins d’une profession réglementée par le secret professionnel. Travailler sur nos dossiers depuis la plateforme est devenu une évidence pour nous. Nous sommes bluffés par la facilité avec laquelle nos clients et partenaires adoptent la solution."
Ressources cybersécurité et conformité
Vos questions sur SecNumCloud
Pourquoi SecNumCloud est-il important pour mon organisation ?
Si votre organisation manipule des données sensibles ou stratégiques, SecNumCloud vous offre plusieurs garanties essentielles :
Protection technique maximale : Les 360+ exigences SecNumCloud couvrent tous les aspects de la cybersécurité, du chiffrement à la détection d'intrusion en passant par la gestion des incidents.
Immunité juridique : Vos données sont protégées contre les lois extraterritoriales américaines (Cloud Act, Patriot Act). Aucun gouvernement étranger ne peut y accéder.
Conformité facilitée : SecNumCloud facilite grandement votre conformité à d'autres réglementations comme NIS2, le RGPD, ou les obligations OIV/OSE.Confiance renforcée : Pour vos clients, partenaires et autorités de tutelle, le label SecNumCloud est un gage de sérieux et de fiabilité.
Découvrir comment Wimi vous aide avec NIS2
Comment savoir si mon organisation a besoin de SecNumCloud ?
Vous êtes légalement concerné si :
- Opérateur d'Importance Vitale (OIV) ou de Services Essentiels (OSE)
- Soumis à la directive NIS2 dans un secteur critique
- Travaillez avec la défense, l'armement ou des données classifiées
- Administration publique manipulant des données sensibles
SecNumCloud est fortement recommandé si :
- Vous manipulez des données stratégiques (R&D, brevets, secrets industriels)
- Obligations de confidentialité strictes (santé, justice, finance)
- Vous souhaitez vous protéger des lois extraterritoriales
- La souveraineté de vos données est critique
En cas de doute, nos experts peuvent vous accompagner dans l'évaluation de vos besoins.
Quelle est la différence entre SecNumCloud et d'autres certifications comme ISO 27001 ?
ISO 27001 est une norme internationale générique de gestion de la sécurité de l'information.SecNumCloud va beaucoup plus loin :
- Référentiel spécifique au cloud avec 19 chapitres d'exigences techniques précises
- Protection juridique contre les lois extraterritoriales (capital européen obligatoire)
- Souveraineté totale : infrastructure, administration et données en France/UE
- Audits annuels obligatoires par des prestataires PASSI qualifiés
- Traçabilité complète et journalisation pendant 6 mois minimum
En résumé : ISO 27001 est une base solide, SecNumCloud est le sommet de l'exigence pour le cloud en Europe.
Mon organisation doit-elle obligatoirement utiliser SecNumCloud ?
C'est obligatoire pour :
- Opérateurs d'Importance Vitale (OIV) et de Services Essentiels (OSE)
- Administrations manipulant des données sensibles
- Organisations soumises à NIS2 dans des secteurs critiques
- Entreprises du secteur défense et armement
C'est fortement recommandé pour :
- Données stratégiques (R&D, brevets, secrets industriels)
- Obligations de confidentialité strictes (santé, justice, finance)
- Toute structure souhaitant se protéger des lois extraterritoriales
Même sans obligation légale, SecNumCloud est aujourd'hui la meilleure protection disponible pour vos données critiques.
Wimi est-il déjà qualifié SecNumCloud ?
Wimi est en cours de qualification SecNumCloud 3.2 avec finalisation prévue T1 2026. Notre infrastructure répond d'ores et déjà aux exigences du référentiel :
- Datacenters en France, conformes aux exigences de localisation SecNumCloud
- Chiffrement de bout en bout et clés sous contrôle client
- Authentification multi-facteurs obligatoire pour les accès sensibles
- Journalisation exhaustive et détection d'incidents en temps réel
- Audits de sécurité réguliers par prestataires qualifiés
Même avant l'obtention finale, Wimi offre déjà un niveau de sécurité conforme aux standards SecNumCloud.
Combien coûte une solution SecNumCloud ?
Les solutions SecNumCloud sont légèrement plus coûteuses que les clouds publics américains en raison du niveau d'exigence technique et des audits ANSSI. Cependant :
Coût réel : Les clouds publics facturent sécurité, conformité et support en options séparées
Protection juridique : Immunité totale contre les lois extraterritoriales = valeur inestimable
Conformité facilitée : Gain de temps et d'argent sur NIS2, RGPD, OIV/OSE
Risques évités : Le coût d'une fuite de données dépasse largement la différence de prix
Chez Wimi, nous proposons une tarification transparente et évolutive, adaptée à votre organisation.Découvrir nos tarifs
Que se passe-t-il en cas de réquisition judiciaire française ?
Le référentiel SecNumCloud protège contre les lois extraterritoriales (Cloud Act américain), mais reste soumis au droit français et européen. En cas de réquisition judiciaire légitime émanant d'une autorité française, Wimi peut être tenu de coopérer dans le cadre légal.
Cependant, contrairement aux clouds américains, aucune autorité étrangère ne peut exiger l'accès à vos données sans passer par les canaux d'entraide judiciaire internationale.
SecNumCloud garantit-il une disponibilité à 100% ?
Non. SecNumCloud impose des exigences strictes de continuité d'activité (PCA/PRA) et de résilience, mais ne garantit pas une disponibilité absolue.
Wimi s'engage sur une disponibilité de 99,5%, avec des mécanismes de sauvegarde automatique, redondance des datacenters et plans de reprise d'activité documentés conformément au chapitre 17 du référentiel SecNumCloud.
Puis-je migrer facilement vers Wimi depuis mon cloud actuel ?
Oui. Wimi propose un accompagnement complet pour sécuriser votre migration :
- Audit de votre infrastructure existante
- Plan de migration personnalisé avec zéro interruption de service
- Reprise de vos données avec chiffrement de bout en bout
- Formation de vos équipes aux bonnes pratiques SecNumCloud
- Support dédié pendant et après la migration
Nos experts vous accompagnent à chaque étape pour garantir une transition sans risque vers un cloud souverain.
Prêt à reprendre le contrôle de vos données ?
Wimi vous accompagne dans votre transition vers un cloud souverain et sécurisé. Nos experts analysent vos besoins et vous proposent une solution sur-mesure.