soc-manage.frRecevoir 3 devis →

CONFORMITÉ · SECNUMCLOUD

MDR SecNumCloud : SOC managés sur cloud qualifié ANSSI 3.2

11 fournisseurs · 7 excellents · 5 articles · 8 critères MDR

SecNumCloud est le référentiel d'exigences applicables aux prestataires de services cloud publié par l'ANSSI. La version 3.2 est la version qualifiante actuelle, après la 3.1 et avant la 4.0 en préparation. Le référentiel croise des exigences ISO 27001, ISO 27017, ISO 27018, l'arrêté ministériel de qualification, et des règles propres à l'ANSSI sur l'immunité aux lois extraterritoriales — notamment le Cloud Act américain (CLOUD Act, 2018) et la section 702 du FISA (FISA Amendments Act). L'enjeu n'est pas seulement technique : c'est une qualification d'État qui établit qu'un cloud échappe à la juridiction extra-UE même en cas d'injonction.

À mi-2026, le paysage des fournisseurs cloud qualifiés SecNumCloud reste restreint : OVHcloud (qualif historique), S3NS (joint-venture Google Cloud + Thales sister entity, en cours d'aboutissement), Numspot (JV Docaposte + Dassault Systèmes + Bouygues Telecom + Banque des Territoires, qualifié 2025), Cloud Temple (sister entity Intrinsec sous holding Dragonfly), Outscale (Dassault Systèmes, qualif historique). Le projet Bleu (Capgemini + Orange + Microsoft) a passé l'étape 1 SecNumCloud en avril 2025 et vise la qualification H1 2026, mais ne couvre que Azure + M365 core — pas les services MDR managés.

L'enjeu MDR sous SecNumCloud est double : (a) le client veut un MDR opéré depuis une infrastructure SecNumCloud (pour ne pas exposer les logs sensibles), et/ou (b) le client veut que son MDR soit compatible avec son cloud SecNumCloud (orchestration des outils déployés sur OVH/S3NS/Numspot, sans transit hors qualif). Côté ANSSI, la doctrine d'État pour les OIV, OSE santé et données sensibles pousse de plus en plus vers la qualification SecNumCloud — y compris pour la sous-traitance détection-réponse.

Le cadre juridique européen évolue parallèlement : le règlement (UE) 2024/2847 (Cyber Resilience Act) entrera en application progressive jusqu'en décembre 2027, et un schéma de certification européen (EUCS) est en préparation au sein de l'ENISA. Mais à mi-2026, SecNumCloud reste la référence française la plus stricte sur l'immunité Cloud Act, et la principale exigence à laquelle un acheteur public ou un OIV se réfère pour une externalisation cyber sensible. Pour un MDR, la difficulté réelle est qu'il n'existe pas de qualification « SecNumCloud MDR » à proprement parler — la qualif porte sur l'infrastructure cloud, pas sur le service de détection. La preuve attendue est donc indirecte : opérer depuis un cloud SecNumCloud qualifié, ou démontrer une compatibilité opérationnelle complète (orchestration sans transit hors qualif).

01 — PÉRIMÈTRE

Qui est concerné ?

Sont concernés les OIV au sens de la LPM, les OSE santé désignés par les ARS, les administrations centrales relevant de la circulaire « cloud au centre » (PM, juillet 2021), les opérateurs de services essentiels NIS2 traitant des données qualifiées sensibles (S/SD/CD), les acteurs souverains soumis à la doctrine d'État (énergie, défense, sécurité intérieure, recherche stratégique), et tout acteur privé qui veut maximiser son immunité face à des injonctions extra-UE (CLOUD Act, FISA section 702). Les acheteurs publics sont incités à exiger SecNumCloud via l'UGAP et les marchés publics SSI.

02 — TEXTE LÉGAL

Articles & exigences clés

Référentiel SecNumCloud v3.2 ch. 9.3

Immunité aux lois extraterritoriales

Le prestataire cloud doit démontrer que ni lui, ni sa maison-mère, ni ses sous-traitants ne sont soumis au droit extra-UE de manière à pouvoir être contraints de divulguer ou de transférer des données contre la volonté de l'utilisateur. Cible explicite : Cloud Act US (2018), FISA section 702, lois équivalentes.

Référentiel SecNumCloud v3.2 ch. 5-8

Exigences ISO 27001 / 27017 / 27018 renforcées

Système de management de la sécurité (ISO 27001), contrôles spécifiques au cloud (ISO 27017), protection des données personnelles dans le cloud (ISO 27018), gestion de la disponibilité, du chiffrement, des journaux et de l'audit.

Référentiel SecNumCloud v3.2 ch. 9.2

Capital et gouvernance UE

Capital majoritairement UE, siège social UE, opérations UE. Les bénéficiaires effectifs sont identifiés et soumis au droit UE. La doctrine ANSSI exclut en pratique tout actionnariat de contrôle hors UE.

Décret 2022-513 + circulaire « Cloud au centre »

Doctrine cloud de l'État français

Les administrations centrales doivent privilégier les solutions qualifiées SecNumCloud pour leurs SI sensibles. La circulaire du Premier ministre du 5 juillet 2021 fixe la trajectoire ; le décret 2022-513 du 8 avril 2022 précise les exigences.

Loi de programmation militaire (LPM)

OIV et données sensibles

Les OIV qui externalisent leur cyber doivent recourir à des prestataires qualifiés (PDIS, PRIS, PASSI LPM) et à des infrastructures cloud SecNumCloud lorsqu'elles traitent des données qualifiées « Diffusion Restreinte » ou supérieur.

03 — IMPLICATIONS MDR

Critères MDR qui découlent du référentiel

  1. 01Le MDR opère depuis un cloud SecNumCloud qualifié (OVHcloud, S3NS, Numspot, Cloud Temple, Outscale) OU démontre une compatibilité opérationnelle sans transit hors qualif
  2. 02Le capital du MDR est majoritairement UE, idéalement FR — sans contrôle hors UE qui rouvrirait l'exposition CLOUD Act
  3. 03Le MDR ne déploie pas de SaaS éditeur tiers hors-UE pour traiter les logs sensibles (un MDR qui pousse Sentinel/Splunk/Datadog hors-zone ne peut pas se prétendre SecNumCloud-compatible)
  4. 04Plateforme propriétaire souveraine OU stack 100 % éditeurs souverains (Sekoia.io, HarfangLab, Gatewatcher, Reveelium, Logpoint UE) — la stack d'orchestration est un point critique souvent oublié
  5. 05Capacité contractuelle d'engagement sur la localisation, la souveraineté et la non-divulgation aux autorités hors UE — clauses spécifiques attendues
  6. 06Compatibilité OVH SecNumCloud (le plus déployé en France) à minima — orchestration, intégration API, déploiement supervisé
  7. 07Aucune télémétrie EDR/XDR envoyée hors UE pour réentraînement IA, threat intel ou support — clause à exiger explicitement
  8. 08Plan de réversibilité incluant le rapatriement des données vers le client ou un autre prestataire SecNumCloud sans dépendance technique hors UE

04 — SÉLECTION (11)

Fournisseurs éligibles

Excellent· 7

E

Thales

Souverain FR· Meudon

SecNumCloud via S3NS (sister entity Thales/Google Cloud, qualif en cours d'aboutissement). Plateforme propriétaire Cybels (SIEM + sonde NDR qualifiée ANSSI) — stack souveraine de bout en bout possible. Quadruple qualification ANSSI (PASSI + PDIS + PRIS + SecNumCloud). Profil défense/OIV qui sait opérer en environnement DR/SD.

Force spécifique → Capacité d'opérer un MDR 100 % depuis une infrastructure SecNumCloud sans dépendance technique extra-UE.

E

Linkt

Souverain FR· Mont-Saint-Aignan

SOC souverain 6e Sens opéré 100 % FR via Groupe Altitude (familial indépendant). Stack 100 % éditeurs FR souverains (Sekoia.io + HarfangLab + Gatewatcher). Label France Cybersecurity confirmé. Sélectionné CANUT Lot 4 (établissements publics) en sole-source — preuve de compatibilité souverain assumée.

Force spécifique → Hébergement et opérations FR + stack 100 % FR — cas rare de bout-en-bout sans dépendance hors UE.

E

OWN.security

Souverain FR· Paris

Pure-player FR souverain, stack 100 % française (HarfangLab + Sekoia.io hébergés FR), 70+ experts, PASSI ANSSI vérifié. Opère le M-CERT (CSIRT national maritime). SOC + CERT structurellement intégrés. Modèle adapté aux OIV maritime/défense.

Force spécifique → Aucun éditeur hors UE dans la chaîne de détection — alignement strict avec la doctrine SecNumCloud sur les OIV.

E

Axians Cybersecurity

Souverain FR

Solar SOC variante Trust = 100 % souverain, datacenters Axians FR propres, EDR HarfangLab exclusif intégré. Marque cyber de VINCI Energies (capital FR coté), 3 SOC FR + 5 EU. NIS2-compliant (SaaS). Plateforme imposée Axians cloud — cohérence souverain assumée.

Force spécifique → Premier déploiement HarfangLab à grande échelle dans une offre MDR souveraine — preuve d'industrialisation.

E

Formind

Souverain FR· Issy-les-Moulineaux

Pure-player FR indépendant, PASSI + PASSI LPM + PRIS en cours. SOC & CERT 24/7 FR. Partenaire opérationnel Pack Cyber Docaposte (stack 100 % souveraine). Modèle BYO acceptant HarfangLab + Sekoia + Logpoint + Reveelium — capable d'opérer entièrement sur stack souveraine si le client l'exige.

Force spécifique → Capacité d'opérer sur un cloud SecNumCloud du client (OVH/S3NS) en BYO — souplesse rare.

E

Docaposte Cyber

Souverain FR· Ivry-sur-Seine

Filiale numérique La Poste, opère le Pack Cyber 100 % souverain (12 partenaires FR/UE). Capital public + ancrage Groupe La Poste = chaîne souveraine validée. Hébergement et opérations FR. Co-fondatrice de Numspot (SecNumCloud).

Force spécifique → Cumul opérateur Pack Cyber + co-fondatrice Numspot — capable d'aligner l'ensemble de la chaîne sur le référentiel SecNumCloud.

E

SYNETIS

Souverain FR· Paris

Pure-player FR 100 % indépendant (capital 100 % co-fondateurs FR). PASSI haut LPM (oct 2025) + PRIS CERT en cours. SOC dédié Rennes 24/7 « no offshore outsourcing » revendiqué. Modèle MSSP best-of-breed BYO multi-plateforme — orchestre typiquement Sekoia.io hébergé OVH SecNumCloud FR.

Force spécifique → Combinaison rare : capital 100 % FR + PASSI LPM + opérations 100 % FR sans astreinte hors zone — profil compatible OIV strict.

Bon· 4

B

Advens

Souverain FR· Lille

Triple ANSSI + SOC FR 24/7 + capital majoritairement FR (fondateur + management + salariés + fonds FR). Hébergement data centres européens (précis à confirmer pour SecNumCloud strict). Plateforme mySOC orchestre stacks souveraines (HarfangLab, Gatewatcher) si le client l'exige.

Force spécifique → Capacité d'opérer 100 % souverain en option — le client choisit la stack au démarrage.

B

Intrinsec

Souverain FR· Courbevoie

PASSI LPM + PRIS Élevé + PACS. Sister entity Cloud Temple sous holding Dragonfly = SecNumCloud qualifié candidat naturel pour l'hébergement du Full Outsourced SOC. À valider en RFP : la chaîne effective Intrinsec → Cloud Temple n'est pas publiquement confirmée mais cohérente structurellement.

Force spécifique → Adossement Neurones coté + lien structurel Cloud Temple SecNumCloud — chaîne souveraine activable contractuellement.

B

ITrust

Souverain FR· Labège

Éditeur FR de Reveelium (SIEM/UEBA/XDR/SOAR) + IKare. Filiale Iliad/Free Pro. PASSI 5 portées valide jusqu'au 20/01/2028. Modèle hybride (On-Premise / SaaS / MSSP). Stack 100 % FR pour le SIEM/XDR central, BYO sur l'EDR.

Force spécifique → Éditeur indépendant FR avec SOC en propre + 3 modes de déploiement — adapté à un OIV qui veut on-premise sous SecNumCloud.

B

Hexanet

Souverain FR· Reims

MSP régional Grand Est, MDR souverain bout-en-bout sur HarfangLab + Sekoia + Logpoint, datacenter propre ISO 27001 + HDS. Analystes salariés FR, GTI 2h. PASSI annoncée « en cours » persistant — à clarifier.

Force spécifique → Souveraineté assumée bout-en-bout sur stack 100 % FR — alignement de fait avec la doctrine SecNumCloud, même sans la qualif formelle.

05 — EXCLUSIONS

Non recommandés pour ce référentiel

Sont exclus structurellement de la sélection SecNumCloud : (1) tous les MDR non-souverains (CrowdStrike, SentinelOne, Sophos, Microsoft Defender Experts, Palo Alto Unit 42, Arctic Wolf, Bitdefender, Integrity360) — par construction, le CLOUD Act et la FISA s'appliquent ; (2) Eviden, APIXIT et CGI France à cause du tier non-souverain (créanciers internationaux, Bechtle DE, CGI Canada) ; (3) Stoik et Dattak imposent des EDR US (CrowdStrike, SentinelOne, Defender) ce qui réintroduit l'exposition extra-UE et disqualifie pour SecNumCloud strict ; (4) les MDR FR souverains qui s'appuient majoritairement sur Microsoft Sentinel/Defender pour la détection (Capgemini par défaut, Metsys, Dataxium, SNS Security, Almond sur certaines piles, BLUE) — la stack technologique non-souveraine compromet le SecNumCloud strict, même si l'opérateur est FR. À noter : la majorité de ces acteurs peuvent opérer en BYO sur une stack souveraine si le client l'exige ; la qualification dépend alors de l'architecture choisie en RFP, pas du fournisseur en absolu.

06 — RFP

Questions à poser au fournisseur

  • Opérez-vous depuis un cloud SecNumCloud qualifié ? Lequel (OVHcloud, S3NS, Numspot, Cloud Temple, Outscale) ? Numéro de qualif ?
  • Si non, êtes-vous compatible avec un cloud SecNumCloud du client ? Quel cloud ? Quel niveau d'intégration (API, déploiement, supervision) ?
  • Quels sont les éditeurs tiers que vous utilisez pour la détection (SIEM, EDR, XDR, SOAR) ? Capital, juridiction, hébergement de leur SaaS ?
  • Vos télémétries (logs EDR, événements SIEM) sont-elles traitées exclusivement en UE ? Y a-t-il transmission hors UE pour réentraînement IA, threat intel, support ?
  • Vos sous-traitants (support, analystes, rotation mondiale, threat intel) sont-ils tous UE ? Avez-vous une liste auditable ?
  • Quelles clauses contractuelles spécifiques acceptez-vous (localisation stricte, refus injonction extra-UE, audit ANSSI conjoint) ?
  • Quel est votre plan de réversibilité ? Format d'export, durée, capacité à transférer vers un autre prestataire SecNumCloud ?
  • Êtes-vous référencé UGAP / centrale d'achat publique avec mention SecNumCloud ? Avez-vous des références OIV publiques ?

07 — À RETENIR

Conclusion

SecNumCloud reste à mi-2026 la barrière la plus stricte du marché français en matière de souveraineté cyber. Le paysage MDR-SecNumCloud se concentre sur trois profils : (1) Thales, seul ANSSI-complet avec SecNumCloud direct via S3NS et plateforme propriétaire — la référence OIV/défense ; (2) les pure-players FR souverains opérant sur stack 100 % FR (OWN.security, Linkt, Synetis, Axians, Formind), qui démontrent une compatibilité opérationnelle SecNumCloud forte même sans qualif directe ; (3) les acteurs adossés à un cloud souverain (Docaposte Cyber via Numspot, Intrinsec via Cloud Temple) qui activent contractuellement la chaîne. Notre recommandation pratique : pour un OIV ou une administration sensible, partez d'une exigence SecNumCloud structurante en RFP — exiger soit l'opération depuis un cloud qualifié, soit la compatibilité auditée. Pour un acteur privé qui cherche à se prémunir du CLOUD Act sans contrainte LPM, une stack souveraine FR sur OVH SecNumCloud orchestrée par un pure-player FR offre le meilleur ratio coût/protection. Le mauvais réflexe : croire qu'un capital FR suffit. Sans contrôle de la chaîne technique (éditeurs, hébergement, support), la qualification reste hors d'atteinte.

MDR conforme SecNumCloud : trouver le bon fournisseur

On vous met en relation avec 3 fournisseurs vraiment éligibles SecNumCloud (pas juste « compatible » sur le papier). Réponse sous 24h ouvrées, indépendant, gratuit.

Recevoir 3 propositions adaptées