Connexion Abonnez-vous
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

S3NS obtient la qualification SecNumCloud par l’ANSSI

First !

S3NS obtient la qualification SecNumCloud par l’ANSSI

C’est fait : la coentreprise S3NS, créée par Thales et Google, vient d’obtenir la qualification SecNumCloud 3.2 pour l’ensemble de son offre PREMI3NS, dédiée au cloud de confiance. Une étape marquante, que le concurrent Bleu devrait atteindre très bientôt aussi.

Le 19 décembre 2025 à 11h53

S3NS est une coentreprise créée en 2022 par Thales et Google. Son objectif est simple : proposer du cloud Google dans une offre « cloud de confiance » avec des arguments forts de souveraineté. La question de l’extraterritorialité revenait régulièrement sur la table : si S3NS utilise les technologies de Google, les produits proposés par la coentreprise seront-ils soumis au Cloud Act ?

La réponse vient d’arriver sous la forme d’une qualification SecNumCloud 3.2 par l’ANSSI. Une annonce majeure, qui fait de S3NS la première structure hybride de ce type à recevoir le précieux label, presque 18 mois après la validation du premier jalon du processus. Ce n’est pas une surprise puisque Vincent Strubel avait quasiment vendu la mèche en juin dernier lors d’une audition au Sénat.

« Nouvelles perspectives »

L’ANSSI a validé l’intégralité de la plateforme de l’offre PREMI3NS, dédiée au cloud de confiance. Celle-ci est disponible depuis plusieurs mois via un programme « early adopters ». Selon S3NS, une trentaine de clients l’utilisent déjà. Elle dit également accompagner des entreprises dans leur migration vers le « cloud de confiance », dont les assurances MGEN, Matmut et AGPM, ainsi que des sociétés comme le Club Med, Qonto ou même Thales elle-même. S3NS ajoute qu’EDF a choisi aussi ses services, mais la coentreprise n’est pas la seule : Bleu a également été sélectionnée.

Crédits : S3NS

L’arrivée de la qualification SecNumCloud est dans tous les cas une étape majeure, dûment célébrée par S3NS. « L’obtention du Visa de sécurité ANSSI pour la qualification SecNumCloud 3.2 marque l'aboutissement d'une collaboration unique entre deux leaders du cloud et de la cyber, et ouvre de nouvelles perspectives pour l’ensemble du marché français et européen. Ce cloud qualifié SecNumCloud 3.2 propose une offre de services équivalente à celle des clouds publics les plus avancés. PREMI3NS permettra ainsi à ses clients d’innover, d’optimiser, de se transformer en toute confiance et sécurité sur leurs périmètres sensibles. Le groupe Thales a d’ailleurs choisi S3NS pour son informatique interne et pour son ingénierie sensible », a déclaré Christophe Salomon, directeur général adjoint de Thales.

S3NS se retrouve ainsi dans une position unique (pour l'instant) : c’est la première coentreprise hybride de ce type à recevoir cette qualification. Celle-ci est lourde de sens, puisque parmi son millier de points de contrôle, l’imperméabilité à l’extraterritorialité des lois étrangères (au sens extra-européen) est un prérequis. Conséquence, l’ANSSI valide ce point pour PREMI3NS : l’offre n’est pas concernée par le Cloud Act, entre autres lois étrangères problématiques pour l’Europe. En outre, la qualification s’applique à l’ensemble du périmètre fonctionnel de l’offre, donc ses composantes IaaS (Infrastructure-as-a-Service), CaaS (Containers as a Service) et PaaS (Platform-as-a-Service).

S3NS rappelle fièrement que le « référentiel SecNumCloud est le standard le plus exigeant en Europe en matière de sécurité du cloud ». La version 3.2 du référentiel servait d’ailleurs de base au niveau High+ d’EUCS, la directive qui devait aboutir au classement des offres cloud par niveaux de sécurité. Cette version a été abandonnée, sous l’influence notamment de l’Allemagne, au grand dam de la France.

Une offre plus large en 2026

À l’Usine Digitale, plusieurs responsables ont confirmé un plan de bataille pour 2026, largement tourné vers l’ajout de fonctions. L’offre PREMI3NS propose en effet une bonne partie des services disponibles sur Google Cloud Platform, mais pas tous. Il manque en outre de nombreux produits liés à l’IA.

La coentreprise a ainsi déclaré à nos confrères qu’elle comptait doubler son catalogue de fonctions l’année prochaine. Vertex AI est décrit comme une priorité. Avec les mêmes capacités que sur GCP ? « Je ne peux pas encore vous dire si nous offrirons plus de 200 modèles de langage comme sur GCP public, mais nous en aurons beaucoup », a déclaré Cyprien Falque, directeur général de S3NS, à l’Usine Digitale. Devrait suivre tout ce qui touche aux agents et à la sécurité.

Les équipes, en revanche, ne grandiront pas beaucoup plus, a indiqué Hélène Bringer, présidente de S3NS. Elle a évoqué « quelques personnes de plus » pour compléter les 200 personnes actuellement employées par l’entreprise, qui a « vocation à rester agile et de petite taille ».

Vincent Strubel, directeur général de l'ANSSI, a réagi avec enthousiasme à la nouvelle. « Une qualification de l'ANSSI, ce n'est jamais une promenade de santé, mais là c'est plus vrai que jamais, vu l'ampleur du périmètre », a-t-il ajouté.

Il en a profité pour lancer une pique aux détracteurs : « Je ne doute pas que cela déclenchera des réactions passionnées, mais il est peu probable que les auteurs de ces réactions aient passé autant de temps que nous à tester votre solution sous tous les angles avant d'émettre leur avis péremptoire. Ce sera néanmoins utile dans les prochains mois de poursuivre l'effort de pédagogie pour expliquer que vous faites beaucoup, beaucoup plus que revendre en marque blanche la technologie d'un autre ».

Une question de souveraineté

De manière intéressante, le communiqué de S3NS cite la localisation française de ses centres de données, l’exigence de qualification SecNumCloud, ou encore l’intérêt croissant d’autres structures européennes pour ce type d’offre. Le mot « souveraineté » n’apparait pourtant nulle part, alors que le sujet est central et particulièrement actif depuis plusieurs mois. C’est d’autant plus le cas qu’un rapport salé de la Cour des comptes a mis en avant les défaillances françaises et un manque flagrant de cohérence.

Si la qualification SecNumCloud vient valider l’approche de S3NS (Bleu devrait suivre rapidement), sa complexité n’a pas changé. La structure hybride suppose en effet que les produits de Google sont acquis (Microsoft dans le cas de Bleu) sur une base de logiciels installés séparément des serveurs de Google. L’éditeur américain fournit le code, mais n’héberge rien. Ce qui signifie aussi un retard dans le déploiement des fonctions, car S3NS doit analyser toutes les mises à jour avant de les répercuter. La problématique est la même pour Bleu, comme l’entreprise nous l’avait expliqué en octobre dernier.

S3NS rejoint néanmoins une très courte liste d’acteurs français ayant obtenu une qualification SecNumCloud. Bleu devrait annoncer la sienne prochainement. L’entreprise a d’ailleurs annoncé il y a quelques jours que son « cloud de confiance » avait été choisi par Dassault Aviation.

Commentaires (9)

votre avatar
Déjà le fait de présence de Google ou Microsoft ou AWS doit faire capoter la certification mais non... on persiste et signe. Bah leur choix leurs conséquences j'ai envie de dire.
votre avatar
Secnumcloud ne veut pas dire 0 traces des américains sinon honnêtement on aurait personne à certifier, c'est une certification qui permet de garantir un niveau de protection des donnés
votre avatar
Que de milliards perdus pour les concurrents européens.
votre avatar
On fera quoi si les US ne livrent plus les montées de version ? Ca va devenir beaucoup moins sécurisé d'un coup
votre avatar
Que vaut-il mieux ?

utiliser Google directement et avoir des mises à jour mais être soumis au Cloud Act

ou bien

utiliser S3NS, risquer de ne pas avoir de mises à jour sur un coup de sang de Trump et ne pas être soumis au Cloud Act

C'est aussi probablement pour cela que, comme le dit l'article :
Le mot « souveraineté » n’apparait pourtant nulle part
La technologie mise à disposition est US et n'est donc pas souveraine.

L'alternative est difficile, la proposition de S3NS correspond au second choix.
votre avatar
Ce qui serait encore mieux est que l'on arrête cette auto flagellation et cet auto bashing en répétant en boucle que l'on ne sait pas faire sans les américains.

Des gens compétents, on en as plein en Europe et même en France. Des société compétentes aussi. Mais ces sociétés ont besoin de clients et de financeurs pour développer les offres qui manqueraient, si c'est vraiment le cas.

On ne peut pas se plaindre de ne pas avoir de solution suffisamment compétente avec des acteurs Français quand on passe systématiquement les marchés aux américains. Aux dernières nouvelles, les acteurs européens ne sont pas des structures caritatives: pas d'argent, pas de développement.
votre avatar
Conséquence, l’ANSSI valide ce point pour PREMI3NS : l’offre n’est pas concernée par le Cloud Act
C'est sûr ça ? Est-ce que ça implique que Google viole le Cloud Act du coup ?
votre avatar
L'ANSSI considère ce point comme acquit. Donc, oui, c'est vrai.

Google ne peut pas intervenir sur les données stockées chez S3NS puisqu'il n'a aucun pouvoir sur cette société. Il est juste fournisseur de logiciel.
votre avatar
Si S3NS peut regarder le code source de Google, est-ce qu'on serait pas en train de tranquillement leur siphoner leur technologie ?

On me rétorquera que comme c'est un système extrêmement complexe, on n'a pas vraiment la possibilité de les copier, mais d'un autre côté on a maintenant l'IA qui pourrait nous aider à dégrossir un peu tout ça.

Ça me fait penser à un Gemplus à l'envers, mais la comparaison s'arrête là. ^^'

S3NS obtient la qualification SecNumCloud par l’ANSSI

  • « Nouvelles perspectives »

  • Une offre plus large en 2026

  • Une question de souveraineté

Fermer