Cloud
S3NS obtient la certification SecNumCloud : voilà qui va relancer les débats
Par Laurent Delattre, publié le 05 janvier 2026
2026 démarre avec un signal fort : le cloud de confiance peut se décliner sur des technologies américaines. S3NS a obtenu le Graal qui donne tout son sens à son offre et son existence : la stratégique certification SecNumCloud 3.2 de l’ANSSI. De quoi offrir de nouvelles opportunités aux DSI et reconfigurer leurs arbitrages entre souveraineté juridique, gouvernance opérationnelle et ambitions data/IA.
Le débat français sur la souveraineté numérique aborde 2026 avec une donnée nouvelle qui, l’air de rien, éclaire les débats sous un nouveau jour : S3NS, la filiale cloud de Thales adossée technologiquement à Google Cloud, annonce avoir obtenu la qualification SecNumCloud 3.2 de l’ANSSI pour PREMI3NS, son offre purement « Cloud de Confiance ».
Un jalon qui change la perception du compromis, longtemps considéré comme inévitable, entre richesse fonctionnelle « hyperscaler » et exigences juridiques/opérationnelles du « cloud de confiance ». Et qui promet d’animer encore un peu plus cette année les débats autour de l’autonomie numérique de l’Europe.
Petit retour aux origines…
L’entreprise S3NS est officiellement née en juin 2022, dans le prolongement du partenariat stratégique noué entre Thales et Google à l’automne 2021. Objectif : proposer aux institutions publiques françaises et aux entreprises une offre cloud répondant aux critères SecNumCloud, avec, au cœur de l’histoire, l’« immunité » vis-à-vis des législations non européennes à portée extraterritoriale. La structure est celle d’une société de droit français, entièrement contrôlée par Thales, mais s’appuyant sur une pile technologique issue de Google Cloud.
Ce positionnement s’inscrit dans la dynamique française du « cloud de confiance » : SecNumCloud (et son Visa de sécurité associé) sert de repère pour identifier des offres recommandées pour les données et traitements sensibles, au carrefour d’exigences techniques, opérationnelles et juridiques, dont la protection face aux lois extraterritoriales.
S3NS et Bleu mettent le cloud de confiance en tension
L’irruption de S3NS, mais aussi de Bleu (né d’un partenariat Capgemini-Orange-Microsoft), a cristallisé un débat à la fois industriel et doctrinal : une offre peut-elle être qualifiée « de confiance » – au sens de l’État – tout en reposant sur des technologies d’origine américaine ? 2025 a ainsi été marquée par un glissement des débats de la « souveraineté numérique » vers « l’autonomie technologique ».
Les critiques pointent un risque de dépendance stratégique (roadmaps, écosystèmes, formats, outillage), une souveraineté « par procuration », et une exposition potentielle à la géopolitique.
Les défenseurs de ces modèles hybrides mettent en avant l’encadrement SecNumCloud (gouvernance, opérations, administration, droit applicable), et le fait qu’ils adressent une attente très concrète des DSI : disposer d’un socle PaaS et data/IA comparable à celui des grands clouds publics, sans renoncer au cadre français de protection des actifs sensibles.
Si ces offres sont purement françaises, ce débat dépasse d’ailleurs l’hexagone. À l’échelle européenne, la discussion sur la certification cybersécurité du cloud (EUCS) a illustré des divergences persistantes entre approche « souveraineté/ localisation » et approche plus strictement technique, certains acteurs plaidant pour un schéma qui facilite l’accès des Big Tech au label européen. Et Google a signé des partenariats assez similaires pour des offres « nationales » notamment en Europe et en Espagne.
La bombe 2026 : S3NS qualifié SecNumCloud
S3NS a annoncé fin décembre que l’ANSSI lui a délivré le Graal du cloud de confiance autrement dit le Visa de sécurité SecNumCloud 3.2 pour l’ensemble de l’offre PREMI3NS, confirmant avoir ainsi franchi les 4 jalons J0 à J3 de la certification française. PREMI3NS c’est l’offre phare de S3NS. « Cette proposition inédite intègre les services IaaS et PaaS les plus avancés de Google Cloud, couvrant notamment la data et l’intelligence artificielle, tout en répondant aux critères de protection et de résilience les plus exigeants en France » explique l’éditeur.
Dans son communiqué, S3NS insiste sur le fait que cette qualification couvre directement ses offres IaaS, PaaS et CaaS et sur deux éléments très opérationnels, souvent décisifs dans l’analyse de risque des DSI :
– d’une part, l’exploitation et l’administration réalisées exclusivement par des collaborateurs S3NS dans des datacenters en France ;
– d’autre part, un mécanisme de « zone de quarantaine » pour réceptionner, analyser et valider les mises à jour Google avant passage en production.
« L’obtention du Visa de sécurité ANSSI pour la qualification SecNumCloud 3.2 marque l’aboutissement d’une collaboration unique entre deux leaders du cloud et de la cyber, et ouvre de nouvelles perspectives pour l’ensemble du marché français et européen. Ce cloud qualifié SecNumCloud 3.2 propose une offre de services équivalente à celle des clouds publics les plus avancés. PREMI3NS permettra ainsi à ses clients d’innover, d’optimiser, de se transformer en toute confiance et sécurité sur leurs périmètres sensibles » explique l’éditeur.
Bleu : où en est l’autre « cloud de confiance » ?
Côté Bleu (Capgemini/Orange, sur technologies Microsoft), le dossier avance également mais en est encore à un stade moins avancé. En novembre dernier, Bleu a annoncé la validation du jalon J1 par l’ANSSI dans son processus de qualification SecNumCloud 3.2. Dans le schéma SecNumCloud, ce jalon correspond à l’acceptation de la stratégie d’évaluation et ouvre la voie aux audits techniques et opérationnels qui sont désormais en cours. Du côté de l’ANSSI, l’opérateur figure bien parmi les acteurs « en cours de qualification », ce qui confirme la matérialité du parcours engagé.
Bleu rappelle viser une offre combinant Microsoft Azure et Microsoft 365 dans une infrastructure « cloud de confiance », avec un objectif afficher : offrir le meilleur de Microsoft Cloud tout en protégeant les données sensibles contre les lois non européennes à portée extraterritoriale.
La souveraineté cloud se recompose autour d’un nouveau centre de gravité
L’obtention de SecNumCloud par S3NS rehausse mécaniquement les standards de comparaison. Sur le fond rien ne change vraiment pour les DSI qui ne peuvent plus se limiter à arbitrer « conformité vs innovation », mais doivent focaliser leur attention sur les trajectoires : segmentation des workloads par criticité, adoption progressive des services PaaS (et data/IA) en environnement qualifié, et organisation d’une coexistence entre plusieurs clouds (publics non qualifiés, qualifiés SecNumCloud, et clouds internes) en fonction des contraintes métiers.
Reste que sur le marché français, cette certification SecNumCloud 3.2 de S3NS démontre que, oui, ces offres « hybrides » répondent effectivement aux critères du cloud de confiance. De quoi mettre sous pression l’écosystème numérique français. Les fournisseurs historiques qualifiés SecNumCloud se retrouvent face à un concurrent à l’offre technologique très étendue et souvent déjà maîtrisée par les équipes IT. Parallèlement, intégrateurs et éditeurs sont poussés à accélérer leurs portages, leurs catalogues managés et leurs garanties d’interopérabilité.
Dans le même temps, l’Europe renforce la supervision des fournisseurs critiques du secteur financier (DORA), ce qui contribue à déplacer le débat : la souveraineté n’est plus uniquement une question de droit applicable, mais aussi de résilience, de gouvernance, de concentration des risques et de dépendance opérationnelle.
Un paysage plus complexe
Reste une question encore sans réponse : quelle est la pérennité de ces offres S3NS et BLEU alors que les partenaires américains multiplient en parallèle d’autres initiatives « européennes ». Microsoft a achevé en février son dispositif « EU Data Boundary » et a lancé son « Microsoft Sovereign Cloud », son offre « Sovereign Private Cloud » et ses « Sovereing Landing Zones ».
Google Cloud, de son côté, a structuré une offre « Cloud en Europe’s Terms » avec les Local Controls, l’offre Google Cloud Air-Gapped et Sovereign Cloud.
AWS avance son approche « AWS European Sovereign Cloud » annoncée comme logiquement et opérationnellement séparée, avec une première région en Allemagne, dans le Brandebourg, dotée d’une gouvernance européenne dédiée. Cette proposition cible d’abord les besoins paneuropéens (résidence, autonomie opérationnelle), mais ne se confond pas avec une qualification SecNumCloud française.
Oracle, enfin, pousse son « EU Sovereign Cloud » : infrastructure annoncée comme isolée des régions commerciales, opérée au sein de l’UE pour répondre à des exigences européennes de souveraineté et de confidentialité. Là encore, l’alignement avec SecNumCloud n’est pas automatique et dépend des cadres nationaux visés.
Toutes ses offres complexifient le paysage et ne facilitent pas forcément la vie des DSI des entreprises européennes et le marché de S3NS et BLEU.
Reste que la qualification SecNumCloud de S3NS remet la pression à son principal concurrent et oblige Bleu à accélérer son tempo pour autant qu’il soit possible d’accélérer les jalons J2 et J3 de l’ANSSI. Surtout, cette validation introduit un point d’inflexion : la « souveraineté », contrairement à l’autonomie, peut aujourd’hui s’appuyer sur une pile technologique américaine. Mais elle ne clôt évidemment pas le débat français sur la dépendance technologique mais le réoriente sur des questions plus terre à terre d’architecture, de portefeuille applicatif, de trajectoire de migration, de réversibilité et de gouvernance multicloud.
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
