Cloud
SecNumCloud : quand l’État demande l’impossible aux PME du cloud
Par Laurent Delattre, publié le 28 octobre 2025
En théorie, le label SecNumCloud incarne l’élite de la cybersécurité française. Dans la pratique, il agit surtout comme un frein à l’innovation, inadapté pour 95 % des éditeurs tricolores. Résultat : les géants américains continuent de régner, pendant que les PME du cloud souverain se battent pour exister.
Par Bertrand Servary, fondateur de NetExplorer
Cela pourrait prêter à sourire si ce n’était pas si grave. Depuis plusieurs années, on martèle aux entreprises et aux collectivités qu’il faut reprendre le contrôle de leurs données. Qu’il faut privilégier des solutions locales, sécurisées, conformes.
Mais dès qu’une entreprise s’engage dans cette voie, on lui oppose un mur réglementaire, sans se soucier de savoir si ce mur est franchissable, ni même utile pour tous.
Une exigence sans marché
SecNumCloud est un référentiel de l’ANSSI qui vise l’excellence en matière de sécurité. Sur le principe, c’est difficilement critiquable. Sur le terrain, c’est une autre affaire :
– Un processus de qualification allant de 18 à 24 mois,
– Plusieurs centaines de milliers d’euros d’investissement,
– Des contraintes qui imposent jusqu’à deux ordinateurs par collaborateur pour certaines tâches,
– L’impossibilité de réaliser des mises à jour fréquentes, alors que le SaaS repose sur l’agilité…
Tout cela pour viser un marché qui actuellement… n’existe pas. Les collectivités locales, les hôpitaux, les organismes publics ? Aucun n’a réellement les moyens (ni l’obligation formelle) d’y passer. Et quand on leur demande, ils répondent : “Ce serait bien, mais on n’a pas le budget.”
Une stratégie contre-productive
Pire encore : en imposant une telle norme comme référentiel “idéaliste”, l’État empêche l’émergence de solutions intermédiaires. Des solutions pourtant conformes au RGPD, hébergées en France, certifiées ISO, robustes, performantes… mais pas estampillées SecNumCloud. Ce nivellement par le haut, sans moyens pour le suivre, a un effet direct. Non seulement il renforce la position des acteurs américains, qui continuent d’être choisis par défaut, mais il épuise aussi les PME françaises, qui doivent consacrer leurs ressources à cocher des cases au lieu d’innover.
Un exemple frappant d’injonction contradictoire
On parle de souveraineté, de réindustrialisation, d’autonomie stratégique. Mais dans les appels d’offres, aucun bonus n’est accordé au fait d’être français. La commande publique reste ouverte à tous, sans distinction. Et dans le même temps, on impose aux entreprises locales des contraintes plus lourdes que celles supportées par Microsoft ou Google. Bref : on joue une compétition mondiale avec des règles qui ne s’appliquent qu’à nous. Bilan ? On perd, inévitablement.
Soyons clairs : la sécurité est une nécessité. Mais si nous voulons réellement bâtir une souveraineté numérique crédible et inclusive, il est urgent de sortir d’une approche unique et rigide. Tout le monde n’a pas besoin du coffre-fort de l’armée pour héberger les comptes-rendus du conseil municipal ! A force d’imposer un standard inatteignable pour 95 % des éditeurs français, on condamne à l’immobilisme ceux qui pourraient pourtant jouer un rôle essentiel dans la transition numérique.
Davantage de nuance, et une souveraineté pragmatique
Je suis convaincu que vouloir imposer un seul modèle, très exigeant, mais superflu pour la majorité, revient à organiser l’échec collectif. Il est temps de remettre un peu de pragmatisme dans notre ambition souveraine ! Aujourd’hui, beaucoup de DSI et de dirigeants peinent à savoir si le label SecNumCloud est réellement adapté à leur cas d’usage, ou s’il existe d’autres voies pertinentes. Un meilleur accompagnement, davantage de pédagogie et de soutien de la part des pouvoirs publics pourrait les aider à faire le bon choix , et soutenir un écosystème souverain plus large, entre le “tout GAFAM” et le “tout SecNumCloud”.
Reconnaître que la diversité des besoins appelle une diversité de réponses. Et donner des repères, offrir des choix adaptés, construire une trajectoire réaliste. C’est ainsi que la France pourra enfin soutenir un tissu d’éditeurs souverains, performants et crédibles.
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
