ISO 27001 suffit-il pour répondre à une exigence SecNumCloud ?

Non. ISO 27001 est une certification privée qui atteste de pratiques de gestion de la sécurité, mais elle n'a aucune valeur réglementaire pour les OIV ni pour le secteur public français. SecNumCloud est une qualification délivrée par l'ANSSI, autorité nationale de cybersécurité, et constitue le seul référentiel reconnu par l'État pour l'hébergement de données sensibles ou stratégiques.

Le RGPD seul est-il suffisant pour sécuriser l'IA d'une organisation ?

Non. Le RGPD encadre la protection des données personnelles mais ne protège pas contre les lois extraterritoriales comme le Cloud Act américain ou le NSL Act. Un fournisseur cloud soumis au droit américain peut être contraint de livrer des données aux autorités US, même si les serveurs sont en France. SecNumCloud impose une rupture juridique et technique totale avec toute entité soumise à une législation extraterritoriale.

Qu'est-ce qu'un OIV (Opérateur d'Importance Vitale) ?

Un OIV est une organisation dont la défaillance ou la compromission menacerait gravement la continuité de la nation. La liste exacte est classifiée mais elle comprend des acteurs des secteurs défense, énergie, transports, santé, télécommunications, alimentation, finances et eau. Les OIV sont soumis à des obligations renforcées issues de la Loi de Programmation Militaire (LPM) et doivent utiliser des prestataires de sécurité qualifiés par l'ANSSI.

Quel est le délai pour obtenir la qualification SecNumCloud ?

L'obtention de la qualification SecNumCloud pour un nouveau fournisseur cloud prend en général de 18 à 36 mois, après un audit approfondi mené par un prestataire PASSI qualifié par l'ANSSI. 3DS Outscale est l'un des seuls clouds français à disposer de cette qualification pour des ressources GPU, utilisables pour l'inférence IA. Souver s'appuie directement sur cette infrastructure qualifiée.

Qualification ANSSI · SecNumCloud 3.2

Assistant IA qualifié SecNumCloud par l'ANSSI

Souver est le seul assistant IA dont l'inférence GPU s'exécute sur l'infrastructure 3DS Outscale qualifiée SecNumCloud, répondant aux exigences des OIV, du secteur public et des secteurs régulés.

Publié le 10 mai 2026 · Mis à jour le 29 mai 2026 · Équipe Souver

En résumé : SecNumCloud est la qualification délivrée par l'ANSSI, seul référentiel reconnu par l'État français pour héberger des données sensibles. Elle exige une immunité totale aux lois extraterritoriales (Cloud Act, FISA), ce qu'ISO 27001, SOC 2 ou le RGPD ne garantissent pas. Souver fait tourner son inférence IA sur les GPU 3DS Outscale qualifiés SecNumCloud 3.2, la seule offre GPU souveraine qualifiée en France, utilisable par les OIV et le secteur public.

Planifier un appel DSI / RSSI En savoir plus

✓Qualification ANSSI SecNumCloud 3.2
✓GPU inférence 100 % sur sol français
✓Zéro dépendance à un cloud extraterritorial
✓Chaîne de confiance documentée ANSSI

Qu'est-ce que SecNumCloud ?

SecNumCloud est le référentiel de qualification des prestataires de services cloud publié par l'ANSSI (Agence nationale de la sécurité des systèmes d'information), autorité nationale française de cybersécurité. Il définit des exigences techniques et juridiques strictes pour garantir la souveraineté, la résilience et la confidentialité des données hébergées.

Qui l'exige ?

SecNumCloud est obligatoire ou fortement recommandé pour les Opérateurs d'Importance Vitale (OIV), les administrations d'État et les services publics numériques sensibles. La Loi de Programmation Militaire (LPM) et la doctrine Cloud de l'État imposent le recours à des solutions qualifiées pour le traitement de données sensibles ou critiques.

Pourquoi c'est le standard de souveraineté FR ?

Contrairement aux certifications ISO ou aux labels européens, SecNumCloud exige une immunité totale aux lois extraterritoriales (Cloud Act, FISA…). Le fournisseur qualifié ne peut pas être contraint par une juridiction étrangère de divulguer vos données. C'est la seule garantie juridiquement opposable reconnue par l'État français.

Pourquoi SecNumCloud pour l'IA ?

L'inférence IA crée des risques spécifiques que les certifications traditionnelles ne couvrent pas.

Les autres certifications ne suffisent pas pour l'inférence

ISO 27001, SOC 2 ou HDS attestent de processus de gestion de la sécurité. Aucun n'empêche un fournisseur cloud de droit américain d'accéder à vos prompts, résultats et données d'entraînement sur injonction des autorités US. Pour l'IA, le vecteur d'exposition est le modèle lui-même et l'infrastructure d'inférence.

Le RGPD seul ne protège pas du Cloud Act

Le RGPD s'applique aux données personnelles au sens strict. Il ne couvre pas les données stratégiques, les secrets industriels, les délibérations internes ni les raisonnements générés par l'IA. Un arrêt du gouvernement américain peut forcer n'importe quel hyperscaler US à transférer vos données, quelle que soit leur localisation physique.

La chaîne de confiance GPU est le maillon critique

L'IA repose sur des GPU massivement parallèles. Si l'infrastructure GPU n'est pas qualifiée, toute la promesse de souveraineté tombe. SecNumCloud sur GPU est aujourd'hui uniquement disponible chez 3DS Outscale en France, et c'est précisément l'infrastructure sur laquelle Souver opère.

Souver et SecNumCloud

Souver a été conçu pour répondre aux exigences des organisations les plus sensibles. Chaque composant de la chaîne de confiance est qualifié ou auditable.

Infrastructure GPU

3DS Outscale · SecNumCloud 3.2

Seul fournisseur cloud français qualifié ANSSI pour des ressources GPU dédiées à l'inférence IA. Datacenter localisé en France, personnel 100 % européen, aucune dépendance à un cloud extraterritorial.

Localisation des données

100 % France, 0 sortie UE

Prompts, résultats, logs d'inférence : tout reste sur le territoire français. Aucun transfert vers des clouds US, asiatiques ou hybrides.

Chaîne juridique

Immunité extraterritoriale complète

Ni Souver ni 3DS Outscale ne sont soumis au Cloud Act, FISA ou à toute loi extraterritoriale. La chaîne de confiance est 100 % française et documentée pour vos appels d'offres.

Mise en œuvre

À partir de 12 000 €/mois

Déploiement dédié ou mutualisé selon votre niveau de classification. SLA, documentation de sécurité et support inclus. Contrat adapté aux marchés publics.

Secteurs concernés

SecNumCloud s'impose dans tous les secteurs où la compromission d'un système d'information aurait un impact national ou réglementaire majeur.

OIV & secteur public
Ministères, collectivités, agences d'État, opérateurs d'importance vitale soumis à la LPM.
Défense & sécurité
BITD, industriels de défense, intégrateurs de systèmes critiques avec exigences DR et confidentialité.
Santé (HDS)
Hôpitaux, GHT, éditeurs de logiciels de santé : SecNumCloud renforce la certification HDS.
Finance (DORA)
Banques, assurances, PSP soumis à DORA : résilience opérationnelle et chaîne de confiance documentée.
Énergie & infrastructures
Opérateurs réseaux, acteurs de l'énergie avec obligations NIS2 et exigences ANSSI.

Questions fréquentes

ISO 27001 suffit-il pour répondre à une exigence SecNumCloud ?: Non. ISO 27001 est une certification privée sans valeur réglementaire pour les OIV ni pour le secteur public. SecNumCloud est une qualification délivrée par l'ANSSI, seul référentiel reconnu par l'État pour l'hébergement de données sensibles ou stratégiques.
Le RGPD seul est-il suffisant pour sécuriser l'IA de mon organisation ?: Non. Le RGPD encadre les données personnelles mais ne protège pas du Cloud Act américain. Un fournisseur soumis au droit US peut être contraint de livrer vos données aux autorités américaines, même si les serveurs sont en France. SecNumCloud impose une rupture juridique et technique totale avec tout acteur soumis à une législation extraterritoriale.
Qu'est-ce qu'un OIV (Opérateur d'Importance Vitale) ?: Un OIV est une organisation dont la défaillance menacerait la continuité de la nation. Les secteurs concernés incluent la défense, l'énergie, les transports, la santé, les télécommunications et la finance. Les OIV sont soumis à des obligations renforcées (LPM) et doivent utiliser des prestataires qualifiés ANSSI.
Quel est le délai pour obtenir la qualification SecNumCloud ?: De 18 à 36 mois, après audit par un PASSI qualifié. 3DS Outscale est l'un des seuls clouds français à disposer de la qualification pour des ressources GPU dédiées à l'inférence IA. Souver s'appuie directement sur cette infrastructure qualifiée, sans délai supplémentaire pour vous.

Sources

Votre prochain AO exige SecNumCloud ?

Discutons de vos contraintes réglementaires et de la façon dont Souver s'intègre dans votre architecture sécurité. Un appel de 30 min suffit pour évaluer l'adéquation.

Planifier un appel → cal.com/souver

Tarif à partir de 12 000 €/mois · Contrat adapté aux marchés publics · Documentation ANSSI fournie