Technique

Comment héberger une infrastructure SecNumCloud en datacenter

Le référentiel SecNumCloud 3.2 de l'ANSSI impose des exigences précises au datacenter qui héberge un service cloud qualifié : sécurité physique, localisation dans l'UE, maîtrise des tiers, immunité aux lois extraterritoriales. Ce que les prestataires IaaS, PaaS et SaaS doivent vérifier avant de choisir leur site de colocation, et comment les six datacenters DC2SCALE y répondent.

Comment héberger une infrastructure SecNumCloud en datacenter

La qualification SecNumCloud, délivrée par l'ANSSI, s'applique aux services cloud : IaaS, PaaS, CaaS et SaaS. Elle ne s'applique pas aux datacenters. La FAQ officielle de l'ANSSI le formule sans ambiguïté : SecNumCloud « vient reconnaître une offre de cloud spécifique et non pas un fournisseur de cloud, ni une infrastructure ».

Le choix du site d'hébergement pèse pourtant directement sur la qualification. Lors de l'évaluation menée par un centre conventionné par l'ANSSI, la sécurité physique du centre d'hébergement est auditée, même lorsque le datacenter appartient à un tiers. Pour un prestataire cloud en cours de qualification, un site de colocation mal préparé se traduit par des écarts d'audit et des mois de retard. Voici ce que le référentiel exige concrètement du datacenter, et comment choisir son site en conséquence.

Ce que le référentiel SecNumCloud 3.2 exige du datacenter

Le référentiel en vigueur est la version 3.2, publiée le 8 mars 2022. Quatre familles d'exigences concernent directement le site d'hébergement physique.

Sécurité physique et environnementale (chapitre 11)

Le site doit être découpé en zones distinctes (publiques, privées, sensibles), avec un contrôle d'accès nominatif et tracé à chaque périmètre. S'y ajoutent la protection contre les menaces extérieures et environnementales (incendie, dégât des eaux, coupure électrique), des zones de livraison isolées des salles d'hébergement, la sécurité du câblage, l'encadrement de la maintenance, la traçabilité des sorties d'actifs et le recyclage sécurisé des supports.

Localisation dans l'Union européenne (articles 19.2 et 19.3)

Les données des commanditaires, leurs sauvegardes, les annuaires et les données techniques doivent être stockés et traités dans l'UE. L'administration et la supervision du service doivent également être réalisées depuis l'UE. Un datacenter situé en France satisfait cette exigence par construction.

Protection contre les droits extra-européens (article 19.6)

Le prestataire qualifié doit démontrer son immunité face aux législations extraterritoriales comme le CLOUD Act ou FISA 702 : siège social dans l'UE, capital extra-européen minoritaire, encadrement du recours à des sociétés hors UE. Cette exigence rejaillit sur les sous-traitants critiques. Un colocateur détenu par des capitaux non européens fragilise le dossier de qualification de ses clients.

Maîtrise des tiers (chapitre 15)

Le colocateur est un tiers au sens du référentiel : il doit être identifié, lié par des accords de sécurité précis, et ses prestations doivent être surveillées et revues régulièrement. Les intervenants tiers sont soumis aux mêmes vérifications que le personnel du prestataire, ou accompagnés pendant leurs interventions (chapitre 7). Dernier point, structurant pour les architectures multi-sites : chaque site secondaire doit offrir le même niveau de sécurité que le site principal.

Sept points à vérifier avant de signer votre contrat de colocation

  1. Le périmètre du certificat ISO 27001 du colocateur. Le référentiel SecNumCloud est construit sur l'annexe A d'ISO 27001 : un colocateur certifié sur l'ensemble de ses sites réduit mécaniquement votre charge de preuve. Vérifiez le périmètre exact du certificat, pas seulement son existence.

  2. La localisation des sites, y compris de secours. Tous dans l'UE, idéalement en France pour adresser les marchés publics soumis à la doctrine « cloud au centre ».

  3. L'actionnariat du colocateur. Demandez la structure capitalistique documentée : c'est une pièce de votre dossier au titre de l'article 19.6.

  4. Le zonage et la traçabilité des accès. Badges nominatifs, journalisation des accès aux salles et aux baies, vidéosurveillance, gestion des visiteurs et des livraisons conformes au chapitre 11.

  5. Les clauses d'auditabilité. Votre centre d'évaluation devra accéder au site : le droit d'audit doit figurer au contrat, avec la notification d'incident et la réversibilité.

  6. Le processus de vérification du personnel. Qui entre dans les salles, et comment les intervenants externes sont contrôlés ou escortés.

  7. La continuité d'alimentation et de refroidissement. Redondance électrique, groupes électrogènes, et possibilité de répartir votre infrastructure sur plusieurs sites du même opérateur pour votre plan de reprise d'activité.

Héberger son infrastructure SecNumCloud chez DC2SCALE

DC2SCALE exploite six datacenters en France : PAR2, PAR3, PAR5 et PAR6 en région parisienne, MRS1 à Marseille et LIL1 à Lille. Les six sites sont couverts par la certification ISO 27001 du groupe, dont le capital est détenu à 100 % par des actionnaires français. Pour un prestataire cloud visant la qualification, ces deux éléments répondent directement aux points les plus discriminants du référentiel : un socle de sécurité audité et l'absence d'exposition capitalistique extra-européenne.

La répartition géographique permet de construire un plan de continuité dans le périmètre d'un seul opérateur : production en région parisienne, réplication à Marseille, au point d'atterrissement des câbles sous-marins vers l'Europe du Sud, le Moyen-Orient et l'Afrique, ou à Lille, avec des sites secondaires au même niveau de sécurité que le site principal, comme l'exige le référentiel.

Nos équipes fournissent aux clients en démarche de qualification la documentation de sécurité physique de chaque site et accueillent les audits menés par les centres d'évaluation conventionnés par l'ANSSI.

Questions fréquentes

Un datacenter peut-il être qualifié SecNumCloud ?

Non. La qualification s'applique aux services cloud (IaaS, PaaS, CaaS, SaaS), pas aux infrastructures. Un datacenter peut en revanche être audité dans le périmètre de qualification d'un prestataire cloud qu'il héberge.

Le datacenter doit-il être situé en France ?

Le référentiel impose l'Union européenne (article 19.2). En pratique, un hébergement en France simplifie l'accès aux marchés de l'État et des administrations, dont la doctrine « cloud au centre » impose SecNumCloud pour les données sensibles.

Combien de temps dure une qualification ?

Comptez 18 mois à 3 ans entre l'entrée en qualification (jalon J0) et l'obtention du Visa de sécurité, selon le périmètre. La qualification est valable 3 ans, avec des audits de surveillance annuels. Préparer le volet hébergement en amont est un des leviers les plus simples pour tenir le calendrier.

DC2SCALE
Colocation souveraine en France

Vous préparez une qualification SecNumCloud ?

Vous cherchez un site d'hébergement conforme aux exigences de sécurité physique du référentiel ? Parlons de votre périmètre d'audit et de votre déploiement à Paris, Marseille ou Lille.

Nous contacter
Configurer son offre