Défense & souveraineté 2026 : SecNumCloud devient le passage obligé

La doctrine française du « Cloud au centre », posée en 2021 et renforcée en mai 2023, est devenue un opérandi clair en 2026. Pour les administrations, les opérateurs d'importance vitale (OIV), les opérateurs de services essentiels (OSE), et les industriels de défense BITD (Base Industrielle et Technologique de Défense), tout traitement de données sensibles doit être hébergé sur un cloud qualifié SecNumCloud par l'ANSSI — ou sur un cloud sur site équivalent. La loi de programmation militaire (LPM) 2024-2030 a ancré cette exigence dans la durée.

Ce que change SecNumCloud en 2026

SecNumCloud est le visa de sécurité de plus haut niveau délivré par l'ANSSI pour les services cloud (IaaS, PaaS, SaaS). Pour être qualifié, un fournisseur doit prouver : siège européen (avec immunité aux lois extraterritoriales type CLOUD Act US), équipe technique localisée en France/UE, audit de sécurité poussé (ISO 27001, ANSSI), chaîne de sous-traitance maîtrisée. Les fournisseurs qualifiés début 2026 sont peu nombreux : Outscale (3DS), OVHcloud (sur certaines offres), Cloud Temple, Numspot, et S3NS (collaboration Thales-Google encore en attente de qualification finale).

Pour les industriels BITD (Thales, Safran, Naval Group, MBDA, Dassault Aviation, et leurs sous-traitants de rang 1 à 4), SecNumCloud est désormais une exigence contractuelle. Les marchés de la DGA contiennent des clauses qui imposent l'hébergement SecNumCloud des outils numériques utilisés sur le programme. Pour un sous-traitant de rang 3 qui livre une pièce mécanique avec ses plans en CAO, l'enjeu peut être : « pas de cloud Microsoft 365 standard pour les plans, c'est SecNumCloud ou rien ».

Le piège du Microsoft 365 / Google Workspace

La majorité des PME-ETI françaises utilisent Microsoft 365 ou Google Workspace pour leur productivité quotidienne. Ces deux solutions, bien qu'hébergées en partie en France ou en UE, ne sont pas qualifiées SecNumCloud — elles sont soumises au CLOUD Act et à l'extraterritorialité du droit américain. Pour un industriel BITD, cela signifie qu'aucun document classé ou simplement sensible (information non publique sur un programme militaire, données techniques sous accord de confidentialité) ne peut transiter par M365 ou Workspace.

La solution n'est pas de migrer toute la productivité vers SecNumCloud — l'offre Office en SecNumCloud reste limitée. La solution pratique adoptée par les industriels avancés : un schéma à deux niveaux. M365/Workspace pour la productivité non-sensible (administratif, RH, communication interne non classée). SecNumCloud pour les outils métier sensibles (PLM, CAO partagée, dossiers de réponse à appel d'offres, projets sous contrat DGA).

Trois pratiques qui structurent les industriels avancés

Le cloisonnement programmatique

Plutôt que de cloisonner par solution logicielle (M365 d'un côté, SecNumCloud de l'autre), les industriels avancés cloisonnent par programme. Chaque programme militaire (Rafale, Scorpion, Aster, Barracuda) a son environnement numérique dédié, avec ses droits d'accès, ses outils, sa frontière numérique. Un ingénieur travaille sur 2-3 programmes — il a 2-3 environnements distincts qui ne se parlent pas, sauf via des passerelles audit-trail.

Le bring-your-own-laptop interdit

Les industriels BITD interdisent l'usage de matériels personnels pour les programmes. Le poste de travail est fourni par l'entreprise, durci (BIOS verrouillé, port USB désactivé sauf besoin justifié, chiffrement BitLocker ou équivalent, MDM strict). Le télétravail sur matériel personnel via VPN n'est plus accepté — c'est matériel pro avec connexion souveraine, ou pas de télétravail sur les programmes sensibles.

L'habilitation tracée et la traçabilité décision

Pour les programmes classés (Confidentiel Défense, Secret Défense), les ingénieurs sont habilités personnellement par le HFDS du ministère des Armées. Cette habilitation est nominative, datée, attachée à un programme. Le SI doit pouvoir prouver qui a accédé à quoi, quand, dans quel contexte (PIA — Personnel d'Intervention Autorisé). Les outils PLM et de gestion documentaire doivent supporter ce niveau de traçabilité — peu de SaaS standards le font.

Le scénario 2027-2030

Trois évolutions cadreront la suite. D'abord, l'extension de SecNumCloud aux sous-traitants de rang 3-4 — la DGA pousse pour que la responsabilité descende dans la chaîne. Ensuite, l'EUCS (European Cybersecurity Certification Scheme for Cloud Services) qui crée un cadre européen équivalent : niveau « high+ » prévu pour 2027-2028, qui devrait s'aligner sur SecNumCloud. Enfin, l'IA classifiée — l'arrivée massive d'IA générative dans la conception (assistance ingénieur, dataset training) demande des modèles eux-mêmes hébergés en SecNumCloud, ce qui élimine de fait OpenAI, Anthropic standard, Google standard.

Pour une PME industrielle qui veut entrer ou rester dans la BITD, le programme 2026-2028 est lisible : (1) cartographier les données sensibles et les outils qui les traitent, (2) migrer vers une combinaison M365/Workspace + SecNumCloud cloisonnée par programme, (3) durcir les postes de travail et formaliser les habilitations, (4) tracer les accès et les décisions. C'est un investissement de 100-300 k€ sur 18-24 mois pour une PME de 50-100 salariés — mais c'est la condition d'accès au marché défense français.