Rendre le cloud souverain apte aux informations sensibles de l'État

Architecte Cloud chez Bleu · Homologation DR sur SecNumCloud

Le sujet en deux phrases

L'homologation Diffusion Restreinte (DR) autorise le traitement d'informations sensibles de l'État. La rendre possible sur un cloud qualifié SecNumCloud (au lieu d'un système isolé on-premise) est un terrain quasi inexploré. C'est mon quotidien.

Diffusion Restreinte Infos sensibles II 901 SecNumCloud Cloud souverain qualifié ANSSI DR × SecNumCloud
À l'intersection : l'homologation Diffusion Restreinte sur un cloud qualifié. C'est mon quotidien.
Homologation DR SecNumCloud Diffusion Restreinte II 901 Cloud souverain Analyse de risques Chiffrement Microsoft 365 Sécurité & identité ANSSI

Parcours

  1. Aujourd'hui Bleu

    Architecte Solutions Cloud

    Avant-vente : aider les clients à répondre à leurs exigences de sécurité, de conformité et de souveraineté (SecNumCloud, Diffusion Restreinte).

  2. Avanade

    Modern Workplace Architect

    Architecture et présentation de solutions complexes pour de grands comptes.

  3. SoftwareONE

    Consultant Future Workplace

    Conseil et architecture autour du poste de travail moderne Microsoft.

  4. Microsoft

    Modern Workplace Consultant

    Conseil stratégique Microsoft 365 pour de grands comptes : collaboration, sécurité, identité.

Mon quotidien : DR × SecNumCloud

L’homologation Diffusion Restreinte (DR) autorise le traitement d’informations sensibles de l’État. Traditionnellement, ces environnements sont on-premise, maîtrisés de bout en bout, dans des locaux sécurisés.

Mon sujet : faire la même chose sur un environnement cloud qualifié SecNumCloud. C’est un territoire encore largement inexploré, avec très peu de retours d’expérience sur le marché, et c’est exactement ce qui le rend passionnant.

Adapter l’II 901 au cloud

L’Instruction Interministérielle 901 définit les exigences de protection des informations DR. Elle a été pensée pour des architectures classiques. Les appliquer à un environnement cloud demande de repenser chaque contrôle :

  • Quelles fonctions de sécurité activer selon l’architecture cible ?
  • Comment garantir le cloisonnement quand l’infrastructure est mutualisée ?
  • Où placer les points de chiffrement dans une chaîne qui traverse plusieurs couches de services ?

Chaque décision technique a des implications sur la conformité, et inversement.

L’analyse de risques

C’est le cœur du sujet. Identifier les menaces propres au cloud, évaluer les risques, et surtout définir les risques résiduels acceptables. Ce n’est pas théorique : chaque risque résiduel doit être argumenté, documenté et assumé. Le passage de l’on-premise au cloud change fondamentalement la surface d’attaque : des risques disparaissent, d’autres apparaissent, tout est à réévaluer.

Le dialogue, pas le dogme

Une homologation DR n’est pas un exercice en chambre : c’est un dialogue permanent avec les équipes sécurité, les architectes et les opérationnels. La clé, c’est de ne pas être dogmatique : expliquer pourquoi une mesure traditionnelle ne s’applique pas telle quelle, et proposer des alternatives qui offrent un niveau de protection équivalent.

Souveraineté numérique chez Bleu

Architecte Cloud chez Bleu, le cloud de confiance français porté par Capgemini et Orange. La mission : opérer les services Microsoft 365 dans un cadre souverain, conforme aux exigences SecNumCloud de l’ANSSI, centré sur la collaboration, la sécurité et la gestion des identités.

15 ans d’expertise Microsoft. Je travaille sur l’écosystème Office 365 / Microsoft 365 depuis 2011, spécialisé sur les sujets collaboratifs, sécurité et identité. Cette profondeur historique me donne une vision complète de l’écosystème, de ses forces comme de ses limites.

Ma façon de travailler

Je crois que la technologie doit servir la confiance. Construire des infrastructures souveraines et sécurisées n’est pas qu’un choix technique : c’est un engagement.

Mon approche : comprendre en profondeur avant de construire, partager les connaissances sans réserve, et garder une curiosité de débutant face aux nouveaux sujets. Cette soif d’apprendre ne s’éteint pas : chaque lacune est une opportunité, et finit toujours par enrichir mon travail.

On en parle ?

Souveraineté, SecNumCloud, homologation DR : si le sujet vous intéresse, écrivez-moi.

M'écrire sur LinkedIn

Articles

Homologation DR sur SecNumCloud - pourquoi c'est un challenge

7 avril 2026

Adapter les exigences de l'II 901 à un environnement cloud qualifié SecNumCloud, un exercice inédit et passionnant.

Le contexte

L’homologation Diffusion Restreinte (DR) permet de traiter des informations sensibles classifiées au sein d’un système d’information. Traditionnellement, ces environnements sont on-premise, maîtrisés de bout en bout, dans des locaux sécurisés.

Le challenge : faire la même chose sur un environnement cloud qualifié SecNumCloud. C’est un territoire relativement nouveau, avec peu de retours d’expérience sur le marché.

Pourquoi c’est complexe

Adapter l’II 901 au cloud

L’Instruction Interministérielle 901 définit les exigences de protection des informations DR. Elle a été pensée pour des architectures classiques. Appliquer ces exigences à un environnement cloud demande de repenser chaque contrôle :

  • Quelles features de sécurité activer selon l’architecture cible ?
  • Comment garantir le cloisonnement quand l’infrastructure est mutualisée ?
  • Où placer les points de chiffrement dans une chaîne qui traverse plusieurs couches de services ?

Chaque décision technique a des implications sur la conformité, et inversement.

L’analyse de risques

C’est le cœur du sujet. Il faut identifier les menaces spécifiques à un environnement cloud, évaluer les risques, et surtout définir les risques résiduels acceptables. Ce n’est pas un exercice théorique - chaque risque résiduel doit être argumenté, documenté et assumé.

Le passage du on-premise au cloud change fondamentalement la surface d’attaque. Des risques disparaissent, d’autres apparaissent. Il faut tout réévaluer.

Le dialogue avec les équipes sécurité

C’est peut-être l’aspect le plus intéressant. Une étude d’homologation DR, ce n’est pas un exercice en chambre. C’est un dialogue permanent avec les équipes sécurité, les architectes, les opérationnels.

La clé : ne pas être dogmatique. Les exigences sont strictes, mais leur mise en œuvre sur un environnement cloud demande de la créativité et du pragmatisme. Il faut savoir expliquer pourquoi une mesure traditionnelle ne s’applique pas telle quelle, et proposer des alternatives qui offrent un niveau de protection équivalent.

Ce qui rend le sujet passionnant

Pour quelqu’un qui aime apprendre, c’est un terrain de jeu idéal :

  • Pas de mode d’emploi - il faut construire la démarche en marchant
  • Transversalité - sécurité, architecture, réglementaire, opérationnel, tout se croise
  • Impact réel - les décisions prises ici protègent des informations qui comptent
  • Rareté - très peu de personnes ont cette expérience sur le marché

C’est exactement le type de sujet qui me fait avancer : complexe, exigeant, et avec un vrai impact.

Jimmy Marchetto