Aller au contenu

CSPN et ANSSI Visa : cybersécurité française

Guide · CSPN et Visa de sécurité ANSSI

Cree en 2009 par décret, l'ANSSI (Agence nationale de la sécurité des systèmes d'information) est l'autorité française de cybersécurité, équivalente fonctionnelle du BSI allemand, du NCSC britannique ou de la branche cybersécurité du NIST. Au coeur de son action produit figure le Visa de sécurité, label transverse qui regroupe trois délivrables, la CSPN (Certification de Securite de Premier Niveau, depuis 2008), les certifications Critères Communs émises sous schéma français dans le cadre de SOG-IS et du nouveau règlement EUCC, et les Qualifications a trois niveaux (Élémentaire, Standard, Renforce). Ce guide expose la mécanique de chacun de ces outils, le rôle des laboratoires CESTI, l'articulation avec la Loi de Programmation Militaire pour les Operateurs d'Importance Vitale, et la place du dispositif français dans le paysage européen issu du Cyber Resilience Act et de la RED 3.3.

L'ANSSI a ete établie par le décret n. 2009-834 du 7 juillet 2009, sous l'autorité du Secretariat général de la défense et de la sécurité nationale (SGDSN). Sa mission couvre quatre axes principaux, la défense des systèmes d'information de l'Etat, l'assistance aux Operateurs d'Importance Vitale et aux administrations, la régulation par le RGS (Référentiel General de Securite) et les référentiels sectoriels, et la qualification de produits et de services de confiance.

Sur la chaine de la confiance numérique, l'ANSSI joue un rôle analogue a celui du Bundesamt für Sicherheit in der Informationstechnik (BSI) en Allemagne, du National Cyber Security Centre (NCSC) au Royaume-Uni, du National Institute of Standards and Technology (NIST) aux Etats-Unis pour la partie standards, ou de l'agence ENISA au niveau européen. La spécificité française tient a la combinaison de la régulation, de la qualification, et de l'opération de capacités étatiques au sein d'une seule entite.

L'agence n'execute pas elle-même les évaluations techniques. Pour cela elle s'appuie sur un réseau de laboratoires accredites, les CESTI (Centres d'Evaluation de la Securite des Technologies de l'Information), qui réalisent les essais sous le controle qualité du COFRAC et sous le pilotage méthodologique de l'ANSSI. L'agence delivre, refuse ou retire les certificats et qualifications.

Le terme Visa de sécurité n'est pas un schéma d'évaluation en soi, c'est le nom donne par l'ANSSI au regroupement public de ses délivrables. Trois familles distinctes y figurent.

FamilleType d'évaluationReconnaissance
CSPNPremier niveau, charge d'évaluation cadréeSchema national français
Certification CCCritères Communs ISO/IEC 15408, paquets EALInternational via SOG-IS et CCRA, transition vers EUCC
QualificationAdequation a un usage et a un niveau (Élémentaire, Standard, Renforce)Schema national français, integre aux référentiels réglementaires

Le Visa de sécurité remplit deux fonctions complementaires. Pour le marche, il atteste publiquement qu'un produit a fait l'objet d'une évaluation par l'autorité française. Pour le donneur d'ordre régulé, il fournit le critère de sélection objectif a inscrire dans un appel d'offres ou un cahier des charges, sans avoir a reproduire l'expertise technique en interne.

Le catalogue est accessible publiquement, par catégorie de produit, et reste la reference pour vérifier la validité courante d'un certificat ou d'une qualification.

La CSPN, schéma d'évaluation cadre dans le temps et le budget

Section intitulée « La CSPN, schéma d'évaluation cadre dans le temps et le budget »

La CSPN a ete introduite en 2008 pour combler une lacune entre l'absence d'évaluation et le poids des Critères Communs. Une évaluation CC, même a niveau EAL 2 augmente, demande typiquement plusieurs centaines de jours d'évaluation et un budget significatif. Pour des produits dont la sensibilité ne justifie pas cet investissement mais qui requièrent une confiance attestée, la CSPN propose un format de "premier niveau".

Trois choix de conception distinguent la CSPN.

  • Charge d'évaluation cadrée. L'ANSSI a défini un volume d'évaluation cible, en ordres de grandeur de quelques dizaines de personnes-jours, qui permet a un CESTI de proposer un devis ferme avant le démarrage. Cette prévisibilité est l'argument principal pour les fabricants.
  • Evaluation en boite blanche. Le CESTI dispose du code source, de la documentation de conception, et d'un accès direct au produit. L'objectif est de détecter rapidement les failles connues et les fautes de conception courantes, plutôt que de mener une analyse exhaustive de l'arbre d'attaque.
  • Cible de sécurité proportionnee. La cible (l'équivalent fonctionnel de la Security Target de CC) est volontairement courte et lisible. Elle décrit le produit, ses fonctions de sécurité, les menaces couvertes, les hypothèses d'environnement, et les biens proteges. L'ANSSI publie des modeles par domaine.

La CSPN couvre une dizaine de domaines techniques régulièrement representes au catalogue.

  • Logiciels et boîtiers de chiffrement (de fichiers, de disque, de communications)
  • Pare-feu, dispositifs de filtrage réseau, et passerelles industrielles
  • Solutions d'identification et d'authentification, gestion de comptes a privilèges
  • Mecanismes de démarrage securise (secure boot), d'intégrité et de protection du firmware
  • Composants de signature électronique, horodatage et délivrance de certificats
  • Anti-virus, EDR, sondes de détection
  • Systemes de messagerie sécurisée et de partage de fichiers
  • Mecanismes de protection des données au repos sur poste de travail ou serveur

Chaque domaine fait l'objet d'un modele de cible de sécurité type, qui guide la rédaction du fabricant et la conduite d'évaluation par le CESTI. La liste exacte des modeles disponibles est publiée par l'ANSSI.

EtapeActeur principalLivrable
Cadrage et sélection du CESTIFabricantChoix du CESTI, périmètre fonctionnel
Redaction de la cible de sécuritéFabricant, assiste par le CESTICible de sécurité (CSP)
Soumission au CESTI et a l'ANSSIFabricantDossier produit, contrats
Conduite des essaisCESTIRapport technique d'évaluation (RTE)
Analyse et avis ANSSIANSSIDecision de délivrance ou de refus
Publication au catalogueANSSICertificat CSPN, publication

Un certificat CSPN s'inscrit dans une durée de validité indiquée sur le document. La pratique courante est une durée de trois ans, éventuellement reconduite apres examen d'un dossier de surveillance ou de re-évaluation. Toute modification fonctionnelle ou cryptographique substantielle du produit conduit l'ANSSI a évaluer si une nouvelle CSPN est requise ou si une maintenance suffit. La durée exacte applicable a un produit donne figure systématiquement sur son certificat.

La certification Critères Communs délivrée par l'ANSSI

Section intitulée « La certification Critères Communs délivrée par l'ANSSI »

L'ANSSI est l'autorité française de délivrance des certificats Critères Communs (ISO/IEC 15408), reconnus internationalement dans le cadre de deux accords.

  • CCRA (Common Criteria Recognition Arrangement), accord mondial signe par une trentaine de pays, qui reconnaît mutuellement les certificats jusqu'au niveau EAL 4 augmente.
  • SOG-IS MRA (Senior Officials Group Information Systems Security), accord européen qui prolongeait la reconnaissance jusqu'a EAL 7 pour les domaines maitrisés. SOG-IS a cessé d'émettre de nouveaux certificats le 27 février 2026.

Avec l'entrée en application du règlement (UE) 2024/482 établissant le schéma européen EUCC (European Cybersecurity Certification schème on Common Criteria), l'ANSSI bascule sa délivrance vers EUCC pour les produits relevant du champ. EUCC reprend les niveaux d'assurance CC (substantial pour EAL 1 a 4, high pour EAL 5 a 7) en les redenominant et ajoute un cadre de surveillance post-marche.

Pour un fabricant, la décision entre CSPN et CC repose sur trois criteres.

CritereCSPN privilégiéeCC privilégiée
Sensibilite du bien protegeDonnees professionnelles, périmètres classiquesDonnees classifiées, infrastructures critiques
Marche viseFrance et acheteurs français reglementesMulti-pays, export, marches reglementes étrangers
Budget et calendrierContraints, première certificationDisponibles, deuxième cycle d'investissement

Pour le détail du cadre normatif CC, voir notre guide Critères Communs ISO/IEC 15408.

La Qualification, complément décisif du certificat

Section intitulée « La Qualification, complément décisif du certificat »

Un certificat (CSPN ou CC) atteste qu'un produit a passe une évaluation technique. Il ne dit rien de l'adéquation du produit a un usage donne par une administration ou un OIV. La Qualification comble cet écart, en accolant au certificat un niveau qui caracterise l'usage couvert.

Niveau de QualificationBesoin couvertDomaine d'emploi typique
ElementaireConfidentialite et intégrité courantesAdministrations standards, entreprises non OIV
StandardProtection d'informations sensibles non classifiéesOIV au sens de la LPM, OSE au sens de NIS, certains usages santé
RenforceProtection de données Diffusion Restreinte et plusOIV pour les usages les plus sensibles, fonctions critiques de l'Etat

Chaque niveau est associe a un référentiel d'exigences (RFS, Reglement Federal de Securite, ou référentiels sectoriels). Le fabricant qui souhaite la qualification doit démontrer que son produit satisfait non seulement le contenu fonctionnel du certificat, mais aussi les exigences opérationnelles, organisationnelles et de cycle de vie du niveau cible.

La Loi de Programmation Militaire de 2013 (modifiée depuis) impose aux OIV des obligations de cybersécurité, encadrées par les arretes sectoriels signes par les ministres des secteurs concernes. Les arretes listent, pour chaque catégorie de système d'information d'importance vitale (SIIV), les exigences techniques applicables, et imposent l'emploi de produits qualifies au moins au niveau Standard pour certaines fonctions critiques (cryptographie, authentification, détection).

La qualification au niveau approprie devient ainsi un prérequis d'achat pour ces operateurs. Un produit certifie CSPN mais non qualifie peut être vendu hors de ce périmètre, mais sera ecarte d'un appel d'offres OIV sur cette base.

Une qualification ne se prolonge pas automatiquement avec le renouvellement du certificat. Elle suppose un suivi par l'ANSSI, comprenant la verification de la chaine d'approvisionnement, des engagements du fabricant en matière de maintien en condition de sécurité, et un examen periodique. Une qualification expirée retire au produit son accès au marche régulé, même si le certificat sous-jacent demeure valide. La gestion du renouvellement est donc un point d'attention industriel important.

Le CESTI est le maillon opérationnel du schéma. Pour être reconnu, il satisfait trois conditions cumulatives.

  • Accreditation COFRAC sur la norme ISO/IEC 17025 pour la portée évaluation de sécurité.
  • Reconnaissance ANSSI apres examen du dossier de compétences, des outils, des procédures et de la séparation des roles.
  • Inscription au catalogue ANSSI mis a jour régulièrement.

La liste officielle est publiée par l'agence. Les CESTI sont specialises par domaines, certains laboratoires couvrent l'ensemble du spectre CSPN, d'autres se concentrent sur les composants matériels et la cryptographie. Le fabricant choisit son CESTI selon le domaine technique et son expérience d'évaluation.

Les qualifications de services, PASSI, PVID et adjacents

Section intitulée « Les qualifications de services, PASSI, PVID et adjacents »

Au-dela des produits, l'ANSSI qualifie également des prestataires de services de cybersécurité. Le mécanisme est analogue, un référentiel définit le périmètre, un organisme tiers verifie la conformité, et l'ANSSI delivre ou retire la qualification.

QualificationPerimetreUsage typique
PASSIAudits de sécurité (architecture, configuration, code, intrusion, organisation)Administrations, OIV obligant un audit externe
PDISPrestataires de détection d'incidents de sécurité (SOC, MDR)OIV soumis a obligation de détection
PRISPrestataires de réponse aux incidents de sécuritéOIV en post-incident
PVIDVerification d'identité a distanceTelechargement d'identité numérique, KYC reglemente
PACSConception et intégration de systèmes securisesMarches Etat sensibles

PVID merite une attention particuliere. Le référentiel s'adosse au cadre eIDAS et au RGPD, et qualifie les processus de verification d'identité a distance utilisant le passeport ou la carte d'identité a puce, la biométrie et la liaison vivante. C'est la base réglementaire de l'identité numérique française (FranceConnect+).

SecNumCloud, un schéma parallèle oriente services cloud

Section intitulée « SecNumCloud, un schéma parallèle oriente services cloud »

SecNumCloud est un schéma de qualification distinct des produits et des services audit, dedie aux services d'informatique en nuage. Il qualifie des offres SaaS, PaaS et IaaS sur trois dimensions principales.

  • Securite technique, équivalente aux exigences attendues au niveau Standard ou Renforce.
  • Securite organisationnelle, incluant la gestion des incidents, la continuité d'activité, la chaine d'approvisionnement.
  • Souverainete, exigence d'immunité aux lois extra-européennes a portée extraterritoriale, hébergement et controle effectifs depuis l'Espace économique européen.

Le référentiel courant est SecNumCloud V3.2, applicable depuis 2022. SecNumCloud est aujourd'hui un prérequis pour l'hébergement de données sensibles de l'Etat et de certaines données de santé critiques. Il n'est pas couvert par le Visa de sécurité produit, mais figure dans le panorama global des labels ANSSI sous une catégorie distincte.

Sur le plan européen, SecNumCloud sert d'inspiration partielle au schéma EUCS (European Cybersecurity Certification schème for Cloud Services) en cours d'élaboration sous le règlement Cybersecurity Act (UE) 2019/881.

Le schéma français opere dans un paysage européen en mouvement. Trois textes structurent l'environnement.

  • Le règlement Cybersecurity Act (UE) 2019/881 établit le cadre des schémas européens de certification de cybersécurité, geres par l'ENISA. Il porte EUCC pour les produits, EUCS pour les services cloud, et EU5G pour la 5G.
  • Le Cyber Resilience Act (UE) 2024/2847, applicable le 11 décembre 2027, impose a tout produit comportant des éléments numériques mis sur le marche européen un socle d'exigences de cybersécurité, avec présomption de conformité via des normes harmonisées et facultativement via des certifications EUCC.
  • La RED article 3.3, applicable depuis le 1 août 2025, impose aux équipements radio connectes a internet des exigences de cybersécurité, satisfaites par défaut via les normes harmonisées EN 18031.

Pour un produit fabricant français vendu en France et en Europe, plusieurs scenarios coexistent.

ProduitMarquage CE / REDVisa ANSSI
Caméra IP grand public, marche français et européenEN 18031 obligatoireAucun (marche non régulé par OIV)
Module HSM destine a une administration et a une OIVMarquage CE applicable selon directivesCSPN voire CC, Qualification Standard ou Renforce
Logiciel de chiffrement vendu aux administrationsHors marquage CECSPN et Qualification Elementaire ou Standard
Sonde de détection pour OIVEventuellement marquage CECSPN et Qualification Standard
Solution complete pour services classifies de l'EtatMarquage selon périmètreCC, Qualification Renforce

Le Visa de sécurité ne se substitue pas au marquage CE, et reciproquement. Pour les marches français régulés, il vient en complément et constitue souvent le critère differenciant. Voir aussi le guide EN 303 645 pour la dimension cybersécurité consumer IoT.

L'expérience accumulée sur les projets CSPN fait apparaître cinq erreurs recurrentes.

1. Considérer CSPN comme équivalente a CC dans les marches d'export. A l'étranger, la CSPN est peu reconnue. Un produit qualifie pour vendre en Allemagne sur des marches publics aura besoin d'une certification BSI ou d'une certification CC sous accord SOG-IS. Confondre Visa et reconnaissance internationale conduit a un investissement vain.

2. Négliger le maintien de la qualification. Le certificat CSPN se prolonge plus simplement que la qualification associée. Un fabricant qui laisse expirer sa qualification sans renouveler perd l'accès au marche régulé, même si le produit n'a pas evolue.

3. Mal calibrer le périmètre de la cible de sécurité. Une cible trop large alourdit l'évaluation au-dela du cadre CSPN. Une cible trop étroite ne couvre pas les fonctions réellement utilisées en exploitation et fragilise la confiance. Le bon calibrage se fait avec le CESTI au démarrage.

4. Sous-estimer le temps de rédaction de la cible. La cible de sécurité est l'artefact contractuel qui structure l'évaluation. Pour un fabricant qui rend pour la première fois ce document, le délai de rédaction et de révision atteint plusieurs semaines. La planification doit l'intégrer.

5. Confondre le marquage CE et le Visa ANSSI. Les deux processus sont independants. Le marquage CE atteste la conformité aux directives européennes applicables (LVD, EMC, RED, RoHS, CRA a venir). Le Visa atteste l'évaluation par l'ANSSI. Un produit peut être CE sans Visa, ou Visa sans certaines directives CE si son périmètre ne le requiert pas.

Une demarche structurée comporte typiquement quatre temps.

1. Définir la cible commerciale et réglementaire. Identifier les marches vises (administrations, OIV, OSE, santé, export), les référentiels réglementaires applicables (LPM, NIS, RGS, HDS), et le niveau de qualification utile. Cette étape determine si CSPN suffit ou si CC est necessaire.

2. Choisir le CESTI et cadrer la cible de sécurité. Selectionner un laboratoire dont le domaine de spécialité couvre le produit. Co-rediger la cible de sécurité avec son support méthodologique, en s'appuyant sur les modeles publies par l'ANSSI.

3. Conduire l'évaluation et obtenir le certificat. Fournir au CESTI le code source, la documentation et le matériel d'évaluation. Suivre le calendrier convenu, traiter les questions du CESTI, corriger les écarts identifies.

4. Engager la procédure de qualification. Une fois le certificat delivre, monter le dossier de qualification couvrant les engagements de maintien en condition de sécurité, la chaine d'approvisionnement, et l'organisation interne. Anticiper les renouvellements et intégrer leur calendrier au cycle produit.

Trois évolutions sont a surveiller dans les prochaines annees.

  • Montee en puissance d'EUCC. L'ANSSI bascule progressivement les nouvelles délivrances CC vers le schéma européen EUCC, qui apporte une harmonisation des niveaux d'assurance et une obligation de surveillance post-marche. Les certificats existants restent valides selon leur durée d'origine.
  • Articulation CSPN et CRA. Le Cyber Resilience Act introduit des obligations de cybersécurité produit a l'échelle europeenne. La CSPN ne se substitue pas a la conformité CRA, mais constituera une preuve pertinente pour certains chapitres du dossier technique CRA, en particulier sur la gestion des vulnérabilités et le cycle de vie.
  • Convergence des qualifications de services. Le panorama PASSI, PDIS, PRIS, PVID, PACS tend a s'unifier en termes de portail et de procédure. L'ANSSI publie régulièrement des points de situation sur l'évolution de ses référentiels.

Pour aujourd'hui, le Visa de sécurité reste l'instrument de confiance principal du marche cybersécurité français régulé. Sa maitrise, articulée avec la RED 3.3 et le CRA, structure la stratégie de mise sur le marche d'un produit cybersécurité en France et au-dela.

Sources & références

  1. ANSSI, agence nationale de la sécurité des systèmes d'information , ANSSI cyber.gouv.fr/
  2. Visa de sécurité ANSSI, presentation generale , ANSSI cyber.gouv.fr/visas-de-securite
  3. Référentiel CSPN, Certification de Securite de Premier Niveau , ANSSI cyber.gouv.fr/le-referentiel-cspn
  4. Loi de Programmation Militaire et obligations OIV , ANSSI cyber.gouv.fr/operateurs-dimportance-vitale-oiv
  5. Référentiel SecNumCloud, qualification des prestataires de services cloud , ANSSI cyber.gouv.fr/secnumcloud-pour-les-fournisseurs-de-services-cloud
  6. Qualification PASSI, prestataires d'audit , ANSSI cyber.gouv.fr/prestataires-daudit-de-la-securite-des-systemes-dinformation-passi-qualifies
  7. EUCC, schéma européen de certification de cybersécurité , EUR-Lex eur-lex.europa.eu/eli/reg_impl/2024/482/oj

Questions fréquentes

Quelle est la différence entre CSPN et certification Critères Communs ?
La CSPN (Certification de Securite de Premier Niveau) est un schéma français propre a l'ANSSI, conçu pour évaluer un produit sous contrainte de temps et de coût, avec une charge d'évaluation cadrée par l'ANSSI. Les Critères Communs (ISO/IEC 15408) imposent une évaluation plus profonde, structurée par paquets d'assurance EAL, et reconnue internationalement via CCRA et SOG-IS. CSPN convient a une première validation sur un périmètre simple, CC s'impose pour les composants sensibles (cartes a puce, modules cryptographiques, plateformes d'identité) ou les marches d'export demandant une reconnaissance internationale.
Qu'est-ce que le Visa de sécurité ANSSI ?
Le Visa de sécurité est un label transverse sous lequel l'ANSSI regroupe ses délivrables d'évaluation et de qualification, CSPN, certifications Critères Communs délivrées par l'ANSSI dans le cadre du SOG-IS et de l'EUCC, et Qualification d'un produit a un niveau Elementaire, Standard ou Renforce. Le Visa atteste publiquement qu'un produit a fait l'objet d'une évaluation de sécurité par l'agence, et oriente les acheteurs publics et régulés vers des produits dont la confiance est attestée.
Quels sont les niveaux de Qualification ANSSI ?
L'ANSSI définit trois niveaux de Qualification. Élémentaire couvre les besoins courants en confidentialité et intégrité. Standard répond a un besoin renforce, typiquement pour la protection d'informations sensibles non classifiées et l'usage dans les Operateurs d'Importance Vitale. Renforce s'adresse aux besoins les plus eleves, dont la protection de données soumises au secret de la défense nationale au niveau Diffusion Restreinte. Le niveau requis dépend du domaine d'emploi vise et est défini par un référentiel d'exigences associe.
La CSPN est-elle obligatoire en France ?
Non, la CSPN reste volontaire. Elle devient cependant un prérequis contractuel pour accéder a certains marches publics, en particulier ceux des Operateurs d'Importance Vitale (OIV) au titre de la Loi de Programmation Militaire, des Operateurs de Services Essentiels (OSE) au titre de NIS, des administrations soumises au RGS, et de la santé via l'agrément Hebergeur de Donnees de Sante (HDS). Hors France, la reconnaissance est plus limitée qu'avec une certification Critères Communs internationale.
Combien de temps un produit reste-t-il certifie CSPN ?
Un certificat CSPN est émis pour une durée limitée, généralement reconduite si le produit n'a pas subi d'évolution substantielle. La Qualification associée suit la durée de validité du certificat. En cas de modification du produit, l'ANSSI peut exiger une re-évaluation, une surveillance, ou un examen d'impact avant de prolonger ou retirer le visa. La durée exacte applicable est indiquée sur chaque certificat publie au catalogue ANSSI.
Qu'est-ce qu'un CESTI et qui peut réaliser une CSPN ?
Un CESTI (Centre d'Evaluation de la Securite des Technologies de l'Information) est un laboratoire accrédite par l'ANSSI, place sous controle qualité par le COFRAC, qui realise les évaluations CSPN ainsi que les évaluations Critères Communs délivrées par l'ANSSI. La liste officielle des CESTI accréditées est publiée par l'ANSSI. Le fabricant choisit son CESTI parmi cette liste et contractualise directement avec lui, l'ANSSI restant seul autorité délivrant le certificat final.
Comment la CSPN s'articule-t-elle avec le CRA européen et la RED 3.3 ?
Le Cyber Resilience Act applicable en décembre 2027 et la RED 3.3 depuis août 2025 imposent des exigences de cybersécurité aux produits avec éléments numériques et aux équipements radio. Une évaluation CSPN ou une Qualification ANSSI ne se substitue pas a ces obligations, mais peut être versée au dossier technique pour démontrer la maturité cybersécurité du produit. Pour les marches publics français critiques, le Visa ANSSI reste le critère de sélection déterminant en complément du marquage CE.
Qu'est-ce que la qualification PASSI et PVID ?
PASSI (Prestataires d'Audit de la Securite des Systemes d'Information) est une qualification d'ANSSI pour les sociétés réalisant des audits d'architecture, de configuration, de code source, de tests d'intrusion ou d'organisation. PVID (Prestataires de Verification d'Identite a Distance) qualifie les prestataires de verification d'identité numérique au sens du référentiel eIDAS et du RGPD. Ces qualifications visent les services, et non les produits comme la CSPN, et permettent aux administrations et OIV d'externaliser ces missions a des acteurs dont la confiance est attestée.
Quelle est la relation entre SecNumCloud et le Visa de sécurité ?
SecNumCloud est un schéma de qualification ANSSI distinct, applicable aux services cloud (SaaS, PaaS, IaaS). Il vise la souveraineté et la protection des données hébergées, en imposant entre autres une immunité aux lois extra-européennes a portée extraterritoriale. Bien que separe du Visa de sécurité produit, SecNumCloud partage la même philosophie de confiance attestée et figure dans le panorama des labels ANSSI accessibles aux fournisseurs.