SecNumCloud
Comment Scrydon prend en charge le référentiel SecNumCloud de l'ANSSI — sécurité cloud souveraine pour le secteur public français et les infrastructures critiques.
SecNumCloud est le schéma de qualification de l'ANSSI (Agence nationale de la sécurité des systèmes d'information) pour les fournisseurs de services cloud traitant des données sensibles. Il est couramment requis par le secteur public français et les opérateurs de services essentiels ou vitaux.
Scrydon n'exploite pas d'infrastructure qualifiée SecNumCloud en propre — cette qualification s'applique aux fournisseurs cloud, pas aux applications qui y sont déployées. Scrydon est conçu pour que son déploiement sur un fournisseur qualifié SecNumCloud (ou sur site) préserve votre qualification globale.
Comment le modèle déployé par le client facilite la conformité
Les exigences les plus contraignantes de SecNumCloud concernent la résidence des données, la souveraineté et le contrôle opérateur. L'architecture de Scrydon contourne les plus difficiles :
- Résidence des données. La plateforme s'exécute dans votre cluster — typiquement une infrastructure IaaS qualifiée SecNumCloud en France. Les données clients ne quittent jamais le périmètre qualifié.
- Souveraineté. Scrydon (le vendeur) n'a aucun accès à la plateforme à l'exécution. Le seul appel sortant est le heartbeat de licence vers
license.scrydon.com. - Contrôle opérateur. Votre équipe opérationnelle possède la plateforme — son cycle de vie, ses secrets, sa configuration, ses journaux.
Compléments requis
Pour déployer Scrydon sous SecNumCloud, vous aurez typiquement besoin de :
| Exigence | Comment |
|---|---|
| IaaS qualifié SecNumCloud | OVHCloud, Outscale, Iliad / Numspot, ou un autre fournisseur qualifié. |
| IdP souverain | Un IdP opérant sous SecNumCloud ou équivalent. Microsoft Entra n'est pas qualifié SecNumCloud ; envisagez une alternative souveraine si le périmètre de votre SecNumCloud l'exige. |
| Fournisseurs IA souverains | Le registre d'intégrations peut être restreint aux fournisseurs auto-hébergés (Ollama, vLLM, Azure AI Foundry dans une location souveraine) ou aux fournisseurs LLM cloud souverains. |
Le registre d'intégrations est le levier pour la question des fournisseurs IA : vous pouvez n'installer que les fournisseurs autorisés par votre périmètre SecNumCloud.
Option air-gapped
Pour les déploiements sous des contraintes de souveraineté plus strictes (par exemple, les environnements classifiés), le chemin d'installation air-gapped est le bon point de départ. Le heartbeat de licence est optionnel en mode air-gapped (les opérations se poursuivent sous votre licence contractuelle), et la dépendance au backend Copilot est désactivée.
Audit et preuves
| Domaine de contrôle | Support Scrydon |
|---|---|
| Gestion des accès | Identité et provisionnement, Modèle de permissions |
| Journalisation et traçabilité | Journal d'audit avec rétention étendue |
| Chiffrement | TLS 1.2+, mTLS interne, AES au repos ; option HYOK pour la gestion souveraine des clés |
| Gestion des vulnérabilités | Images signées, SBOM, patching planifié |
| Transparence opérateur | Ce site de documentation ; la relation de support est documentée |
Voir aussi
- Déploiement → Air-gapped — pour les déploiements souverains / classifiés.
- Architecture → Zones de confiance — ce qui se trouve dans le périmètre client.
- Frontière réseau — liste d'autorisation de sortie pour un déploiement strictement délimité.