Je suis Ángel Ortega Castro, consultant ENS indépendant. Je prépare votre entreprise à réussir l'audit ENS de conformité (Annexe III du RD 311/2022) : j'identifie les écarts avant l'auditeur, organise les preuves et vous accompagne lors de la visite de l'entité accréditée par ENAC.
L'audit de conformité de l'Esquema Nacional de Seguridad (ENS, le schéma national de sécurité espagnol) est le processus de vérification indépendante réglementé par l'Annexe III du Real Decreto 311/2022, de 3 de mayo (BOE-A-2022-7191). Il a pour fonction de constater, de façon rigoureuse, que les systèmes d'information d'une organisation respectent les exigences de l'ENS applicables à sa catégorie : les mesures de l'Annexe II, la politique de sécurité, l'analyse des risques et la gestion de la continuité.
Ce n'est pas une simple revue documentaire. L'audit examine la mise en œuvre effective des contrôles, l'existence de preuves auditables et la cohérence entre ce qui est déclaré dans la Déclaration d'Applicabilité (DdA) et ce qui est pratiqué dans l'organisation. Son résultat est un rapport de conformité recensant les constats, les non-conformités et, en catégorie moyenne ou haute, la base pour la certification délivrée par l'entité accréditée.
L'audit de conformité est réalisé par un tiers — en catégorie moyenne ou haute, une entité accréditée par ENAC — qui évalue de façon objective le niveau de conformité du système.
Les cahiers des charges de la commande publique imposent de plus en plus fréquemment aux prestataires de justifier leur conformité ENS. La certification est le document qui y répond.
La certification ENS est valable deux ans. À l'issue de ce délai, un nouvel audit de conformité est nécessaire pour maintenir l'accréditation en vigueur.
Le cycle d'audit impose le maintien et la mise à jour des contrôles, ce qui fait de la conformité ENS un système vivant d'amélioration de la sécurité, et non une simple formalité ponctuelle.
La disposition transitoire unique du RD 311/2022 a fixé 24 mois pour l'adaptation des systèmes préexistants ; ce délai a expiré le 5 mai 2024. L'obligation est pleinement en vigueur : les nouveaux systèmes doivent être conformes dès le premier jour et les contrats en cours exigent de justifier la conformité à chaque renouvellement. Si votre entreprise fournit des services au secteur public et n'a pas encore engagé la mise en conformité, retrouvez le point de départ dans le guide complet de l'ENS et dans le service de conseil ENS pour les entreprises.
La principale cause de non-conformités dans un audit ENS est l'improvisation : se présenter sans preuves organisées, avec une DdA obsolète ou des contrôles déployés mais non documentés. Mon intervention commence avant la visite de l'auditeur accrédité ; chaque phase produit un livrable concret sur lequel repose la suivante.
| Phase | Ce que nous faisons | Référence et livrable |
|---|---|---|
| Phase 01 Diagnostic pré-audit |
Analyse différentielle entre la situation réelle du système et les exigences de l'Annexe III. Nous identifions les contrôles sans preuve, les procédures non formalisées et les écarts que l'auditeur détecterait. | Rapport d'écarts avec criticité et ordre de traitement. Base pour l'Annexe III de l'ENS. |
| Phase 02 Cartographie des preuves |
Inventaire exhaustif de toutes les preuves requises par l'Annexe II selon la catégorie du système (de base, moyenne ou haute). Pour chaque contrôle : état actuel, preuve disponible, élément manquant et responsable désigné. | Registre des preuves avec indicateur de statut. Aligné sur les guides CCN-STIC 808 et 850. |
| Phase 03 Révision et mise à jour documentaire |
Mise à jour de la Déclaration d'Applicabilité (DdA), de la politique de sécurité et de l'analyse des risques (MAGERIT). Cohérence entre la documentation et la mise en œuvre réelle des contrôles. | Documentation alignée sur l'Annexe III et les guides CCN-STIC 806 et 807. |
| Phase 04 Audit interne (pré-audit) |
Simulation complète de la visite de l'auditeur accrédité : revue des contrôles, entretiens avec le personnel responsable et tests techniques. Résultat : liste des non-conformités avant l'audit réel. | Rapport de pré-audit avec non-conformités et plan de traitement. Voir le guide de préparation de l'audit ENS. |
| Phase 05 Accompagnement lors de l'audit accrédité |
Soutien pendant la visite de l'entité accréditée par ENAC : coordination des réunions, clarification des preuves en temps réel et réponse technique aux constats de l'auditeur. | Réduction des non-conformités en cours de processus. La certification est délivrée par l'entité accréditée par ENAC, non par le consultant. |
| Phase 06 Clôture et suivi biennal |
Traitement des non-conformités détectées par l'auditeur. Feuille de route pour maintenir la conformité active jusqu'au renouvellement biennal et préparer le cycle d'audit suivant. | Plan d'amélioration continue et calendrier de renouvellement tous les deux ans. |
Vous souhaitez comprendre en détail les épreuves que réalise l'auditeur ? Je les décris dans l'article sur l'Annexe III de l'ENS et l'audit de conformité. Et si votre entreprise fournit des services à l'Administration, retrouvez le contexte juridique dans ENS pour les prestataires : l'Administration m'y oblige-t-elle ?
L'Annexe I du RD 311/2022 établit trois catégories de systèmes selon l'impact qu'aurait un incident de sécurité sur les cinq dimensions (CIDAT) : confidentialité, intégrité, disponibilité, authenticité et traçabilité. La dimension présentant le niveau le plus élevé détermine la catégorie du système, et cette catégorie définit la voie de conformité à suivre ainsi que le type d'audit exigé.
Lorsqu'un incident causerait un préjudice limité aux fonctions de l'organisation, à ses actifs ou aux personnes.
Lorsqu'un incident représenterait un préjudice grave ; au moins une dimension atteint le niveau moyen.
Lorsqu'un incident causerait un préjudice très grave, voire irréparable ; au moins une dimension atteint le niveau haut.
Il est réalisé par le consultant ou l'équipe de sécurité avant la visite du tiers accrédité. Son objectif est de détecter les non-conformités suffisamment tôt pour les corriger. Il n'a pas de validité officielle et n'accrédite pas la conformité vis-à-vis de l'Administration, mais c'est l'outil le plus efficace pour réussir l'audit externe du premier coup et minimiser le nombre de constats.
En catégorie moyenne ou haute, la conformité ne peut être justifiée que par une entité accréditée par ENAC conformément à la norme UNE-EN ISO/IEC 17065:2012. Cette entité délivre le certificat de conformité ENS, qui est le document satisfaisant aux cahiers des charges de la commande publique. Le consultant prépare et accompagne ; le certificat est émis par le tiers accrédité. La "certification garantie" n'existe dans aucun processus d'audit rigoureux.
Besoin d'aide pour catégoriser votre système avant de choisir votre voie ? Le guide des niveaux de l'ENS et comment choisir la catégorie vous oriente, et si vous hésitez entre l'ENS et l'ISO 27001, je compare les deux cadres dans ENS ou ISO 27001 pour contracter avec l'Administration.
Le travail de préparation ne consiste pas à rédiger des documents que personne ne lit. Chaque livrable a un destinataire précis — l'auditeur accrédité, votre équipe sécurité ou le responsable de l'appel d'offres — et est conçu pour être utile dans le processus réel de certification.
Je suis Ángel Ortega Castro, consultant indépendant spécialisé dans la mise en conformité avec l'Esquema Nacional de Seguridad et la sécurité de l'information. Je prépare les entreprises prestataires du secteur public à réussir l'audit ENS de conformité : j'identifie les écarts avant l'auditeur accrédité, j'organise la documentation et j'accompagne tout au long du processus.
Mon approche est celle d'un accompagnement réel, personne à personne : je ne vous remets pas un rapport pour disparaître ensuite. Je travaille avec vous à chaque phase, du diagnostic préalable jusqu'au traitement des non-conformités détectées par l'organisme certificateur. À l'issue du projet, votre équipe sait maintenir la conformité jusqu'au prochain renouvellement biennal sans dépendre de personne.
Je suis transparent sur ce que je peux et ne peux pas promettre : je prépare et accompagne votre organisation vers la conformité ; la certification est délivrée par l'entité accréditée par ENAC. Quiconque promet une "certification garantie" ne comprend pas le processus ou manque d'honnêteté. Cette franchise, alliée à la rigueur sur le RD 311/2022 et ses Annexes I-IV, est ce qui me distingue.
Intégrateurs, prestataires de services en nuage et éditeurs de logiciels qui doivent certifier leur conformité ENS pour conserver leurs marchés publics ou accéder à de nouveaux appels d'offres qui l'exigent.
Sociétés privées qui affrontent pour la première fois la certification ENS comme condition de capacité pour participer à des marchés publics. L'audit est la porte d'entrée sur un marché qui resterait sinon fermé.
Organisations dont la certification ENS expire dans les prochains mois et qui ont besoin d'une révision de l'état actuel, d'une mise à jour des preuves et d'un accompagnement lors du nouvel audit de conformité biennal.
Le coût dépend de la catégorie du système (de base, moyenne ou haute), du nombre de systèmes dans le périmètre et du niveau de maturité de départ : plus les écarts sont nombreux avant l'audit, plus le travail de traitement préalable est important. Il n'existe pas de tarif unique valable pour tous les cas.
À ce coût de préparation et d'accompagnement s'ajoutent, en catégorie moyenne ou haute, les honoraires de l'entité certificatrice accréditée, qui sont indépendants des miens et facturés par le tiers qui émet le certificat. Lors du premier appel, nous évaluons les deux postes sans engagement.
L'audit ENS de conformité, réglementé par l'Annexe III du Real Decreto 311/2022, est une revue indépendante qui vérifie que les systèmes d'information d'une organisation respectent les mesures de l'Annexe II, la politique de sécurité, l'analyse des risques et la gestion de la continuité. L'auditeur examine des preuves réelles — registres, configurations, procédures, entretiens — pour s'assurer que ce qui est déclaré dans la DdA correspond à ce qui est effectivement déployé. Le résultat est un rapport de conformité recensant les constats. Je le détaille dans l'article sur l'Annexe III de l'ENS et l'audit de conformité.
Il l'est si vous fournissez des services au secteur public et que vos systèmes sont classifiés en catégorie moyenne ou haute. En catégorie de base, vous pouvez opter pour la déclaration de conformité auto-évaluée, bien que de plus en plus de cahiers des charges exigent des preuves supplémentaires, voire la certification, quel que soit le niveau. Le délai général d'adaptation des systèmes préexistants a expiré le 5 mai 2024 ; l'obligation est pleinement en vigueur et s'applique dès le premier jour aux systèmes nouveaux ou ayant subi des changements significatifs. Si vous ne savez pas si votre entreprise est concernée, je vous l'explique dans le guide ENS pour les prestataires et les appels d'offres.
En catégorie moyenne ou haute, seule une entité accréditée par ENAC conformément à la norme UNE-EN ISO/IEC 17065:2012 peut délivrer le certificat de conformité. Le consultant ENS prépare la conformité et accompagne pendant le processus ; l'audit de certification est réalisé par le tiers accrédité. En catégorie de base, la conformité est justifiée par une déclaration auto-évaluée par l'organisation elle-même. Je l'explique en détail dans l'article qui réalise l'audit ENS et à quelle fréquence.
La certification ENS se renouvelle tous les deux ans (renouvellement biennal). Durant cette période, les mesures déployées et les preuves qui les étayent doivent rester actives. Il est courant de programmer une révision annuelle pour détecter les dérives et les corriger avant l'audit de renouvellement, afin d'éviter l'accumulation d'écarts. Je le développe dans à quelle fréquence l'ENS est-il audité et par qui.
L'audit interne, également appelé pré-audit, est une revue réalisée par le consultant ou l'équipe interne avant la visite du tiers accrédité. Son objectif est de détecter les non-conformités suffisamment tôt pour les corriger ; il n'a pas de validité officielle et n'accrédite pas la conformité vis-à-vis de l'Administration. La certification externe est conduite par une entité accréditée par ENAC : ses résultats ont une validité officielle et constituent la justification de la conformité dans les cahiers des charges de la commande publique. Les deux sont complémentaires ; l'audit interne est le meilleur investissement pour réussir l'externe du premier coup.
Les cinq étapes clés sont : (1) diagnostic des écarts par rapport à l'Annexe III suffisamment tôt avant la visite, (2) traitement des non-conformités identifiées avant que l'auditeur ne les détecte, (3) organisation et vérification des preuves pour chaque contrôle de l'Annexe II, (4) simulation complète de la visite réelle (pré-audit), et (5) accompagnement pendant l'audit pour clarifier les preuves en temps réel. Je le détaille dans le guide de préparation de l'audit ENS.
L'entité émet un rapport de constats. Les non-conformités sont classées par gravité : les majeures empêchent la certification jusqu'à leur correction et sa vérification ; les mineures peuvent être traitées par des preuves documentaires sans nouvelle visite. Un travail de préparation rigoureux minimise le nombre et la gravité des constats. Si des non-conformités subsistent malgré tout, je vous accompagne dans le processus de traitement et dans la démonstration de leur correction auprès de l'auditeur.
Non. Le conseil ENS couvre l'intégralité du cycle de mise en conformité : diagnostic initial, catégorisation du système, analyse des risques avec MAGERIT, plan de mise en conformité, déploiement des mesures de l'Annexe II et préparation de l'audit. L'audit ENS est la phase finale de vérification par un tiers accrédité. Si votre organisation part de zéro, le parcours complet commence par le conseil ; si vos systèmes sont déjà mis en conformité et que vous n'avez besoin que de préparer l'audit, nous entrons directement dans les phases de pré-audit décrites sur cette page.
Premier appel sans engagement. Nous évaluons votre catégorie et le périmètre du système, identifions les principaux écarts et, si nos attentes se rejoignent, je vous adresse un devis ferme pour préparer et réussir l'audit de conformité du premier coup.