Je suis Ángel Ortega Castro, consultant ENS indépendant. Je vous accompagne tout au long du processus de certification ENS : du diagnostic initial jusqu'à l'audit par une entité accréditée ENAC, pour que votre entreprise puisse soumissionner aux marchés publics avec des garanties réelles.
La certification ENS est le document formel qui atteste que les systèmes d'information d'une organisation satisfont aux exigences de l'Esquema Nacional de Seguridad (ENS, le schéma national de sécurité espagnol) (Real Decreto 311/2022, de 3 de mayo ; BOE-A-2022-7191). Elle n'est pas équivalente à une déclaration interne : aux niveaux de catégorie moyen et élevé, la certification est délivrée par une entité de certification de produit accréditée par ENAC selon la norme UNE-EN ISO/IEC 17065:2012, ce qui lui confère une valeur reconnue par l'Administration et par des tiers. Le certificat est valide deux ans, au terme desquels il doit être renouvelé par un nouvel audit de conformité.
Pour comprendre le cadre complet dans lequel s'inscrit ce processus, je vous recommande le guide complet de l'ENS et l'article sur le processus de certification ENS, exigences et coûts.
Contrairement à la déclaration de conformité de niveau basique, la certification ENS est délivrée par un tiers accrédité par ENAC : sa valeur ne dépend pas de l'autoaffirmation de l'entreprise elle-même.
De plus en plus de marchés publics exigent la certification ENS comme critère de solvabilité technique. Sans elle, l'entreprise est directement exclue de l'appel d'offres, indépendamment de ses capacités réelles.
Le certificat ENS est valide deux ans. Le renouvellement exige un nouvel audit de conformité, ce qui garantit que le niveau de sécurité se maintient dans le temps et ne devient pas obsolète.
Le processus de certification ENS met en place un cycle de gestion réel : analyse des risques, mesures de l'Annexe II et révision périodique. Il ne s'agit pas d'une formalité ponctuelle, mais d'un système de sécurité pérenne.
Le cadre de l'ENS n'impose pas les mêmes obligations à tous. La voie applicable à votre organisation dépend de la catégorie du système d'information concerné, déterminée en évaluant l'impact potentiel d'un incident sur les cinq dimensions de sécurité — confidentialité, intégrité, disponibilité, authenticité et traçabilité (CIDAT) —. Consultez les catégories ENS basique, moyenne et élevée en détail avant de décider.
Lorsqu'aucune dimension ne dépasse le niveau bas, l'organisation peut attester la conformité par une déclaration de conformité autoévaluée, sans intervention d'une entité de certification externe.
Lorsqu'une dimension atteint le niveau moyen, la conformité doit être attestée par une certification par une entité accréditée ENAC (ISO/IEC 17065). Le consultant prépare ; l'entité accréditée certifie.
Lorsqu'une dimension atteint le niveau élevé, l'exigence est identique à la catégorie moyenne — certification par une entité accréditée ENAC — mais avec un ensemble de mesures de sécurité plus étendu et plus contraignant.
L'organisation vérifie elle-même la conformité selon les guides CCN-STIC et émet sa propre déclaration. Je prépare toute la documentation et les preuves nécessaires pour que la déclaration soit rigoureuse et puisse résister à toute révision. J'approfondis la démarche dans l'article sur la déclaration de conformité ENS de niveau basique par autoévaluation.
La certification ENS est délivrée par une entité de certification de produit accréditée par ENAC selon la norme UNE-EN ISO/IEC 17065:2012. Mon rôle est de vous préparer à réussir cet audit : je déploie les mesures, génère la documentation et vous accompagne tout au long du processus. Je ne promets jamais une certification garantie : c'est l'entité accréditée, et non le consultant, qui la délivre. Si vous avez besoin du service préalable d'adéquation, je pars du conseil ENS pour les entreprises.
Obtenir la certification ENS en catégorie moyenne ou haute n'est pas une formalité : c'est le résultat d'un processus structuré qui suit les guides CCN-STIC et aboutit à un audit réalisé par une entité accréditée par ENAC. La préparation préalable, qui est mon travail en tant que consultant, détermine en grande partie le résultat de cet audit.
| Phase | Ce qui est fait | Référence et livrable |
|---|---|---|
| Phase 01 Diagnostic et périmètre |
Analyse différentielle (analyse d'écart) entre la situation actuelle et les exigences de l'ENS. Définition du périmètre : quels systèmes d'information entrent dans le champ de la certification. | Rapport de diagnostic avec la distance par rapport à la conformité et le périmètre documenté. |
| Phase 02 Catégorisation du système |
Évaluation du système selon les cinq dimensions CIDAT et attribution de la catégorie résultante (basique, moyenne ou haute). La catégorie détermine la voie de conformité exigée. | Annexe I du RD 311/2022. Document de catégorisation avec justification par dimension. Voir catégories ENS basique, moyenne et haute. |
| Phase 03 Analyse des risques |
Identification des actifs, menaces, vulnérabilités et sauvegardes selon la méthodologie MAGERIT. Le risque résiduel est quantifié et le plan de traitement établi. | Analyse des risques avec MAGERIT (appuyée sur PILAR ou d'autres outils CCN). Plan de traitement des risques. |
| Phase 04 Plan d'adéquation et DdA |
Politique de sécurité de l'information, sélection et justification des mesures de l'Annexe II applicables au périmètre et à la catégorie. Rédaction de la Déclaration d'Applicabilité (DdA). | Guide CCN-STIC 806. Plan d'adéquation avec responsables et échéances. DdA complète. |
| Phase 05 Déploiement des mesures |
Déploiement des mesures de sécurité sélectionnées : cadre organisationnel, opérationnel et de protection. Génération des preuves attestant la conformité de chaque contrôle. | Preuves par mesure de l'Annexe II déployée. Cadre documentaire complet (procédures, normes internes, registres). |
| Phase 06 Pré-audit interne |
Révision exhaustive de la documentation et des preuves avant l'audit officiel. Identification et correction des écarts susceptibles de provoquer des non-conformités. Simulation avec la méthodologie de l'Annexe III. | Rapport de pré-audit avec constats et plan de clôture. Liste de vérification Annexe III du RD 311/2022. |
| Phase 07 Audit de conformité |
L'audit de conformité est réalisé par l'entité de certification accréditée par ENAC. Je vous accompagne pendant le processus, coordonne la remise des preuves et gère toute demande de clarification. | Annexe III du RD 311/2022. L'audit est réalisé par l'entité accréditée ; le consultant accompagne et apporte son soutien. |
| Phase 08 Obtention du certificat et renouvellement |
L'entité accréditée délivre le certificat ENS (valide deux ans). Un plan de suivi est établi pour maintenir le niveau de conformité et préparer le renouvellement bisannuel avant l'expiration du certificat. | Certificat ENS délivré par l'entité accréditée. Plan de suivi et feuille de route pour le renouvellement dans 24 mois. |
Vous pouvez consulter le détail complet dans l'article sur le processus de certification ENS, exigences et coûts indicatifs.
Seules peuvent délivrer la certification ENS les entités de certification de produit disposant d'une accréditation explicite de l'ENAC (Entidad Nacional de Acreditación) selon la norme UNE-EN ISO/IEC 17065:2012 pour le schéma ENS. Cette accréditation n'est pas automatique : ENAC évalue la compétence technique, l'impartialité et les procédures de l'entité avant de l'autoriser.
Vous pouvez consulter à tout moment la liste en vigueur des entités accréditées pour l'ENS dans le moteur de recherche public de l'ENAC. Le CCN publie également des orientations sur le processus dans son portail ens.ccn.cni.es. Et une fois le certificat obtenu, votre entreprise figurera dans le répertoire des entreprises certifiées ENS géré par le CCN.
Toutes les entités accréditées par ENAC satisfont les exigences techniques minimales. La différence entre elles tient à l'expérience sectorielle (auditer un système de gestion documentaire n'est pas la même chose qu'une plateforme de services en nuage), à la disponibilité et aux délais (les plus demandées peuvent avoir des listes d'attente), à la clarté de leur processus d'audit et aux coûts, qui varient selon le périmètre et la complexité du système. Je recommande de demander une proposition à deux ou trois entités avant de s'engager.
En tant que consultant, mon travail consiste à préparer votre organisation pour que l'audit de l'entité accréditée se déroule sans mauvaises surprises. Cela implique que la documentation soit complète, que les preuves soient vérifiables et que votre équipe sache ce qui l'attend lors de l'audit. Je n'ai aucun lien commercial avec une entité de certification : je vous accompagne quelle que soit votre choix, ce qui garantit un conseil neutre. Une fois l'entité choisie, je coordonne la communication et la remise des preuves tout au long du processus.
Pour le processus complet de préparation préalable, vous pouvez voir en quoi consiste le conseil ENS pour les entreprises que nous réalisons avant d'arriver à l'audit de certification.
Les cahiers des charges des marchés publics TIC intègrent de plus en plus souvent la conformité avec l'ENS comme critère de solvabilité ou comme obligation contractuelle. Sans le certificat correspondant à la catégorie du système, l'entreprise ne peut pas participer à l'appel d'offres. Le délai général d'adaptation a expiré le 5 mai 2024 : l'obligation est pleinement en vigueur.
La certification ENS n'ouvre pas seulement des portes dans les contrats qui l'exigent explicitement. Elle distingue aussi votre entreprise des concurrents qui ne l'ont pas encore, témoigne d'une maturité en sécurité de l'information et facilite la relation avec les organismes publics qui valorisent l'accréditation indépendante plutôt que de simples déclarations propres.
Les administrations qui doivent certifier leurs propres systèmes exigent à leur tour que leurs fournisseurs et sous-traitants respectent l'ENS pour les systèmes qu'ils apportent au service. Disposer de la certification fait de votre entreprise un fournisseur éligible dans toute la chaîne de valeur du secteur public, élargissant significativement le marché accessible.
Mon travail prend fin lorsque l'entité accréditée délivre votre certificat. Voici ce que nous construisons ensemble durant le processus de préparation.
Je suis Ángel Ortega Castro, consultant indépendant spécialisé en conformité réglementaire et sécurité de l'information. J'accompagne les entreprises prestataires du secteur public tout au long du processus menant à la certification ENS : du diagnostic initial au jour où l'entité accréditée par ENAC délivre le certificat.
Je suis honnête dès le premier instant sur ce que je peux et ne peux pas promettre. Je prépare et adapte votre organisation à l'audit de conformité ; c'est l'entité accréditée par ENAC, et non le consultant, qui délivre la certification. Quiconque vous promet une certification garantie ment ou ne comprend pas le processus.
Ma méthodologie combine la rigueur du RD 311/2022 et de ses Annexes I, II, III et IV, les guides CCN-STIC, la méthodologie MAGERIT d'analyse des risques et un accompagnement réel, personne à personne. L'objectif n'est pas de produire des documents, mais que votre équipe sorte du processus avec un système de sécurité qui fonctionne et peut maintenir la conformité dans le temps.
Le coût total d'obtention de la certification ENS comporte deux composantes bien distinctes qu'il convient de ne pas confondre. D'un côté, les honoraires de conseil pour la préparation du processus (diagnostic, catégorisation, analyse des risques, déploiement, pré-audit et accompagnement). De l'autre, les honoraires de l'entité de certification accréditée par ENAC, facturés directement par le tiers et indépendants des honoraires de conseil.
L'investissement en conseil varie selon le périmètre du système (nombre de systèmes, complexité technologique et organisationnelle), la catégorie résultante (basique, moyenne ou haute) et la maturité de départ. Un système avec de bonnes pratiques de sécurité préalables requiert moins d'effort de déploiement qu'un système qui part de zéro. Il n'en va pas de même de préparer une déclaration de conformité pour catégorie basique que d'accompagner un audit de certification de niveau élevé avec plusieurs systèmes dans le périmètre.
Pour plus de contexte sur les fourchettes habituelles du marché, consultez l'article sur le processus de certification ENS et les coûts indicatifs.
La certification ENS est le document formel qui atteste que les systèmes d'information d'une organisation satisfont aux exigences de l'Esquema Nacional de Seguridad (RD 311/2022). Elle est délivrée par une entité de certification de produit accréditée par ENAC selon la norme UNE-EN ISO/IEC 17065:2012. Elle sert à démontrer à l'Administration et à des tiers que l'organisation gère la sécurité de l'information au niveau exigé, et est requise dans de nombreux marchés publics. Vous pouvez consulter le détail dans l'article sur le processus de certification ENS, exigences et coûts.
La déclaration de conformité est la voie prévue pour les systèmes de catégorie basique : l'organisation elle-même vérifie et déclare la conformité, sans intervention d'un tiers accrédité. La certification ENS, en revanche, est obligatoire pour les systèmes de catégorie moyenne et haute, et est délivrée par une entité de certification accréditée par ENAC après un audit de conformité indépendant. Je l'explique plus en détail dans l'article sur la déclaration de conformité ENS de niveau basique par autoévaluation.
La certification par une entité accréditée par ENAC est obligatoire pour les systèmes de catégorie moyenne et haute. Pour les systèmes de catégorie basique, la voie est la déclaration de conformité autoévaluée. La catégorie est déterminée en évaluant l'impact d'un incident sur les cinq dimensions CIDAT (confidentialité, intégrité, disponibilité, authenticité et traçabilité). Vous pouvez approfondir le sujet dans les catégories ENS basique, moyenne et haute.
Seules peuvent délivrer la certification ENS les entités de certification de produit accréditées par ENAC selon la norme UNE-EN ISO/IEC 17065:2012 pour le schéma ENS. Ni le CCN lui-même ne délivre de certificats individuels aux entreprises, ni les consultants ne peuvent certifier : le consultant prépare et accompagne ; l'entité accréditée audite et certifie. Vous pouvez consulter la liste dans la page sur la consultation du répertoire des entreprises certifiées ENS.
Le délai dépend du périmètre du système, de la catégorie et de la maturité de départ. En général, la préparation complète (diagnostic, analyse des risques, déploiement des mesures et pré-audit) peut prendre plusieurs mois ; à ce délai s'ajoute la disponibilité de l'entité de certification. Une organisation qui part de zéro et affronte une catégorie haute met significativement plus de temps qu'une organisation disposant déjà de contrôles et affrontant une catégorie moyenne. Consultez le détail des délais dans l'article sur le processus de certification ENS.
La certification ENS a une validité de deux ans. À l'expiration de ce délai, l'organisation doit se soumettre à un nouvel audit de conformité par l'entité accréditée pour renouveler le certificat. C'est pourquoi il est important d'établir dès le début un plan de suivi qui maintient le niveau de conformité pendant la durée de validité du certificat et permet d'aborder le renouvellement sans précipitation.
Si le cahier des charges du contrat exige la conformité à l'ENS comme critère de solvabilité ou comme obligation contractuelle, l'entreprise qui ne peut l'attester est exclue de la procédure d'appel d'offres ou ne remplit pas ses obligations contractuelles. De plus, le délai général d'adaptation des systèmes préexistants a expiré le 5 mai 2024, de sorte que l'obligation est pleinement en vigueur. Soumissionner sans l'accréditation requise peut engager des responsabilités contractuelles et administratives.
Oui, bien qu'il convienne de bien définir le périmètre de la certification dès le départ. L'entité accréditée certifie le système ou l'ensemble de systèmes inclus dans le périmètre défini ; étendre le périmètre par la suite implique un nouvel audit. En tant que consultant, une part fondamentale de mon travail est de vous aider à définir le périmètre le plus adapté : suffisamment large pour couvrir ce qu'exigent les cahiers des charges, mais sans excès inutiles pour ne pas alourdir le coût et l'effort.
Premier appel sans frais et sans engagement. Nous évaluons votre périmètre, votre catégorie probable et votre point de départ. Si travailler ensemble a du sens, je vous présente une proposition ferme. Sinon, vous repartez avec une orientation utile pour avancer.