Je suis Ángel Ortega Castro, consultant ENS indépendant. Je vous accompagne dans la mise en conformité avec l'ENS (le schéma national de sécurité espagnol) (RD 311/2022) pour que votre organisation soit conforme, gagne en crédibilité et puisse répondre aux appels d'offres publics et travailler avec l'Administration sans perturber votre activité.
L'ENS (le schéma national de sécurité espagnol) est le référentiel qui fixe la politique de sécurité obligatoire pour l'utilisation des moyens électroniques dans le secteur public espagnol et chez ceux qui lui fournissent des services. Sa norme en vigueur est le Real Decreto 311/2022, qui a abrogé le RD 3/2010 et articule son contenu en quatre Annexes — catégorisation (I), mesures de sécurité (II), audit (III) et glossaire (IV) — sous la coordination du Centro Criptológico Nacional (CCN).
Ce n'est pas une formalité accessoire : se conformer à l'ENS protège vos systèmes, vous ouvre l'accès à la commande publique et démontre à vos clients que vous gérez l'information avec méthode. Voici les quatre raisons pour lesquelles cela vaut la peine d'être bien fait.
Vous mettez en place les mesures de l'Annexe II proportionnées au risque : défense en profondeur sur les cinq dimensions de sécurité (CIDAT), pas des contrôles isolés.
La conformité à l'ENS est un signal de crédibilité auprès des administrations, des citoyens et des partenaires. Vous prouvez que vous traitez leurs données sérieusement.
De plus en plus de cahiers des charges exigent la conformité ENS aux fournisseurs et sous-traitants. Se conformer est la condition pour soumissionner et remporter des marchés publics.
L'ENS installe un cycle de gestion (PDCA) : analyse des risques, surveillance, réponse aux incidents et audit périodique. Vous progressez de façon durable.
Si vous souhaitez une vue d'ensemble avant d'aller plus loin, je vous recommande le guide complet de l'ENS et le résumé rapide de l'ENS en 5 minutes.
L'ENS s'impose à l'ensemble du secteur public (Administration générale de l'État espagnol, communautés autonomes, collectivités locales et leurs organismes rattachés) et, en outre, aux entreprises privées qui fournissent des services ou des solutions au secteur public dans le cadre d'une relation contractuelle. Il couvre donc toute la chaîne d'approvisionnement : fournisseurs TIC, intégrateurs, éditeurs de logiciels, services cloud et sous-traitants.
Cette extension aux fournisseurs est explicite : le Real Decreto 311/2022 établit que les opérateurs du secteur privé prestataires du secteur public doivent attester leur conformité à l'ENS. La disposition transitoire unique accordait 24 mois pour mettre les systèmes préexistants en conformité ; ce délai général a expiré le 5 mai 2024. L'obligation est pleinement en vigueur : les systèmes nouveaux ou ayant subi des modifications significatives doivent être conformes dès le premier jour, et la certification ENS se renouvelle tous les deux ans. Les cahiers des charges exigent déjà la conformité comme condition de solvabilité, et ceux qui ne peuvent l'attester sont exclus des marchés publics.
Je détaille chaque cas dans ces articles du blog : quand l'ENS s'applique au secteur privé, quels sont les fournisseurs tenus de se conformer à l'ENS et le détail du conseil ENS pour les administrations publiques et son périmètre.
Le plan de mise en conformité ENS suit l'ordre prescrit par les guides CCN-STIC. Aucune improvisation : chaque phase produit un livrable qui s'appuie sur le précédent. Voici la feuille de route complète, du diagnostic initial à la préparation de l'audit.
| Phase | Ce que nous faisons | Référence et livrable |
|---|---|---|
| Phase 01 Diagnostic (écart) |
Analyse différentielle entre votre situation actuelle et les exigences de l'ENS. Définition du périmètre et des systèmes d'information concernés. | Rapport de diagnostic / analyse d'écart indiquant la distance réelle par rapport à la conformité. |
| Phase 02 Catégorisation |
Évaluation des systèmes sur les cinq dimensions de sécurité (CIDAT) et attribution de la catégorie : basique, intermédiaire ou élevée. | Annexe I de l'ENS. Détermine la catégorie basique, intermédiaire ou élevée applicable. |
| Phase 03 Analyse des risques |
Identification des actifs, des menaces et des mesures de protection avec la méthodologie MAGERIT (appuyée sur des outils tels que PILAR). | Rapport d'analyse des risques MAGERIT et traitement du risque. |
| Phase 04 Plan de mise en conformité + DdA |
Politique de sécurité, sélection des mesures et rédaction de la Déclaration d'Applicabilité (DdA), justifiant chaque contrôle applicable. | Guide CCN-STIC 806. Plan de mise en conformité et déclaration de conformité. |
| Phase 05 Mise en œuvre |
Déploiement des mesures sélectionnées : cadre organisationnel, opérationnel et de protection. Accompagnement de votre équipe. | Mise en œuvre des mesures de l'Annexe II avec preuves à l'appui. |
| Phase 06 Audit / certification |
Préparation et révision préalable. Pour les catégories intermédiaire ou élevée, accompagnement pendant l'audit de l'entité accréditée. | Annexe III. Je prépare l'audit ENS ; l'audit de conformité est réalisé par un tiers. |
Vous souhaitez savoir combien de temps dure chaque phase ? Je le détaille dans les délais de mise en conformité ENS. Et si votre système est déjà opérationnel, je peux prendre en charge directement la mise en œuvre et la mise en conformité ENS.
La catégorie d'un système n'est pas une appréciation subjective : elle s'obtient en évaluant l'impact d'un incident sur les cinq dimensions de sécurité — confidentialité, intégrité, disponibilité, authenticité et traçabilité (CIDAT). La dimension dont le niveau est le plus élevé détermine la catégorie du système.
Lorsqu'un incident causerait un préjudice limité aux fonctions de l'organisation, à ses actifs ou aux personnes concernées.
Lorsqu'un incident entraînerait un préjudice grave : au moins une dimension atteint le niveau intermédiaire.
Lorsqu'un incident causerait un préjudice très grave, voire irrémédiable : au moins une dimension atteint le niveau élevé.
Bien choisir la catégorie est essentiel pour ne pas surinvestir ni rester en deçà des exigences. Je vous aide à trancher dans le guide sur les niveaux ENS et comment choisir la catégorie, et à comprendre le rôle des cinq dimensions de sécurité (CIDAT).
En catégorie basique, la conformité s'atteste par une déclaration de conformité auto-évaluée : l'organisation elle-même vérifie sa conformité selon les guides CCN-STIC. Je prépare la documentation et les preuves pour que la déclaration soit solide.
En catégorie intermédiaire ou élevée, la conformité exige une certification par un organisme accrédité par ENAC selon la norme UNE-EN ISO/IEC 17065:2012. Je vous prépare à l'obtenir ; la certification est délivrée par l'organisme accrédité, jamais par le consultant.
Si vous hésitez entre les référentiels, comparez ENS ou ISO 27001 pour répondre aux marchés publics ; et pour le processus complet de labellisation, consultez le processus de certification ENS.
Je ne vous laisse pas un PDF que personne ne rouvre. Je vous remets le corpus documentaire et technique qui étaye la conformité et que l'auditeur — ou votre client du secteur public — a besoin de voir.
Je suis Ángel Ortega Castro, consultant indépendant spécialisé en conformité réglementaire et sécurité de l'information. J'accompagne les administrations, les fournisseurs TIC et les entreprises soumissionnant aux marchés publics dans leur mise en conformité avec l'ENS.
Mon approche est celle d'un accompagnement réel, personne à personne : je ne vous laisse pas un manuel et ne disparais pas. Je travaille à vos côtés à chaque phase, traduit la norme en décisions concrètes et rends votre équipe autonome pour maintenir la conformité une fois le projet terminé.
Je suis honnête sur ce que je peux et ne peux pas promettre : je prépare et mets en conformité votre organisation ; la certification est délivrée par un organisme accrédité par ENAC. Cette franchise, associée à la rigueur sur la norme en vigueur (RD 311/2022, Annexes I-IV et guides CCN-STIC), est ce qui me distingue des cabinets de conseil anonymes.
Catégorie basique habituelle, déclaration de conformité auto-évaluée et utilisation des outils du CCN tels qu'INES. Mise en conformité pratique et proportionnée à la taille de la commune.
Éditeurs de logiciels, intégrateurs et fournisseurs de services cloud qui doivent attester leur conformité pour satisfaire aux cahiers des charges et maintenir leurs contrats publics.
Organisations privées qui préparent leur conformité ENS comme condition de solvabilité pour soumissionner aux appels d'offres et développer leur activité dans le secteur public.
Il n'existe pas de chiffre unique, et méfiez-vous de quiconque vous en fournirait un sans connaître votre situation. L'investissement dépend du périmètre (nombre de systèmes), de la catégorie (basique, intermédiaire ou élevée), de votre niveau de maturité de départ et de la nécessité ou non d'une certification accréditée.
À cet investissement en conseil s'ajoute, pour les catégories intermédiaire et élevée, le coût de l'organisme certificateur accrédité, qui est indépendant de mes honoraires et facturé par le tiers auditeur.
Oui, lorsqu'elles fournissent des services ou des solutions au secteur public dans le cadre d'une relation contractuelle. Le RD 311/2022 étend l'obligation à la chaîne d'approvisionnement ; le délai général pour mettre les systèmes préexistants en conformité a expiré le 5 mai 2024. L'obligation est pleinement en vigueur et les cahiers des charges l'exigent comme condition de solvabilité. Je le détaille dans l'article sur quand l'ENS s'applique au secteur privé.
L'ensemble du secteur public (État, communautés autonomes, collectivités locales et leurs organismes) et les entreprises privées qui leur fournissent des services, c'est-à-dire leurs fournisseurs et sous-traitants. J'explique plus en détail quels sont les fournisseurs tenus de se conformer à l'ENS.
Elle se détermine par l'impact d'un incident sur les cinq dimensions de sécurité (CIDAT). Basique = préjudice limité ; intermédiaire = grave ; élevée = très grave. La dimension dont le niveau est le plus élevé détermine la catégorie du système. Je vous aide à choisir dans le guide sur comment choisir entre les catégories basique, intermédiaire et élevée.
Pour les catégories intermédiaire et élevée, la certification est délivrée par un organisme accrédité par ENAC selon la norme UNE-EN ISO/IEC 17065:2012. En catégorie basique, une déclaration de conformité auto-évaluée est suffisante. En tant que consultant, je prépare la conformité, mais le label est délivré par le tiers accrédité. Plus de détails dans l'article sur la déclaration de conformité de niveau basique.
Cela dépend du périmètre, de la catégorie et du niveau de maturité de départ ; c'est pourquoi je fournis un devis ferme après le diagnostic. Pour les catégories intermédiaire et élevée, il faut ajouter le coût de l'organisme certificateur, indépendant du conseil.
Cela varie selon la catégorie et le niveau de maturité du système. Un projet de catégorie basique est généralement plus rapide qu'un projet de catégorie élevée impliquant plusieurs systèmes et une certification accréditée. Je détaille les durées par phase dans les délais de mise en conformité ENS.
Pour les catégories intermédiaire et élevée, l'audit de conformité est bisannuel (au moins tous les deux ans) et réalisé par un organisme accrédité. En catégorie basique, la vérification est associée à la déclaration de conformité. Je l'explique dans l'article sur la fréquence des audits ENS et qui les réalise.
L'ENS est obligatoire pour le secteur public et ses fournisseurs ; ISO 27001 est une certification internationale volontaire. Ils sont compatibles et partagent de nombreux contrôles, de sorte que le travail réalisé est mutualisé. Je compare les deux référentiels dans l'article ENS ou ISO 27001 pour répondre aux marchés publics.
Premier appel sans frais ni engagement. Nous évaluons votre périmètre et votre catégorie, et si nous sommes alignés, je vous transmets une proposition ferme. Sinon, vous repartez avec un diagnostic initial utile pour commencer votre démarche de conformité ENS.