Annexe II de l'ENS : les mesures de sécurité

Si vous cherchez à comprendre le cœur technique et juridique de l'ENS, c'est ici. L'Annexe II n'est pas une liste optionnelle de bonnes pratiques : c'est le référentiel normatif qui détermine précisément ce que votre organisation doit mettre en place pour être conforme. Dans cet article, je vous explique la structure complète, le fonctionnement par catégorie et les erreurs les plus fréquentes que j'observe en mission de conseil.

Qu'est-ce que l'Annexe II de l'ENS ?

L'ENS, dans sa version actuelle issue du Real Decreto 311/2022, structure ses exigences de sécurité en deux grandes annexes. L'Annexe I définit les conditions de sécurité à appliquer aux systèmes ; l'Annexe II, elle, liste les mesures concrètes qui permettent d'y répondre.

Ces 73 mesures sont hiérarchisées selon un identifiant normalisé (par exemple, org.1, op.acc.1, mp.com.1) qui indique à la fois le cadre d'appartenance et l'ordre logique de mise en œuvre. Chaque mesure comporte :

• Un intitulé décrivant l'exigence de sécurité visée ;
• Un niveau d'application selon la catégorie du système (base, moyenne, haute) ;
• Des points de contrôle qui précisent ce qui doit être démontré lors d'un audit ou d'une certification.

Contrairement à une idée reçue, les 73 mesures ne sont pas toutes obligatoires dans tous les cas. C'est la catégorie du système — déterminée à l'issue de l'analyse d'impact — qui fixe le sous-ensemble applicable. Pour aller plus loin sur cette catégorisation, consultez mon guide complet de l'ENS.

Les trois cadres de l'Annexe II

La structure de l'Annexe II suit une logique progressive : on commence par poser les bases organisationnelles, on sécurise ensuite les opérations au quotidien, puis on protège physiquement et logiquement les actifs. Voici comment se répartissent les mesures :

1. Le cadre organisationnel (org.*)

Ce cadre, le plus court en nombre de mesures, est néanmoins fondateur. Sans une politique de sécurité formalisée et approuvée par la direction (org.1), aucune autre mesure ne peut être considérée comme réellement portée par l'organisation. Les quatre mesures de ce cadre sont :

• org.1 — Politique de sécurité : document approuvé au plus haut niveau, définissant les objectifs, les responsabilités et les engagements en matière de sécurité de l'information.
• org.2 — Normative de sécurité : ensemble de règles que les utilisateurs et les systèmes doivent respecter, déclinées en normes internes.
• org.3 — Procédures de sécurité : description opérationnelle des tâches liées à la sécurité (gestion des incidents, sauvegardes, contrôles d'accès, etc.).
• org.4 — Processus d'autorisation : mécanismes formels pour autoriser la mise en service de nouveaux composants ou systèmes, ainsi que leur modification.

En pratique, beaucoup d'organismes ont ces documents dans leurs tiroirs sans qu'ils soient réellement appliqués ni régulièrement révisés. L'ENS exige une preuve de mise à jour et de diffusion effective, pas uniquement l'existence d'un fichier.

2. Le cadre opérationnel (op.*)

Avec 35 mesures, c'est le cadre le plus dense. Il couvre l'ensemble du cycle de vie opérationnel d'un système sécurisé. Il se subdivise en plusieurs sous-familles :

• op.pl.* — Planification : analyse des risques, architecture de sécurité, adéquation des composants, dimensionnement.
• op.acc.* — Contrôle d'accès : identification, autentification, gestion des privilèges, accès à distance.
• op.exp.* — Exploitation : inventaire des actifs, gestion de la configuration, gestion des vulnérabilités, maintenance.
• op.ext.* — Services externes : exigences vis-à-vis des fournisseurs et prestataires qui traitent ou hébergent des informations.
• op.cont.* — Continuité du service : analyse d'impact, plans de continuité, prueba de rétablissement.
• op.mon.* — Supervision : détection d'intrus, journaux d'audit, métriques de sécurité.

C'est dans ce cadre que l'on trouve les exigences les plus techniques et les plus complexes à implémenter, notamment tout ce qui touche à la gestion des vulnérabilités (op.exp.2), au cloisonnement des systèmes (op.pl.2) ou à la supervision des événements de sécurité (op.mon.1 et op.mon.2).

3. Les mesures de protection (mp.*)

Ce cadre protège les actifs concrets : les locaux, les équipements physiques, les réseaux de communication, les supports d'information, les applications et les services. Les 34 mesures se répartissent ainsi :

• mp.if.* — Installations : sécurité physique des locaux, contrôle d'accès physique, climatisation, alimentation électrique.
• mp.per.* — Gestion du personnel : caractérisation des postes, formation, conscience sécurité, incidents liés aux personnes.
• mp.eq.* — Équipements : protection des postes de travail, protection des dispositifs portables, élimination des équipements en fin de vie.
• mp.com.* — Communications : périmètre sécurisé, protection des communications internes et externes, chiffrement des échanges.
• mp.si.* — Supports d'information : étiquetage, chiffrement, destruction sécurisée des supports.
• mp.sw.* — Applications informatiques : développement sécurisé, acceptation et mise en production, protection contre les codes malveillants.
• mp.info.* — Protection de l'information : données de caractère personnel, chiffrement de l'information au repos, copies de sauvegarde.
• mp.s.* — Protection des services : protection contre les dénis de service, séparation entre flux de production et d'administration.

L'Annexe II de l'ENS n'est pas un catalogue de souhaits : c'est un référentiel de preuves. Chaque mesure doit pouvoir être démontrée — par un document, un journal système ou un processus observable — lors d'un audit de certification.

Catégorie du système et mesures applicables

L'un des aspects les plus importants à comprendre est que l'ENS adopte une approche proportionnée au risque. Chaque système est classé dans une catégorie — base, moyenne ou haute — en fonction des niveaux de sécurité requis pour chaque dimension (confidentialité, intégrité, disponibilité, authenticité et traçabilité).

Cette catégorie détermine directement quelles mesures de l'Annexe II sont exigibles et avec quel niveau de rigueur :

Pour les systèmes de catégorie de base, l'ENS prévoit également un Profil de conformité simplifié, publié par le CCN-CERT, qui facilite la mise en conformité des petites entités sans ressources spécialisées importantes. Ces profils sont régulièrement mis à jour et sont téléchargeables sur le portail du Centre Cryptologique National.

Si vous souhaitez approfondir le cadre réglementaire qui sous-tend cette catégorisation, lisez mon article sur le Real Decreto 311/2022.

La Déclaration d'Applicabilité

La Déclaration d'Applicabilité (DA) est le document pivot qui articule l'Annexe II avec votre réalité organisationnelle. Elle recense, pour chaque mesure de l'Annexe II :

1. Si la mesure est applicable à votre système ;
2. Si elle est implantée, en cours d'implantation ou exclue ;
3. La justification de toute exclusion (mesure compensatoire, inapplicabilité technique, etc.) ;
4. Le niveau de maturité atteint pour les mesures à niveaux progressifs.

Ce document est indispensable pour obtenir la certification ENS — qu'elle soit délivrée par un organisme accrédité comme AENOR ou par le CCN-CERT pour les organismes publics. La DA constitue également la preuve documentaire principale lors d'un audit de renouvellement.

Un point souvent mal compris : la Déclaration d'Applicabilité n'est pas un formulaire à remplir une seule fois. Elle doit être révisée à chaque changement significatif du système ou de son environnement, et au minimum annuellement. Pour en savoir plus sur le processus de certification, consultez mon article sur la certification ENS : processus, exigences et coûts.

Annexe II de l'ENS vs ISO 27001 : quelles différences ?

Cette comparaison revient systématiquement dans mes missions de conseil, en particulier auprès d'organisations qui disposent déjà d'une certification ISO 27001. Voici les similitudes et divergences essentielles :

Ce qu'ils ont en commun

• Les deux référentiels reposent sur une analyse des risques préalable à la sélection des contrôles.
• L'ISO 27001 dispose de son Annexe A (93 contrôles dans la version 2022) ; l'ENS dispose de ses 73 mesures en Annexe II — les deux listes sont partiellement superposables.
• La Déclaration d'Applicabilité ENS est conceptuellement proche de la Statement of Applicability (SoA) d'ISO 27001.
• Les deux exigent une amélioration continue et des revues périodiques.

Ce qui les distingue

• Champ d'application : l'ISO 27001 est un standard international applicable à tout type d'organisation ; l'ENS est une obligation légale espagnole pour les administrations publiques et leurs prestataires.
• Niveau de prescriptivité : l'ENS est plus prescriptif — il impose des mesures spécifiques avec des niveaux définis, là où l'ISO 27001 laisse davantage de latitude dans le choix des contrôles.
• Catégorisation : l'ENS introduit une notion de catégorie de système (base/moyenne/haute) qui n'existe pas dans ISO 27001 sous cette forme.
• Reconnaissance légale : la certification ENS a une valeur juridique en Espagne (marchés publics, administration électronique) que l'ISO 27001 ne confère pas directement.

Si votre organisation est déjà certifiée ISO 27001, une démarche ENS est significativement facilitée. Les deux certifications sont complémentaires et de nombreux auditeurs proposent des audits combinés pour optimiser les coûts.

Erreurs fréquentes dans l'application de l'Annexe II

Après plusieurs années d'accompagnement d'organismes publics et privés dans leur mise en conformité ENS, voici les erreurs que j'observe le plus souvent :

1. Appliquer toutes les mesures sans avoir catégorisé le système

Certaines équipes, par excès de précaution ou par manque de compréhension du cadre, tentent d'appliquer les 73 mesures à un système de catégorie de base. Résultat : surcharge de travail, délais allongés et ressources gaspillées sur des contrôles disproportionnés. La catégorisation n'est pas une formalité — c'est le point de départ obligatoire.

2. Confondre existence et application effective

Avoir un document de politique de sécurité (org.1) ne suffit pas. L'ENS exige que cette politique soit approuvée formellement, diffusée aux personnels concernés et révisée à intervalles définis. Un document signé mais jamais communiqué est une non-conformité.

3. Négliger les mesures liées aux services externes (op.ext.*)

Beaucoup d'organismes oublient d'étendre leurs exigences ENS à leurs fournisseurs cloud, hébergeurs ou prestataires de maintenance. Or l'ENS est explicite : si un tiers traite ou héberge de l'information relevant d'un système soumis à l'ENS, il doit lui-même respecter des exigences équivalentes, formalisées dans un contrat.

4. Ne pas maintenir la Déclaration d'Applicabilité à jour

La DA est souvent rédigée pour les besoins de la certification initiale, puis oubliée. Lors d'un audit de renouvellement, une DA non mise à jour est quasi-systématiquement relevée comme non-conformité majeure. Elle doit vivre avec votre système.

5. Sous-estimer la mesure op.mon.* (supervision)

La supervision des événements de sécurité est techniquement exigeante et souvent reléguée en fin de projet faute de temps. Or c'est l'une des mesures les plus vérifiées lors des audits, car elle conditionne la capacité à détecter et répondre aux incidents. Prévoyez les ressources nécessaires dès la phase de planification.

Comment aborder la mise en œuvre de l'Annexe II

La mise en œuvre de l'Annexe II de l'ENS suit naturellement une séquence logique. Voici l'approche que je recommande dans mes missions de conseil en implantation ENS :

1. Inventaire et catégorisation des systèmes : identifiez tous vos systèmes d'information, évaluez les niveaux de sécurité requis pour chaque dimension et déterminez la catégorie.
2. Analyse des risques : réalisez une analyse formelle des risques pesant sur chaque système catégorisé — elle conditionne la sélection et le dimensionnement des mesures.
3. Sélection des mesures applicables : à partir de la catégorie et de l'analyse des risques, dressez la liste des mesures de l'Annexe II qui s'appliquent à chaque système.
4. Analyse des écarts : comparez l'état actuel de votre organisation à chaque mesure applicable et identifiez les lacunes.
5. Plan de traitement : priorisez les actions correctives, allouez les ressources et fixez les délais de mise en conformité.
6. Implantation et documentation : mettez en œuvre les mesures, documentez les preuves et rédigez (ou mettez à jour) la Déclaration d'Applicabilité.
7. Audit et certification : faites vérifier votre conformité par un organisme accrédité si votre catégorie le requiert, ou procédez à une auto-déclaration pour la catégorie de base.

Ce processus s'inscrit dans la relation plus large entre l'ENS et l'administration électronique. Pour comprendre les obligations légales qui déclenchent cette démarche, lisez mon article sur l'ENS et l'administration électronique.

Questions fréquentes sur l'Annexe II de l'ENS

Combien y a-t-il de mesures dans l'Annexe II de l'ENS ?

L'Annexe II du Real Decreto 311/2022 comprend 73 mesures de sécurité, réparties en trois cadres : 4 mesures dans le cadre organisationnel (org.*), 35 dans le cadre opérationnel (op.*) et 34 dans les mesures de protection (mp.*). Toutes ne sont pas obligatoires dans tous les cas : c'est la catégorie du système qui détermine le sous-ensemble applicable.

Est-ce qu'un prestataire privé doit appliquer l'Annexe II ?

Oui, si ce prestataire fournit des services à une administration publique soumise à l'ENS et que ces services impliquent le traitement ou l'hébergement d'informations relevant d'un système couvert. Dans ce cas, le prestataire doit démontrer sa conformité aux mesures de l'Annexe II applicables à son périmètre, ce qui passe en général par une certification ENS ou une déclaration contractuelle accompagnée de preuves.

Quelle est la différence entre une mesure de niveau 1, 2 et 3 ?

Certaines mesures de l'Annexe II sont subdivisées en niveaux progressifs. Le niveau 1 représente l'exigence minimale (applicable dès la catégorie de base) ; le niveau 2 renforce cette exigence (applicable à partir de la catégorie moyenne) ; le niveau 3 correspond à l'exigence la plus stricte (applicable uniquement en catégorie haute). Chaque niveau inclut les exigences du niveau précédent.

La Déclaration d'Applicabilité est-elle obligatoire pour tous les systèmes ?

Oui. La Déclaration d'Applicabilité est exigée pour tout système soumis à l'ENS, quelle que soit sa catégorie. Pour les systèmes de catégorie de base, elle peut être simplifiée, mais elle reste indispensable pour démontrer que l'organisme a bien analysé les mesures applicables et justifié ses choix.

Peut-on exclure des mesures de l'Annexe II ?

Oui, sous conditions. Une mesure peut être exclue si elle est techniquement inapplicable au système concerné ou si elle est couverte par une mesure compensatoire équivalente. Toute exclusion doit être documentée et justifiée dans la Déclaration d'Applicabilité. Les exclusions non justifiées constituent des non-conformités lors des audits.

L'ENS est-il aligné avec le RGPD ?

L'ENS et le RGPD sont complémentaires mais distincts. Le RGPD régit la protection des données à caractère personnel ; l'ENS porte sur la sécurité des systèmes d'information des administrations publiques. Plusieurs mesures de l'Annexe II contribuent directement à la conformité RGPD (notamment mp.info.1 sur la protection des données personnelles et les mesures de chiffrement), mais les deux référentiels poursuivent des objectifs différents et doivent être gérés en parallèle.

Combien de temps prend la mise en conformité avec l'Annexe II ?

La durée dépend fortement de la catégorie du système, de la maturité sécurité de l'organisation et des ressources allouées. En pratique, pour un système de catégorie moyenne, comptez entre 6 et 12 mois pour une mise en conformité complète à partir d'un niveau de maturité faible. Pour une catégorie haute, le délai peut atteindre 18 à 24 mois. Une organisation déjà certifiée ISO 27001 peut réduire significativement ces délais.

Pour aller plus loin

L'Annexe II de l'ENS est le cœur opérationnel du Schéma — c'est là que la conformité se construit mesure par mesure, preuve par preuve. Si vous souhaitez un accompagnement personnalisé pour analyser vos systèmes, réaliser votre Déclaration d'Applicabilité ou préparer votre certification, n'hésitez pas à me contacter.

Vous pouvez également consulter ces ressources complémentaires sur ce site :

• Guide complet du Schéma National de Sécurité (ENS espagnol)
• Real Decreto 311/2022 : résumé et points clés
• Certification ENS : processus, exigences et coûts
• ISO 27001 : guide complet de la sécurité de l'information
• ENS et administration électronique : obligations légales

Sources

• BOE — Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, BOE núm. 109, de 7 de mayo de 2022. www.boe.es/eli/es/rd/2022/05/03/311
• CCN-CERT — Guías CCN-STIC series 800 : ensemble de guides techniques publiés par le Centre Cryptologique National pour l'implantation de l'ENS. Disponibles sur ccn-cert.cni.es
• CCN-CERT — Perfiles de Cumplimiento Específicos (PCE) para categoría básica. Centre Cryptologique National, 2023.
• ENISA — Cybersecurity Certification : EUCS (European Union Cybersecurity Certification Scheme for Cloud Services). ENISA, 2024. enisa.europa.eu
• INCIBE — Recursos sobre el Esquema Nacional de Seguridad para pymes y entidades locales. incibe.es