L'Annexe III du Schéma National de Sécurité (ENS espagnol) encadre l'audit de sécurité : la procédure par laquelle on vérifie qu'un système respecte réellement les mesures de l'Annexe II. Conformément au Décret Royal 311/2022 et à son article 31, les systèmes de catégorie moyenne et haute doivent faire l'objet d'un audit ordinaire au moins tous les deux ans — et d'un audit extraordinaire en cas de modifications substantielles —, tandis que les systèmes de catégorie basique peuvent attester leur conformité par autoévaluation. L'auditeur ne se contente pas de la paperasse : il vérifie que chaque mesure est effectivement déployée, appropriée et, surtout, démontrable par des preuves.
L'Annexe II vous indique ce que vous devez avoir ; l'Annexe III vérifie que vous l'avez réellement. C'est la différence entre rédiger une politique de sécurité et pouvoir présenter le procès-verbal qui l'a approuvée, les registres qui l'appliquent et la configuration qui la concrétise. Si l'Annexe II est l'examen, l'Annexe III en est le correcteur. Dans ce guide, j'explique ce que vérifie exactement l'audit de l'ENS, quelles preuves il exige pour chaque type de mesure, en quoi il diffère de l'autoévaluation et quels sont les constats les plus fréquents.
J'accompagne des entreprises et des entités dans ce processus depuis Castilla y León et les Canaries, et le problème n'est presque jamais l'absence de contrôles, mais l'absence de preuves organisées. Voyons comment éviter cet écueil.
Qu'est-ce que l'Annexe III de l'ENS ?
L'Annexe III du RD 311/2022 fixe l'objet, les niveaux et l'interprétation de l'audit de sécurité. Elle est le complément naturel de l'Annexe II : elle définit comment vérifier la conformité aux mesures que celle-ci catalogue. Son développement opérationnel s'appuie sur l'article 31 du Décret Royal et sur le guide CCN-STIC 808, qui précise comment vérifier la conformité mesure par mesure.
L'audit de l'ENS n'est pas une formalité bureaucratique. Il vérifie trois choses pour chaque mesure applicable : qu'elle est déployée, qu'elle est adaptée au risque et à la catégorie, et que son fonctionnement peut être démontré. Une mesure qui existe sur le papier mais ne laisse aucune trace opérationnelle est, aux fins de l'audit, une mesure non accréditée.
Qui peut auditer la conformité à l'ENS ?
Cela dépend de l'objet de l'audit et de la nature de l'entité :
- Secteur public. La vérification peut être réalisée par un Organe d'Audit Technique (OAT) du secteur public lui-même ou, par le biais de la Déclaration de Conformité, par l'entité elle-même en s'appuyant sur le guide CCN-STIC 809.
- Certification de conformité. Lorsque l'on recherche la Certification de Conformité à l'ENS (courante pour les entreprises privées qui fournissent des services au secteur public), l'audit est réalisé par un Organisme de Certification accrédité par ENAC pour l'ENS. Le résultat se matérialise par un certificat à durée de validité limitée.
En pratique, si vous êtes un prestataire souhaitant accréditer l'ENS pour répondre à des appels d'offres, vous travaillerez avec un organisme de certification accrédité. Je détaille le processus et les coûts dans mon guide sur la certification ENS : processus, exigences et coûts.
À quelle fréquence un système est-il audité selon l'ENS ?
L'article 31 du RD 311/2022 fixe la fréquence selon la catégorie :
| Catégorie du système | Mécanisme de vérification | Périodicité ordinaire |
|---|---|---|
| Basique | Autoévaluation ou audit | Révision périodique recommandée |
| Moyenne | Audit formel | Au moins tous les 2 ans |
| Haute | Audit formel | Au moins tous les 2 ans |
Outre l'audit ordinaire, l'article 31 impose un audit extraordinaire dès que des modifications substantielles surviennent dans le système d'information : un changement d'architecture, une migration significative, une nouvelle intégration avec des services externes. Le délai de deux ans ne dispense pas d'un réexamen lorsque le système évolue de façon notable.
Quelle est la différence entre autoévaluation et audit ?
Cette distinction est essentielle et c'est la catégorie du système qui la détermine. Si vous ne connaissez pas votre catégorie, je l'explique pas à pas dans comment choisir entre le niveau basique, moyen ou haut.
- Autoévaluation (catégorie basique). L'entité elle-même vérifie la conformité aux mesures qui lui sont applicables, généralement à l'aide de l'annexe de vérification de la CCN-STIC 808. Elle est plus légère, mais pas moins rigoureuse : la révision doit être consignée par écrit.
- Audit (catégorie moyenne et haute). La vérification est réalisée par un auditeur disposant de l'indépendance requise (OAT ou organisme de certification). Elle produit un rapport formel avec des constats et, le cas échéant, le certificat de conformité.
La différence essentielle ne réside pas uniquement dans « qui regarde », mais dans le degré d'indépendance et la formalité du résultat. Une autoévaluation bien réalisée constitue une excellente préparation à un futur audit, mais elle ne le remplace pas lorsque la catégorie exige une vérification indépendante.
Quelles preuves l'audit de l'ENS examine-t-il ?
C'est ici que se trouve l'essentiel pratique. L'auditeur parcourt les mesures de l'Annexe II qui vous sont applicables et, pour chacune, recherche des preuves objectives. Voici la correspondance typique par cadre :
| Cadre / mesure | Ce que l'auditeur demande (preuves) |
|---|---|
| org.1 Politique de sécurité | Document approuvé par l'organe de gouvernance, avec date et procès-verbal d'approbation. |
| org.3 Procédures | Procédures écrites, versionnées et communiquées au personnel. |
| op.pl Analyse des risques | Analyse des risques en vigueur avec une méthodologie reconnue (MAGERIT). |
| op.acc Contrôle d'accès | Matrice des permissions, registres d'ajout/suppression, preuve de révision périodique. |
| op.exp Journal d'activité | Journaux conservés, avec la durée de conservation et la protection exigées. |
| op.cont Continuité | Plan de continuité et procès-verbaux des tests effectués. |
| mp.info Sauvegardes | Politique de sauvegardes, registres d'exécution et preuves de tests de restauration. |
| mp.com Communications | Configuration du chiffrement, segmentation du réseau, règles de périmètre. |
Le schéma se répète : document qui définit + registre qui applique + preuve que ça fonctionne. Une sauvegarde sans test de restauration, un journal non conservé ou une politique sans procès-verbal d'approbation sont les lacunes classiques. Je détaille les mesures de l'Annexe II qui sous-tendent cet examen dans l'Annexe II expliquée.
Que contient le rapport d'audit de l'ENS ?
Le rapport est le livrable formel de l'audit. Conformément à l'Annexe III et à la CCN-STIC 808, il doit comporter au minimum :
- Périmètre : quels systèmes et services ont été audités et leur catégorie.
- Critère et méthodologie : le cadre de référence (RD 311/2022, guides CCN-STIC) et la méthode de vérification utilisée.
- Constats : non-conformités, observations et opportunités d'amélioration, qualifiées par gravité.
- Recommandations : actions correctives proposées pour clôturer les constats.
- Avis : la conclusion sur le degré de conformité du système.
Un rapport comportant des non-conformités ne signifie pas nécessairement un « échec » : cela signifie qu'il faut ouvrir un plan d'action corrective et y remédier. La gestion de ce plan est aussi importante que l'audit lui-même.
Constats typiques lors d'un audit de l'ENS
D'expérience, voici ceux qui reviennent le plus souvent — et qui sont presque tous évitables :
- Politique non approuvée formellement. Le document existe, mais le procès-verbal de l'organe de gouvernance est absent.
- Analyse des risques obsolète. Elle a été réalisée une fois et n'a jamais été révisée après les évolutions du système.
- Sauvegardes sans tests de restauration. Les sauvegardes sont effectuées, mais personne n'a vérifié qu'elles pouvaient être restaurées.
- Permissions sans révision périodique. Comptes de personnes qui ne sont plus en poste, accès que personne n'audite.
- Chaîne d'approvisionnement non maîtrisée. Prestataires et services en nuage auxquels le niveau d'exigence de l'ENS n'est pas transposé.
- Déclaration d'Applicabilité incohérente. Mesures marquées comme applicables sans preuve, ou exclusions non justifiées.
Niveaux de l'audit : ce que l'auditeur approfondit selon la catégorie
L'Annexe III n'applique pas le même critère à tous les systèmes. La profondeur de la vérification augmente avec la catégorie, tout comme les exigences de l'Annexe II. En pratique, cela se traduit par la quantité et le niveau de détail de l'examen de chaque mesure :
- Catégorie basique. La vérification se concentre sur la confirmation que les mesures applicables existent et sont opérationnelles. L'autoévaluation documentée suffit généralement, pour autant qu'elle indique ce qui a été examiné et avec quel résultat.
- Catégorie moyenne. L'auditeur entre dans le détail de la mise en œuvre : non seulement que la mesure existe, mais qu'elle est correctement configurée, appliquée de façon systématique et génère des preuves reproductibles. Des sondages sur les registres et les configurations apparaissent.
- Catégorie haute. La vérification est la plus exigeante. Les renforts de l'Annexe II sont examinés, l'efficacité des mesures face à des scénarios de risque concrets est confrontée et la robustesse des contrôles les plus critiques est analysée (chiffrement, ségrégation, continuité, supervision).
C'est pourquoi bien connaître votre catégorie est également le point de départ pour l'audit : elle définit non seulement les mesures qui vous sont applicables, mais aussi avec quelle loupe elles seront examinées. Si vous n'avez pas encore de certitude à ce sujet, révisez-la dans les catégories ENS basique, moyenne et haute.
Le cycle de vie de la certification de conformité
Lorsque l'audit vise la Certification de Conformité à l'ENS, ce n'est pas un acte unique, mais un cycle qui se répète dans le temps. Il convient de bien le comprendre pour planifier les ressources :
- Mise en conformité préalable. Avant tout audit, le système doit être déployé : catégorisé, avec ses mesures de l'Annexe II en place et sa Déclaration d'Applicabilité signée.
- Audit initial de certification. L'organisme de certification vérifie la conformité et, si l'avis est favorable, délivre le certificat.
- Validité du certificat. Le certificat a une durée de validité limitée et est soumis à un suivi.
- Audits de suivi et de renouvellement. Périodiquement — au moins tous les deux ans pour les catégories moyenne et haute — la conformité est à nouveau vérifiée pour maintenir le certificat en vigueur.
- Audits extraordinaires. Tout changement substantiel du système rouvre la nécessité de vérification.
La conséquence est claire : la conformité à l'ENS ne s'« obtient pas pour toujours ». C'est un état à maintenir, ce qui exige d'intégrer la sécurité dans le fonctionnement quotidien du système, et non de la traiter comme un projet ponctuel. Le détail des coûts et des délais de ce cycle est développé dans certification ENS : processus, exigences et coûts.
Un exemple de preuve bien construite
Pour illustrer la différence entre « avoir la mesure » et « pouvoir la démontrer », prenons la mesure de sauvegardes (mp.info). Une entité peut affirmer qu'elle effectue des sauvegardes, mais lors d'un audit, cela ne suffit pas. Une preuve solide comprendrait :
- Une politique de sauvegardes documentée (quoi sauvegarder, à quelle fréquence, combien de temps conserver, où stocker).
- Des registres d'exécution montrant que les sauvegardes sont réalisées conformément aux prévisions, sans lacune.
- Des procès-verbaux de tests de restauration démontrant que les sauvegardes ne sont pas seulement effectuées, mais qu'elles peuvent être récupérées.
- La preuve que les sauvegardes sont protégées (chiffrement, contrôle d'accès, copie hors site lorsque la catégorie l'exige).
Cet ensemble — politique, registre, test et protection — est ce qui transforme une affirmation en une mesure accréditée. Appliquez le même raisonnement à chaque mesure de votre Déclaration d'Applicabilité et vous aurez résolu la moitié du chemin vers l'audit.
Comment vous préparer à réussir l'audit
La meilleure préparation ne s'improvise pas la semaine précédente. Une approche qui fonctionne :
- Partez de la Déclaration d'Applicabilité et, pour chaque mesure indiquée, identifiez où se trouve sa preuve. Si vous ne la trouvez pas vous-même, l'auditeur ne la trouvera pas non plus.
- Réalisez une autoévaluation préalable avec la CCN-STIC 808, même si votre catégorie est moyenne ou haute : elle vous montre les lacunes avant qu'un tiers ne les détecte.
- Organisez les preuves dans un référentiel unique, traçable depuis chaque mesure.
- Passez en revue les points sensibles : approbation de la politique, validité de l'analyse des risques, tests de restauration et révision des accès.
Si vous souhaitez approfondir la préparation opérationnelle, je la traite en détail dans comment se préparer à l'audit de l'ENS.
Questions fréquentes sur l'Annexe III de l'ENS
Qu'est-ce que l'Annexe III de l'ENS ?
C'est la partie du RD 311/2022 qui encadre l'audit de sécurité : elle définit l'objet, les niveaux et l'interprétation de la vérification de conformité aux mesures de l'Annexe II. Son développement pratique s'appuie sur l'article 31 et le guide CCN-STIC 808.
Qui peut auditer la conformité à l'ENS ?
Dans le secteur public, un Organe d'Audit Technique ou l'entité elle-même par le biais d'une Déclaration de Conformité. Pour la Certification de Conformité — courante chez les prestataires privés —, l'audit est réalisé par un organisme de certification accrédité par ENAC pour l'ENS.
À quelle fréquence l'audit est-il effectué ?
Les systèmes de catégorie moyenne et haute sont audités au moins tous les deux ans, conformément à l'article 31, plus un audit extraordinaire en cas de modifications substantielles. Les systèmes de catégorie basique peuvent attester leur conformité par autoévaluation.
Quelles preuves l'audit de l'ENS examine-t-il ?
Pour chaque mesure applicable de l'Annexe II, l'auditeur recherche le document qui la définit, le registre qui l'applique et la preuve qu'elle fonctionne : politique approuvée, analyse des risques en vigueur, journaux conservés, tests de restauration des sauvegardes, matrice d'accès révisée, configuration des communications, etc.
Quelle est la différence entre autoévaluation et audit ?
L'autoévaluation est réalisée par l'entité elle-même (valable pour la catégorie basique) et l'audit est effectué par un vérificateur indépendant avec un résultat formel (obligatoire pour les catégories moyenne et haute). Les deux vérifient la même chose, mais diffèrent par l'indépendance et la formalité de l'avis.
Que se passe-t-il si l'audit détecte des non-conformités ?
Elles sont consignées dans le rapport, qualifiées par gravité, et un plan d'action corrective est ouvert pour y remédier. Les non-conformités n'impliquent pas un échec automatique ; ce qui est décisif, c'est de les clôturer dans les délais et de laisser la preuve de la correction.
Sources
- Décret Royal 311/2022, du 3 mai (BOE-A-2022-7191) — article 31 (audit) et Annexe III.
- CCN-CERT — Guide CCN-STIC 808 : Vérification de la conformité à l'ENS.
- Portail de l'ENS — CCN (ens.ccn.cni.es) — guides CCN-STIC 808 et 809 (Déclaration et Certification de Conformité).
Contenu élaboré par Summum Marketing pour angelortegacastro.com. Information à caractère pédagogique ; pour un audit formel, veuillez vous référer au RD 311/2022 en vigueur et au guide CCN-STIC 808 dans sa dernière version.