À quelle fréquence l'ENS est-il audité et qui réalise cet audit ? Le Schéma National de Sécurité (ENS espagnol) impose un audit régulier ordinaire au moins tous les deux ans (audit biennal), conformément à l'article 31 du Real Decreto 311/2022. De plus, un audit extraordinaire est obligatoire dès lors que des modifications substantielles interviennent dans le système et affectent les mesures de sécurité requises ; cet audit extraordinaire remet à zéro le délai de deux ans. Le responsable de l'audit dépend de la catégorie : en catégorie basique, une auto-évaluation suffit ; en catégorie moyenne et haute, l'audit est réalisé par une entité de certification accréditée par ENAC. Dans cet article, nous vous expliquons le cycle complet : périodicité, responsables de l'audit, points contrôlés et articulation avec la conformité.
À quelle fréquence l'ENS est-il audité ?
L'article 31.1 du RD 311/2022 est clair : les systèmes relevant du champ d'application de l'ENS font l'objet d'un audit régulier ordinaire, au moins tous les deux ans, vérifiant le respect des exigences du Schéma National de Sécurité. C'est cette périodicité biennale qui définit le cycle d'audit de l'ENS.
Le « au moins » est important : deux ans est le délai maximum entre deux audits ordinaires, non un minimum. Une organisation peut s'auditer plus fréquemment si elle le juge opportun, mais elle ne peut jamais laisser s'écouler plus de deux ans sans audit régulier.
Qu'est-ce que l'audit extraordinaire de l'ENS ?
Outre l'audit ordinaire biennal, le même article 31 impose un audit extraordinaire dès lors que des modifications substantielles interviennent dans le système d'information et sont susceptibles d'affecter les mesures de sécurité requises. Qu'entend-on par modification substantielle ? Des changements significatifs dans l'architecture, les services fournis, le traitement de l'information ou le périmètre du système ; non un correctif de routine.
Un détail souvent négligé : la réalisation d'un audit extraordinaire remet à zéro le délai de deux ans pour l'audit ordinaire suivant. Autrement dit, si vous effectuez un audit extraordinaire, le compteur du délai biennal repart de zéro à cette date.
Cycle d'audit de l'ENS
Qui peut auditer l'ENS ?
Cela dépend de la catégorie du système, car la voie de conformité varie :
- Catégorie basique : la conformité peut être déterminée par auto-évaluation. Aucun auditeur externe n'est exigé ; l'organisation elle-même vérifie le respect des exigences. Cette vérification doit néanmoins être renouvelée au moins tous les deux ans.
- Catégories moyenne et haute : la conformité est attestée par certification, au moyen d'un audit formel réalisé par une entité de certification accréditée par ENAC (l'Entité Nationale d'Accréditation espagnole). Dans le secteur public, certains organismes peuvent faire appel à des organes d'audit technique habilités.
La différence est substantielle : une auto-évaluation est signée par l'entité elle-même, tandis qu'une certification est délivrée par un tiers indépendant et accrédité. Si votre système est de catégorie moyenne ou haute, vous aurez impérativement besoin d'un auditeur externe. Pour ne pas arriver insuffisamment préparé, consultez notre guide sur comment préparer l'audit de l'ENS.
L'audit de l'ENS est-il biennal ou annuel ?
Il est biennal : l'audit régulier ordinaire est réalisé au moins tous les deux ans, et non chaque année. C'est une confusion fréquente, notamment chez ceux qui sont habitués à des référentiels à cycles annuels. Dans l'ENS, le délai ordinaire est de deux ans. Ce qui peut survenir avant ce délai, c'est un audit extraordinaire, mais uniquement en cas de modifications substantielles du système.
Il convient de ne pas confondre le cycle de l'ENS avec celui de la ISO 27001, qui prévoit des audits de suivi annuels et une recertification tous les trois ans. Ce sont des référentiels distincts avec des calendriers distincts ; si vous gérez les deux, vous devrez coordonner deux cycles d'audit.
Quelle différence entre auto-évaluation et audit de certification ?
Les deux vérifient la conformité à l'ENS, mais ils ne sont pas équivalents :
- Auto-évaluation : elle est réalisée par l'organisation elle-même. Elle s'applique à la catégorie basique et aboutit à une déclaration de conformité. Elle est plus souple et moins coûteuse, mais l'entière responsabilité repose sur le signataire.
- Audit de certification : il est réalisé par une entité accréditée par ENAC. Il est obligatoire pour les catégories moyenne et haute et aboutit à un certificat de conformité. Il apporte indépendance et reconnaissance externe.
Si vous souhaitez approfondir la première voie, nous la développons dans notre guide sur la déclaration de conformité ENS en catégorie basique et comment vous auto-évaluer.
Tableau : cycle et responsables de l'audit de l'ENS
Ce tableau récapitulatif, élaboré en interne, résume le cycle et les responsables selon le type de révision :
| Type de révision | Quand elle est réalisée | Qui la réalise | Résultat |
|---|---|---|---|
| Ordinaire (biennale) | Au moins tous les 2 ans | Auto-évaluation (basique) / entité ENAC (moyenne-haute) | Maintien de la conformité |
| Extraordinaire | En cas de modifications substantielles du système | Même voie que l'ordinaire selon la catégorie | Remet à zéro le délai de 2 ans |
| Auto-évaluation (basique) | Au moins tous les 2 ans | L'organisation elle-même | Déclaration de conformité |
| Certification (moyenne/haute) | Au moins tous les 2 ans | Entité de certification accréditée par ENAC | Certificat de conformité |
Que contrôle l'audit de l'ENS ?
L'audit vérifie que les mesures de sécurité exigées par l'ENS sont mises en œuvre et opérationnelles, et pas seulement documentées sur le papier. Dans les grandes lignes, il contrôle :
- Le cadre organisationnel : politique de sécurité approuvée, réglementation, procédures et répartition des rôles et responsabilités.
- Le cadre opérationnel : gestion des opérations, contrôle des accès, surveillance, gestion des incidents et continuité d'activité.
- Les mesures de protection : protection des installations, des équipements, des communications, des supports d'information, des applications et des services.
- L'analyse des risques : son existence, sa mise à jour et son rôle dans les décisions de sécurité.
L'auditeur confronte chaque mesure de l'Annexe II du RD 311/2022 applicable à la catégorie du système avec les preuves réelles. Un audit qui se limite à examiner des documents sans vérifier le bon fonctionnement des mesures ne remplit pas sa fonction.
Comment se déroule un audit de l'ENS ?
Un audit de certification de l'ENS n'est pas un examen surprise : il suit un processus structuré qu'il est utile de connaître pour arriver bien préparé. Dans les grandes lignes, il se déroule en plusieurs phases :
- Planification et périmètre. On définit quel système est audité, sa catégorie et l'ensemble des mesures applicables. L'entité de certification convient avec l'organisation du calendrier et de la documentation préalable.
- Revue documentaire. L'auditeur examine la politique de sécurité, l'analyse des risques, la déclaration d'applicabilité des mesures, les procédures et les enregistrements. Il vérifie que le cadre documentaire existe et est cohérent.
- Travaux sur le terrain. L'auditeur vérifie sur place que les mesures fonctionnent : il examine les configurations, interroge les responsables, contrôle les preuves des contrôles opérationnels (journaux, registres d'incidents, contrôle des accès).
- Rapport et non-conformités. L'auditeur émet un rapport avec ses conclusions et, le cas échéant, les non-conformités classées par gravité.
- Correction et décision. L'organisation corrige les non-conformités dans les délais impartis et l'entité statue sur l'émission ou le renouvellement du certificat.
Aborder ce processus avec une documentation bien organisée et des mesures réellement mises en œuvre fait toute la différence entre un audit serein et un audit semé d'écueils. C'est pourquoi il est conseillé de préparer l'audit à l'avance, sans l'improviser.
Audit de l'ENS et audit ISO 27001 : quelles différences ?
Si votre organisation gère simultanément l'ENS et l'ISO 27001, vous devrez coexister avec deux cycles d'audit distincts, et il est important de ne pas les confondre :
- ENS : audit régulier ordinaire au moins tous les deux ans, plus des audits extraordinaires en cas de modifications substantielles. La voie dépend de la catégorie (auto-évaluation ou certification ENAC).
- ISO 27001 : audit de certification initial, audits de suivi annuels et audit de recertification tous les trois ans, toujours réalisés par une entité de certification accréditée.
La bonne nouvelle est que, si vous intégrez les deux systèmes, vous pouvez coordonner les audits pour que les travaux sur le terrain se recoupent et alléger ainsi la charge pesant sur l'organisation. Une politique de sécurité unique, une analyse des risques commune et un corpus documentaire partagé permettent à l'auditeur de n'examiner qu'une seule fois ce qui sert aux deux référentiels. Nous développons ce point dans notre comparatif entre l'ENS et l'ISO 27001.
Comment se préparer à l'audit biennal ?
Le fait que le délai soit de deux ans ne signifie pas que la sécurité n'est contrôlée que tous les deux ans. Les organisations qui arrivent bien préparées à l'audit sont celles qui maintiennent la conformité de façon continue :
- Maintenez l'analyse des risques à jour. Actualisez-la dès que les actifs, les menaces ou les mesures de protection évoluent, et pas seulement à l'approche de l'audit.
- Conservez les preuves tout au long du cycle. Les registres d'incidents, d'accès, de sauvegardes et de révisions doivent être disponibles, et non reconstitués à la dernière minute.
- Réalisez des révisions internes intermédiaires. Une révision à mi-cycle permet de détecter les lacunes à temps pour les corriger avant l'audit officiel.
- Surveillez les modifications substantielles. Si vous apportez un changement significatif au système, gardez à l'esprit que cela peut déclencher un audit extraordinaire et remettre à zéro le délai.
Que se passe-t-il si vous ne réussissez pas l'audit ?
Si l'audit détecte des non-conformités, l'organisation doit les corriger dans les délais fixés par l'entité de certification avant d'obtenir ou de renouveler le certificat. Conserver un certificat de conformité sans être réellement en conformité — par exemple, laisser s'écouler le délai biennal ou ne pas corriger les non-conformités — constitue une irrégularité. Pour les entreprises privées travaillant avec l'Administration, perdre la conformité peut en outre signifier manquer aux exigences contractuelles.
Le rôle d'ENAC et des entités de certification
Lorsque votre système est de catégorie moyenne ou haute, n'importe qui ne peut pas vous auditer : l'audit de conformité est réalisé par une entité de certification accréditée par ENAC, l'Entité Nationale d'Accréditation espagnole. L'accréditation ENAC garantit que cette entité satisfait aux critères techniques pour certifier l'ENS, comme c'est le cas pour d'autres schémas de certification. Cela apporte une indépendance réelle : le certificat n'est pas délivré par l'organisation auditée elle-même ni par un prestataire quelconque, mais par un tiers accrédité et contrôlé.
Dans le secteur public, le RD 311/2022 prévoit également que certains organismes puissent faire appel à leurs propres organes d'audit technique habilités. Pour une entreprise privée souhaitant se certifier, en revanche, la voie habituelle consiste à contracter une entité de certification accréditée par ENAC, qui réalisera l'audit et, le cas échéant, émettra le certificat de conformité avec son logo officiel. Le choix d'une entité accréditée n'est pas un détail mineur : un certificat émis par une entité non accréditée n'a aucune valeur au regard de l'ENS.
Conclusion
L'ENS définit un cycle d'audit biennal : audit régulier ordinaire au moins tous les deux ans, complété par des audits extraordinaires en cas de modifications substantielles — qui remettent le compteur à zéro. Le responsable de l'audit dépend de la catégorie : auto-évaluation en basique, certification par une entité accréditée par ENAC en moyenne et haute. L'audit n'est pas une simple formalité administrative : il vérifie que les mesures de sécurité fonctionnent réellement. Bien connaître ce calendrier permet d'éviter les mauvaises surprises et d'aborder chaque révision avec une conformité en bonne et due forme.
Questions fréquentes
À quelle fréquence l'ENS est-il audité ?
Au moins tous les deux ans. L'article 31 du RD 311/2022 établit un audit régulier ordinaire avec une périodicité biennale. De plus, un audit extraordinaire doit être réalisé en cas de modifications substantielles du système, et cet audit extraordinaire remet à zéro le délai de deux ans.
Qui peut auditer l'ENS ?
Cela dépend de la catégorie. En catégorie basique, la conformité peut être déterminée par auto-évaluation de l'organisation elle-même. En catégorie moyenne et haute, l'audit est réalisé par une entité de certification accréditée par ENAC ; dans une partie du secteur public, des organes d'audit technique habilités peuvent intervenir.
L'audit de l'ENS est-il biennal ou annuel ?
Il est biennal : l'audit régulier ordinaire est réalisé au moins tous les deux ans, et non annuellement. Il ne faut pas le confondre avec l'ISO 27001, qui prévoit des suivis annuels et une recertification au bout de trois ans.
Quelle différence entre auto-évaluation et audit de certification ?
L'auto-évaluation est réalisée par l'organisation elle-même, s'applique à la catégorie basique et aboutit à une déclaration de conformité. L'audit de certification est réalisé par une entité accréditée par ENAC, est obligatoire pour les catégories moyenne et haute, et aboutit à un certificat de conformité.
Sources
- Real Decreto 311/2022, du 3 mai, réglementant le Schéma National de Sécurité (BOE-A-2022-7191) — art. 31, audit de la sécurité ; art. 38, conformité.
- CCN-CERT — Questions fréquentes sur l'ENS (ens.ccn.cni.es).
- CCN-CERT IC-01/19 — Critères généraux d'audit et de certification de l'ENS.