Oui, une petite municipalité est également tenue de se conformer au Schéma National de Sécurité (ENS espagnol), même si elle ne dispose pas d'un service informatique propre. Le Décret Royal 311/2022 s'applique à toutes les administrations publiques espagnoles qui utilisent des moyens électroniques — et cela inclut les municipalités de toute taille —. Le point essentiel est que les systèmes d'une petite municipalité relèvent généralement de la catégorie de base, ce qui permet d'accréditer la conformité par auto-évaluation plutôt que par audit externe. Dans ce guide, vous découvrirez comment catégoriser vos systèmes, quelles mesures sont obligatoires, comment élaborer le Plan d'Adaptation et quel rôle joue le rapport INES.

Je travaille avec des administrations locales en Castilla y León et aux Canaries, et la question qui revient le plus souvent dans les petites mairies est : « L'ENS nous s'applique-t-il même si nous ne sommes que quatre personnes ? ». La réponse est oui, même si l'effort réel est bien plus gérable qu'il n'y paraît si l'on s'organise correctement.

L'ENS s'applique-t-il aux petites municipalités ?

L'article 2 du RD 311/2022 délimite le champ d'application subjectif de l'ENS : il s'applique au secteur public au sens large, y compris toutes les collectivités locales. Il n'existe aucun seuil de population ni de budget : si la municipalité fournit des services par voie électronique ou gère des informations dans des systèmes d'information, l'ENS lui est applicable.

La distinction qui compte réellement est la catégorie du système. Les systèmes d'une mairie à faible population — siège électronique de base, gestion du registre municipal, traitement des demandes de permis, comptabilité — n'atteignent généralement pas le niveau d'impact qui justifie la catégorie moyenne ou haute. En pratique, la grande majorité des petites municipalités classent leurs systèmes en catégorie de base, ce qui simplifie considérablement la démarche.

Catégorisation des systèmes dans une petite municipalité

La première étape consiste à identifier les systèmes d'information de la municipalité et à déterminer leur catégorie en fonction de l'impact qu'un incident de sécurité aurait sur les dimensions de confidentialité, d'intégrité et de disponibilité. La procédure est définie par l'Annexe I du RD 311/2022 et le guide CCN-STIC 803.

Pour une petite municipalité, les systèmes les plus courants sont :

Si la municipalité utilise des services gérés par son conseil provincial ou son cabildo (conseil insulaire), il convient de vérifier si la catégorisation a déjà été réalisée par l'entité supra-municipale et si sa certification de conformité couvre également l'usage municipal.

Le Plan d'Adaptation à l'ENS pour les municipalités

ENS pour les petites municipalités : guide pratique
Photo : Toni Castillo Quero (CC BY-SA 2.0)

Le Plan d'Adaptation est le document qui recense les actions nécessaires pour atteindre et maintenir la conformité avec l'ENS. Pour une petite municipalité sans service informatique propre, il est généralement élaboré par le secrétaire-comptable avec l'appui du conseil provincial ou d'un consultant externe.

Un Plan d'Adaptation type pour une petite municipalité comprend :

  1. Inventaire et catégorisation des systèmes. Liste des systèmes d'information municipaux et de la catégorie attribuée à chacun.
  2. Analyse des risques simplifiée. Pour la catégorie de base, une analyse simplifiée ou un outil tel que PILAR Básico peut être utilisé.
  3. Déclaration d'Applicabilité. Quelles mesures de l'Annexe II sont applicables et lesquelles sont exclues avec justification.
  4. Mesures à mettre en œuvre. Celles qui ne sont pas encore en vigueur, avec le responsable, le délai et le coût estimé.
  5. Feuille de route. Calendrier de mise en œuvre priorisé.

Il est important de noter que le Plan d'Adaptation n'exige pas une mise en œuvre immédiate et totale : il reconnaît une situation de départ et trace le chemin à suivre. Ce qu'il exige, en revanche, c'est que la municipalité ait réalisé la catégorisation et ait une vision claire de ce qui lui manque.

Quelles mesures de l'Annexe II sont obligatoires en catégorie de base ?

L'Annexe II du RD 311/2022 établit les mesures de sécurité organisées en trois cadres : organisationnel, opérationnel et de protection. Pour la catégorie de base, toutes les mesures ne sont pas exigibles au même niveau de détail. Certaines ne s'appliquent qu'aux catégories moyenne ou haute.

Les mesures qui s'appliquent toujours en catégorie de base incluent, entre autres :

Le niveau d'exigence pour la catégorie de base est proportionnel : il est demandé que les mesures existent et fonctionnent, sans qu'elles soient auditées avec la même rigueur qu'en catégorie moyenne ou haute. Elles doivent néanmoins être documentées et opérationnelles. Pour consulter le tableau complet des mesures par niveau, je le détaille dans l'Annexe II de l'ENS expliquée.

Quand l'auto-évaluation est-elle suffisante dans une petite municipalité ?

L'auto-évaluation est suffisante lorsque tous les systèmes de la municipalité sont en catégorie de base. Dans ce cas, la municipalité elle-même — ou le conseil provincial en son nom — peut vérifier la conformité aux mesures sans avoir recours à un auditeur externe accrédité par ENAC.

Le processus d'auto-évaluation suit les lignes directrices du guide CCN-STIC 808 (annexe de vérification pour la catégorie de base) et produit une Déclaration de Conformité signée par le responsable de la sécurité (ou la personne qui en fait office). Cette déclaration n'est pas envoyée à un organisme central : l'entité la conserve et la tient à disposition si le CCN ou une inspection la requiert.

Si un système atteint la catégorie moyenne — par exemple, si la municipalité gère des données particulièrement sensibles ou fournit des services d'une importance particulière —, un audit externe devient nécessaire. Je clarifie les critères pour déterminer la catégorie dans comment choisir entre le niveau de base, moyen ou haut.

Le rapport INES pour les municipalités

Le rapport INES (Informe Nacional del Estado de Seguridad — Rapport National sur l'État de la Sécurité) est le mécanisme par lequel le CCN-CERT collecte des informations sur l'état de mise en œuvre de l'ENS dans les administrations publiques espagnoles. Pour les municipalités, l'obligation de le transmettre dépend de si elles sont directement inscrites sur le portail de l'ENS ou si elles le font par l'intermédiaire de leur conseil provincial.

Ce que vous devez savoir sur l'INES :

Le rapport INES n'est pas la même chose que la Déclaration de Conformité ni que la Certification de Conformité. C'est un outil d'auto-évaluation guidée qui permet au CCN de connaître l'état global de l'ENS dans le secteur public et à l'entité de disposer d'un diagnostic orientatif.

Le rôle du conseil provincial dans l'ENS municipal

Pour la grande majorité des petites municipalités, le conseil provincial (ou le cabildo (conseil insulaire) aux Canaries) est l'acteur clé. De nombreux conseils provinciaux ont développé des services d'assistance ENS qui comprennent :

Si votre municipalité délègue déjà la gestion informatique au conseil provincial, la première étape consiste à savoir exactement ce que couvre le service d'assistance et ce qui reste en dehors de son périmètre. Certains systèmes sont gérés de manière autonome par la municipalité — et nécessitent donc leur propre mise en conformité — même si la majeure partie de l'infrastructure est provinciale.

Étapes pratiques pour une petite municipalité

Si vous partez de zéro ou souhaitez savoir par où commencer, voici l'ordre logique à suivre :

  1. Contactez votre conseil provincial. Renseignez-vous pour savoir s'il dispose d'un service d'assistance ENS et ce qu'il couvre exactement.
  2. Identifiez les systèmes gérés en propre. Ceux que le conseil provincial ne couvre pas nécessitent une mise en conformité autonome.
  3. Catégorisez. Appliquez l'Annexe I du RD 311/2022 et la CCN-STIC 803 pour déterminer la catégorie de chaque système.
  4. Élaborez le Plan d'Adaptation. Une fois la catégorisation effectuée, identifiez les mesures de l'Annexe II qui s'appliquent et celles qui sont déjà actives.
  5. Mettez en œuvre les mesures manquantes. Donnez la priorité aux plus fondamentales (politique de sécurité approuvée par le Conseil plénier, sauvegardes, contrôle d'accès) et ajoutez progressivement les autres.
  6. Auto-évaluez et documentez. Une fois les mesures mises en œuvre, réalisez l'auto-évaluation avec la CCN-STIC 808 et formalisez la Déclaration de Conformité.
  7. Remplissez le rapport INES. Enregistrez l'état de mise en œuvre sur le portail du CCN.

Ce n'est pas un processus qui se règle en une après-midi, mais ce n'est pas non plus un projet de plusieurs mois si les systèmes sont peu nombreux et de catégorie de base. Le principal risque est la paralysie due à la perception d'une complexité supérieure à la réalité.

Ressources disponibles pour les municipalités

Le CCN-CERT et les conseils provinciaux proposent des outils qui réduisent la charge de travail :

Tous ces outils sont gratuits et d'accès public. Le coût réel de la mise en conformité dans une petite municipalité réside généralement dans les heures de travail interne et, le cas échéant, dans l'appui d'un consultant externe pour la catégorisation et le Plan d'Adaptation.

Questions fréquentes sur l'ENS dans les petites municipalités

Une municipalité de 500 habitants doit-elle se conformer à l'ENS ?

Oui. Le RD 311/2022 n'établit aucun seuil de population. Toute collectivité locale qui utilise des moyens électroniques dans son activité est tenue de s'y conformer. La différence est que ses systèmes seront probablement de catégorie de base, ce qui simplifie l'accréditation.

Le conseil provincial peut-il certifier l'ENS au nom de la municipalité ?

Cela dépend du périmètre de la certification du conseil provincial. Si les systèmes municipaux sont intégrés dans l'infrastructure provinciale et que le périmètre de la certification les inclut explicitement, la couverture s'étend à la municipalité. Si la mairie dispose de systèmes propres en dehors de ce périmètre, elle aura besoin d'une mise en conformité indépendante.

Qu'est-ce que le rapport INES et qui le remplit ?

Le rapport INES (Informe Nacional del Estado de Seguridad) est un questionnaire en ligne qui recense l'état de mise en œuvre des mesures de l'Annexe II. Il est rempli par l'entité elle-même ou par le conseil provincial en son nom, via le portail ens.ccn.cni.es. Il ne génère pas de certificat ; c'est un instrument de suivi.

Combien coûte la mise en conformité avec l'ENS pour une petite municipalité ?

Cela varie considérablement selon le point de départ et selon que le conseil provincial apporte ou non son assistance. Si le conseil provincial couvre la majeure partie du travail, le coût peut être minimal (heures internes de coordination). Si la municipalité gère ses propres systèmes et part de zéro, elle peut avoir besoin de 2 000 à 8 000 € en conseil et outils, selon le nombre de systèmes et leur complexité.

Quand un audit externe est-il nécessaire dans une petite municipalité ?

Uniquement lorsqu'un système atteint la catégorie moyenne ou haute. En catégorie de base, l'auto-évaluation est suffisante pour accréditer la conformité, sans recours à un auditeur externe accrédité par ENAC.

Sources

Contenu élaboré par Summum Marketing pour angelortegacastro.com. Information à titre indicatif ; pour la mise en conformité réelle de votre municipalité, veuillez vous référer au RD 311/2022 et aux guides CCN-STIC en vigueur.