Qu'est-ce que la déclaration de conformité du Schéma National de Sécurité (ENS espagnol) et quand l'autoévaluation suffit-elle ? Dans l'ENS, il existe deux voies pour accréditer la conformité : la déclaration de conformité et la certification de conformité. La déclaration est uniquement valable pour les systèmes de catégorie de base et s'obtient par une autoévaluation menée par l'organisation elle-même, sans auditeur externe. En catégorie moyenne et haute, en revanche, la conformité ne peut être acréditée que par certification, avec l'audit d'une entité accréditée par ENAC. Cela est réglementé par le Décret Royal 311/2022 à son article 38. Dans cet article, je vous explique la différence, comment réaliser votre autoévaluation au niveau de base et quelles erreurs éviter.
Qu'est-ce que la déclaration de conformité de l'ENS ?
La déclaration de conformité est le document par lequel une organisation déclare formellement que son système d'information, classé en catégorie de base, satisfait aux exigences de l'ENS. Il s'agit d'une autodéclaration : elle est signée par l'entité elle-même après avoir vérifié en interne que les mesures de sécurité requises sont bien mises en place.
Le RD 311/2022 établit que tant la déclaration que la certification de conformité sont obligatoires pour les systèmes relevant du champ d'application de l'ENS, qu'ils soient publics ou privés, et qu'elles doivent être rendues visibles par la publication du badge officiel de conformité correspondant à la catégorie du système, sur le site web, le portail ou le siège électronique de l'organisation. Il ne suffit pas de conserver le document dans un tiroir : il doit être affiché publiquement.
La déclaration n'est ni une opinion ni une intention, c'est une affirmation ayant des effets juridiques. Lorsqu'une organisation déclare sa conformité et publie le badge, elle assume formellement qu'elle respecte l'ENS, avec toutes les conséquences que cela implique si le contraire venait à être démontré.
Déclaration vs certification : quelles sont les différences ?
La différence réside dans la voie par laquelle la conformité est accréditée, et elle dépend directement de la catégorie du système :
- Déclaration de conformité : valable uniquement en catégorie de base. Elle repose sur une autoévaluation interne. Elle ne nécessite ni auditeur externe ni organisme de certification.
- Certification de conformité : valable pour toutes les catégories (de base, moyenne et haute) et obligatoire en catégorie moyenne et haute. Elle requiert un audit formel réalisé par un organisme de certification accrédité par ENAC.
En catégorie de base, vous pouvez choisir entre déclarer (autoévaluation) ou certifier (audit), mais la déclaration est la voie propre et suffisante ; en catégorie moyenne et haute, il n'y a pas de choix, la conformité ne peut être obtenue que par certification. Pour savoir dans quelle catégorie se trouve votre système, consultez mon guide sur le processus, les exigences et les coûts de la certification ENS.
Voie de conformité selon le niveau
Puis-je m'autoévaluer au niveau de base ?
Oui. En catégorie de base, l'organisation peut déterminer sa conformité par une procédure d'autoévaluation. Le RD 311/2022 lui-même indique que, à titre ordinaire, cette autoévaluation vérifie le respect des exigences de l'ENS au moins tous les deux ans. Aucun auditeur externe n'intervient, mais cela ne signifie pas qu'il s'agit d'une simple formalité : l'autoévaluation doit être réelle, documentée et honnête.
Comment réaliser votre autoévaluation ENS étape par étape ?
- Définissez le périmètre. Précisez quel système d'information vous allez évaluer : quels services, quelles informations et quelle infrastructure sont inclus.
- Catégorisez le système. Confirmez que le système relève de la catégorie de base en évaluant les dimensions de sécurité (confidentialité, intégrité, traçabilité, authenticité et disponibilité).
- Réalisez l'analyse des risques. L'ENS exige de gérer la sécurité en fonction des risques. En catégorie de base, une analyse simplifiée est acceptée, mais elle doit exister et être documentée.
- Vérifiez les mesures de l'Annexe II. Passez en revue, une par une, les mesures applicables à la catégorie de base et enregistrez si elles sont mises en œuvre, partiellement mises en œuvre ou en attente.
- Documentez les preuves. Chaque mesure marquée comme mise en œuvre doit être étayée par une preuve : une procédure, une politique, un registre, une configuration.
- Comblez les lacunes. Mettez en œuvre les mesures en attente avant de procéder à la déclaration. Déclarer sa conformité alors que des lacunes subsistent est l'erreur la plus grave.
- Émettez et publiez la déclaration. Signez la déclaration de conformité et publiez le badge officiel sur votre site web ou siège électronique.
Tableau : déclaration vs certification de conformité ENS
| Aspect | Déclaration de conformité | Certification de conformité |
|---|---|---|
| Catégories valides | Uniquement de base | De base, moyenne et haute |
| Qui la réalise | L'organisation elle-même (autoévaluation) | Organisme de certification accrédité par ENAC |
| Auditeur externe ? | Non | Oui, obligatoire |
| Périodicité ordinaire | Au moins tous les 2 ans | Au moins tous les 2 ans |
| Badge à publier | Badge de déclaration (catégorie de base) | Badge de certification (catégorie du système) |
| Coût | Faible (ressources internes) | Plus élevé (audit externe) |
Qu'est-ce que le badge de conformité de l'ENS ?
Le badge de conformité est le label officiel qui atteste publiquement qu'un système respecte l'ENS. Le RD 311/2022 oblige à le publier sur le site web, le portail ou le siège électronique de l'organisation. Afficher le badge sans avoir obtenu la conformité réelle, ou le conserver alors qu'il a expiré, constitue une irrégularité.
Quand est-il préférable de se certifier même en catégorie de base ?
- Pour répondre à des appels d'offres avec l'Administration. Certains cahiers des charges exigent la certification même pour des services de catégorie de base, ou valorisent davantage la certification par rapport à la déclaration.
- Pour renforcer la confiance des clients et des partenaires. Une déclaration est signée par l'entreprise elle-même ; une certification est délivrée par un tiers indépendant.
- Lorsque vous anticipez une montée en catégorie. Si vous prévoyez que votre système passera prochainement en catégorie moyenne, vous certifier dès le départ vous évite de recommencer le processus ultérieurement.
Combien coûte une autoévaluation et combien de temps prend-elle ?
Le principal avantage de la déclaration par autoévaluation est son coût : n'exigeant pas d'auditeur externe, la dépense se limite aux ressources internes. Le temps nécessaire dépend avant tout du point de départ. Si l'organisation dispose déjà de politiques et de contrôles en ordre, l'autoévaluation peut être menée à bien en quelques semaines.
À quelle fréquence faut-il renouveler la déclaration ?
Le RD 311/2022 stipule que la vérification de la conformité est réalisée, à titre ordinaire, au moins tous les deux ans. Tous les deux ans au maximum, il faut vérifier à nouveau que les mesures sont toujours en place et renouveler la déclaration ainsi que son badge.
Erreurs fréquentes lors de l'autoévaluation au niveau de base
- Mal catégoriser le système. Supposer qu'il est « de base » sans évaluer correctement les dimensions de sécurité.
- Déclarer sans analyse des risques. L'analyse des risques n'est pas facultative dans l'ENS, même au niveau de base.
- Marquer des mesures comme mises en œuvre sans preuve. Une autoévaluation sans documents probants n'est pas valide.
- Ne pas mettre à jour. L'autoévaluation expire au bout de deux ans ; conserver un badge obsolète constitue un manquement.
- Ne pas publier le badge. La conformité doit être attestée publiquement.
Déclaration de conformité et travail avec l'Administration
Pour les entreprises privées qui fournissent des services au secteur public, la déclaration de conformité est souvent la porte d'entrée la plus accessible. Si le service relève de la catégorie de base et que le cahier des charges accepte la déclaration, vous pouvez accréditer votre conformité sans passer par un organisme de certification. Ce que vous ne devez en aucun cas faire, c'est présenter une déclaration là où le cahier des charges exige une certification : c'est un motif d'exclusion.
Conclusion
Au niveau de base, l'ENS vous permet d'accréditer votre conformité par déclaration, via une autoévaluation interne sans auditeur externe, que vous devez renouveler au moins tous les deux ans et rendre visible grâce au badge officiel. En catégorie moyenne et haute, il n'y a pas de raccourci : la conformité exige une certification avec audit accrédité.
Questions fréquentes
Qu'est-ce que la déclaration de conformité de l'ENS ?
C'est le document par lequel une organisation déclare formellement que son système de catégorie de base satisfait aux exigences de l'ENS, après une autoévaluation interne. Elle est uniquement valable en catégorie de base et doit être rendue visible par la publication du badge officiel de conformité.
En quoi diffère-t-elle de la certification ?
La déclaration repose sur une autoévaluation menée par l'entité elle-même et n'est valable qu'en catégorie de base. La certification requiert un audit formel réalisé par un organisme accrédité par ENAC et est valable pour toutes les catégories, étant obligatoire en catégorie moyenne et haute.
Puis-je m'autoévaluer au niveau de base ?
Oui. En catégorie de base, l'ENS admet une procédure d'autoévaluation, qui vérifie la conformité au moins tous les deux ans. Aucun auditeur externe n'intervient, mais l'autoévaluation doit être réelle, documentée et fondée sur les mesures de l'Annexe II du RD 311/2022.
Qu'est-ce que le badge de conformité de l'ENS ?
C'est le label officiel qui atteste publiquement la conformité avec l'ENS. Le RD 311/2022 oblige à le publier sur le site web ou le siège électronique de l'organisation.