Le Schéma National de Sécurité (ENS espagnol) protège l'information à travers cinq dimensions de sécurité : confidentialité, intégrité, disponibilité, authenticité et traçabilité, ce qui s'abrège en CIDAT. Chaque dimension répond à une garantie distincte et est évaluée séparément selon trois niveaux — bas, moyen ou élevé — en fonction de l'impact qu'aurait un incident. Cette évaluation n'est pas théorique : elle détermine, conformément au Décret Royal 311/2022, la catégorie du système et, avec elle, les mesures de l'Annexe II à mettre en œuvre. Comprendre les cinq dimensions est la première étape de toute mise en conformité avec l'ENS.
Les dimensions constituent la base sur laquelle repose l'ensemble du Schéma National de Sécurité. Si vous les évaluez incorrectement, tout ce qui suit — la catégorie, les mesures, les renforcements, l'audit — en souffrira. C'est pourquoi il convient de leur consacrer du temps : il ne s'agit pas d'une case à cocher, mais d'une lecture du risque de votre système. Dans ce guide, j'explique ce que signifie chaque dimension avec des exemples concrets, comment les évaluer et comment elles influencent la catégorie finale.
Je travaille sur la conformité réglementaire des entreprises et entités depuis Castilla y León et les Canaries, et ma recommandation est toujours la même : avant de penser aux mesures, pensez aux dommages. Les dimensions traduisent « ce qui pourrait mal tourner » en une évaluation actionnable.
Quelles sont les dimensions de sécurité de l'ENS ?
Le Décret Royal 311/2022 établit cinq dimensions de sécurité. Chacune protège une propriété concrète de l'information ou des services :
Confidentialité (C)
Elle garantit que l'information n'est accessible qu'aux personnes autorisées. Elle est affectée lorsqu'une donnée parvient à des personnes qui n'auraient pas dû y avoir accès : une fuite de données personnelles, l'accès indu à un dossier, l'exposition de documentation réservée. C'est la dimension qui pèse le plus lorsque des données particulièrement sensibles sont traitées.
Intégrité (I)
Elle garantit que l'information n'a pas été altérée de façon non autorisée. Elle protège contre les modifications, suppressions ou manipulations indues. Un incident d'intégrité serait, par exemple, que quelqu'un modifie le montant d'un règlement ou le contenu d'un procès-verbal sans laisser de trace légitime. Elle est critique dans tout système dont les données étayent des décisions.
Disponibilité (D)
Elle garantit l'accès à l'information et aux services lorsqu'ils sont nécessaires. Son incident typique est l'interruption de service : un guichet électronique inaccessible le dernier jour d'un délai, une plateforme critique hors service. Plus le service est essentiel pour les citoyens ou l'organisation, plus cette dimension est élevée.
Authenticité (A)
Elle garantit que celui qui accède ou émet est réellement qui il prétend être. Elle soutient la confiance dans les identités : que la signature appartient à celui qui prétend signer, que l'utilisateur qui se connecte est le titulaire légitime, que le document provient bien de son émetteur déclaré. Sa défaillance ouvre la voie à l'usurpation d'identité.
Traçabilité (T)
Elle garantit que les actions sont enregistrées et attribuables à celui qui les a réalisées. C'est la dimension du « qui a fait quoi et quand » : les journaux d'activité, les logs, les pistes d'audit. Sans traçabilité, il est impossible d'enquêter sur un incident ni de rendre compte de ce qui s'est passé.
Que signifie CIDAT ?
CIDAT est l'acronyme des cinq dimensions : Confidentialité, Intégrité, Disponibilité, Authenticité et Traçabilité. Vous verrez également l'ordre DICAT ou des variantes selon la source ; l'ensemble est le même. Il s'agit simplement d'un moyen mnémotechnique pour n'oublier aucune dimension lors de l'évaluation d'un système, car en omettre une est l'une des erreurs les plus fréquentes.
Une observation utile : la confidentialité et l'intégrité protègent la donnée elle-même ; la disponibilité protège l'accès ; et l'authenticité et la traçabilité protègent la confiance dans l'identité de celui qui agit et dans ce qui a été enregistré. Les regrouper ainsi aide à ne pas les confondre.
| Dimension | Question protégée | Incident typique |
|---|---|---|
| Confidentialité | Qui peut voir ceci ? | Fuite de données |
| Intégrité | La donnée est-elle correcte et non manipulée ? | Altération non autorisée |
| Disponibilité | Est-elle accessible quand on en a besoin ? | Interruption de service |
| Authenticité | Est-ce bien celui qu'il prétend être ? | Usurpation d'identité |
| Traçabilité | Qui a fait quoi et quand ? | Impossibilité d'auditer |
Comment évaluer chaque dimension ?
Chaque dimension est évaluée de façon indépendante à l'un des trois niveaux, selon l'impact qu'aurait un incident l'affectant :
- Niveau BAS : l'incident causerait un préjudice limité.
- Niveau MOYEN : il causerait un préjudice grave.
- Niveau ÉLEVÉ : il causerait un préjudice très grave, potentiellement irréparable.
Si une dimension n'est pas affectée par le système, aucun niveau ne lui est simplement attribué. Le critère d'évaluation examine l'effet sur la capacité de l'organisation à atteindre ses objectifs, à protéger ses actifs, à remplir ses obligations de service et à respecter la légalité et les droits des personnes. Cette évaluation de l'impact est la même que celle qui sous-tend la méthodologie d'analyse des risques MAGERIT, que l'ENS prend comme référence.
Un exemple pour fixer les idées. Imaginez une plateforme municipale de notifications électroniques à valeur probatoire :
- Confidentialité : moyenne (contient des données personnelles mais non particulièrement sensibles).
- Intégrité : élevée (la modification d'une notification aurait des conséquences juridiques graves).
- Disponibilité : moyenne (son interruption affecte les délais, mais des alternatives existent).
- Authenticité : élevée (il faut garantir qui notifie et à qui).
- Traçabilité : élevée (la valeur probatoire dépend d'un enregistrement fiable).
Avec plusieurs dimensions au niveau élevé, ce système serait de catégorie haute. Une seule dimension élevée suffit à entraîner l'ensemble du système, comme nous allons le voir.
Comment les dimensions influencent-elles la catégorie du système ?
Voici la connexion décisive. Une fois les cinq dimensions évaluées, la catégorie du système est déterminée par la règle de l'article 40 du Décret Royal 311/2022 : on retient le niveau le plus élevé atteint par l'une quelconque des dimensions.
| Niveau maximum parmi les dimensions | Catégorie du système |
|---|---|
| Une dimension au niveau ÉLEVÉ | HAUTE |
| Une dimension au niveau MOYEN (aucune élevée) | MOYENNE |
| Une dimension au niveau BAS (aucune moyenne ni élevée) | BASIQUE |
Et la catégorie, à son tour, détermine quelles mesures et quels renforcements de l'Annexe II doivent être mis en oeuvre. La chaîne complète est : dimensions → niveaux → catégorie → mesures. C'est pourquoi les dimensions ne sont pas une simple formalité initiale, mais la pièce qui conditionne l'ensemble du périmètre de la mise en conformité. Si vous souhaitez voir la méthode de décision étape par étape, je la développe dans comment choisir le niveau basique, moyen ou élevé.
Comment chaque dimension se rapporte-t-elle aux mesures de l'Annexe II ?
Les dimensions ne fixent pas seulement la catégorie : elles orientent également quelles mesures de l'Annexe II prennent le plus d'importance. Bien que la sélection formelle dépende de la catégorie du système, comprendre quelle dimension protège chaque bloc de mesures aide à hiérarchiser les priorités et à justifier la Déclaration d'Applicabilité. Dans les grandes lignes :
| Dimension | Mesures de l'Annexe II particulièrement liées |
|---|---|
| Confidentialité | Contrôle d'accès (op.acc), chiffrement de l'information (mp.info), protection des supports (mp.si), protection des communications (mp.com) |
| Intégrité | Signature électronique et horodatage (mp.info), gestion des changements et de la configuration (op.exp), protection contre les codes malveillants |
| Disponibilité | Continuité de service (op.cont), protection contre le déni de service (mp.s), copies de sauvegarde (mp.info) |
| Authenticité | Mécanismes d'authentification (op.acc), signature électronique (mp.info), processus d'autorisation (org.4) |
| Traçabilité | Journalisation de l'activité (op.exp), surveillance du système (op.mon) |
Cette correspondance est indicative — de nombreuses mesures protègent plusieurs dimensions simultanément —, mais elle est très utile lorsqu'un système possède une dimension clairement dominante : si votre système repose principalement sur la disponibilité, vous savez que la continuité et les sauvegardes seront vos mesures critiques. La correspondance complète se trouve dans l'Annexe II expliquée.
Dimensions fréquemment confondues
Trois paires suscitent des doutes récurrents lors de l'évaluation. Les clarifier évite des erreurs de catégorisation :
- Confidentialité contre intégrité. La confidentialité protège le fait que personne de non autorisé ne puisse le voir ; l'intégrité protège le fait que personne de non autorisé ne puisse le modifier. Une donnée peut être parfaitement confidentielle et pourtant exposée à la manipulation si son intégrité n'est pas protégée.
- Authenticité contre intégrité. L'authenticité répond à la question « qui l'a émis ? » ; l'intégrité, à « a-t-il été modifié depuis ? ». La signature électronique couvre généralement les deux, mais ce sont des garanties distinctes.
- Traçabilité contre authenticité. L'authenticité établit l'identité au moment d'agir ; la traçabilité laisse une trace ultérieure de qui a agi. L'une sans l'autre crée des lacunes : vous pouvez savoir qui entre (authenticité) mais pas ce qu'il fait (traçabilité), ou inversement.
Avoir clairement en tête chaque frontière est ce qui permet d'évaluer chaque dimension à son juste niveau et de ne pas propager l'erreur jusqu'à la catégorie.
Des dimensions à la signature et au chiffrement
L'un des avantages pratiques de maîtriser les dimensions est qu'elles éclairent pourquoi l'ENS exige certaines technologies. Le chiffrement, par exemple, est l'outil naturel de la confidentialité (que la donnée ne soit pas lisible par qui ne le devrait pas) et, en transit, également de l'intégrité des communications. La signature électronique sert à la fois l'authenticité et l'intégrité. Et les journaux d'activité sont, littéralement, la matérialisation de la traçabilité.
Voir les choses ainsi change la perspective : les mesures de l'Annexe II ne sont pas une liste arbitraire d'exigences techniques, mais la réponse aux garanties que chaque dimension exige. Lorsqu'un système atteint un niveau élevé dans une dimension, les mesures qui la protègent cessent d'être optionnelles et deviennent le coeur de la mise en conformité.
Erreurs fréquentes lors de l'évaluation des dimensions
- Oublier une dimension. CIDAT existe précisément pour qu'aucune dimension ne soit omise lors de l'évaluation ; traçabilité et authenticité sont les plus souvent oubliées.
- Évaluer la technologie plutôt que la donnée. Le niveau découle de l'impact sur l'information, non de la robustesse de l'infrastructure.
- Confondre confidentialité et disponibilité. Qu'un service soit très critique (disponibilité) n'implique pas que ses données soient très sensibles (confidentialité), et vice versa.
- Gonfler toutes les dimensions au niveau élevé. Une surévaluation fait monter la catégorie et, avec elle, des mesures et des audits inutiles.
- Ne pas revoir l'évaluation. Lorsque le système évolue, les dimensions peuvent changer de niveau ; elles doivent être réévaluées.
Les dimensions dans l'analyse des risques
Les dimensions n'apparaissent pas seulement lors de la catégorisation : elles constituent également l'axe de l'analyse des risques, la pièce que l'ENS exige comme base de toute la gestion de la sécurité. Lorsque vous appliquez une méthodologie telle que MAGERIT, vous évaluez les actifs précisément selon ces cinq dimensions : que se passerait-il pour la confidentialité, l'intégrité, la disponibilité, l'authenticité et la traçabilité si l'actif était compromis.
Cette évaluation alimente deux résultats distincts mais connectés. D'une part, la catégorie du système, qui détermine l'ensemble des mesures obligatoires de l'Annexe II. D'autre part, le traitement du risque, qui priorise les points de renforcement au-delà du minimum réglementaire. Les dimensions sont donc le langage commun qui unit la catégorisation et la gestion des risques : une fois que vous savez les évaluer, vous parlez le langage de l'ENS. Je le développe dans mon guide sur l'analyse des risques avec MAGERIT dans l'ENS.
Par où commencer pour évaluer les dimensions
Si vous vous confrontez pour la première fois à l'évaluation, cet ordre de travail évite de nombreuses erreurs :
- Identifiez l'information et les services que soutient le système, pas seulement la technologie. Le niveau découle de la valeur de ce que vous protégez.
- Interrogez-vous sur le pire scénario pour chaque dimension : quel dommage causerait l'incident le plus grave raisonnablement possible ?
- Graduez le préjudice en limité (bas), grave (moyen) ou très grave (élevé), avec des critères cohérents pour l'ensemble du système.
- Documentez le pourquoi de chaque niveau : la justification est aussi importante que le résultat.
- Confrontez à des cas similaires et, s'il existe, au profil de conformité de votre type d'entité.
Une fois cela fait, vous disposez de la base sur laquelle repose l'ensemble de la mise en conformité. Des dimensions bien évaluées constituent l'investissement le plus rentable de l'ENS : elles conditionnent la catégorie, les mesures et le coût, et une heure consacrée à les évaluer rigoureusement permet d'économiser des semaines de travail mal orienté.
Questions fréquentes sur les dimensions de l'ENS
Quelles sont les dimensions de sécurité de l'ENS ?
Il en existe cinq : confidentialité, intégrité, disponibilité, authenticité et traçabilité, connues par l'acronyme CIDAT. Chacune protège une garantie distincte de l'information et des services.
Que signifie CIDAT ?
CIDAT est l'acronyme des cinq dimensions de sécurité de l'ENS : Confidentialité, Intégrité, Disponibilité, Authenticité et Traçabilité. C'est un moyen mnémotechnique pour n'oublier aucune dimension lors de l'évaluation d'un système.
Comment évaluer chaque dimension ?
Chaque dimension est évaluée séparément au niveau bas, moyen ou élevé selon l'impact d'un incident : un préjudice limité correspond au niveau bas, un préjudice grave au niveau moyen et un préjudice très grave au niveau élevé. Si la dimension ne s'applique pas au système, aucun niveau ne lui est attribué.
Comment les dimensions influencent-elles la catégorie du système ?
La catégorie du système est fixée par la dimension atteignant le niveau le plus élevé : si l'une est élevée, le système est de catégorie haute ; si la plus haute est moyenne, il est moyen ; et si toutes sont basses, il est basique. La catégorie détermine ensuite les mesures de l'Annexe II.
Une seule dimension élevée fait-elle passer l'ensemble du système en catégorie haute ?
Oui. La règle de l'article 40 du Décret Royal 311/2022 retient le niveau maximum : il suffit qu'une dimension soit élevée pour que le système complet soit de catégorie haute, avec les mesures et renforcements que cela implique.
Quelle est la dimension la plus importante ?
Il n'existe pas de dimension universellement plus importante : cela dépend du système. Dans un système traitant des données sensibles, la confidentialité sera prépondérante ; dans un service critique, la disponibilité ; dans une plateforme à valeur probatoire, la traçabilité et l'authenticité. C'est pourquoi les cinq sont évaluées séparément.
Sources
- Décret Royal 311/2022, du 3 mai (BOE-A-2022-7191) — Annexe I (dimensions et niveaux) et article 40.
- Portail de l'ENS — CCN (ens.ccn.cni.es) — guides CCN-STIC de catégorisation (803, 804).
Contenu élaboré par Summum Marketing pour angelortegacastro.com. Information à titre indicatif.