Le Schéma National de Sécurité espagnol (ENS) comporte trois catégories — de base, moyenne et élevée — et celle qui vous correspond ne se choisit pas, elle se déduit. Vous évaluez les cinq dimensions de sécurité de votre système (confidentialité, intégrité, disponibilité, authenticité et traçabilité) en niveaux faible, moyen ou élevé, puis vous appliquez la règle de l'article 40 du Décret Royal 311/2022 : le système est de catégorie élevée si une dimension atteint le niveau élevé ; moyenne si une dimension atteint le niveau moyen (et aucune le niveau élevé) ; et de base si une dimension atteint le niveau faible (et aucune le niveau moyen ni élevé). La bonne question n'est pas « quel niveau je veux ? », mais « quel préjudice causerait un incident ? ».
C'est le doute avec lequel presque tout le monde aborde le Schéma National de Sécurité espagnol pour la première fois, et c'est là que les erreurs sont les plus fréquentes : soit on sous-estime par méconnaissance, soit on surdimensionne « au cas où » et on se charge de mesures inutiles. Ce guide est délibérément pratique : je vous donne la règle, un arbre de décision et des exemples par type de service pour que vous identifiiez correctement votre catégorie.
J'accompagne des entreprises et des entités dans la catégorisation de leurs systèmes depuis Castilla y León et les Canaries, et la méthode est toujours la même : d'abord l'impact, ensuite le niveau, jamais l'inverse.
Combien de niveaux comporte le Schéma National de Sécurité espagnol ?
L'ENS définit trois catégories de sécurité pour les systèmes : de base, moyenne et élevée. Il n'y en a pas de quatrième, ni de nuances intermédiaires. Ce qui a des nuances, c'est la façon d'y parvenir, car la catégorie est le résultat de l'évaluation préalable de cinq dimensions de sécurité en trois niveaux (faible, moyen, élevé).
Il convient de ne pas confondre les concepts : les dimensions (quelles garanties protège le système) sont évaluées en niveaux, et c'est de ces niveaux que découle la catégorie du système complet. Les cinq dimensions — l'ensemble CIDAT — sont l'ensemble Confidentialité, Intégrité, Disponibilité, Authenticité, Traçabilité.
La règle de l'impact : comment la catégorie est déterminée
Le cœur de la décision est à l'article 40 du DR 311/2022. La catégorie du système est fixée par la dimension la plus exigeante : on ne fait pas la moyenne, on prend le maximum. Voici la règle, sans ambiguïté :
| Si la dimension la plus exigeante est au niveau… | …la catégorie du système est |
|---|---|
| Une dimension au niveau ÉLEVÉ | ÉLEVÉE |
| Une dimension au niveau MOYEN et aucune au niveau élevé | MOYENNE |
| Une dimension au niveau FAIBLE et aucune au niveau moyen ni élevé | DE BASE |
La conséquence est importante : il suffit qu'une seule dimension soit élevée pour que l'ensemble du système soit de catégorie élevée, avec tout ce que cela implique en matière de mesures et de renforcements en Annexe II. C'est pourquoi évaluer correctement chaque dimension — ni par excès ni par défaut — est la décision la plus rentable de toute la mise en conformité.
Comment savoir si mon système est de niveau de base, moyen ou élevé ?
Le niveau de chaque dimension est déterminé par l'impact qu'aurait un incident affectant cette garantie. Le DR 311/2022 le gradue ainsi :
- Niveau FAIBLE : l'incident causerait un préjudice limité aux fonctions, aux actifs ou aux personnes concernées.
- Niveau MOYEN : l'incident causerait un préjudice grave.
- Niveau ÉLEVÉ : l'incident causerait un préjudice très grave, voire irréparable.
L'évaluation examine l'effet sur la capacité de l'organisation à atteindre ses objectifs, à protéger ses actifs, à honorer ses obligations de service et à respecter la légalité et les droits des personnes. Ce n'est pas un jugement arbitraire : il est argumenté dimension par dimension.
Arbre de décision pour catégoriser votre système
Appliquez cette séquence, une dimension à la fois. Posez-vous ces questions pour la confidentialité, l'intégrité, la disponibilité, l'authenticité et la traçabilité :
- Un incident dans cette dimension causerait-il un préjudice très grave ou irréparable ? Si oui → la dimension est au niveau ÉLEVÉ. Arrêtez : le système complet sera de catégorie élevée.
- Causerait-il un préjudice grave (mais non irréparable) ? Si oui → la dimension est au niveau MOYEN.
- Causerait-il seulement un préjudice limité ? Si oui → la dimension est au niveau FAIBLE.
- La dimension ne s'applique-t-elle pas au système ? Aucun niveau n'est attribué.
Lorsque vous avez évalué les cinq, retenez le niveau le plus élevé apparu : c'est lui qui détermine la catégorie. C'est un système délibérément conservateur, car l'ENS donne la priorité à la non-sous-estimation du risque.
Exemples par type de service
Les exemples aident à calibrer, bien que chaque cas réel exige sa propre évaluation. Ce tableau donne une orientation sur la catégorie habituelle de différents services :
| Type de service | Dimension la plus critique | Catégorie indicative |
|---|---|---|
| Site web institutionnel d'information (ne publie que des contenus) | Intégrité / disponibilité faibles | De base |
| Portail gouvernemental officiel avec démarches et données personnelles | Confidentialité / authenticité moyennes | Moyenne |
| Système avec données spécialement protégées (santé, opinions politiques) | Confidentialité élevée | Élevée |
| Service critique dont l'indisponibilité affecte les citoyens | Disponibilité élevée | Élevée |
| Plateforme de notifications à valeur probante | Traçabilité / authenticité moyennes-élevées | Moyenne ou élevée |
Le schéma est clair : dès qu'une donnée spécialement protégée ou un service dont l'indisponibilité aurait de graves conséquences entre en jeu, la catégorie monte. Un portail purement informatif dépassera rarement la catégorie de base.
Qu'est-ce qui change entre de base, moyen et élevé ?
Monter de catégorie n'est pas qu'une étiquette : cela change l'effort réel de mise en conformité sur trois fronts.
- Mesures de l'Annexe II. Plus la catégorie est élevée, plus il y a de mesures applicables et, surtout, plus il y a de renforcements actifs sur chaque mesure.
- Vérification. La catégorie de base admet l'auto-évaluation ; les catégories moyenne et élevée exigent un audit formel au moins tous les deux ans, selon l'article 31.
- Coût et délais. Chaque montée de catégorie augmente le travail d'implantation et la documentation des preuves.
D'où l'importance de ne pas surdimensionner : se déclarer de catégorie élevée « pour être prudent » vous oblige à maintenir des mesures, des renforcements et des audits dont votre système n'a peut-être pas besoin. La bonne catégorie est celle qui correspond à l'impact réel, ni plus ni moins.
Exemple complet : catégoriser pas à pas un portail officiel
Voyons la méthode appliquée de bout en bout. Imaginez le portail gouvernemental officiel d'une collectivité locale moyenne, où les citoyens déposent des demandes, consultent des dossiers et reçoivent des notifications à valeur juridique. Parcourons ses cinq dimensions :
- Confidentialité : il traite des données personnelles des citoyens (non spécialement protégées). Une fuite causerait un préjudice grave, mais non irréparable. → MOYEN.
- Intégrité : modifier un dossier ou une décision aurait de graves conséquences juridiques. → ÉLEVÉ.
- Disponibilité : son indisponibilité affecte les délais administratifs, bien que des voies en présentiel existent. → MOYEN.
- Authenticité : il faut garantir que celui qui dépose ou signe est bien qui il prétend être ; un défaut ouvrirait la porte à des fraudes. → ÉLEVÉ.
- Traçabilité : la valeur probante des notifications dépend de registres fiables. → ÉLEVÉ.
Le niveau le plus élevé apparu est ÉLEVÉ (dans trois dimensions). Le système est donc de catégorie élevée, même si deux de ses dimensions ne sont que moyennes. C'est précisément l'effet de la règle du maximum : peu importe que la majorité soit moyenne ; une seule dimension élevée suffit à fixer la catégorie. Ce système devra implanter les mesures de catégorie élevée de l'Annexe II, avec leurs renforcements, et se soumettre à un audit formel tous les deux ans.
Remarquez ce qui se serait passé si nous avions mal évalué une seule dimension : abaisser l'intégrité à moyen « parce que ça arrive rarement » aurait changé toute la catégorie et, avec elle, le périmètre de la mise en conformité. D'où l'importance d'argumenter honnêtement chaque niveau.
Quel effort représente chaque catégorie ?
Monter de catégorie a un coût, et il convient d'en tenir compte lors de l'évaluation pour ne pas sous-estimer ni surdimensionner. À titre indicatif, voici comment l'effort croît :
| Aspect | De base | Moyenne | Élevée |
|---|---|---|---|
| Mesures de l'Annexe II | Les indispensables | Élargies | Élargies + renforcements |
| Vérification | Auto-évaluation | Audit tous les 2 ans | Audit tous les 2 ans |
| Documentation des preuves | De base | Détaillée | Exhaustive |
| Charge de gestion continue | Faible | Moyenne | Élevée |
Le saut le plus significatif en termes de charge est généralement celui de de base à moyenne, car il introduit l'audit formel. De moyenne à élevée, l'augmentation vient surtout des renforcements et de la profondeur des preuves. C'est pourquoi une catégorisation honnête — ni trop basse par commodité ni trop haute par crainte — est la décision qui a le plus d'impact sur le coût total de la mise en conformité.
Qui décide de la catégorie du système ?
La catégorisation n'est pas une décision de l'équipe technique seule. C'est une décision métier et de responsabilité : l'évaluation de l'impact est réalisée par le responsable de l'information et des services — celui qui connaît la valeur de ce qui est protégé — avec le soutien du responsable de la sécurité, et elle est formalisée dans la documentation du système. L'équipe technique apporte la connaissance de l'architecture, mais c'est celui qui répond de l'information qui évalue le préjudice d'un incident.
Cette évaluation n'est pas définitive : lorsque le système change de façon substantielle — nouvelles données, nouveaux services, nouvelle criticité — il faut la réviser. Une catégorie attribuée il y a des années et jamais révisée est l'un des constats habituels lors des audits.
Erreurs fréquentes lors du choix du niveau
- Faire la moyenne des dimensions. La catégorie est fixée par la dimension la plus haute, pas par la moyenne. Une seule dimension élevée rend l'ensemble du système de catégorie élevée.
- Choisir « par prudence » un niveau supérieur. Surdimensionner entraîne des mesures, des renforcements et des audits inutiles.
- Évaluer le système sans évaluer la donnée. Le niveau découle de l'impact sur l'information et le service, pas de la technologie utilisée.
- Ne pas réviser après des changements. La catégorie est réévaluée lorsque le système évolue ; ce n'est pas une photo figée.
Catégorie du système vs profils de conformité
Il convient d'anticiper une nuance qui apparaît dès que l'on approfondit le sujet : la catégorie n'est pas toujours le dernier mot sur les mesures qui vous sont applicables. Le DR 311/2022 a introduit les profils de conformité spécifiques, des ensembles de mesures adaptés à un type d'entité ou de secteur précis et approuvés par le Centre Cryptologique National. Il existe des profils, par exemple, pour les petites collectivités locales ou pour certains secteurs, conçus pour adapter les exigences à leur réalité.
Cela signifie que deux systèmes de la même catégorie peuvent se retrouver avec des ensembles de mesures différents si un profil spécifique s'applique à l'un d'eux. Pour la plupart des organisations, cependant, le chemin est le chemin général : évaluer les dimensions, déduire la catégorie et sélectionner les mesures correspondantes de l'Annexe II. Les profils sont une couche d'ajustement ultérieure, pas un raccourci pour éviter la catégorisation.
Que faire une fois votre catégorie connue
Déterminer la catégorie n'est pas la fin, mais le point de départ de la mise en conformité. Avec la catégorie en main, la feuille de route habituelle est :
- Documenter l'évaluation. Laissez une trace écrite de la façon dont vous avez évalué chaque dimension et pourquoi ; l'auditeur vous le demandera.
- Sélectionner les mesures de l'Annexe II applicables à votre catégorie, avec leurs renforcements.
- Rédiger la Déclaration d'Applicabilité, en justifiant ce que vous appliquez, ce que vous excluez et les mesures compensatoires utilisées.
- Implanter et prouver chaque mesure, en organisant la documentation qui la soutient.
- Vérifier la conformité : auto-évaluation si vous êtes en catégorie de base, audit formel si vous êtes en catégorie moyenne ou élevée.
Chacune de ces étapes a sa propre complexité, mais toutes démarrent d'une bonne catégorisation. Si la base est bien posée, le reste du processus se déroule naturellement ; si la catégorie est mal évaluée, tout ce qui suit hérite de l'erreur.
Questions fréquentes sur les niveaux de l'ENS espagnol
Combien de niveaux comporte le Schéma National de Sécurité espagnol ?
L'ENS définit trois catégories de système : de base, moyenne et élevée. Elles se déduisent de l'évaluation des cinq dimensions de sécurité en trois niveaux (faible, moyen, élevé) et en retenant le plus exigeant.
Comment savoir si mon système est de niveau de base, moyen ou élevé ?
Évaluez l'impact d'un incident sur chaque dimension : préjudice limité → niveau faible, préjudice grave → niveau moyen, préjudice très grave → niveau élevé. La catégorie du système est fixée par la dimension au niveau le plus élevé, selon l'article 40 du DR 311/2022.
Qu'est-ce qui change entre de base, moyen et élevé dans le Schéma National de Sécurité espagnol ?
Plus la catégorie est élevée, plus il y a de mesures et de renforcements de l'Annexe II, une vérification plus exigeante (auto-évaluation en catégorie de base, audit tous les deux ans en catégorie moyenne et élevée) et un coût d'implantation et de documentation plus important.
Qui décide de la catégorie du système dans l'ENS ?
L'évaluation de l'impact incombe au responsable de l'information et des services, avec le soutien du responsable de la sécurité, et est formalisée dans la documentation du système. Ce n'est pas une décision exclusivement technique.
Puis-je avoir un système avec des dimensions de niveaux différents ?
Oui, et c'est habituel : chaque dimension est évaluée séparément. La catégorie du système complet est déterminée par la dimension qui atteint le niveau le plus élevé.
Dois-je choisir la catégorie la plus élevée pour être prudent ?
Non. Surdimensionner la catégorie oblige à implanter des mesures, des renforcements et des audits dont le système n'a peut-être pas besoin. La bonne catégorie est celle qui correspond à l'impact réel du système, justifiée dimension par dimension.
Sources
- Décret Royal 311/2022, du 3 mai (BOE-A-2022-7191) — article 40 (catégories) et Annexe I.
- Portail de l'ENS — CCN (ens.ccn.cni.es) — guides de catégorisation CCN-STIC 803 et 804.
Contenu élaboré par Ángel Ortega Castro. Informations indicatives à la date de rédaction ; l'état du programme peut évoluer. Consultez toujours le BOE et Red.es pour connaître les délais en vigueur.