Un profil de conformité spécifique (PCS) de l'ENS (schéma national de sécurité espagnol) est un ensemble de mesures de sécurité que le Centre cryptologique national valide et publie pour un secteur ou un type d'entité précis. Il s'appuie sur l'article 30 du RD 311/2022 et sur le principe de proportionnalité pour rendre l'adaptation plus pragmatique, sans abaisser le niveau de sécurité exigé.
Qu'est-ce qu'un profil de conformité spécifique de l'ENS ?
Lorsqu'une entité aborde l'adaptation à l'ENS (schéma national de sécurité espagnol), l'approche habituelle consiste à partir du catalogue complet des mesures de l'Annexe II et, après l'analyse des risques, à déterminer lesquelles s'appliquent selon la catégorie du système. C'est une démarche correcte, mais aussi étendue, et elle oblige chaque organisme à parcourir le même chemin d'interprétation encore et encore. C'est là qu'interviennent les profils de conformité spécifiques.
Un profil de conformité spécifique (PCS) est, en termes simples, un costume sur mesure de l'ENS conçu pour un collectif précis : petites communes, centres de santé, organismes payeurs de fonds agricoles, entités dans le champ d'application de la directive NIS2, etc. Au lieu que chaque entité de ce collectif interprète le catalogue depuis zéro, le Centre cryptologique national (CCN) définit quelles mesures et quels renforcements sont appropriés pour ce type d'organisation et pour une catégorie de sécurité donnée, et les publie dans un guide CCN-STIC.
La définition officielle est assez précise : un PCS est un ensemble de mesures de sécurité, qu'elles soient ou non prévues dans le Décret royal 311/2022, qui — à la suite de l'analyse des risques obligatoire — s'appliquent à une entité ou à un secteur d'activité précis et pour une catégorie de sécurité déterminée. Deux idées de cette phrase méritent d'être retenues : le PCS part toujours de l'analyse des risques (il ne la remplace pas) et peut inclure des mesures supplémentaires à celles de l'Annexe II lorsque le secteur le nécessite.
Quelle est la base légale des PCS ?

La base des profils de conformité spécifiques est l'article 30 du Décret royal 311/2022, du 3 mai, qui régit l'ENS (schéma national de sécurité espagnol). Cet article est intitulé « Profils de conformité spécifiques et accréditation d'entités de mise en œuvre de configurations sécurisées » et habilite expressément la figure.
Le texte de l'article 30 établit que, en vertu du principe de proportionnalité et dans le but d'une application efficace et efficiente de l'ENS à certaines entités ou secteurs d'activité précis, des profils de conformité spécifiques pourront être mis en œuvre. Ces profils comprendront les mesures de sécurité qui, à la suite de l'analyse des risques obligatoire, s'avèrent appropriées pour une catégorie de sécurité concrète.
Le même article attribue au CCN une double fonction : valider et publier les profils de conformité spécifiques définis, conformément aux instructions techniques de sécurité et aux guides de sécurité approuvés. Autrement dit, un PCS n'est pas un document que n'importe qui peut élaborer de son propre chef ; il a un émetteur compétent et un processus de validation derrière lui. Cette origine est ce qui lui confère sa valeur aux fins de l'audit de certification ultérieur.
En quoi un PCS diffère-t-il de l'adaptation générale ?
La différence ne réside pas dans la rigueur ou le niveau de sécurité, mais dans le point de départ et l'effort d'interprétation. Dans une adaptation générale, l'entité prend le catalogue complet des mesures (le cadre organisationnel, opérationnel et de protection) et décide de leur applicabilité au cas par cas. Dans une adaptation s'appuyant sur un PCS, une grande partie de ce travail a déjà été raisonnée et délimitée pour son type d'organisation.
| Aspect | Adaptation générale | Adaptation avec PCS |
|---|---|---|
| Point de départ | Catalogue complet de l'Annexe II | Ensemble de mesures déjà délimité pour le secteur ou le type d'entité |
| Détermination de l'applicabilité | Faite intégralement par l'entité | Déjà raisonnée et priorisée dans le guide CCN-STIC |
| Analyse des risques | Obligatoire | Obligatoire (le PCS ne la remplace pas) |
| Niveau de sécurité exigé | Celui correspondant à la catégorie | Le même : le PCS n'abaisse pas le niveau |
| Mesures supplémentaires à l'Annexe II | Seulement si le risque le justifie | Peut en incorporer lorsque le secteur le nécessite |
| Effort d'interprétation | Élevé | Réduit et homogène entre entités du collectif |
L'essentiel est de comprendre qu'un PCS adapte et priorise, il ne réduit pas. Il applique le principe de proportionnalité déjà au cœur de l'ENS, mais de manière collective et raisonnée pour un secteur, plutôt que de laisser chaque entité le résoudre seule.
Quels sont les avantages d'un PCS ?
- Adaptation plus pragmatique. L'entité ne part pas d'une feuille blanche : elle dispose d'un point de départ raisonné par le CCN pour son type d'organisation, ce qui réduit le risque d'erreur d'interprétation des mesures.
- Homogénéité au sein du secteur. Lorsque toutes les communes d'une tranche de population appliquent le même profil, les solutions, les documents et les critères deviennent comparables et réutilisables.
- Coût de projet réduit. La majeure partie de l'analyse d'applicabilité étant déjà faite, l'effort de conseil et de documentation se concentre sur ce qui est vraiment propre à chaque entité : son inventaire d'actifs, son analyse des risques et sa déclaration d'applicabilité.
- Meilleur alignement avec la certification. Comme le PCS est validé et publié par le CCN, l'organisme de certification dispose d'un cadre de référence clair pour vérifier la conformité.
- Modèles et annexes d'appui. De nombreux guides de PCS intègrent des annexes d'analyse des risques, de politique de sécurité, de catégorisation, de déclaration d'applicabilité et de plan de sensibilisation, qui accélèrent le démarrage du projet.
Cependant, soyons honnêtes : un PCS n'est pas un raccourci pour en faire moins. Il ne réduit pas les obligations légales ni ne permet d'éviter l'analyse des risques. Ce qu'il fait, c'est mieux organiser le travail.
Quels profils de conformité spécifiques ont été publiés ?
| Profil / collectif | Guide CCN-STIC | À qui il s'applique |
|---|---|---|
| Cadre général des PCS | Série 890 (890A, 890C) | Documente le concept et les exigences essentielles de sécurité pour l'adaptation à l'ENS |
| Très petites communes | CCN-STIC 883A | Communes de moins de 5 000 habitants (approximativement) |
| Petites communes | CCN-STIC 883B | Communes de moins de 20 000 habitants |
| Communes moyennes | CCN-STIC 883C | Communes entre 20 000 et 75 000 habitants |
| Conseils provinciaux | CCN-STIC 883D | Entités supra-municipales et conseils provinciaux |
| Secteur santé | CCN-STIC 891 | Prestation de soins aux patients : soins primaires et spécialisés |
| Organismes payeurs | CCN-STIC 852 | Organismes payeurs de fonds agricoles européens |
Existe-t-il un PCS pour les petites communes ?
Oui, et c'est probablement le cas d'usage le plus répandu. Les petites communes sont, de loin, les entités qui bénéficient le plus des profils de conformité spécifiques, car elles ont généralement peu de personnel technique et un budget serré pour la cybersécurité. La série CCN-STIC 883 organise ces profils par tranches de population.
L'approche par tranches a une logique claire : il n'est pas raisonnable d'exiger la même chose, en termes de structure et de ressources, d'une commune de 2 000 habitants que d'une de 60 000. C'est pourquoi le profil 883A est conçu pour les plus petites communes, le 883B pour celles de moins de 20 000 habitants et le 883C pour la tranche intermédiaire jusqu'à 75 000. Les conseils provinciaux, qui prestent souvent des services mutualisés à plusieurs communes, disposent de leur propre profil dans le 883D.
Existe-t-il des profils pour des secteurs tels que la santé ?
Oui. Au-delà du monde local, le CCN a publié des profils pour des secteurs d'activité précis. Le plus représentatif est celui du secteur santé, couvert par le guide CCN-STIC 891, orienté vers la prestation de soins aux patients en soins primaires et spécialisés.
Ce profil santé est un bon exemple de la façon dont un PCS peut aller au-delà de l'Annexe II lorsque le secteur le justifie : il inclut un ensemble de mesures de sécurité — qu'elles soient ou non couvertes par le Décret royal 311/2022 — qui, après l'analyse des risques, s'appliquent à la prestation sanitaire et garantissent un niveau minimum de sécurité.
Comment appliquer un profil de conformité spécifique ?
- Identifier le profil applicable. Déterminer si votre organisation correspond à un collectif disposant d'un PCS publié et localiser le guide CCN-STIC correspondant.
- Catégoriser les systèmes. Déterminer la catégorie de sécurité (basique, moyenne ou élevée) des systèmes concernés.
- Réaliser l'analyse des risques. Elle est obligatoire et le PCS ne la remplace pas. Le profil oriente les mesures appropriées, mais le risque propre à votre entité demeure le vôtre.
- Élaborer la déclaration d'applicabilité. En partant des mesures que le profil priorise déjà, documenter lesquelles s'appliquent, comment et pourquoi.
- Mettre en œuvre et documenter. Déployer les mesures techniques et organisationnelles et laisser la trace documentaire que l'audit exigera.
- Auditer et certifier. Pour les catégories moyenne et élevée, l'audit de certification vérifie la conformité réelle par rapport au profil et à l'ENS.
Questions fréquentes
Qu'est-ce qu'un profil de conformité spécifique de l'ENS ?
C'est un ensemble de mesures de sécurité — qu'elles soient ou non prévues dans le Décret royal 311/2022 — qui, après l'analyse des risques obligatoire, s'avèrent appropriées pour un secteur ou un type d'entité précis et pour une catégorie de sécurité déterminée. Le CCN le valide et le publie dans un guide CCN-STIC, sur la base de l'article 30 du RD 311/2022 et du principe de proportionnalité.
Quels sont les avantages d'un PCS ?
Il rend l'adaptation plus pragmatique : l'entité part d'un ensemble de mesures déjà raisonné pour son collectif, ce qui réduit le coût d'interprétation, homogénéise les solutions au sein du secteur et s'aligne mieux avec la certification. Cela dit, il n'abaisse pas le niveau de sécurité exigé ni ne remplace l'analyse des risques : il adapte et priorise, il ne réduit pas les obligations.
Comment appliquer un profil de conformité ?
Identifier le profil applicable, catégoriser les systèmes, réaliser l'analyse des risques obligatoire (que le PCS ne remplace pas), élaborer la déclaration d'applicabilité en partant des mesures priorisées par le profil, mettre en œuvre et documenter, puis auditer et certifier pour les catégories moyenne et élevée.
Sources
- Décret royal 311/2022, du 3 mai, réglementant l'ENS (BOE-A-2022-7191)
- Article 30 du RD 311/2022 : Profils de conformité spécifiques et accréditation d'entités de mise en œuvre de configurations sécurisées
- Portail des entités locales du CCN (ENS)
- Guides CCN-STIC 890A et 890C sur les profils de conformité spécifiques
- CCN-STIC 883 : Guide d'implantation de l'ENS pour les entités locales
- CCN-STIC 891 : Profil de conformité spécifique pour le secteur santé