ENS ou ISO 27001 pour travailler avec l'administration espagnole ? Pour répondre aux appels d'offres ou contracter avec le secteur public espagnol, ce qui est exigé, c'est le Schéma National de Sécurité espagnol (ENS), pas l'ISO 27001. L'ENS est obligatoire par la loi (Décret Royal 311/2022) pour les systèmes traitant de l'information du secteur public ; l'ISO 27001 est volontaire. Cela dit, implanter l'ISO 27001 avant l'ENS est généralement moins coûteux, car une grande partie des contrôles peuvent être réutilisés. Dans cet article, je me concentre sur l'angle que presque personne ne vous explique : ce que demandent les cahiers des charges, dans quel ordre implanter chaque référentiel et comment éviter de payer deux fois la même chose.
Si vous cherchez la comparaison technique complète (origine, périmètre, correspondance des contrôles, analyse des risques), elle est développée dans mon guide sur les différences entre ENS et ISO 27001. Je ne la répète pas ici : j'aborde directement la décision pratique d'une entreprise qui veut vendre à l'administration.
Ce que l'administration espagnole exige réellement : ENS ou ISO 27001 ?
La réponse courte est l'ENS. Le Décret Royal 311/2022, du 3 mai, qui réglemente le Schéma National de Sécurité espagnol, a expressément étendu son champ d'application aux opérateurs du secteur privé qui fournissent des services ou des solutions à des entités publiques lorsque ces systèmes traitent de l'information du secteur public. En d'autres termes : si votre entreprise va gérer des données ou des systèmes d'un organisme public, vous entrez dans le champ d'application de l'ENS même si vous êtes une entreprise privée.
L'ISO 27001, en revanche, est une norme internationale volontaire. Personne ne vous oblige à l'avoir. Ce qui se passe, c'est que de nombreux cahiers des charges la valorisent ou la considèrent comme équivalente à certains effets, mais elle ne remplace pas l'ENS lorsque l'ENS est obligatoire. Confondre les deux est l'erreur qui coûte le plus cher dans une commission d'appel d'offres.
Que disent les cahiers des charges des marchés publics sur l'ENS ?
En pratique, dans un appel d'offres public, l'ENS apparaît sous trois formes distinctes, et il convient de savoir les distinguer car les conséquences sont très différentes :
- Comme critère de capacité technique (obligatoire) : le cahier des charges exige que le soumissionnaire accrédite sa conformité avec l'ENS dans la catégorie correspondant au service. Sans cela, vous êtes exclu.
- Comme critère d'attribution valorisable (points) : l'ENS n'est pas obligatoire pour se présenter, mais obtenir la conformité — ou un niveau supérieur — vous donne des points par rapport aux concurrents.
- Comme obligation d'exécution (pendant le contrat) : on ne vous le demande pas lors de la soumission, mais le contrat vous oblige à atteindre la conformité dans un délai à compter de l'attribution. Si vous ne la respectez pas, vous êtes passible de pénalités ou, dans les cas les plus graves, de résiliation du contrat.
L'ISO 27001 apparaît généralement dans les cahiers des charges dans la zone « valorisable » ou comme accréditation de bonnes pratiques, presque jamais comme critère éliminatoire pour les marchés du secteur public. C'est pourquoi, si vous ne disposez que de l'ISO 27001 et que le cahier des charges exige l'ENS comme critère de capacité, vous ne pouvez pas soumissionner.
Puis-je utiliser l'ISO 27001 pour me conformer à l'ENS ?
Pas directement, mais oui pour accélérer et réduire les coûts. L'ISO 27001 et l'ENS partagent une partie importante de leur logique : les deux s'appuient sur une analyse des risques, exigent une politique de sécurité approuvée par la direction, la documentation des contrôles, la gestion des incidents et l'amélioration continue. Cela signifie que si vous disposez déjà d'un SGSI certifié ISO 27001, une grande partie du travail de l'ENS est déjà faite : politiques, procédures, inventaire des actifs, analyse des risques et registres peuvent être réutilisés.
Ce que l'ISO 27001 ne fait pas, c'est vous donner automatiquement la conformité ENS. L'ENS dispose de son propre cadre de mesures (Annexe II du DR 311/2022), de sa catégorisation par niveaux et de sa procédure de conformité. Il faut cartographier ce que vous avez déjà par rapport aux mesures de l'ENS, couvrir ce qui manque et passer par la voie de conformité correspondante. Mais partir de l'ISO 27001 réduit considérablement l'effort : on ne repart pas de zéro.
Est-il moins coûteux d'implanter l'ISO 27001 avant l'ENS ?
Dans la plupart des entreprises privées qui souhaitent vendre à l'administration, oui, et pour deux raisons. Premièrement, parce que l'ISO 27001 vous donne un Système de Gestion de la Sécurité de l'Information reconnu internationalement, qui vaut aussi pour les clients privés, pas seulement pour le secteur public. Deuxièmement, parce qu'une fois le SGSI mis en place, l'implantation de l'ENS s'appuie dessus au lieu de le dupliquer.
L'ordre inverse — ENS d'abord, ISO 27001 ensuite — est également valable, mais il est généralement moins efficace pour une entreprise privée : l'ENS est conçu du point de vue de l'administration et sa documentation ne correspond pas toujours aussi bien à ce que demande l'ISO. Si votre objectif principal est de soumissionner et que vous souhaitez également une certification vendable à des clients privés, la séquence ISO 27001 → ENS est celle qui amortit le mieux les dépenses.
Ordre d'implantation recommandé pour soumissionner
Tableau : ce dont vous avez besoin selon votre situation
Ce tableau résume la décision selon la situation de votre entreprise et ses objectifs. Il s'agit d'un guide indicatif, qui ne remplace pas la lecture du cahier des charges spécifique :
| Votre situation | Besoin de l'ENS ? | Besoin de l'ISO 27001 ? | Ordre recommandé |
|---|---|---|---|
| Vous vendez uniquement à des clients privés | Non (sauf s'ils traitent des informations publiques) | Facultatif, renforce la confiance commerciale | ISO 27001 si vos clients la demandent |
| Vous voulez commencer à soumissionner avec l'administration | Oui, si le cahier des charges l'exige | Recommandé comme base | ISO 27001 → ENS |
| Le cahier des charges exige l'ENS comme critère de capacité | Oui, obligatoire pour soumissionner | Non obligatoire | ENS prioritaire ; l'ISO accélère |
| Le cahier des charges valorise l'ISO 27001 avec des points | Selon le contrat | Vous donne des points | Les deux si vous visez l'attribution |
| Vous avez déjà l'ISO 27001 et souhaitez soumissionner | Oui, si le cahier des charges l'exige | Vous l'avez déjà | Cartographier l'ISO sur l'ENS |
Erreurs fréquentes dans la commission d'appel d'offres
Lorsque je passe en revue des offres avec des entreprises qui soumissionnent depuis peu de temps, les mêmes erreurs reviennent. Voici celles qui entraînent le plus d'exclusions ou de points perdus :
- Présenter l'ISO 27001 quand le cahier des charges demande l'ENS. Ce sont des référentiels différents. Joindre le certificat ISO n'accrédite pas la conformité avec l'ENS et la commission peut déclarer l'offre irrecevable pour manque de capacité technique.
- Accréditer une catégorie ENS inférieure à celle du service. L'ENS est catégorisé par niveaux (de base, moyen, élevé). Si le contrat traite des informations de catégorie moyenne et que vous apportez une conformité de base, vous ne respectez pas l'exigence.
- Confondre déclaration et certification. Au niveau de base, l'ENS est accrédité par déclaration de conformité (auto-évaluation) ; aux niveaux moyen et élevé, par certification avec audit d'un organisme accrédité. Apporter une déclaration là où le cahier des charges exige une certification est un motif d'exclusion.
- Ne pas publier le signe de conformité. Le DR 311/2022 oblige à prouver la conformité via le signe officiel sur le site web ou le portail officiel. Certains cahiers des charges le vérifient.
- Remettre la conformité à « quand on aura gagné ». Si le cahier des charges l'exige comme critère de capacité, il faut l'avoir avant de soumettre l'offre, pas après l'attribution.
Délais et pénalités : l'ENS comme obligation d'exécution
Certains contrats n'exigent pas l'ENS lors de la soumission, mais l'imposent comme obligation pendant l'exécution. Dans ces cas, le cahier des charges fixe généralement un délai à compter de la formalisation du contrat pour atteindre la conformité — habituellement quelques mois — et lie son non-respect à des pénalités financières ou, dans les cas les plus graves, à la résiliation du contrat.
C'est là que disposer de l'ISO 27001 au préalable fait la différence : si vous partez déjà d'un SGSI mature, atteindre la conformité ENS dans le délai contractuel est faisable ; si vous partez de zéro avec le chronomètre qui tourne, le risque de ne pas respecter le jalon est réel.
Cas pratique : une PME technologique qui veut soumissionner
Imaginez une PME (petite et moyenne entreprise) de développement de logiciels de dix personnes qui jusqu'à présent n'a travaillé qu'avec des clients privés et qui veut postuler à des marchés d'une collectivité régionale. Le service impliquera l'hébergement et le traitement de données de l'administration, de sorte qu'elle entre dans le champ d'application de l'ENS. Par où commencer ?
La route qui a du sens est la suivante : (1) implanter un SGSI conforme à l'ISO 27001, qui lui sert aussi à renforcer la confiance auprès de ses clients privés ; (2) catégoriser le service public qu'elle va fournir pour savoir de quel niveau d'ENS elle a besoin ; (3) cartographier les contrôles ISO déjà implantés par rapport aux mesures de l'ENS et couvrir ce qui manque ; et (4) passer par la voie de conformité — déclaration ou certification selon le niveau. Avec cette séquence, la PME ne duplique pas la documentation, obtient une certification vendable et arrive aux appels d'offres avec la conformité ENS en règle.
Et si j'ai besoin des deux ? Comment ne pas payer deux fois la même chose
De nombreuses entreprises qui travaillent à la fois avec des clients privés et avec l'administration finissent par avoir besoin des deux référentiels. La clé pour ne pas dupliquer les coûts est d'implanter un seul système de gestion qui couvre les deux à la fois : une seule politique de sécurité, une seule analyse des risques, un inventaire des actifs partagé et un corpus documentaire commun, avec les annexes spécifiques que chaque référentiel exige.
C'est précisément cette convergence que je propose dans mon pack ISO 27001 + ENS + RGPD pour les marchés publics des administrations publiques espagnoles en Castilla y León : au lieu de trois projets séparés, un seul système qui respecte les trois référentiels et qui est audité de façon coordonnée. Si vous opérez depuis Castilla y León ou depuis les Canaries, j'assure l'accompagnement complet, du diagnostic initial jusqu'à la conformité.
Conclusion : l'ENS pour entrer, l'ISO 27001 pour construire
Si votre objectif est de travailler avec l'administration espagnole, l'ENS est la porte : sans lui, dans de nombreux cas vous ne pouvez même pas vous présenter. L'ISO 27001 est le socle sur lequel il convient de construire, car elle vous fait gagner du temps sur l'ENS et vous est également utile hors du secteur public. La séquence la plus rentable pour une entreprise privée est généralement ISO 27001 d'abord, ENS ensuite, et lorsque les deux sont nécessaires, les intégrer dans un seul système de gestion pour ne pas payer deux fois le même effort.
L'erreur que je vois encore et encore est de traiter la conformité comme une formalité de dernière minute, juste avant un appel d'offres précis. Ça ne fonctionne pas ainsi : ni l'ENS ni l'ISO 27001 ne s'improvisent en deux semaines, car les deux exigent des preuves — politiques approuvées, risques analysés, contrôles opérationnels — qui ont besoin de temps de fonctionnement réel pour être auditées. Anticiper, décider du bon ordre et construire un système unique qui serve pour plusieurs appels d'offres, voilà ce qui transforme la conformité en avantage concurrentiel plutôt qu'en course contre la montre.
Questions fréquentes
Ai-je besoin de l'ENS ou de l'ISO 27001 ?
Cela dépend de pour qui vous travaillez. Pour soumissionner ou contracter avec le secteur public espagnol, ce qui est obligatoire, c'est l'ENS (Décret Royal 311/2022). L'ISO 27001 est volontaire, internationale et utile pour les clients privés ; elle ne remplace pas l'ENS lorsque celui-ci est obligatoire.
Puis-je utiliser l'ISO 27001 pour me conformer à l'ENS ?
Pas automatiquement, mais oui comme base : les deux partagent la politique de sécurité, l'analyse des risques et la gestion des incidents. Si vous avez déjà l'ISO 27001, vous réutilisez une grande partie de la documentation et réduisez l'effort pour l'ENS, bien qu'il faille cartographier et couvrir les mesures propres de l'Annexe II de l'ENS.
Que demande-t-on pour travailler avec l'administration espagnole ?
Généralement la conformité avec l'ENS dans la catégorie correspondant au service. Elle peut apparaître comme critère de capacité (obligatoire pour soumissionner), comme critère valorisable (points) ou comme obligation d'exécution du contrat. Il faut lire chaque cahier des charges.
Est-il moins coûteux d'implanter l'ISO 27001 avant l'ENS ?
Pour la plupart des entreprises privées, oui. Le SGSI de l'ISO 27001 sert dans et hors du secteur public et, une fois mis en place, l'implantation de l'ENS s'appuie dessus au lieu de le dupliquer. La séquence ISO 27001 → ENS amortit généralement mieux les dépenses.
Sources
- Décret Royal 311/2022, du 3 mai, réglementant le Schéma National de Sécurité espagnol (BOE-A-2022-7191).
- CCN-CERT — Questions fréquentes sur l'ENS (ens.ccn.cni.es).
- AEPD — Déclaration de conformité avec le Schéma National de Sécurité.
Contenu élaboré par Ángel Ortega Castro. Informations indicatives à la date de rédaction ; l'état du programme peut évoluer. Consultez toujours le BOE et Red.es pour connaître les délais en vigueur.