ENS et ISO 27001 ensemble : économies vs deux projets séparés

·

De plus en plus d'entreprises privées travaillant avec l'administration publique font face à une double exigence : respecter le Schéma National de Sécurité (ENS) — obligatoire pour les prestataires de services numériques aux organismes publics — et obtenir ou maintenir la certification ISO/IEC 27001 réclamée par leurs clients corporatifs. La question qui nous est souvent posée est directe : combien économise-t-on en faisant les deux à la fois ? La réponse, fondée sur l'expérience accumulée depuis 2007 à travers plus de ~200 certifications ISO accompagnées, est que l'économie oscille entre 30 % et 45 % du coût combiné si les deux projets étaient réalisés séparément. Dans cet article, nous détaillons pourquoi, quels contrôles sont mutualisables et quelles sont les fourchettes de marché réelles pour chaque poste de coût.

ENS et ISO 27001 : deux référentiels, un seul noyau de sécurité

L'ENS, régi par le Décret Royal 311/2022 (qui a remplacé le RD 3/2010), s'applique obligatoirement aux administrations publiques et à leurs prestataires de services informatiques lorsqu'ils fournissent des services affectant des systèmes d'information classés en catégorie basique, moyenne ou haute. L'ISO/IEC 27001:2022, publiée par l'Organisation internationale de normalisation, est le standard mondial de gestion de la sécurité de l'information (SMSI) reconnu par les auditeurs et les organismes de certification accrédités.

Les deux référentiels partagent une architecture de risques très similaire : identifier les actifs, évaluer les menaces, sélectionner les contrôles et établir un cycle d'amélioration continue. L'Annexe A de l'ISO 27001:2022 comprend 93 contrôles organisés en quatre thèmes (organisationnel, personnes, physique et technologique) ; l'ENS établit 73 mesures de sécurité regroupées en cadres organisationnel, opérationnel et de protection. Comparés contrôle par contrôle, le chevauchement effectif couvre environ 60 à 70 % des contrôles documentaires et de processus.

Ce chevauchement est la source des économies : la politique de sécurité, l'analyse des risques, l'inventaire des actifs, le plan de continuité, la gestion des incidents, les procédures d'accès et la formation du personnel sont rédigés une seule fois et mappés aux exigences des deux référentiels. Sans projet conjoint, chaque cabinet de conseil produit cette documentation de façon indépendante, dupliquant ainsi l'effort.

Contrôles exclusifs de l'ENS non couverts par l'ISO 27001

Tout n'est pas mutualisable. L'ENS introduit des exigences spécifiques à l'administration espagnole que l'ISO 27001 ne prévoit pas explicitement :

Ces exigences différentielles ne peuvent pas être transférées depuis l'ISO 27001 et nécessitent un travail supplémentaire spécifique. C'est pourquoi l'économie n'est pas de 100 % des contrôles partagés : il existe une fraction d'effort exclusive à chaque référentiel qui doit toujours être réalisée.

Tableau comparatif : postes de coût en projet séparé versus projet conjoint

Poste Projets séparés (ENS + ISO 27001) Projet conjoint Économie estimée
Analyse des risques Réalisée deux fois avec des méthodologies différentes Une méthodologie unifiée valable pour les deux référentiels 40–50 % de ce poste
Documentation du SMSI / cadre organisationnel Deux jeux de politiques, procédures et enregistrements Un jeu documenté avec double mapping ENS / ISO 35–45 % de ce poste
Formation et sensibilisation du personnel Deux actions de formation, potentiellement chevauchantes Une seule action de formation unifiée 50–60 % de ce poste
Revue de direction et audit interne Deux cycles annuels séparés Un cycle d'audit interne combiné 30–40 % de ce poste
Contrôles techniques exclusifs ENS (CCN-STIC) S'applique uniquement au projet ENS S'applique uniquement au projet ENS 0 % (pas de synergies)
Audit de certification ISO 27001 Coût de l'organisme certificateur indépendant Idem (tarif de l'organisme, non réductible par conjonction) 0 % (fixé par l'organisme)
Audit ENS (biennal, pour catégorie moyenne/haute) Coût de l'entité auditrice ENS agréée CCN Idem (indépendant) 0 % (fixé par l'entité)
Total conseil et mise en œuvre Base 100 % 55–70 % du coût séparé 30–45 %

Note : les pourcentages sont des fourchettes indicatives de marché basées sur des projets dans des PME de 20 à 150 employés avec des systèmes de catégorie basique ou moyenne. Les coûts d'audit externe sont fixés par les organismes certificateurs et les entités auditrices ENS ; ils ne sont pas négociables par le cabinet de conseil.

Fourchettes de coût réelles sur le marché espagnol (2025–2026)

Vous trouverez ci-dessous des fourchettes indicatives de marché pour les entreprises privées en Espagne. Il ne s'agit pas des tarifs de Summum Marketing ; elles reflètent les données publiées par les organismes certificateurs, les associations sectorielles (ISACA, ISMS Forum Spain) et les appels d'offres de l'administration publique. Les facteurs qui font varier le prix au sein de la fourchette sont détaillés dans la section suivante.

Conseil en mise en œuvre ENS (catégorie basique ou moyenne)

Pour une PME de 20 à 80 employés disposant d'un système d'information de catégorie basique ou moyenne, la fourchette de marché pour le conseil en mise en œuvre ENS se situe entre 8 000 € et 22 000 €. Pour la catégorie haute, le coût peut dépasser 40 000 € en raison des exigences en matière de produits certifiés CC et de la plus grande profondeur des guides CCN-STIC applicables.

Conseil en mise en œuvre ISO 27001:2022

La mise en œuvre d'ISO 27001 dans une PME de taille similaire (20 à 80 employés, sans certification préalable) se situe entre 7 000 € et 20 000 €. La fourchette varie en fonction du nombre d'actifs dans le périmètre, de la maturité préalable du système et de l'existence d'un responsable de la sécurité interne.

Projet conjoint ENS + ISO 27001

Réalisé de manière intégrée par le même cabinet de conseil, la fourchette de marché pour le même profil d'entreprise est de 10 000 € à 28 000 € : l'économie réelle par rapport à l'addition des deux projets séparés (15 000 €–42 000 €) est comprise entre 30 % et 45 %, comme l'indiquait le tableau précédent.

Audit de certification ISO 27001 (organismes accrédités)

Les tarifs des organismes accrédités par ENAC (AENOR, Bureau Veritas, SGS, Lloyd's Register, DNV…) pour l'audit de certification d'une PME à périmètre réduit varient entre 3 500 € et 9 000 € pour la phase 1 + phase 2 initiale (première année). Les audits de surveillance annuels représentent 40 à 60 % de ce coût.

Audit biennal ENS (entités auditrices agréées CCN)

Les entités habilitées par le CCN pour auditer l'ENS en catégorie moyenne ou haute facturent au même profil d'entreprise entre 4 000 € et 12 000 € par audit biennal, en fonction du nombre de systèmes audités, de la catégorie et du nombre de contrôles applicables.

Facteurs qui font varier le prix au sein de la fourchette

Calendrier type d'un projet conjoint

Un projet ENS + ISO 27001 intégré dans une PME de catégorie basique ou moyenne suit généralement ce calendrier :

  1. Mois 1–2 : analyse des écarts (gap analysis) par rapport aux deux référentiels, inventaire des actifs et analyse des risques unifiée.
  2. Mois 3–4 : conception et rédaction du SMSI avec double mapping ENS / ISO 27001. Politique de sécurité, procédures de gestion des accès, des incidents, de la continuité et des fournisseurs.
  3. Mois 5–6 : mise en œuvre des contrôles techniques (chiffrement, gestion des correctifs, journaux d'audit, segmentation réseau) avec référence aux guides CCN-STIC pertinents.
  4. Mois 7 : audit interne combiné, revue de direction et clôture des non-conformités.
  5. Mois 8–9 : audit de certification ISO 27001 (phase 1 documentaire + phase 2 sur site) et, le cas échéant, audit ENS par une entité habilitée CCN.

Le calendrier total est de 8 à 10 mois pour un profil de PME en catégorie basique ou moyenne. Réaliser les projets de façon séparée et séquentielle nécessiterait entre 14 et 18 mois, en plus du coût plus élevé.

Si votre entreprise doit démontrer sa conformité ENS à un organisme public tout en renforçant ses références en matière de sécurité auprès de clients privés, le conseil ENS de Summum Calidad intègre les deux référentiels dès le premier jour pour que vous ne payiez pas deux fois le même travail.

Quand n'est-il PAS pertinent de réaliser un projet conjoint ?

L'intégration n'est pas toujours l'option optimale. Il existe des situations où il est préférable de séparer les projets :

Questions fréquentes

L'ENS est-il obligatoire pour une entreprise privée prestant des services à une mairie ?

Oui. Le Décret Royal 311/2022 étend l'obligation ENS aux « prestataires du secteur privé qui fournissent des services ou des solutions aux entités relevant du champ d'application » (art. 2.2). En pratique, toute entreprise qui exploite des systèmes d'information pour une administration publique — d'une mairie à un organisme national — doit mettre en œuvre l'ENS dans les systèmes concernés par ce service. Le niveau d'exigence (basique, moyen ou élevé) dépend de la catégorie que l'organisme public attribue au système.

L'ISO 27001 « remplace-t-elle » l'ENS ou s'agit-il de certifications cumulables ?

Ce sont des référentiels cumulables et indépendants. L'ISO 27001 est délivrée par un organisme de certification accrédité par ENAC (l'organisme national d'accréditation) ; l'ENS est audité par une entité habilitée par le CCN. Aucun ne remplace l'autre devant l'administration, bien que le travail de mise en œuvre soit hautement synergique. Des entreprises détiennent simultanément les deux certifications.

L'économie de 30–45 % est-elle la même pour la catégorie haute de l'ENS ?

En catégorie haute, l'économie en pourcentage est moindre, car les exigences exclusives de l'ENS (produits certifiés Common Criteria, application de guides CCN-STIC plus approfondis, audits plus étendus) représentent une proportion plus importante du coût total. En pratique, l'économie de conseil et de mise en œuvre pour la catégorie haute est d'environ 20 à 30 %, contre 30 à 45 % pour les catégories basique et moyenne.

Quels organismes peuvent auditer l'ENS pour une entreprise privée ?

Le CCN publie et met à jour la liste des entités de certification ENS habilitées sur son portail (ccn.cni.es). À la date de 2025–2026, parmi les entités habilitées pour les catégories moyenne et haute figurent AENOR, Bureau Veritas, DEKRA, Lloyd's Register et plusieurs autres accréditées par ENAC. Pour la catégorie basique, la vérification peut être réalisée par un audit interne qualifié ou une entité auditrice privée sans habilitation CCN, bien que de nombreux organismes publics exigent également une entité externe reconnue.