Niveau ENS : guide pratique pour catégoriser votre système

·

Lorsqu'une entreprise fournissant des services à l'Administration publique espagnole décide d'entamer sa mise en conformité avec le Schéma National de Sécurité (ENS), la première question à laquelle elle doit répondre est aussi la plus importante : dans quelle catégorie se situe mon système ? La catégorie — de base, moyenne ou haute — n'est pas une formalité bureaucratique ; elle détermine le volume des mesures à mettre en place, le niveau d'exigence documentaire et, surtout, le type de conformité exigé avant tout appel d'offres public.

Pourquoi la catégorisation du système est-elle le point de départ obligatoire ?

Le Décret Royal 311/2022 du 3 mai, qui réglemente le Schéma National de Sécurité (BOE-A-2022-7191), organise sa logique de conformité autour d'un principe fondamental : la proportionnalité. Tous les systèmes d'information ne gèrent pas les mêmes types de données ni ne fournissent les mêmes services ; ils n'ont donc pas tous besoin des mêmes mesures. L'Annexe I du RD 311/2022 établit la procédure de détermination de la catégorie du système, et ce résultat conditionne directement le sous-ensemble des 75 mesures de l'Annexe II qui est exigible.

Cette catégorisation doit être réalisée avant de sélectionner tout contrôle de sécurité. Commencer à mettre en place des mesures sans avoir catégorisé le système est une erreur fréquente qui génère soit un surcoût — en appliquant des contrôles de niveau supérieur non obligatoires — soit, pire encore, un sous-investissement, en omettant des contrôles obligatoires pour la catégorie réelle du système.

Quelles sont les cinq dimensions de sécurité CIDAT et comment sont-elles évaluées ?

La catégorie d'un système est déterminée en évaluant l'impact qu'un incident de sécurité aurait sur chacune des cinq dimensions de sécurité que l'ENS regroupe sous l'acronyme CIDAT :

Pour chaque service en périmètre, l'impact sur chaque dimension est noté selon l'échelle à trois niveaux de l'Annexe I : BAS, MOYEN ou ÉLEVÉ. L'évaluation repose sur les conséquences réelles qu'un incident aurait sur l'organisation, les citoyens, le service public ou la sécurité nationale. Le guide CCN-STIC 806 fournit des critères d'évaluation concrets pour objectiver ces décisions.

Comment la catégorie finale du système est-elle déterminée ?

La catégorie du système résulte de l'impact maximal assigné à l'une quelconque des cinq dimensions CIDAT pour l'un quelconque des services en périmètre. La règle de l'Annexe I est précise :

Il faut noter qu'il suffit qu'une seule dimension d'un seul service en périmètre atteigne le niveau ÉLEVÉ pour que le système entier soit classé en catégorie haute, ce qui active l'ensemble le plus exigeant des mesures de l'Annexe II. C'est pourquoi définir correctement le périmètre du système — sans l'étendre inutilement — est une décision stratégique aux conséquences directes sur le coût et le calendrier du projet de mise en conformité.

Quelles différences pratiques existent entre les trois niveaux en termes de mesures et de conformité ?

Les différences entre catégories ne sont pas seulement quantitatives. Les mesures de niveau moyen et haut exigent un niveau de renforcement supérieur : des contrôles plus granulaires, une traçabilité accrue et des procédures plus rigoureuses. L'Annexe II indique pour chaque mesure si elle s'applique en catégorie de base, moyenne ou haute, et avec quel niveau de renforcement (R1, R2 ou R3 selon la terminologie des guides CCN-STIC série 800).

La différence la plus déterminante sur le plan opérationnel est la voie de conformité exigée :

Il est important de préciser que l'accompagnement spécialisé — tel que celui proposé par Summum Calidad dans son service d'adéquation au ENS — ne se substitue pas à la certification de conformité, qui est de la compétence exclusive des organismes accrédités par l'ENAC. L'accompagnement prépare le système à réussir ce processus avec les meilleures garanties possibles.

À quelle fréquence la catégorisation et la conformité doivent-elles être renouvelées ?

L'Annexe III du RD 311/2022 établit que les systèmes d'information soumis à l'ENS doivent faire l'objet d'un audit de sécurité au moins tous les deux ans. Pour les systèmes de catégorie de base, le renouvellement de la déclaration de conformité auto-évaluée suit le même cycle biennal. Pour la catégorie moyenne ou haute, l'organisme accrédité par l'ENAC réalise l'audit de renouvellement dans ce délai.

Tout changement significatif dans le périmètre du système, son architecture technologique ou les services fournis peut imposer une nouvelle catégorisation et, par conséquent, un audit extraordinaire hors du cycle régulier. La catégorisation n'est pas un exercice à réaliser une fois pour toutes : elle doit être mise à jour chaque fois que le système ou les services en périmètre changent de manière significative.

Quelles erreurs fréquentes sont commises lors de la catégorisation d'un système ENS ?

L'expérience des projets de mise en conformité permet d'identifier des schémas d'erreur récurrents dans la phase de catégorisation :

Comment la catégorisation ENS s'intègre-t-elle dans un système de management de la sécurité de l'information ?

Pour les organisations travaillant avec une norme ISO 27001:2022 certifiée ou en cours de certification, l'analyse d'impact de la catégorisation ENS s'aligne naturellement avec l'évaluation des risques qu'exige l'ISO 27001. Les cinq dimensions CIDAT de l'ENS ont leur équivalent conceptuel dans les critères d'évaluation des actifs de l'ISO 27001, et les résultats de l'analyse peuvent être utilisés pour les deux référentiels sans dupliquer le travail.

Ce chevauchement est précisément la raison pour laquelle la mise en conformité intégrée ENS–ISO 27001 est plus efficiente que deux projets séparés. Comme analysé en détail dans l'article sur les économies réalisées en mettant en oeuvre ENS et ISO 27001 ensemble, l'économie estimée par rapport à deux projets parallèles se situe entre 30 % et 40 % en coût et en temps d'équipe.

Si vous n'avez pas encore la certitude que l'ENS vous est applicable, consultez d'abord l'article sur quand l'ENS est obligatoire pour les entreprises privées, qui clarifie le champ d'application de l'article 2 du RD 311/2022 et les scénarios d'obligation les plus fréquents pour les fournisseurs.

Que faire après avoir déterminé la catégorie du système ?

Une fois la catégorie déterminée, l'étape suivante consiste à élaborer le plan d'adéquation conformément au guide CCN-STIC 806, qui sélectionne les mesures de l'Annexe II applicables à la catégorie du système, les priorise en fonction de leur impact sur le risque résiduel et établit un calendrier de mise en oeuvre avec des responsables désignés.

Summum Calidad accompagne les organisations fournissant des services à l'Administration publique espagnole tout au long de ce parcours, de la catégorisation initiale jusqu'à la préparation rigoureuse pour l'audit de conformité. Notre service d'accompagnement ENS couvre le diagnostic initial, l'analyse des écarts, la rédaction de la documentation et la revue pré-audit afin que le processus de déclaration ou de certification se déroule dans les meilleures conditions possibles.