L'ENS dans le secteur public espagnol : la mise à jour 2026

L'Esquema Nacional de Seguridad (ENS), régi par le Real Decreto 311/2022, est le cadre de sécurité auquel les organismes du secteur public en Espagne — et les fournisseurs privés qui les servent — doivent se conformer. Pour un service informatique municipal, l'ENS n'est pas une politique abstraite ; c'est une obligation concrète qui façonne les achats, l'architecture et les opérations quotidiennes. Le cadre continuant de s'installer, c'est un bon moment pour le traduire en termes de parc.

Catégoriser vos systèmes

L'ENS fonctionne par catégorie. Chaque système est classé — Basique, Moyen ou Élevé — selon l'impact qu'un incident de sécurité aurait sur les dimensions de confidentialité, d'intégrité, de disponibilité, d'authenticité et de traçabilité. La catégorie détermine l'ensemble des mesures de sécurité à mettre en œuvre ; plus la catégorie est élevée, plus les contrôles sont exigeants. La première tâche concrète de toute administration est donc une catégorisation honnête de ses systèmes, car surclasser gaspille des ressources rares et sous-classer vous laisse exposé et non conforme.

Faire correspondre à un parc municipal

Le parc informatique d'une mairie type couvre plusieurs catégories à la fois :

• Les services aux citoyens (le registre électronique, les démarches en ligne, les portails de paiement) se situent souvent en Moyen, parfois en Élevé, car la disponibilité et l'intégrité affectent directement les droits des citoyens.
• Les systèmes administratifs internes — gestion documentaire, RH, finances — atterrissent généralement en Moyen au vu des données personnelles qu'ils détiennent.
• L'infrastructure de support (réseau, identité, sauvegardes) hérite de la catégorie du système le plus sensible qu'elle dessert, et c'est là que beaucoup d'administrations sous-dimensionnent leur périmètre.

L'erreur la plus courante que nous observons est de catégoriser soigneusement les applications visibles tout en traitant l'infrastructure partagée sous-jacente comme une réflexion après coup. Un service de catégorie Élevé reposant sur des fondations de catégorie Basique n'est pas conforme — et pas sûr.

Où les administrations plus petites se retrouvent bloquées

Les contraintes de ressources sont le thème récurrent. Les petites municipalités manquent fréquemment d'une fonction de sécurité dédiée, dépendent fortement de prestataires externes et peinent à entretenir la preuve continue qu'attend l'ENS. Trois mesures aident de façon disproportionnée : exiger que les fournisseurs démontrent par écrit leur propre conformité à l'ENS, s'appuyer sur les ressources partagées et réutilisables fournies par le cadre et les organismes nationaux plutôt que de tout construire en interne, et traiter l'autoévaluation ou l'audit requis comme un outil de planification tout au long de l'année plutôt que comme un obstacle ponctuel.

L'ENS récompense les administrations qui le traitent comme un modèle d'exploitation plutôt que comme un certificat. Réussissez la catégorisation, étendez la même rigueur à la couche d'infrastructure, tenez vos fournisseurs au même standard, et l'obligation de conformité devient une amélioration réelle de la sécurité des services publics — ce qui est, après tout, l'objectif.