ángelortega · aoc

Schéma National de Sécurité · article

Analyse des risques MAGERIT pour le ENS espagnol : guide pratique

Conseil independant en marketing, conformité réglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y Leon) pour toute l'Espagne.

Conseil indépendant en marketing, conformité réglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y León) pour toute l'Espagne.

Publié le 2026-05-09 · Mis à jour le 2026-05-21 · Aranda de Duero · Espagne

MAGERIT est la méthodologie officielle espagnole d'analyse et de gestion des risques des systèmes d'information, exigée par le Schéma National de Sécurité (ENS espagnol) et prise en charge par l'outil PILAR.

L'analyse de risques est le cœur du Schéma National de Sécurité (ENS espagnol). Sans analyse rigoureuse, impossible de déterminer quels contrôles votre organisation requiert, avec quel niveau d'exigence, ni où concentrer les ressources de sécurité. MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) est la méthodologie de référence en Espagne pour ce processus. Ce guide vous explique comment l'appliquer concrètement dans votre projet d'adéquation au ENS.

TL;DR · résumé
  • Qu'est-ce que MAGERIT et pourquoi est-il pertinent ?
  • L'outil PILAR du CCN
  • Étape 1 : inventaire des actifs
  • Étape 2 : évaluation des actifs sur les dimensions DICAT

Qu'est-ce que MAGERIT et pourquoi est-il pertinent ?

MAGERIT est la méthodologie développée par le Consejo Superior de Administración Electrónica, actuellement dans sa version 3. Elle se compose de trois livres. Le Livre I décrit la méthode, les étapes de l'analyse et les concepts fondamentaux. Le Livre II est le catalogue d'éléments : types d'actifs, dimensions d'évaluation, critères d'évaluation, catalogue de menaces et catalogue de sauvegardes. Le Livre III est le guide des techniques, qui décrit les méthodes quantitatives et qualitatives applicables.

Bien que le ENS n'impose pas MAGERIT comme méthodologie unique, c'est en pratique la référence standard que les auditeurs ENS s'attendent à trouver. Utiliser une autre méthodologie est possible, mais nécessite de justifier qu'elle respecte les exigences de l'Annexe II du ENS, ce qui ajoute une complexité inutile.

L'outil PILAR du CCN

PILAR est l'outil informatique développé par le Centro Criptológico Nacional (CCN) qui met en œuvre la méthodologie MAGERIT de manière automatisée. Il existe en plusieurs versions : PILAR complet pour les analyses de risques avancées, μPILAR (micro-PILAR) comme version simplifiée pour les petites organisations, et PILAR Cloud comme version dans le cloud.

PILAR inclut les catalogues complets de MAGERIT, calcule automatiquement l'impact et le risque à partir des évaluations introduites, fournit des rapports standards acceptés par les auditeurs ENS, et se met à jour périodiquement avec de nouvelles menaces et sauvegardes.

L'accès à PILAR nécessite une inscription sur le portail du CCN. L'outil est gratuit pour le secteur public et ses fournisseurs.

Étape 1 : inventaire des actifs

La première étape consiste à identifier tous les actifs d'information du système dans le périmètre du ENS. MAGERIT classe les actifs par couches : information et données (ce que l'on veut protéger), services (ce qui est offert), applications et logiciels, équipements et infrastructure matérielle, communications et réseaux, supports d'information (physiques et électroniques), installations et personnel.

Pour chaque actif, on documente sa dénomination, son type selon le catalogue MAGERIT, son propriétaire ou responsable, sa localisation et ses relations de dépendance avec d'autres actifs (un service dépend d'une application, qui dépend d'un serveur, qui dépend d'une salle serveur).

Étape 2 : évaluation des actifs sur les dimensions DICAT

Chaque actif est évalué sur les cinq dimensions de sécurité : Disponibilité, Intégrité, Confidentialité, Authenticité et Traçabilité. L'évaluation peut être qualitative (BAJO, MEDIO, ALTO) ou quantitative (échelle numérique), mais pour le ENS l'évaluation qualitative suffit.

L'évaluation doit être faite pour chaque actif d'information et de service. Les actifs de support (matériel, logiciel, communications) héritent de l'évaluation des actifs supérieurs dont ils dépendent via l'arbre de dépendances.

Étape 3 : identification des menaces

Pour chaque actif, on identifie les menaces qui pourraient se matérialiser et causer un impact négatif. Le catalogue de menaces de MAGERIT (Livre II) fournit une liste exhaustive organisée par catégories : catastrophes naturelles, origine industrielle, erreurs et défaillances non intentionnelles, et attaques intentionnelles.

Il n'est pas nécessaire de considérer toutes les menaces du catalogue pour chaque actif. On sélectionne celles qui sont pertinentes selon le type d'actif et le contexte de l'organisation.

Étape 4 : estimation de l'impact et de la probabilité

Pour chaque paire actif-menace, on estime la probabilité de matérialisation de la menace (la fréquence attendue avec laquelle elle pourrait se produire) et l'impact qu'elle produirait sur chaque dimension de sécurité (la dégradation de la valeur de l'actif).

PILAR facilité grandement ce processus en fournissant des estimations par défaut basées sur des statistiques et l'expérience accumulée, que l'analyste peut ajuster selon le contexte spécifique de son organisation.

Étape 5 : calcul du risque

Le risque est calculé comme la combinaison de l'impact et de la probabilité. PILAR effectue ce calcul automatiquement et présente les résultats dans des matrices de risque qui permettent de visualiser rapidement quels actifs présentent un risque inacceptable.

Le risque peut s'exprimer en trois zones : risque acceptable (vert), risque tolérable avec mesures (jaune) et risque inacceptable qui exige une action immédiate (rouge).

Étape 6 : sélection des sauvegardes

Les sauvegardes sont les mesures de sécurité mises en place pour réduire le risque à un niveau acceptable. Le catalogue de sauvegardes de MAGERIT fournit une liste étendue qui se rattache directement aux contrôles du ENS.

Pour chaque risque inacceptable, on sélectionne les sauvegardes appropriées et on estime leur efficacité (quel pourcentage du risque elles réduisent). PILAR recalcule automatiquement le risque résiduel avec les sauvegardes appliquées.

Étape 7 : détermination du risque résiduel

Le risque résiduel est celui qui subsiste après l'application de toutes les sauvegardes sélectionnées. Ce risque doit être accepté formellement par le responsable de la sécurité ou par la direction de l'organisation. Si le risque résiduel demeure inacceptable, il faut renforcer les sauvegardes ou rechercher des alternatives.

Erreurs fréquentes dans l'analyse de risques ENS

La première erreur habituelle est l'incomplétude de l'inventaire des actifs : oublier des actifs critiques tels que les bases de données, les systèmes de sauvegarde ou les connexions avec les tiers. La deuxième est le manque de cohérence dans les évaluations : attribuer des valeurs sans critère cohérent entre actifs similaires. La troisième est l'obsolescence : réaliser l'analyse une seule fois sans la revoir périodiquement. La quatrième est le manque d'implication des responsables fonctionnels : l'analyse de risques ne peut pas être faite uniquement par le département informatique, elle requiert la vision métier.

Comment présenter l'analyse de risques à la direction ?

La direction n'a pas besoin de voir les tableaux PILAR. Elle a besoin de comprendre trois choses : quels risques sont les plus graves pour l'organisation (les cinq principaux, avec des scénarios compréhensibles), quelles mesures sont proposées et combien elles coûtent, et quel risque résiduel est assumé et pourquoi il est acceptable.

Préparez un rapport exécutif de deux ou trois pages qui réponde à ces trois questions, accompagné du rapport technique complet de PILAR en annexe.

Vous avez besoin de réaliser l'analyse de risques de votre organisation selon MAGERIT ? Contactez-moi. Je vous accompagne sur l'ensemble du processus avec l'outil PILAR et je vous livre une analyse capable de passer l'audit ENS.

Auteur : Ángel Ortega Castro · consultant indépendant en stratégie, qualité et numérisation pour PME.

Poursuivez votre lecture sur Conformité ENS

Besoin d'aide sur ce sujet ?

Travaillez avec moi sur l'adéquation au ENS

Conseil sur mesure en adéquation au Schéma National de Sécurité espagnol. Première session sans frais.

Réserver une session →

Foire aux questions

Comment cela s'applique a ma PME ?

Cela s'applique si vous traitez des clients ou des données espagnols; le cadre est obligatoire au-dela de seuils que nous resumons dans le tableau.

Quel est le coût en 2026 ?

Fourchettes indicatives pour les PME de 10-50 salariés : 2 500-12 000 EUR pour la documentation + honoraires d'audit AENOR / BV / SGS / LRQA.

Quelle réglementation espagnole s'applique ?

BOE reference RD 311/2022 (ENS), Reglement UE 2016/679 (RGPD), LOPDGDD, NIS2, DORA et le reglement IA 2024/1689 selon le périmètre.

Combien de temps prend la mise en oeuvre ?

En moyenne 4-7 mois pour une seule norme ISO. Un SGI intégré (9001+14001+27001) prend habituellement 8-12 mois.

Peut-on cofinancer via Kit Digital ou Kit Consulting ?

Oui, Kit Consulting 2026 couvre jusqu'à 24 000 EUR d'heures-conseil; Kit Digital couvre les outils (CRM, ERP, cybersécurité) jusqu'à 29 000 EUR.

El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro