ángelortega · aoc

Schéma National de Sécurité · article

Catalogue CPSTIC du CCN : produits qualifiés pour le ENS espagnol

Conseil independant en marketing, conformité réglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y Leon) pour toute l'Espagne.

Conseil indépendant en marketing, conformité réglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y León) pour toute l'Espagne.

Publié le 2026-05-15 · Mis à jour le 2026-05-21 · Aranda de Duero · Espagne

Le catalogue CPSTIC du CCN regroupe les produits et services TIC qualifiés pour leur usage dans des systèmes ENS ; son emploi est exigé pour les catégories MEDIA et ALTA.

Choisir les bons produits de sécurité conditionne la conformité au Schéma National de Sécurité (ENS espagnol). Le catalogue CPSTIC du CCN sert de référence officielle pour identifier les solutions qualifiées et pour justifier les choix devant l'auditeur. Ce guide vous présente la logique du catalogue, ses obligations par catégorie ENS et les critères pratiques pour choisir efficacement.

TL;DR · résumé
  • Qu'est-ce que le catalogue CPSTIC ?
  • Quand l'usage de produits CPSTIC est-il obligatoire ?
  • Taxonomie du catalogue
  • Processus de qualification d'un produit

Qu'est-ce que le catalogue CPSTIC ?

Le CPSTIC (Catálogo de Productos y Servicios TIC Cualificados) est la liste officielle, gérée par le Centro Criptológico Nacional (CCN), des produits et services informatiques qui ont obtenu une qualification pour leur utilisation dans des systèmes soumis au Schéma National de Sécurité (ENS espagnol). Il sert de référence aux organisations qui doivent justifier la sélection de produits conformes.

L'objectif du catalogue est double : garantir un niveau de confiance vérifié et faciliter la prise de décision des responsables de la sécurité. Le catalogue est public et accessible depuis le portail du CCN.

Quand l'usage de produits CPSTIC est-il obligatoire ?

Pour les systèmes ENS de catégorie MEDIA et ALTA, l'usage de produits qualifiés CPSTIC est exigé pour certaines familles : pare-feu, systèmes de chiffrement, dispositifs de signature électronique, solutions d'authentification multifacteur, et passerelles sécurisées. Pour la catégorie BÁSICA, l'usage du catalogue est recommandé mais non strictement obligatoire.

Lorsqu'un produit qualifié n'existe pas pour une fonction donnée, l'organisation peut utiliser un produit non qualifié à condition de justifier le choix dans la déclaration d'applicabilité et d'évaluer le risque associé.

Taxonomie du catalogue

Le CPSTIC organise les produits par familles fonctionnelles : pare-feu et passerelles, antivirus et EDR, chiffrement et VPN, authentification et identité, signature électronique et horodatage, protection des terminaux, surveillance et corrélation d'événements, sauvegarde et continuité. Chaque famille définit ses propres exigences techniques et fonctionnelles.

À l'intérieur de chaque famille, les produits sont classés par niveau de qualification, en cohérence avec les catégories ENS. Un produit qualifié niveau ALTO couvre les usages des catégories ALTA, MEDIA et BÁSICA.

Processus de qualification d'un produit

Un fabricant qui souhaite faire qualifier son produit doit suivre un processus d'évaluation mené par un laboratoire accrédité par le CCN. L'évaluation porte sur les fonctionnalités de sécurité, la robustesse face aux attaques connues, la gestion des correctifs et l'engagement de support. La durée d'une qualification est de l'ordre de six à dix-huit mois et son coût oscille entre 30.000 € et 120.000 € selon la complexité.

Une fois la qualification obtenue, le produit reste dans le catalogue pendant une durée définie, généralement de trois à cinq ans, après quoi une renouvellement est nécessaire pour maintenir le statut.

Équivalences avec Common Criteria et autres certifications

Le catalogue CPSTIC reconnaît certaines équivalences avec les certifications Common Criteria (ISO/IEC 15408) et avec des qualifications de pays membres de l'accord SOG-IS. Cette reconnaissance facilité l'incorporation de produits internationaux au catalogue, mais une vérification spécifique reste nécessaire pour valider l'adéquation au ENS.

Pour les produits cryptographiques, l'évaluation s'appuie également sur les recommandations du CCN-STIC-807 et sur les algorithmes approuvés pour le secteur public.

Critères pratiques pour choisir un produit

Au-delà de la présence dans le catalogue, plusieurs critères pratiques doivent guider la sélection : disponibilité du support en français ou en espagnol, présence locale du fabricant ou de l'intégrateur, capacité de fournir des évidences pour l'audit ENS, coût total de possession sur cinq ans, et compatibilité avec l'écosystème existant.

Un produit qualifié n'est pas toujours le meilleur choix opérationnel. Il faut équilibrer la conformité réglementaire avec l'efficacité et la pérennité de la solution.

Erreurs fréquentes dans l'usage du catalogue

L'erreur la plus fréquente consiste à supposer qu'utiliser un produit du catalogue garantit la conformité au ENS. Le catalogue garantit la qualité du produit, mais la conformité dépend de sa configuration, de son intégration et de son exploitation. Un pare-feu CPSTIC mal configuré est aussi vulnérable qu'un produit non qualifié.

Une autre erreur courante est d'attendre passivement qu'un produit favori entre au catalogue. Si la qualification est requise et que le produit n'est pas qualifié, il faut soit changer de produit, soit documenter clairement la justification de l'écart.

Mise à jour et veille

Le CCN met à jour régulièrement le catalogue : nouveaux produits qualifiés, renouvellements, retraits pour non-renouvellement ou pour vulnérabilités graves. Inscrire la veille sur le CPSTIC dans la routine du responsable de la sécurité évite des surprises lors des audits.

Vous devez sélectionner des produits conformes au catalogue CPSTIC ? Contactez-moi pour cadrer le besoin, évaluer les options et documenter la justification dans votre déclaration d'applicabilité.

Auteur : Ángel Ortega Castro · consultant indépendant en stratégie, qualité et numérisation pour PME.

Poursuivez votre lecture sur Conformité ENS

Besoin d'aide sur ce sujet ?

Travaillez avec moi sur l'adéquation au ENS

Conseil sur mesure en adéquation au Schéma National de Sécurité espagnol. Première session sans frais.

Réserver une session →

Foire aux questions

Comment cela s'applique a ma PME ?

Cela s'applique si vous traitez des clients ou des données espagnols; le cadre est obligatoire au-dela de seuils que nous resumons dans le tableau.

Quel est le coût en 2026 ?

Fourchettes indicatives pour les PME de 10-50 salariés : 2 500-12 000 EUR pour la documentation + honoraires d'audit AENOR / BV / SGS / LRQA.

Quelle réglementation espagnole s'applique ?

BOE reference RD 311/2022 (ENS), Reglement UE 2016/679 (RGPD), LOPDGDD, NIS2, DORA et le reglement IA 2024/1689 selon le périmètre.

Combien de temps prend la mise en oeuvre ?

En moyenne 4-7 mois pour une seule norme ISO. Un SGI intégré (9001+14001+27001) prend habituellement 8-12 mois.

Peut-on cofinancer via Kit Digital ou Kit Consulting ?

Oui, Kit Consulting 2026 couvre jusqu'à 24 000 EUR d'heures-conseil; Kit Digital couvre les outils (CRM, ERP, cybersécurité) jusqu'à 29 000 EUR.

El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro