Ciberseguridad y cumplimiento

Mise en œuvre technique de l'ENS à Burgos

La Diputación Provincial de Burgos, l'Ayuntamiento de Burgos et l'Universidad de Burgos (UBU) sont des entités du secteur public soumises au Schéma National de Sécurité espagnol (ENS). Le décret royal RD 311/2022 (BOE-A-2022-7191) du 3 mai oblige également leurs fournisseurs et sous-traitants à mettre en conformité leurs systèmes d'information. Si votre entreprise répond à des appels d'offres ou fournit des services technologiques à l'un de ces organismes, l'ENS vous est déjà applicable. Summum Sistemas vous accompagne dans la mise en œuvre technique réelle des 75 mesures de l'Annexe II : analyse des risques selon la méthodologie MAGERIT, utilisation des outils du CCN (PILAR et INES), durcissement des systèmes, surveillance de la sécurité et préparation du dossier de preuves techniques. Pas de documentation creuse : de l'ingénierie appliquée qui étaye la déclaration ou la certification de conformité.

RéglementationRD 311/2022 · BOE-A-2022-7191
PérimètreFournisseurs et sous-traitants du secteur public à Burgos
ApprocheMise en œuvre technique : MAGERIT · PILAR · INES · Annexe II

Le Schéma National de Sécurité, approuvé par le décret royal RD 311/2022 du 3 mai, n'est pas une norme de gestion documentaire : c'est un cadre technico-opérationnel qui exige la mise en œuvre concrète de mesures de sécurité sur les systèmes d'information. L'Annexe II du RD 311/2022 organise ces mesures en trois cadres — organisationnel, opérationnel et de protection — structurés en 16 familles et 75 mesures spécifiques, avec des exigences variables selon la catégorie du système (de base, intermédiaire ou élevée). Les mesures opérationnelles incluent la famille op.nub pour l'informatique en nuage, particulièrement pertinente pour les fournisseurs qui proposent des services SaaS ou une infrastructure cloud à l'administration publique de Burgos. Respecter l'ENS signifie que ces mesures sont techniquement mises en œuvre, configurées et vérifiables — et non simplement rédigées dans un document de politique.

À Burgos, les principaux organismes du secteur public soumis à l'ENS sont la Diputación Provincial de Burgos, l'Ayuntamiento de Burgos et l'Universidad de Burgos (UBU). Ces trois entités contractent des services technologiques, des logiciels de gestion, de la connectivité et de la maintenance de systèmes auprès d'entreprises privées. Lorsqu'une entreprise burgalaise — ou souhaitant répondre aux appels d'offres publics de la province — souhaite accéder à ces marchés, elle doit justifier que ses propres systèmes respectent l'ENS dans la catégorie correspondant au service fourni. Il ne s'agit pas d'une exigence future : la disposition transitoire unique du RD 311/2022 a fixé le 5 mai 2024 comme échéance pour les systèmes existants. Les nouveaux systèmes doivent être conformes dès leur mise en production.

Summum Sistemas aborde la mise en conformité sous l'angle de l'ingénierie. Le point de départ est l'analyse des risques selon la méthodologie MAGERIT (Metodología de Análisis y GEstión de Riesgos de los sistemas de Información de las Administraciones Públicas), la méthodologie de référence du CCN pour l'ENS. Nous l'utilisons avec l'outil PILAR (Procedimiento Informático-Lógico para el Análisis de Riesgos), développé par le Centro Criptológico Nacional, qui modélise les actifs, les menaces et les sauvegardes de façon traçable et produit un rapport de risques résiduels directement référençable devant l'entité auditrice. Une fois les risques identifiés, nous concevons et mettons en œuvre les sauvegardes techniques de l'Annexe II qui comblent les lacunes détectées : contrôle d'accès (op.acc), continuité de service (op.cont), surveillance et audit (op.mon), protection des communications (mp.com) et protection du poste utilisateur (mp.eq), entre autres. Pour la vérification de l'état de conformité, nous utilisons INES (Instrumento Nacional de Evaluación de la Seguridad), la plateforme du CCN qui génère le rapport d'état ENS du système et sert de base à la déclaration de conformité pour les systèmes de catégorie de base.

Le processus Mise en œuvre technique de l'ENS à Burgos.

Le processus · quatre étapes
01

Périmètre et catégorisation technique du système

Nous identifions les systèmes d'information dans le périmètre, les services que vous fournissez aux organismes publics de Burgos — Diputación, Ayuntamiento, UBU ou autres — et les flux de données avec leurs systèmes. Sur cette base, nous appliquons l'Annexe I du RD 311/2022 pour déterminer la catégorie ENS (de base, intermédiaire ou élevée) en évaluant l'impact potentiel sur les cinq dimensions de sécurité CIDAT. La catégorie définit le sous-ensemble obligatoire de mesures de l'Annexe II et la voie de conformité : déclaration autévaluée pour le niveau de base, certification par un organisme accrédité ENAC pour les niveaux intermédiaire ou élevé.

02

Analyse des risques MAGERIT avec l'outil PILAR

Nous réalisons l'analyse des risques selon la méthodologie MAGERIT avec l'outil PILAR du CCN. Nous modélisons les actifs d'information, leurs dépendances, les menaces applicables et les sauvegardes existantes. Le résultat est un rapport de risques résiduels qui justifie techniquement la sélection des mesures de l'Annexe II et fait partie du dossier de conformité. Cette analyse est obligatoire pour les systèmes de catégorie intermédiaire et élevée, et fortement recommandée pour la catégorie de base afin de prendre des décisions de mise en œuvre proportionnées au risque réel.

03

Mise en œuvre technique des mesures de l'Annexe II

Nous mettons en œuvre techniquement les mesures opérationnelles et de protection de l'Annexe II applicables à la catégorie du système : configuration sécurisée des systèmes d'exploitation et des services (mp.sw, mp.eq), contrôle d'accès et gestion des privilèges (op.acc), chiffrement des communications et du stockage (mp.com, mp.si), sauvegardes et récupération (mp.si), surveillance des événements de sécurité et journaux d'audit (op.mon), et gestion de la continuité de service (op.cont). Pour les services en nuage, nous appliquons en outre les mesures de la famille op.nub, notamment la vérification des conditions contractuelles avec le fournisseur cloud conformément aux exigences de l'ENS.

04

Vérification avec INES et préparation du dossier de preuves

Nous utilisons INES (Instrumento Nacional de Evaluación de la Seguridad) pour générer le rapport d'état du système au regard de l'ENS. Ce rapport, produit par l'outil du CCN, reflète le degré de mise en œuvre de chaque mesure de l'Annexe II et sert de base documentaire à la déclaration de conformité autévaluée pour les systèmes de catégorie de base, ou de documentation de départ pour l'audit ENAC dans les catégories intermédiaire et élevée. Nous compilons également le dossier complet de preuves techniques : captures de configuration, journaux d'audit du système, résultats d'analyses de vulnérabilités et procès-verbaux des tests de continuité et de reprise.

Ce qui est inclus

Ce qu'inclut Mise en œuvre technique de l'ENS à Burgos.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Rapport de catégorisation ENS (Annexe I, RD 311/2022)

    Document technique justifiant la catégorie attribuée — de base, intermédiaire ou élevée — en évaluant l'impact sur les cinq dimensions CIDAT pour chaque service fourni aux organismes publics de Burgos, avec une méthodologie traçable et des références explicites au RD 311/2022.

  • Analyse des risques MAGERIT avec rapport PILAR

    Analyse complète des actifs, des menaces et des sauvegardes réalisée avec l'outil PILAR du CCN, comprenant un rapport de risques résiduels et des recommandations de sauvegardes prioritaires classées par niveau de risque et coût de mise en œuvre.

  • Plan de mise en œuvre technique des mesures de l'Annexe II

    Feuille de route technique détaillant les mesures de l'Annexe II à mettre en œuvre ou à renforcer, avec responsables, délais, configurations cibles et critères de vérification pour chaque famille de contrôles applicable.

  • Configurations de sécurité et durcissement documenté

    Documentation des configurations de sécurité mises en œuvre : durcissement des systèmes d'exploitation et des services, règles de pare-feu, politiques de mots de passe et d'accès, paramètres de chiffrement et de surveillance, conformément aux guides CCN-STIC applicables.

  • Rapport INES et dossier de preuves techniques

    Rapport d'état ENS généré avec INES, complété par le dossier complet de preuves techniques : captures de configuration, journaux d'audit du système, résultats d'analyses de vulnérabilités et procès-verbaux des tests de continuité et de reprise.

  • Accompagnement pour la déclaration de conformité ou l'audit ENAC

    Pour la catégorie de base : préparation de la déclaration de conformité autévaluée (CCN-STIC 809). Pour les catégories intermédiaire ou élevée : revue technique pré-audit, correction des écarts et support technique tout au long de l'audit de l'organisme accrédité (ENAC).

Cluster Summum

Comment il se connecte aux sœurs.

La mise en œuvre technique de Summum Sistemas se renforce grâce au volet documentaire et de gestion qu'apporte Summum Calidad : politique de sécurité, déclaration d'applicabilité, analyse des écarts ENS–ISO 27001 et préparation du dossier réglementaire. Lorsque les deux équipes travaillent en parallèle, le projet de mise en conformité ENS avance plus rapidement et aborde l'audit de conformité sans lacunes entre les volets technique et documentaire.

Questions fréquentes sur Mise en œuvre technique de l'ENS à Burgos.

L'ENS s'applique-t-il à mon entreprise si je fournis uniquement des services à l'Ayuntamiento de Burgos ou à l'UBU ?

Oui. L'article 2 du RD 311/2022 établit que l'ENS s'applique aux systèmes d'information des entités du secteur public ainsi qu'à ceux des entités privées qui leur fournissent des services ou des solutions. L'Ayuntamiento de Burgos et l'Universidad de Burgos (UBU) sont des entités du secteur public soumises à l'ENS. Si votre entreprise gère des données de ces organismes, fait fonctionner des logiciels sur leurs infrastructures ou fournit des services dans lesquels leurs systèmes interagissent avec les vôtres, l'ENS vous est applicable indépendamment de la taille de votre entreprise ou du montant du contrat.

Qu'apporte PILAR par rapport à une analyse des risques réalisée dans un tableur ?

PILAR est l'outil d'analyse des risques développé par le Centro Criptológico Nacional (CCN) spécifiquement pour l'ENS. Il met en œuvre la méthodologie MAGERIT de façon structurée, avec des catalogues d'actifs, de menaces et de sauvegardes alignés sur l'Annexe II du RD 311/2022, et génère des rapports dans le format attendu par les auditeurs de conformité. Une analyse réalisée dans un tableur n'est pas interdite par la norme, mais elle augmente le risque d'incohérences méthodologiques et complique la traçabilité entre menaces, risques et mesures appliquées — ce qui peut susciter des observations lors d'un audit de conformité ENAC.

Qu'est-ce qu'INES et quel rôle joue-t-il dans le processus de mise en conformité ENS ?

INES (Instrumento Nacional de Evaluación de la Seguridad) est l'outil du CCN qui permet d'enregistrer et de vérifier le niveau de mise en œuvre des mesures de l'Annexe II de l'ENS. Il produit un rapport d'état qui reflète le degré de conformité de chaque mesure, différencié par niveau (de base, intermédiaire ou élevé), et sert de base documentaire à la déclaration de conformité autévaluée pour les systèmes de catégorie de base. Pour les systèmes de catégorie intermédiaire ou élevée, le rapport INES fait partie du dossier transmis à l'organisme d'audit accrédité par ENAC.

La Diputación de Burgos exige-t-elle l'ENS de ses fournisseurs dans tous les contrats ?

L'exigence varie selon le type de service et les conditions de chaque appel d'offres. La Diputación de Burgos, en tant qu'administration soumise à l'ENS, doit s'assurer que ses fournisseurs technologiques respectent également le cadre. En pratique, les contrats de services TIC, de développement logiciel, d'hébergement de systèmes et de traitement de données pour la Diputación incluent de plus en plus fréquemment des clauses exigeant l'accréditation ENS du fournisseur. L'absence de cette accréditation peut disqualifier une offre à l'étape de la solvabilité technique ou générer des manquements contractuels pendant l'exécution du service.

Combien de mesures de l'Annexe II sont obligatoires pour un système de catégorie de base ?

L'Annexe II du RD 311/2022 organise 75 mesures en 16 familles et trois cadres (organisationnel, opérationnel et de protection). Toutes les mesures ne sont pas obligatoires à leur niveau maximal pour les systèmes de catégorie de base : chaque mesure présente un niveau d'exigence différencié selon la catégorie du système (B/M/E ou n/a lorsqu'elle ne s'applique pas). En pratique, un système de catégorie de base doit appliquer le niveau de base de toutes les mesures identifiées comme obligatoires à ce niveau, ce qui représente entre 40 et 50 mesures actives selon le périmètre du système. L'analyse MAGERIT/PILAR détermine lesquelles s'appliquent dans chaque cas concret.

Quelle est la différence entre l'accompagnement de Summum Sistemas et le recours à un audit de certification ENS ?

Summum Sistemas n'est pas un organisme d'inspection accrédité par ENAC et n'émet pas de certificats de conformité ENS. Notre travail est technique et préparatoire : nous analysons les risques avec MAGERIT/PILAR, mettons en œuvre les mesures de l'Annexe II, générons les preuves avec INES et préparons le système pour qu'il passe l'audit de conformité. Le certificat est délivré par le tiers accrédité ENAC (ISO/IEC 17065) que l'entreprise mandate. La différence concrète est qu'aborder cet audit avec des systèmes techniquement mis en œuvre et un dossier de preuves prêt réduit considérablement le risque de non-conformités et le coût global du processus.