Ciberseguridad y cumplimiento

Mise en conformité technique avec l'ENS à León : MAGERIT, PILAR et Annexe II pour les fournisseurs du secteur public léonais

La Diputación de León, l'Ayuntamiento de León et l'Universidad de León (ULE) sont soumis au cadre national de sécurité espagnol (Esquema Nacional de Seguridad) en vertu du RD 311/2022 (BOE-A-2022-7191). Leurs fournisseurs et sous-traitants technologiques le sont également : si votre entreprise fournit des logiciels, des services en nuage, de la maintenance de systèmes ou toute solution en contact avec leurs systèmes d'information, l'ENS vous est applicable avec la même force qu'à l'organisme public lui-même. Chez Summum Sistemas, nous prenons en charge le volet technique et opérationnel de cette mise en conformité : analyse des risques selon la méthodologie MAGERIT et l'outil PILAR du CCN, mise en oeuvre des 75 mesures de l'Annexe II dans ses trois cadres et seize familles, surveillance des événements de sécurité, durcissement des systèmes et préparation des preuves techniques nécessaires à l'auditeur de conformité. Nous n'émettons pas de certificats — c'est la prérogative exclusive des organismes d'inspection accrédités par ENAC — mais nous apportons la profondeur technique indispensable pour aborder cet audit avec toutes les garanties.

RéglementationRD 311/2022 · BOE-A-2022-7191
ProfilFournisseurs technologiques de l'administration léonaise
ApprocheMise en oeuvre technique : MAGERIT · PILAR · Annexe II · cybersécurité opérationnelle

Le Real Decreto 311/2022, du 3 mai, approuve le cadre national de sécurité espagnol et actualise les exigences que les organismes publics et leurs fournisseurs doivent appliquer à leurs systèmes d'information. À León, les principaux organismes soumis à l'ENS sont la Diputación de León — qui preste des services à des dizaines de communes de la province et gère des systèmes d'information propres et délégués —, l'Ayuntamiento de León et l'Universidad de León (ULE), dont les activités de recherche et de gestion académique génèrent un écosystème de fournisseurs technologiques qui, dans de nombreux cas, n'ont pas encore finalisé leur processus de mise en conformité. Opérer sans mise en conformité constitue un manquement susceptible de bloquer l'accès aux appels d'offres et aux marchés avec ces organismes, la réglementation de la commande publique exigeant le respect des exigences de sécurité applicables à chaque contrat.

L'article 2 du RD 311/2022 étend le champ d'application de l'ENS aux entités privées qui fournissent des services ou des solutions aux organismes du secteur public. Cela inclut les intégrateurs de logiciels, les développeurs d'applications de gestion, les prestataires de services en nuage (avec une attention particulière aux mesures de la famille op.nub de l'Annexe II), les entreprises de maintenance des infrastructures TIC et toute organisation qui traite des données pour le compte d'un organisme public léonais. Le niveau d'exigence dépend de la catégorie du système — de base, intermédiaire ou élevée —, déterminée conformément à l'Annexe I du RD 311/2022 selon l'impact potentiel d'un incident de sécurité sur les cinq dimensions CIDAT (confidentialité, intégrité, disponibilité, authenticité et traçabilité). La catégorie détermine également la voie de conformité : la catégorie de base permet une déclaration de conformité autoévaluée ; les catégories intermédiaire et élevée exigent une certification par un organisme d'inspection accrédité par ENAC conformément à la norme UNE-EN ISO/IEC 17065.

L'Annexe II du RD 311/2022 organise les mesures de sécurité obligatoires en 75 contrôles répartis dans trois cadres — cadre organisationnel, cadre opérationnel et mesures de protection — et seize familles. Le cadre opérationnel regroupe sept familles et trente-trois mesures, dont la famille op.nub, spécifique aux services en nuage, dont l'importance s'est considérablement accrue à mesure que l'administration léonaise a adopté des solutions cloud pour ses systèmes de gestion interne et de service aux citoyens. Chez Summum Sistemas, nous abordons chacune de ces familles sur le plan technique : analyse des risques selon la méthodologie MAGERIT et l'outil PILAR du CCN, configuration sécurisée des systèmes d'exploitation et des services, gestion des vulnérabilités, contrôle des accès privilégiés, surveillance et corrélation des événements de sécurité (SIEM), chiffrement des communications et des stockages, et plans de continuité visant à garantir la disponibilité des services aux niveaux requis par le système contractualisé.

Le processus Mise en conformité technique avec l'ENS à León.

Le processus · quatre étapes
01

Catégorisation technique du système et périmètre ENS

Nous identifions tous les systèmes d'information dans le périmètre — ceux qui sont en contact avec les systèmes de la Diputación de León, de l'Ayuntamiento de León ou de l'ULE — et nous les évaluons conformément à l'Annexe I du RD 311/2022. Pour chaque service, nous analysons l'impact potentiel d'un incident de sécurité sur les cinq dimensions CIDAT, déterminons la catégorie résultante (de base, intermédiaire ou élevée) et définissons le sous-ensemble de mesures de l'Annexe II qui sont obligatoires pour cette catégorie. Cette phase produit le rapport de catégorisation qui documente la logique de la décision avec une traçabilité normative complète.

02

Analyse des risques avec MAGERIT et PILAR

Nous réalisons l'analyse des risques selon la méthodologie MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información), élaborée par le CCN et référence obligée dans le contexte de l'ENS. Nous utilisons l'outil PILAR pour modéliser les actifs, les menaces, les vulnérabilités et les impacts, et pour générer la cartographie des risques avec le niveau de criticité de chaque actif du système. Le résultat est le rapport d'analyse des risques qui fonde la sélection justifiée des mesures de l'Annexe II et que l'auditeur de conformité examinera comme pièce centrale du dossier.

03

Mise en oeuvre des 75 mesures de l'Annexe II

Nous concevons et mettons en oeuvre les mesures de sécurité de l'Annexe II correspondant à la catégorie du système : cadre organisationnel (politiques, rôles, gestion des risques, acquisition de produits), cadre opérationnel (planification, contrôle d'accès, exploitation, services externes, continuité, surveillance et famille op.nub pour les environnements cloud) et mesures de protection (installations, systèmes, données, communications, supports). Chaque mesure est documentée avec des preuves techniques traçables et vérifiables lors de l'audit de conformité.

04

Outils CCN : INES et vérification de l'état de conformité

Nous utilisons l'outil INES (Informe Nacional del Estado de Seguridad) du CCN pour auto-évaluer le niveau de maturité des contrôles mis en oeuvre et générer des métriques reflétant le degré de conformité réel du système. Cette évaluation périodique permet de détecter les écarts avant l'audit externe et d'ajuster le plan d'action. Les métriques INES sont également comparables à celles du secteur public, ce qui facilite la communication avec les organismes contractants léonais sur l'état de la mise en conformité.

Ce qui est inclus

Ce qu'inclut Mise en conformité technique avec l'ENS à León.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Rapport de catégorisation du système (Annexe I, RD 311/2022)

    Document technique justifiant la catégorie attribuée au système — de base, intermédiaire ou élevée — en évaluant l'impact sur les cinq dimensions CIDAT pour chaque service dans le périmètre, avec une méthodologie traçable et référencée au RD 311/2022 et aux systèmes de l'administration léonaise contractante.

  • Analyse des risques MAGERIT avec l'outil PILAR

    Analyse complète des actifs, menaces, vulnérabilités et impacts selon la méthodologie MAGERIT du CCN, réalisée avec l'outil PILAR : cartographie des risques, évaluation de la criticité et plan de traitement priorisé conformément à la catégorie du système.

  • Plan de mise en oeuvre des 75 mesures de l'Annexe II

    Conception et mise en oeuvre des mesures obligatoires de l'Annexe II du RD 311/2022 dans les trois cadres et seize familles applicables à la catégorie du système, avec calendrier, responsables et preuves techniques pour chaque contrôle mis en oeuvre.

  • Rapport d'état INES et métriques de maturité

    Évaluation périodique du niveau de maturité des contrôles via l'outil INES du CCN, avec des métriques comparables à celles du secteur public léonais et un plan d'action pour combler les écarts détectés avant l'audit de conformité.

  • Configuration sécurisée (durcissement) et gestion des vulnérabilités

    Configuration documentée des systèmes d'exploitation, services et communications conformément aux guides CCN-STIC applicables, accompagnée d'un processus structuré de gestion des vulnérabilités incluant le suivi des bulletins du CCN-CERT et les registres de correctifs appliqués.

  • Dossier de preuves techniques pour l'audit de conformité

    Ensemble complet de preuves techniques structurées pour l'audit de conformité ENS : rapports MAGERIT/PILAR, registres de configuration, journaux de surveillance, procès-verbaux de tests de continuité et traces d'incidents, organisés selon le format attendu par les organismes d'inspection accrédités par ENAC.

Cluster Summum

Comment il se connecte aux sœurs.

La mise en conformité technique avec l'ENS réalisée par Summum Sistemas à León se complète par le volet documentaire et de gestion qu'assure Summum Calidad : politique de sécurité, Déclaration d'Applicabilité intégrée avec l'ISO 27001 et préparation à la déclaration ou à la certification de conformité. Lorsqu'un fournisseur de la Diputación de León ou de l'Ayuntamiento de León a besoin d'une mise en conformité complète, les deux équipes interviennent de manière coordonnée dans un projet unique, sans lacune entre le cadre technique et le cadre normatif.

Questions fréquentes sur Mise en conformité technique avec l'ENS à León.

Pourquoi l'ENS s'applique-t-il aux fournisseurs technologiques de la Diputación de León et de l'Ayuntamiento de León ?

L'article 2 du RD 311/2022 étend le champ d'application de l'ENS aux entités privées qui fournissent des services ou des solutions aux organismes du secteur public soumis au cadre. La Diputación de León, l'Ayuntamiento de León et l'Universidad de León (ULE) sont tous soumis à l'ENS. Toute entreprise qui leur fournit des logiciels, des services en nuage, de la maintenance de systèmes ou du traitement de données doit donc mettre en conformité ses propres systèmes d'information avec l'ENS dans les parties qui entrent en contact avec les systèmes de l'administration publique. Sans cette mise en conformité, l'entreprise peut se voir exclue des appels d'offres ou voir la validité des contrats en cours remise en question.

Qu'est-ce que MAGERIT et pourquoi est-ce la méthodologie de référence pour l'ENS ?

MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) est la méthodologie d'analyse des risques développée par le CCN (Centre cryptologique national espagnol) et adoptée comme référence dans le contexte de l'ENS. L'article 13 du RD 311/2022 exige une analyse des risques qui identifie les menaces pesant sur les systèmes d'information, estime la probabilité de leur occurrence et évalue leur impact potentiel. MAGERIT fournit le cadre structuré pour réaliser cette analyse, et l'outil PILAR — également du CCN — permet de l'exécuter de manière traçable et de générer le rapport de risques que l'auditeur de conformité examinera comme document central du dossier.

Que couvre la famille op.nub de l'Annexe II et pourquoi est-elle pertinente pour les entreprises fournissant des services cloud à l'ULE ou à la Diputación ?

La famille op.nub du cadre opérationnel de l'Annexe II rassemble les mesures spécifiques à appliquer lorsque les systèmes d'information du secteur public fonctionnent sur des infrastructures ou des services en nuage. Si votre entreprise fournit des services cloud à l'Universidad de León, à la Diputación de León ou à l'Ayuntamiento de León — que ce soit en tant que fournisseur IaaS, PaaS ou SaaS —, vous devez mettre en oeuvre les mesures op.nub correspondant à la catégorie du système : protection des données en transit et au repos, segmentation des ressources, gestion des identités et des accès dans les environnements multi-locataires, et accords de niveau de service garantissant la disponibilité requise. Chez Summum Sistemas, nous mettons en oeuvre ces mesures techniquement et avec une documentation complète.

Quelle est la différence entre une déclaration de conformité et une certification dans le cadre de l'ENS ?

Pour les systèmes de catégorie de base, la conformité à l'ENS est démontrée par une déclaration de conformité autoévaluée produite par l'organisation elle-même, selon la procédure décrite dans la CCN-STIC 809. Pour les systèmes de catégorie intermédiaire ou élevée, la conformité requiert un audit réalisé par un organisme d'inspection accrédité par ENAC conformément à la norme UNE-EN ISO/IEC 17065, qui émet le certificat de conformité correspondant. Summum Sistemas n'émet pas de certificats — c'est la prérogative exclusive des organismes accrédités — mais met en oeuvre les contrôles techniques nécessaires et prépare les preuves pour que vous puissiez passer ce processus avec toutes les garanties.

Combien de mesures de l'Annexe II sont obligatoires et comment déterminer celles qui s'appliquent à mon entreprise ?

L'Annexe II du RD 311/2022 contient 75 mesures de sécurité réparties dans trois cadres (organisationnel, opérationnel et de protection) et seize familles. Elles ne sont pas toutes obligatoires pour tous les systèmes : le niveau d'exigence de chaque mesure — indiqué comme de base, intermédiaire ou élevé dans l'Annexe II elle-même — dépend de la catégorie du système déterminée en Annexe I. Un système de catégorie de base doit respecter les mesures marquées de base ; un système de catégorie intermédiaire, celles marquées de base et intermédiaire ; un système de catégorie élevée, celles des trois niveaux. Chez Summum Sistemas, nous déterminons avec précision le sous-ensemble applicable à votre situation après la catégorisation technique du système.

Quels outils du CCN Summum Sistemas utilise-t-il dans les projets à León ?

Nous travaillons avec les deux principaux outils que le CCN met à disposition des organisations pour la mise en conformité avec l'ENS. PILAR (Procedimiento Informático de Análisis de Riesgos) est utilisé pour l'analyse des risques selon la méthodologie MAGERIT : modélisation des actifs, menaces, vulnérabilités et impacts, et génération d'une cartographie des risques traçable. INES (Informe Nacional del Estado de Seguridad) est utilisé pour l'auto-évaluation périodique du niveau de maturité des contrôles mis en oeuvre, en générant des métriques comparables à celles du secteur public et en permettant de détecter les écarts avant l'audit de conformité.