Ciberseguridad y cumplimiento

Mise en œuvre technique de l'ENS à Palencia pour les fournisseurs du secteur public

La Diputación Provincial de Palencia et l'Ayuntamiento de Palencia exigent de leurs prestataires et fournisseurs technologiques qu'ils démontrent leur conformité au Schéma National de Sécurité espagnol avant l'attribution de marchés impliquant l'accès à leurs systèmes d'information. Le RD 311/2022 (BOE-A-2022-7191), du 3 mai, ne laisse aucune marge : si votre entreprise exploite des systèmes interconnectés avec ceux d'une entité du secteur public palentin, vous devez vous conformer et en apporter la preuve. Summum Sistemas aborde ce processus sous l'angle technique qui compte le plus pour les équipes de sécurité et informatique : analyse des risques selon la méthodologie MAGERIT, modélisation et évaluation avec l'outil PILAR du CCN, mise en œuvre réelle des 75 mesures de l'Annexe II de l'ENS dans les trois cadres, et préparation des preuves techniques qu'exigera l'organisme d'audit de conformité.

RéglementationRD 311/2022 · BOE-A-2022-7191
Périmètre localDiputación de Palencia · Ayuntamiento de Palencia
ApprocheMise en œuvre technique : MAGERIT · PILAR · INES · Annexe II ENS

Le Schéma National de Sécurité espagnol, approuvé par le Real Decreto 311/2022 du 3 mai, s'applique non seulement aux administrations publiques, mais aussi aux fournisseurs privés dont les systèmes d'information interagissent avec ceux du secteur public. Dans l'environnement de Palencia, cela signifie concrètement que toute entreprise technologique prestataire de la Diputación Provincial de Palencia, de l'Ayuntamiento de Palencia ou de tout organisme dépendant — Instituto Provincial de Bienestar Social, organismes autonomes municipaux, consortiums d'entités locales palentines — doit mettre ses systèmes en conformité avec la catégorie de sécurité applicable : basique, intermédiaire ou élevée, selon l'impact qu'un incident de sécurité aurait sur les cinq dimensions CIDAT (confidentialité, intégrité, disponibilité, authenticité et traçabilité). La disposition transitoire unique du RD 311/2022 a fixé au 5 mai 2024 la date limite pour les systèmes préexistants. Opérer sans conformité constitue déjà un manquement formel qui compromet la capacité à soumissionner aux marchés publics et peut engager la responsabilité de l'administration contractante.

L'Annexe II du RD 311/2022 recense 75 mesures de sécurité réparties en trois cadres et seize familles. Le cadre organisationnel (quatre familles) régit la politique de sécurité, la réglementation interne, les procédures opérationnelles et le processus d'autorisation des systèmes. Le cadre opérationnel (sept familles) couvre la planification, le contrôle des accès, l'exploitation, les services externes — dont la famille op.nub pour les environnements en nuage, particulièrement pertinente compte tenu du recours croissant aux plateformes SaaS au sein des organismes palentins —, la continuité du service, la surveillance du système et l'acquisition de nouveaux composants. Le cadre des mesures de protection (cinq familles) traite des installations et infrastructures, de la gestion du personnel, des équipements, des communications, des supports d'information, des applications et de leur intégration dans le cycle de développement, ainsi que de la protection des services. Summum Sistemas met en œuvre ces mesures sur les systèmes réels de production, pas uniquement sur le papier : chaque mesure est techniquement opérationnelle et documentée avec des preuves vérifiables.

La méthodologie d'analyse des risques requise par l'ENS en Espagne est MAGERIT, développée par le Conseil supérieur de l'administration électronique. MAGERIT structure l'analyse en trois volumes : la méthode (processus d'analyse et de traitement), le catalogue d'éléments (actifs, menaces, sauvegardes typifiées) et le guide des techniques. Summum Sistemas applique la version en vigueur de MAGERIT à l'inventaire réel des actifs de l'organisation — serveurs, applications, réseaux, données, personnel —, évalue les menaces sur chaque actif, calcule le risque intrinsèque et résiduel après sauvegardes, et génère le rapport de risque documentant les décisions de traitement. Cette analyse n'est pas un formulaire générique : elle est réalisée spécifiquement sur les systèmes entrant dans le périmètre ENS et modélisée avec l'outil PILAR du CCN, dont le résultat exportable au format XML peut être directement utilisé par les auditeurs de conformité et par l'administration contractante lorsqu'elle sollicite des preuves de la posture de sécurité du fournisseur.

Le processus Mise en œuvre technique de l'ENS à Palencia pour les fournisseurs du secteur public.

Le processus · quatre étapes
01

Définition du périmètre et catégorisation technique du système

Nous identifions les systèmes d'information entrant dans le périmètre de l'ENS : quels services vous fournissez à la Diputación de Palencia, à l'Ayuntamiento de Palencia ou à d'autres organismes publics palentins, quelles données vous traitez pour leur compte, et quelles infrastructures supportent ces services. Nous évaluons l'impact sur les cinq dimensions CIDAT pour déterminer la catégorie du système conformément à l'Annexe I du RD 311/2022. Cette étape constitue le fondement technique de l'ensemble du projet : une catégorisation incorrecte peut laisser de côté des mesures obligatoires ou surdimensionner inutilement l'effort de mise en œuvre.

02

Analyse des risques avec MAGERIT et modélisation dans PILAR

Nous construisons l'inventaire des actifs du système concerné, appliquons le catalogue de menaces MAGERIT, évaluons la probabilité et l'impact de chaque paire menace-actif et calculons le risque intrinsèque. Nous modélisons l'analyse dans l'outil PILAR du CCN, qui permet de gérer le catalogue de sauvegardes, de simuler des scénarios de traitement et de générer des rapports de risque au format standard. Le livrable inclut la cartographie du risque résiduel après les sauvegardes proposées et la justification technique des décisions de traitement : atténuation, transfert, acceptation ou élimination.

03

Mise en œuvre des 75 mesures de l'Annexe II

Nous mettons techniquement en œuvre les mesures de l'Annexe II applicables à la catégorie du système, en priorisant selon le risque : les écarts à plus fort impact en premier. Nous agissons sur les systèmes réels de production : configuration des contrôles d'accès, durcissement des systèmes d'exploitation et des services, chiffrement des communications et du stockage, configuration des journaux d'audit et surveillance des événements, segmentation des réseaux, procédures de sauvegardes vérifiées et continuité du service. La famille op.nub est spécifiquement traitée si l'organisation utilise des services en nuage dans le périmètre du système concerné.

04

Évaluation INES et package de preuves techniques

Une fois les mesures en place, nous évaluons le niveau de conformité du système à l'aide de l'outil INES du CCN (Instrumento Nacional de Evaluación de la Seguridad). INES génère un rapport d'état de sécurité normalisé que les administrations publiques utilisent pour connaître le niveau de conformité de leurs propres systèmes et que certains organismes palentins peuvent exiger de leurs fournisseurs comme preuve du niveau atteint. Nous préparons le package complet de preuves techniques : rapports PILAR et INES, configurations documentées, résultats des tests de vérification des mesures, journaux de surveillance et d'audit, le tout structuré pour la révision par l'organisme d'audit de conformité.

Ce qui est inclus

Ce qu'inclut Mise en œuvre technique de l'ENS à Palencia pour les fournisseurs du secteur public.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Rapport de catégorisation du système (Annexe I ENS)

    Document technique justifiant la catégorie ENS attribuée au système — basique, intermédiaire ou élevée — en évaluant l'impact sur les cinq dimensions CIDAT pour chaque service fourni aux organismes publics palentins, avec une méthodologie traçable référencée à l'Annexe I du RD 311/2022.

  • Analyse des risques MAGERIT avec modèle PILAR exportable

    Inventaire des actifs, évaluation des menaces et calcul du risque intrinsèque et résiduel selon la méthodologie MAGERIT, modélisé dans l'outil PILAR du CCN et exporté au format standard pour révision par l'administration contractante et l'organisme d'audit de conformité ENS.

  • Mise en œuvre technique des mesures de l'Annexe II

    Configuration et déploiement opérationnel des 75 mesures de sécurité de l'Annexe II du RD 311/2022 dans les trois cadres (organisationnel, opérationnel et de protection) sur les systèmes réels concernés, incluant la famille op.nub pour les environnements avec services en nuage.

  • Rapport INES et évaluation du niveau de conformité

    Évaluation du niveau de conformité du système à l'aide de l'outil INES du CCN, avec un rapport exportable au format standard qui atteste auprès de l'administration palentine contractante de l'état réel de sécurité du système du fournisseur.

  • Package complet de preuves techniques

    Ensemble structuré de preuves vérifiables : rapports PILAR et INES, configurations documentées, résultats des tests de vérification des mesures, journaux de surveillance et d'audit, et documentation des procédures opérationnelles, le tout prêt à être présenté à l'organisme d'audit de conformité.

  • Accompagnement technique lors de l'audit de conformité

    Assistance technique lors de l'audit par l'organisme accrédité ENAC : réponse aux questions de l'auditeur, fourniture de preuves complémentaires et correction rapide des écarts mineurs détectés au cours du processus, réduisant le risque de non-conformités susceptibles de retarder l'obtention de la conformité.

Cluster Summum

Comment il se connecte aux sœurs.

La mise en œuvre technique des mesures de l'Annexe II réalisée par Summum Sistemas est coordonnée avec le volet réglementaire et documentaire de Summum Calidad, qui élabore le SMSI, la Déclaration d'Applicabilité et la politique de sécurité requises par l'ENS comme cadre organisationnel. Pour les fournisseurs du secteur public palentin qui doivent traiter l'ENS de manière complète — aussi bien techniquement que documentairement —, les deux équipes travaillent au sein d'un unique projet coordonné, sans doublons.

Questions fréquentes sur Mise en œuvre technique de l'ENS à Palencia pour les fournisseurs du secteur public.

L'ENS s'applique-t-il aux fournisseurs technologiques de la Diputación de Palencia et de l'Ayuntamiento de Palencia ?

Oui. L'article 2 du RD 311/2022 établit que l'ENS s'applique aux systèmes d'information des entités du secteur public et à ceux de leurs fournisseurs lorsque ces systèmes sont connectés ou échangent des informations avec le secteur public. La Diputación Provincial de Palencia et l'Ayuntamiento de Palencia sont des entités locales soumises à l'ENS, ce qui étend l'obligation à leurs fournisseurs technologiques : entreprises de logiciels, prestataires de maintenance des systèmes, services en nuage contractés par l'administration, sociétés de support informatique et tout autre service dans lequel les systèmes du fournisseur entrent en contact avec ceux de l'administration palentine.

Qu'est-ce que MAGERIT et pourquoi est-il utilisé pour l'ENS ?

MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Públicas) est la méthodologie officielle d'analyse des risques du secteur public espagnol, développée par le Conseil supérieur de l'administration électronique. L'ENS exige que les systèmes d'information dans son périmètre disposent d'une analyse des risques à jour comme base pour la sélection proportionnelle des mesures de sécurité de l'Annexe II. MAGERIT est la méthodologie de référence pour cette analyse dans le contexte de l'administration publique espagnole et de ses fournisseurs : elle définit le processus, le catalogue d'actifs, de menaces et de sauvegardes typifiées, et établit la manière de calculer et de documenter le risque de façon compréhensible et vérifiable par les auditeurs de conformité.

Quels outils du CCN sont utilisés dans la mise en œuvre technique de l'ENS ?

Le Centro Criptológico Nacional (CCN) met à la disposition des entités du secteur public et de leurs fournisseurs un ensemble d'outils gratuits que Summum Sistemas intègre dans le processus de mise en œuvre. PILAR est l'outil de modélisation et d'évaluation des risques basé sur MAGERIT : il permet de construire l'inventaire des actifs, d'évaluer les menaces, de gérer le catalogue des sauvegardes et de générer des rapports de risque au format standard. INES (Instrumento Nacional de Evaluación de la Seguridad) est l'outil d'auto-évaluation de la conformité à l'ENS : il génère un rapport d'état de sécurité que certaines administrations, y compris les organismes du secteur public palentin, peuvent exiger de leurs fournisseurs comme preuve du niveau de conformité atteint.

Combien de mesures de l'Annexe II de l'ENS doivent être mises en œuvre et lesquelles sont les plus critiques ?

L'Annexe II du RD 311/2022 comprend 75 mesures de sécurité réparties en trois cadres et seize familles. Le nombre de mesures obligatoires dépend de la catégorie du système : basique, intermédiaire ou élevée. Pour un système de catégorie basique, les mesures marquées [B] sont requises ; pour la catégorie intermédiaire, celles marquées [B] et [M] ; pour la catégorie élevée, toutes les mesures marquées [B], [M] et [A]. En pratique, toutes les mesures n'ont pas le même poids : les plus critiques pour les fournisseurs technologiques sont généralement celles du cadre opérationnel, notamment le contrôle des accès (op.acc), les opérations système (op.exp), la continuité du service (op.cont) et, lorsque des services en nuage sont utilisés, la famille des services en nuage (op.nub). Summum Sistemas priorise la mise en œuvre selon le profil de risque réel de chaque organisation.

Quelle est la différence entre une déclaration de conformité et une certification dans le cadre de l'ENS ?

Pour les systèmes de catégorie basique, la voie de conformité est la déclaration de conformité auto-évaluée : l'organisation elle-même évalue son système selon la procédure CCN-STIC 809, documente les résultats et signe la déclaration de conformité, qui peut être enregistrée auprès du CCN. Pour les systèmes de catégorie intermédiaire ou élevée, la conformité doit être certifiée par un organisme d'inspection accrédité par ENAC selon la norme UNE-EN ISO/IEC 17065. Summum Sistemas n'émet aucun certificat de conformité ENS — c'est la compétence exclusive des organismes accrédités par ENAC —, mais il prépare techniquement le système pour réussir ce processus de certification avec les meilleures garanties.

Combien de temps prend la mise en œuvre technique de l'ENS pour un fournisseur du secteur public palentin ?

Cela dépend de la catégorie du système, de la taille de l'organisation et du niveau de départ en matière de sécurité technique. Pour les systèmes de catégorie basique disposant d'une infrastructure raisonnablement organisée, le processus de mise en œuvre technique — analyse MAGERIT, configuration des mesures et préparation des preuves — peut s'achever en deux à quatre mois. Pour la catégorie intermédiaire, le calendrier habituel est de quatre à huit mois. Pour la catégorie élevée, avec des systèmes complexes, cela peut nécessiter huit à quatorze mois. Dans tous les cas, l'analyse des risques MAGERIT avec PILAR est le point de départ : sans elle, il n'est pas possible de dimensionner correctement l'effort de mise en œuvre ni de justifier la sélection proportionnelle des mesures qu'exige l'ENS.