Ciberseguridad y cumplimiento

Mise en oeuvre technique de l'ENS à Salamanque

La Diputación Provincial de Salamanca, l'Ayuntamiento de Salamanca et l'Universidad de Salamanca (USAL) sont soumis à l'Esquema Nacional de Seguridad réglementé par le RD 311/2022 (BOE-A-2022-7191). Si votre entreprise souhaite soumissionner ou fournir des services technologiques à l'un de ces organismes publics, vos systèmes d'information doivent être mis en conformité ENS au même niveau d'exigence que l'entité publique elle-même. Summum Sistemas aborde cette mise en conformité par le volet technique et opérationnel : analyse des risques avec la méthodologie MAGERIT, modélisation avec les outils du Centro Criptológico Nacional (PILAR, INES), durcissement des systèmes et application des 75 mesures de l'Annexe II du RD 311/2022. Sans bureaux inventés ni promesses de certification qui ne peuvent être délivrées que par des organismes accrédités par ENAC.

RéglementationRD 311/2022 · BOE-A-2022-7191
ProfilFournisseurs technologiques du secteur public de Salamanque
MéthodologieMAGERIT · PILAR · INES · Annexe II ENS

Le RD 311/2022, du 3 mai, étend l'Esquema Nacional de Seguridad bien au-delà des administrations elles-mêmes : toute entité privée dont les systèmes d'information traitent, transportent ou soutiennent des services du secteur public est tenue de se conformer au même niveau d'exigence que l'administration contractante. Dans l'environnement de Salamanque, cela concerne directement les entreprises qui fournissent des services de logiciels, d'infrastructure, de télécommunications, de maintenance de réseaux ou de traitement de données à la Diputación Provincial de Salamanca, à l'Ayuntamiento de Salamanca ou à l'Universidad de Salamanca, institution qui, en tant que membre du secteur universitaire public espagnol, est pleinement soumise à l'ENS. Le délai général pour mettre en conformité les systèmes existants a expiré le 5 mai 2024 ; les systèmes mis en service après cette date doivent être conformes dès le premier jour d'exploitation. Opérer hors ENS n'expose pas seulement l'entreprise à des infractions réglementaires, mais peut directement lui interdire l'accès aux nouveaux appels d'offres du secteur public salmantino.

Le point de départ technique de tout projet de mise en conformité ENS est l'analyse des risques portant sur les systèmes concernés. L'ENS n'impose pas de méthodologie spécifique, mais reconnaît expressément MAGERIT — la méthodologie élaborée par le Consejo Superior de Administración Electrónica — comme référence de facto du secteur public espagnol. Summum Sistemas travaille avec MAGERIT v3 pour identifier et valoriser les actifs, les menaces et les vulnérabilités, calculer le risque intrinsèque et résiduel, et documenter les décisions de traitement des risques. L'analyse est modélisée dans PILAR, l'outil du Centro Criptológico Nacional, qui génère automatiquement les rapports de risque dans le format exigé tant par les entités du secteur public que par les organismes d'inspection accrédités par ENAC qui certifient les systèmes de catégorie moyenne et haute. INES, également du CCN, complète l'analyse en permettant d'évaluer de manière structurée et exportable le degré de maturité par rapport à l'ENS.

L'Annexe II du RD 311/2022 organise les mesures de sécurité en trois cadres — organisationnel, opérationnel et de protection — articulant 16 familles et un total de 75 mesures. Pour chaque catégorie de système — basique, moyen ou élevé — l'Annexe détermine quelles mesures sont obligatoires et à quel niveau de renforcement (r1, r2 ou r3). Summum Sistemas se charge de la mise en oeuvre technique des mesures opérationnelles et de protection : politiques de contrôle d'accès (op.acc), gestion de la continuité (op.cont), protection des communications (mp.com), protection des supports d'information (mp.si), protection des services (mp.s) et, notamment, la famille op.nub, qui régit l'utilisation des services de cloud computing et s'avère critique pour les fournisseurs qui hébergent leurs solutions dans une infrastructure cloud. La mise en oeuvre des contrôles techniques est complétée par la préparation du dossier de preuves — registres, journaux, résultats d'analyses de vulnérabilités — que l'auditeur de conformité doit examiner pour vérifier que les mesures sont effectivement opérationnelles, et pas seulement documentées.

Le processus Mise en oeuvre technique de l'ENS à Salamanque.

Le processus · quatre étapes
01

Catégorisation du système et périmètre MAGERIT

Nous identifions les systèmes d'information entrant dans le périmètre ENS : applications, infrastructure, services cloud et communications qui soutiennent ou traitent des informations du secteur public de Salamanque. Nous déterminons la catégorie du système — basique, moyenne ou élevée — en évaluant l'impact sur les cinq dimensions CIDAT conformément à l'Annexe I du RD 311/2022. Parallèlement, nous lançons l'inventaire des actifs MAGERIT : actifs essentiels (services et informations), actifs de soutien (matériel, logiciels, installations, personnel) et dépendances entre eux, qui serviront de base à l'analyse des risques.

02

Analyse des risques avec MAGERIT et modélisation dans PILAR

Nous valorisons les actifs, les menaces et les vulnérabilités selon la méthodologie MAGERIT v3, calculons le risque intrinsèque et résiduel, et documentons les critères d'acceptation du risque approuvés par la direction. L'analyse est modélisée dans PILAR pour générer les rapports au format CCN : profil de risque du système, indicateurs de conformité à l'Annexe II et carte des écarts priorisée. INES est utilisé pour auto-évaluer le niveau de maturité ENS avant le début de la mise en oeuvre, de sorte que l'effort se concentre là où l'écart est le plus important.

03

Mise en oeuvre des mesures techniques de l'Annexe II

Nous appliquons les mesures de l'Annexe II correspondant à la catégorie du système : durcissement des systèmes d'exploitation et des services conformément aux guides CCN-STIC, configuration des contrôles d'accès et de la gestion des privilèges (op.acc), mise en oeuvre ou révision de la gestion des clés cryptographiques (mp.si), configuration de la surveillance et de la gestion des événements de sécurité (op.mon), et adaptation des services cloud au profil op.nub de l'ENS, y compris la vérification du niveau de conformité ENS du fournisseur cloud utilisé.

04

Préparation du dossier de preuves techniques

Nous structurons le dossier de preuves attestant la mise en oeuvre réelle des contrôles techniques : résultats des analyses de vulnérabilités, rapports de durcissement, registres d'événements de sécurité, procès-verbaux des tests de continuité et de reprise, et traces de gestion des utilisateurs et des accès. Tout est organisé selon l'index de preuves qu'attendent les auditeurs de conformité ENS. La documentation technique est coordonnée avec le dossier normatif et organisationnel que complète Summum Calidad dans les projets intégrés.

Ce qui est inclus

Ce qu'inclut Mise en oeuvre technique de l'ENS à Salamanque.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Inventaire des actifs et analyse des risques MAGERIT v3

    Identification et valorisation des actifs essentiels et de soutien, analyse des menaces et des vulnérabilités, calcul du risque intrinsèque et résiduel, et documentation des décisions de traitement des risques, le tout conformément à la méthodologie MAGERIT v3 reconnue par le CCN.

  • Modélisation dans PILAR et rapports CCN

    Modélisation de l'analyse des risques dans l'outil PILAR du Centro Criptológico Nacional, générant les rapports de risque et de conformité ENS dans le format requis par les auditeurs de conformité et les organismes d'inspection accrédités par ENAC.

  • Auto-évaluation de la maturité ENS avec INES

    Évaluation initiale du niveau de conformité à l'Annexe II au moyen de l'outil INES du CCN, permettant d'identifier les écarts les plus impactants avant le début de la mise en oeuvre et de concentrer l'effort là où le risque de non-conformité est le plus élevé.

  • Durcissement et contrôles techniques de l'Annexe II

    Mise en oeuvre des mesures techniques de l'Annexe II : durcissement des systèmes et services selon les guides CCN-STIC, configuration des contrôles d'accès (op.acc), gestion des clés cryptographiques (mp.si), surveillance des événements (op.mon) et adaptation des services cloud au profil op.nub de l'ENS.

  • Dossier de preuves techniques pour l'audit

    Constitution du dossier complet de preuves techniques : résultats des analyses de vulnérabilités, rapports de durcissement, registres d'événements, procès-verbaux des tests de continuité et traces de gestion des accès, organisés selon l'index de révision des auditeurs de conformité.

  • Révision technique pré-audit (catégories moyenne et élevée)

    Pour les systèmes de catégorie moyenne ou élevée, révision interne simulant le contrôle de l'organisme accrédité ENAC : couverture de chaque mesure de l'Annexe II, détection des écarts techniques et correction avant l'audit de conformité, minimisant le risque de non-conformités.

Cluster Summum

Comment il se connecte aux sœurs.

La mise en oeuvre technique des mesures de l'Annexe II assurée par Summum Sistemas s'intègre au volet normatif et documentaire développé par Summum Calidad : l'analyse des risques MAGERIT comme fondement du SMSI, les preuves techniques qui étayent la Déclaration d'Applicabilité, et un projet unique coordonné couvrant à la fois le génie de la sécurité et le système de management. Pour les fournisseurs du secteur public de Salamanque qui ont également besoin de la certification ISO 27001, les deux équipes travaillent en parallèle dès le premier jour.

Questions fréquentes sur Mise en oeuvre technique de l'ENS à Salamanque.

Pourquoi l'Universidad de Salamanca (USAL) étend-elle l'obligation ENS à ses fournisseurs ?

La USAL est une université publique intégrée au secteur universitaire public espagnol et, à ce titre, relève du champ d'application de l'ENS défini à l'article 2 du RD 311/2022. Lorsque la USAL contractualise des services technologiques — logiciels de gestion académique, infrastructure cloud, maintenance de systèmes ou traitement de données — les systèmes du prestataire qui entrent en contact avec ceux de l'université sont soumis au même niveau de conformité ENS que le système universitaire concerné. L'absence de cette conformité peut empêcher l'entreprise d'être adjudicataire de nouveaux contrats avec la USAL ou avec tout autre organisme public de Salamanque.

Quelle différence y a-t-il entre la mise en oeuvre technique de Summum Sistemas et l'accompagnement normatif de Summum Calidad ?

Summum Sistemas s'occupe du volet technique et opérationnel : analyse des risques avec MAGERIT, modélisation dans PILAR, durcissement des systèmes, configuration des contrôles d'accès et de la surveillance, adaptation des services cloud au profil op.nub de l'ENS, et préparation du dossier de preuves techniques. Summum Calidad s'occupe du volet normatif et documentaire : système de management de la sécurité de l'information, Déclaration d'Applicabilité, politique de sécurité conforme à l'article 12 du RD 311/2022, et coordination de la déclaration ou de la certification de conformité. Dans un projet intégré, les deux équipes travaillent en parallèle pour que le génie de la sécurité et le système de management soient cohérents et exempts de doublons.

Quels outils du CCN sont utilisés dans le projet et à quoi servent-ils ?

Nous utilisons principalement PILAR et INES, tous deux développés par le Centro Criptológico Nacional. PILAR est l'outil d'analyse et de gestion des risques qui met en oeuvre la méthodologie MAGERIT : il permet de modéliser les actifs, les menaces et les vulnérabilités, de calculer le risque intrinsèque et résiduel, et de générer les rapports de risque et de conformité ENS dans le format requis par les auditeurs de conformité. INES est l'outil d'auto-évaluation de l'ENS : il permet de mesurer le degré de conformité à chaque mesure de l'Annexe II avant le début de la mise en oeuvre, d'identifier les écarts les plus impactants et de produire le rapport de maturité qui sert de point de départ au plan de travail.

Qu'est-ce que la famille op.nub de l'Annexe II et pourquoi est-elle pertinente pour les fournisseurs de Salamanque ?

La famille op.nub (utilisation des services en nuage) est l'une des sept familles du cadre opérationnel de l'Annexe II du RD 311/2022. Elle régit les exigences auxquelles doivent répondre les services de cloud computing utilisés dans les systèmes soumis à l'ENS : le fournisseur cloud doit disposer de son propre niveau de conformité ENS ou équivalent, et le client — en l'occurrence le fournisseur technologique du secteur public salmantino — doit vérifier et documenter cette conformité. Il s'agit d'une famille particulièrement pertinente car de nombreux fournisseurs de la Diputación, de l'Ayuntamiento ou de la USAL hébergent leurs solutions dans une infrastructure cloud publique ou privée, et la conformité ENS exige que cette couche satisfasse également aux exigences de la norme.

Quelle est la durée d'un projet de mise en oeuvre technique de l'ENS pour un fournisseur du secteur public de Salamanque ?

La durée dépend de la catégorie du système, de la complexité de l'infrastructure et du niveau de sécurité déjà en place. Pour les systèmes de catégorie basique avec une infrastructure relativement simple, l'analyse MAGERIT, la mise en oeuvre des mesures de l'Annexe II et la préparation du dossier de preuves peuvent être réalisées en trois à cinq mois. Pour les catégories moyenne ou élevée, avec des systèmes plus complexes ou des composants cloud étendus, le projet nécessite généralement entre huit et quatorze mois. Dans les deux cas, le délai est sensiblement réduit si l'entreprise dispose déjà de pratiques de sécurité documentées, même sans certification ISO 27001.

Summum Sistemas peut-il certifier ou auditer officiellement la conformité ENS ?

Non. La certification de conformité pour les systèmes de catégorie moyenne ou élevée ne peut être délivrée que par un organisme d'inspection accrédité par ENAC conformément à la norme UNE-EN ISO/IEC 17065. Pour les systèmes de catégorie basique, la déclaration de conformité auto-évaluée est émise par l'organisation elle-même selon la procédure CCN-STIC 809. Summum Sistemas n'est pas un organisme accrédité par ENAC et n'agit pas en tant qu'auditeur de conformité : notre rôle est de préparer les systèmes sur le plan technique pour qu'ils passent ce processus avec les meilleures garanties possibles, non pas d'émettre le certificat.