Ciberseguridad y cumplimiento

Mise en conformité technique à l'ENS à Valladolid pour les fournisseurs de l'Administration

Si votre entreprise fournit des services technologiques à la Junta de Castilla y León, à la Diputación Provincial de Valladolid, à l'Ayuntamiento de Valladolid ou à l'Universidad de Valladolid (UVa), le Schéma National de Sécurité espagnol — l'Esquema Nacional de Seguridad, instauré par le RD 311/2022 (BOE-A-2022-7191) — vous impose d'aligner vos systèmes d'information sur ses exigences techniques. Summum Sistemas vous accompagne dans ce processus sous l'angle opérationnel : analyse des risques selon la méthodologie MAGERIT, modélisation des menaces avec l'outil PILAR du CCN, mise en œuvre des 75 mesures techniques de l'Annexe II et constitution du dossier de preuves nécessaire à votre déclaration ou certification de conformité. Des offres plus solides, une sécurité réelle dans vos systèmes.

RéglementationRD 311/2022 · BOE-A-2022-7191
PérimètreFournisseurs TIC du secteur public à Valladolid
ApprocheMise en conformité technique · MAGERIT · PILAR · INES · Annexe II

Le Real Decreto 311/2022, du 3 mai, qui approuve l'Esquema Nacional de Seguridad (ENS), n'est pas une norme réservée aux organismes publics : son article 2 étend l'obligation de conformité aux systèmes d'information des entités privées qui fournissent des services ou des solutions aux entités du secteur public elles-mêmes soumises à l'ENS. Dans l'environnement de Valladolid, cela signifie que toute entreprise fournissant la Junta de Castilla y León — dont le siège central se trouve dans la ville —, la Diputación Provincial de Valladolid, l'Ayuntamiento de Valladolid ou l'Universidad de Valladolid doit mettre ses systèmes en conformité avant de pouvoir opérer ou soumissionner à des marchés publics. La disposition transitoire unique du RD 311/2022 a fixé au 5 mai 2024 la date limite pour les systèmes déjà en exploitation ; à compter de cette date, opérer sans conformité constitue un manquement susceptible de bloquer l'accès à la commande publique.

Summum Sistemas aborde la mise en conformité ENS depuis son domaine propre : la mise en œuvre technique des mesures de sécurité de l'Annexe II du RD 311/2022. Cette annexe regroupe 75 mesures réparties en trois cadres — cadre organisationnel, cadre opérationnel et mesures de protection — et seize familles, dont sept relèvent du bloc opérationnel, qui comprend la famille op.nub dédiée aux services en nuage. Rédiger des politiques ne suffit pas : il faut configurer les systèmes, durcir les services, déployer la supervision, gérer les vulnérabilités et produire des preuves démontrant que chaque mesure est effectivement appliquée et vérifiable.

L'analyse des risques est le socle du processus. L'ENS exige que la sélection et la proportionnalité des mesures de sécurité reposent sur une analyse formelle des risques auxquels les systèmes en périmètre sont exposés. Summum Sistemas utilise la méthodologie MAGERIT — la référence officielle du CCN pour l'analyse des risques dans le contexte de l'Administration publique espagnole — en s'appuyant sur l'outil PILAR du CCN, qui permet de modéliser actifs, menaces, vulnérabilités et impacts de façon structurée et de générer les rapports que les auditeurs de conformité s'attendent à trouver. Pour évaluer le niveau d'implantation actuel des mesures, nous utilisons également INES (Informe Nacional del Estado de Seguridad), l'outil d'autoévaluation du CCN qui fournit un tableau de maturité par famille et par mesure. Le résultat est une analyse techniquement rigoureuse, référencée à la norme et présentable devant tout organisme d'inspection accrédité par ENAC.

Le processus Mise en conformité technique à l'ENS à Valladolid pour les fournisseurs de l'Administration.

Le processus · quatre étapes
01

Inventaire des actifs et détermination de la catégorie ENS

Nous dressons l'inventaire des actifs d'information — matériel, logiciel, données, services et communications — qui entrent dans le périmètre ENS de votre organisation. À partir de cet inventaire, nous évaluons l'impact qu'un incident de sécurité aurait sur les cinq dimensions CIDAT (confidentialité, intégrité, disponibilité, authenticité et traçabilité) pour chaque service fourni à l'Administration, et nous déterminons la catégorie du système — basique, moyen ou élevé — conformément à l'Annexe I du RD 311/2022. Cette catégorie est le point de départ qui définit quelles mesures de l'Annexe II sont obligatoires et quelle voie de conformité vous devez suivre.

02

Analyse des risques avec MAGERIT et modélisation avec PILAR

Nous conduisons l'analyse des risques selon la méthodologie MAGERIT v3 : identification des actifs, cartographie des dépendances, menaces applicables issues du catalogue MAGERIT, évaluation de la fréquence et de l'impact, calcul du risque résiduel après application des sauvegardes. La modélisation est réalisée avec l'outil PILAR du CCN, qui génère un rapport structuré sur les actifs, les menaces et les risques, utilisable directement comme preuve technique dans le processus de conformité ENS. Le résultat constitue la base objective à partir de laquelle les mesures de l'Annexe II sont sélectionnées et hiérarchisées.

03

Évaluation de la maturité avec INES et cartographie des écarts techniques

Nous appliquons le questionnaire INES (Informe Nacional del Estado de Seguridad) pour évaluer le niveau d'implantation actuel de chacune des 75 mesures de l'Annexe II dans les familles correspondant à la catégorie assignée. Le résultat est une carte de maturité par famille — de L0 (inexistant) à L5 (optimisé) — et une liste priorisée d'écarts techniques à combler avant l'audit de conformité, avec estimation de l'effort et des dépendances entre mesures. Vous savez exactement où vous en êtes et ce qu'il reste à faire, sans raccourcis et sans sur-ingénierie.

04

Mise en œuvre technique des mesures de l'Annexe II

Nous mettons en œuvre les mesures techniques en attente : durcissement des systèmes d'exploitation et des services conformément aux guides CCN-STIC pertinents (511, 570, 610 et guides spécifiques éditeur), configuration des mécanismes de contrôle d'accès et d'authentification renforcée, déploiement des systèmes d'enregistrement et de supervision des événements de sécurité, gestion des vulnérabilités avec cycle de correctifs documenté, chiffrement des communications et du stockage, et configuration des sauvegardes conformément à la mesure mp.info.9 de l'Annexe II. Pour les services en nuage, nous traitons les mesures de la famille op.nub : évaluation du fournisseur cloud, gestion de la chaîne d'approvisionnement et contrôles d'accès spécifiques à l'environnement cloud.

Ce qui est inclus

Ce qu'inclut Mise en conformité technique à l'ENS à Valladolid pour les fournisseurs de l'Administration.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Rapport d'analyse des risques MAGERIT avec PILAR

    Analyse formelle des risques selon MAGERIT v3, réalisée avec l'outil PILAR du CCN : inventaire des actifs, arbre de dépendances, évaluation des menaces et des impacts, calcul du risque résiduel. Présentable comme preuve technique devant les auditeurs de conformité ENS.

  • Évaluation de maturité INES par famille de mesures

    Rapport d'état d'implantation des mesures de l'Annexe II généré avec l'outil INES du CCN, avec niveau de maturité par famille (L0-L5) et carte des écarts priorisés à combler avant l'audit de conformité.

  • Durcissement technique documenté par système

    Application des guides CCN-STIC pertinents à chaque système d'exploitation, service et composant en périmètre : configuration de sécurité, suppression des services inutiles, gestion des privilèges minimaux et preuve de chaque modification appliquée avec enregistrement de la version et de la date.

  • Déploiement de la supervision et de la gestion des événements de sécurité

    Configuration des mécanismes de journalisation, de corrélation et d'alerte des événements de sécurité conformément aux mesures op.mon et op.exp de l'Annexe II : sources de journaux, conservation, alertes sur événements critiques et procédure de réponse aux incidents techniques documentée.

  • Plan et preuves de gestion des vulnérabilités

    Cycle documenté d'identification, d'évaluation, de priorisation et de remédiation des vulnérabilités techniques : analyses périodiques, critères de priorisation par criticité et catégorie ENS, enregistrements des correctifs appliqués et validation de clôture. Couvre la mesure op.exp.3 de l'Annexe II.

  • Dossier complet de preuves pour la conformité

    Ensemble structuré de toute la documentation technique requise pour la déclaration de conformité (catégorie basique, selon CCN-STIC 809) ou pour l'audit par un organisme accrédité ENAC (catégorie moyenne ou élevée) : rapports, captures, journaux, comptes rendus et procédures indexés par famille de mesures.

Cluster Summum

Comment il se connecte aux sœurs.

La mise en œuvre technique des mesures de l'Annexe II se complète par le volet documentaire et normatif que prend en charge Summum Calidad : politique de sécurité, Déclaration d'Applicabilité intégrée avec l'ISO 27001 et préparation de la déclaration ou certification de conformité. Les deux équipes travaillent de façon coordonnée dans un projet unique, sans redondance et avec un interlocuteur unique pour le client.

Questions fréquentes sur Mise en conformité technique à l'ENS à Valladolid pour les fournisseurs de l'Administration.

Pourquoi dois-je me conformer à l'ENS si je suis fournisseur de la Junta de Castilla y León ou de l'Ayuntamiento de Valladolid ?

L'article 2 du RD 311/2022 étend l'obligation ENS aux systèmes d'information des entités privées qui fournissent des services à des organismes publics eux-mêmes soumis à l'ENS. La Junta de Castilla y León, la Diputación Provincial de Valladolid, l'Ayuntamiento de Valladolid et l'Universidad de Valladolid sont toutes soumises à l'ENS en tant qu'administrations publiques. Si vos systèmes d'information interagissent avec les leurs — parce que vous leur fournissez un service, un logiciel ou que vous traitez des données pour leur compte — la conformité à l'ENS est obligatoire et peut être exigée dans les cahiers des charges des marchés publics.

Qu'est-ce que MAGERIT et pourquoi l'ENS l'exige-t-il ?

MAGERIT est la Méthodologie d'Analyse et de Gestion des Risques des Systèmes d'Information (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) élaborée par le CCN. L'ENS exige que la sélection et l'application des mesures de l'Annexe II reposent sur une analyse formelle des risques proportionnée à la catégorie du système. MAGERIT est la méthodologie de référence du CCN pour cette analyse dans le contexte de l'Administration publique espagnole : elle permet d'identifier les actifs, de modéliser les menaces et de calculer le risque résiduel de façon structurée et traçable. Les auditeurs de conformité ENS connaissent cette méthodologie et s'attendent à la trouver documentée dans les preuves d'analyse des risques.

Qu'est-ce que PILAR et quelle est sa contribution au processus de mise en conformité ?

PILAR est l'outil d'analyse des risques développé par le CCN qui implémente la méthodologie MAGERIT. Il permet de modéliser les actifs du système, leurs dépendances, les menaces applicables du catalogue MAGERIT et les sauvegardes mises en place, et génère des rapports structurés sur les risques et la maturité. Son utilisation dans le processus de conformité ENS est très appréciée des auditeurs car elle apporte traçabilité et objectivité : les résultats sont reproductibles, comparables d'une période à l'autre et directement présentables comme preuve technique lors de l'audit.

Combien de mesures contient l'Annexe II de l'ENS et lesquelles s'appliquent à mon entreprise ?

L'Annexe II du RD 311/2022 regroupe 75 mesures réparties en trois cadres et seize familles : le cadre organisationnel (4 mesures), le cadre opérationnel — avec 7 familles et 33 mesures, dont la famille op.nub pour les services en nuage — et le cadre des mesures de protection — avec 9 familles et 38 mesures. Les mesures obligatoires pour votre entreprise dépendent de la catégorie du système (basique, moyen ou élevé) qui résulte de l'analyse d'impact sur les cinq dimensions CIDAT. Pour chaque mesure, l'Annexe II précise si elle s'applique au niveau basique, moyen ou élevé. Summum Sistemas réalise le diagnostic pour déterminer exactement le sous-ensemble applicable à votre situation.

Que couvre la famille op.nub de l'Annexe II et quand me concerne-t-elle ?

La famille op.nub (exploitation en nuage) du cadre opérationnel de l'Annexe II définit les exigences de sécurité spécifiques aux services de cloud computing. Elle s'applique lorsque le système en périmètre utilise des services IaaS, PaaS ou SaaS dans son architecture. Les mesures op.nub couvrent l'évaluation des fournisseurs cloud, la ségrégation des environnements, la gestion des accès dans l'environnement cloud et la chaîne d'approvisionnement des services cloud. Pour les fournisseurs TIC de la Junta de Castilla y León ou de l'Ayuntamiento de Valladolid qui utilisent une infrastructure cloud publique, cette famille est particulièrement pertinente et doit être explicitement traitée dans l'analyse des risques et le plan de mise en conformité.

Summum Sistemas émet-il la certification ou la déclaration de conformité ENS ?

Non. Pour les systèmes de catégorie basique, la déclaration de conformité est émise par l'organisation elle-même dans le cadre d'un processus d'autoévaluation, conformément à la CCN-STIC 809. Pour les systèmes de catégorie moyenne ou élevée, la certification de conformité doit être délivrée par un organisme d'inspection accrédité par ENAC selon la norme UNE-EN ISO/IEC 17065. Summum Sistemas n'émet aucun certificat de conformité — c'est la compétence exclusive des organismes accrédités par ENAC. Ce que nous faisons, c'est mettre en œuvre les mesures techniques de l'Annexe II, constituer le dossier de preuves et préparer vos systèmes pour qu'ils passent ce processus de conformité dans les meilleures conditions possibles.