ENS Annexe II : mesures de sécurité selon la catégorie

·

La mise en conformité avec le Schéma National de Sécurité ne consiste pas à remplir des formulaires : elle exige la mise en oeuvre de contrôles de sécurité techniques et organisationnels réels et vérifiables, leur documentation et la capacité de démontrer à un auditeur qu'ils fonctionnent en continu. Le catalogue de ces contrôles figure dans l'Annexe II du Décret Royal 311/2022 du 3 mai (BOE-A-2022-7191), qui recense les 75 mesures de sécurité exigibles pour les systèmes soumis à l'ENS.

Qu'est-ce que l'Annexe II de l'ENS et quelle est sa structure ?

L'Annexe II du RD 311/2022 organise les mesures de sécurité en trois cadres couvrant tous les aspects de la gouvernance, de l'exploitation et de la protection technique des systèmes d'information :

Cette structure hiérarchique n'est pas arbitraire : les mesures organisationnelles sont le prérequis qui donne cohérence à tout le reste, les mesures opérationnelles garantissent le bon fonctionnement quotidien, et les mesures de protection ancrent les contrôles techniques à chaque couche du système.

Que signifie le « niveau de renforcement » et comment varie-t-il selon la catégorie ?

Toutes les mesures de l'Annexe II ne s'appliquent pas avec la même intensité dans tous les systèmes. Chaque mesure est associée à un ou plusieurs niveaux de renforcement (généralement R1, R2 et R3 selon la terminologie des guides CCN-STIC série 800) qui déterminent la profondeur et la rigueur de la mise en oeuvre :

Quelles sont les mesures techniques les plus exigeantes de l'Annexe II ?

Pour les systèmes de catégorie moyenne et haute, les mesures qui concentrent la plus grande complexité technique sont généralement :

La mise en oeuvre technique de ces mesures requiert la maîtrise des guides CCN-STIC par plateforme et des outils du CCN — notamment PILAR pour l'analyse des risques qui sous-tend la sélection des mesures —, comme expliqué en détail dans le guide sur MAGERIT et les outils CCN pour l'ENS.

Comment démontrer que les mesures de l'Annexe II sont effectivement mises en oeuvre ?

La conformité ENS ne se déclare pas : elle se prouve. Tant pour la déclaration de conformité auto-évaluée (catégorie de base) que pour la certification par un organisme accrédité par l'ENAC (catégorie moyenne et haute), le coeur du processus est la documentation des preuves démontrant que chaque mesure de l'Annexe II est active et efficace. Les preuves les plus courantes comprennent des captures de configuration, des journaux d'alertes, des procès-verbaux de tests de récupération, des rapports de vulnérabilités, des registres de formation et les rapports produits par les outils CCN (PILAR, INES, AMPARO).

La gestion des incidents de sécurité est un domaine particulièrement scruté par les auditeurs de conformité. Un dispositif solide de réponse aux incidents, tel qu'analysé dans l'article sur la réponse aux incidents et l'analyse forensique, est un atout précieux lorsque l'auditeur examine les preuves de cette famille de mesures.

Quelle relation existe entre les mesures de l'Annexe II de l'ENS et les contrôles ISO 27001 ?

Il existe un chevauchement significatif entre les mesures de l'Annexe II de l'ENS et les contrôles de l'Annexe A de l'ISO 27001:2022. Pour les organisations détenant déjà une certification ISO 27001 ou travaillant à l'obtenir, une analyse des écarts entre les deux référentiels permet d'identifier précisément quelles mesures de l'Annexe II sont déjà couvertes par les contrôles ISO implantés et lesquelles nécessitent une mise en oeuvre complémentaire.

Quelles étapes concrètes suivre pour mettre en oeuvre les mesures de l'Annexe II de manière ordonnée ?

La séquence recommandée par les guides CCN-STIC série 800 est la suivante :

  1. Catégoriser le système selon l'Annexe I du RD 311/2022.
  2. Réaliser l'analyse des risques avec la méthodologie MAGERIT v3 et l'outil PILAR du CCN.
  3. Élaborer le plan d'adéquation selon le guide CCN-STIC 806.
  4. Mettre en oeuvre les contrôles techniques et organisationnels selon les guides CCN-STIC par plateforme.
  5. Documenter les preuves de chaque contrôle implanté et opérationnel.
  6. Vérifier la conformité avec l'outil INES (catégorie de base) ou AMPARO (moyenne/haute).
  7. Obtenir la conformité : déclaration auto-évaluée (base) ou audit par l'organisme accrédité ENAC (moyenne/haute).

Summum Sistemas exécute la mise en oeuvre technique de ce processus, en appliquant MAGERIT et les outils du CCN avec rigueur et en produisant le dossier de preuves dont l'auditeur a besoin. Notre service d'implantation technique ENS couvre l'ensemble du processus, de l'inventaire des actifs à la livraison du dossier de preuves complet pour l'audit de conformité.