La mise en conformité avec le Schéma National de Sécurité ne consiste pas à remplir des formulaires : elle exige la mise en oeuvre de contrôles de sécurité techniques et organisationnels réels et vérifiables, leur documentation et la capacité de démontrer à un auditeur qu'ils fonctionnent en continu. Le catalogue de ces contrôles figure dans l'Annexe II du Décret Royal 311/2022 du 3 mai (BOE-A-2022-7191), qui recense les 75 mesures de sécurité exigibles pour les systèmes soumis à l'ENS.
Qu'est-ce que l'Annexe II de l'ENS et quelle est sa structure ?
L'Annexe II du RD 311/2022 organise les mesures de sécurité en trois cadres couvrant tous les aspects de la gouvernance, de l'exploitation et de la protection technique des systèmes d'information :
- Cadre organisationnel : quatre mesures établissant la politique de sécurité, les réglementations, les procédures et le processus de gestion de la sécurité. Ce sont les fondations documentaires sur lesquelles repose tout le reste.
- Cadre opérationnel : 33 mesures réparties en sept familles : planification (op.pl), contrôle d'accès (op.acc), exploitation (op.exp), ressources externes (op.ext), services en nuage (op.nub, nouveauté introduite par l'ENS 2022), continuité de service (op.cont) et surveillance du système (op.mon). Ces familles couvrent l'architecture de sécurité, la gestion des configurations, la détection d'événements et la capacité de réponse aux incidents.
- Mesures de protection : mesures réparties en huit familles : installations et infrastructures (mp.if), gestion du personnel (mp.per), protection des équipements (mp.eq), protection des communications (mp.com), protection des supports d'information (mp.si), protection des applications informatiques (mp.sw), protection de l'information (mp.info) et protection des services (mp.s). Chaque famille regroupe les contrôles techniques propres à chaque couche du système.
Cette structure hiérarchique n'est pas arbitraire : les mesures organisationnelles sont le prérequis qui donne cohérence à tout le reste, les mesures opérationnelles garantissent le bon fonctionnement quotidien, et les mesures de protection ancrent les contrôles techniques à chaque couche du système.
Que signifie le « niveau de renforcement » et comment varie-t-il selon la catégorie ?
Toutes les mesures de l'Annexe II ne s'appliquent pas avec la même intensité dans tous les systèmes. Chaque mesure est associée à un ou plusieurs niveaux de renforcement (généralement R1, R2 et R3 selon la terminologie des guides CCN-STIC série 800) qui déterminent la profondeur et la rigueur de la mise en oeuvre :
- Catégorie de base : le sous-ensemble le plus réduit de mesures est appliqué au niveau de renforcement minimal, axé sur les contrôles essentiels réduisant les risques les plus courants.
- Catégorie moyenne : des mesures supplémentaires s'ajoutent et le niveau de renforcement est relevé. Par exemple, le contrôle d'accès en catégorie moyenne peut exiger une double authentification là où la catégorie de base ne demandait qu'un mot de passe robuste.
- Catégorie haute : toutes les mesures applicables sont mises en oeuvre au niveau de renforcement maximal. Les exigences de résilience, de redondance, de chiffrement et de traçabilité sont sensiblement plus strictes.
Quelles sont les mesures techniques les plus exigeantes de l'Annexe II ?
Pour les systèmes de catégorie moyenne et haute, les mesures qui concentrent la plus grande complexité technique sont généralement :
- Contrôle d'accès avec authentification forte (op.acc) : identification par mécanismes multi-facteurs, gestion des privilèges avec séparation des fonctions et révision périodique des droits d'accès.
- Durcissement des systèmes d'exploitation et des services (mp.s / op.exp.7) : suppression des services inutiles, configuration restrictive des permissions et application des guides CCN-STIC par plateforme.
- Gestion des incidents avec journalisation et capacité forensique (op.exp.3) : systèmes de détection d'événements, corrélation d'alertes SIEM, procédures de réponse et capacité d'analyse forensique pour déterminer la portée d'un incident.
- Continuité de service et sauvegardes vérifiées (op.cont) : plans de reprise après sinistre testés périodiquement, sauvegardes avec vérification d'intégrité et délais de récupération documentés.
- Protection des communications et chiffrement (mp.com) : chiffrement des canaux de communication sensibles et gestion du cycle de vie des certificats numériques.
La mise en oeuvre technique de ces mesures requiert la maîtrise des guides CCN-STIC par plateforme et des outils du CCN — notamment PILAR pour l'analyse des risques qui sous-tend la sélection des mesures —, comme expliqué en détail dans le guide sur MAGERIT et les outils CCN pour l'ENS.
Comment démontrer que les mesures de l'Annexe II sont effectivement mises en oeuvre ?
La conformité ENS ne se déclare pas : elle se prouve. Tant pour la déclaration de conformité auto-évaluée (catégorie de base) que pour la certification par un organisme accrédité par l'ENAC (catégorie moyenne et haute), le coeur du processus est la documentation des preuves démontrant que chaque mesure de l'Annexe II est active et efficace. Les preuves les plus courantes comprennent des captures de configuration, des journaux d'alertes, des procès-verbaux de tests de récupération, des rapports de vulnérabilités, des registres de formation et les rapports produits par les outils CCN (PILAR, INES, AMPARO).
La gestion des incidents de sécurité est un domaine particulièrement scruté par les auditeurs de conformité. Un dispositif solide de réponse aux incidents, tel qu'analysé dans l'article sur la réponse aux incidents et l'analyse forensique, est un atout précieux lorsque l'auditeur examine les preuves de cette famille de mesures.
Quelle relation existe entre les mesures de l'Annexe II de l'ENS et les contrôles ISO 27001 ?
Il existe un chevauchement significatif entre les mesures de l'Annexe II de l'ENS et les contrôles de l'Annexe A de l'ISO 27001:2022. Pour les organisations détenant déjà une certification ISO 27001 ou travaillant à l'obtenir, une analyse des écarts entre les deux référentiels permet d'identifier précisément quelles mesures de l'Annexe II sont déjà couvertes par les contrôles ISO implantés et lesquelles nécessitent une mise en oeuvre complémentaire.
Quelles étapes concrètes suivre pour mettre en oeuvre les mesures de l'Annexe II de manière ordonnée ?
La séquence recommandée par les guides CCN-STIC série 800 est la suivante :
- Catégoriser le système selon l'Annexe I du RD 311/2022.
- Réaliser l'analyse des risques avec la méthodologie MAGERIT v3 et l'outil PILAR du CCN.
- Élaborer le plan d'adéquation selon le guide CCN-STIC 806.
- Mettre en oeuvre les contrôles techniques et organisationnels selon les guides CCN-STIC par plateforme.
- Documenter les preuves de chaque contrôle implanté et opérationnel.
- Vérifier la conformité avec l'outil INES (catégorie de base) ou AMPARO (moyenne/haute).
- Obtenir la conformité : déclaration auto-évaluée (base) ou audit par l'organisme accrédité ENAC (moyenne/haute).
Summum Sistemas exécute la mise en oeuvre technique de ce processus, en appliquant MAGERIT et les outils du CCN avec rigueur et en produisant le dossier de preuves dont l'auditeur a besoin. Notre service d'implantation technique ENS couvre l'ensemble du processus, de l'inventaire des actifs à la livraison du dossier de preuves complet pour l'audit de conformité.