MAGERIT et ENS : à quoi servent PILAR, INES et AMPARO ?

·

L'un des aspects qui génère le plus de confusion dans les projets de mise en conformité avec le Schéma National de Sécurité (ENS) est l'écosystème de méthodologies et d'outils que le Centre Cryptologique National (CCN) met à disposition des organisations. Des sigles comme MAGERIT, PILAR, INES, AMPARO ou CLARA apparaissent dans les guides CCN-STIC série 800 et dans les exigences des auditeurs de conformité, mais il n'est pas toujours clair ce que chacun fait, quand l'utiliser et s'il est accessible à une entreprise privée. Ce guide répond à ces questions.

Qu'est-ce que MAGERIT et pourquoi est-ce la méthode de référence pour l'analyse des risques ENS ?

MAGERIT — Méthodologie d'Analyse et de Gestion des Risques des systèmes d'Information des Administrations publiques — est la méthodologie officielle d'analyse des risques publiée par le ministère des Finances et de la Fonction publique espagnol. Bien que le Décret Royal 311/2022 du 3 mai (BOE-A-2022-7191) n'impose pas l'usage exclusif de MAGERIT, les guides CCN-STIC 806 et 808 la référencent comme méthodologie standard, et les auditeurs de conformité sont formés pour interpréter ses rapports sans adaptation.

MAGERIT structure l'analyse des risques en quatre phases : inventaire des actifs, évaluation des menaces, calcul de l'impact et du risque (probabilité × impact par dimension de sécurité) et plan de traitement. Le résultat est la cartographie des risques du système, qui justifie directement quelles mesures de l'Annexe II doivent être mises en oeuvre, avec quel niveau de renforcement et dans quel délai. La version actuelle est MAGERIT v3, publiée en 2012 et toujours en vigueur.

Comment fonctionne l'outil PILAR du CCN et qu'apporte-t-il au processus ENS ?

PILAR — Procédure Informatique Logique pour l'Analyse des Risques — est le logiciel que le CCN développe et maintient pour automatiser l'analyse des risques selon la méthodologie MAGERIT. PILAR permet de construire l'inventaire des actifs avec leur arbre de dépendances, de noter chaque actif sur les cinq dimensions CIDAT, d'identifier et quantifier les menaces par type d'actif, de calculer le risque résiduel après application des sauvegardes existantes, et de générer des rapports structurés dans le format attendu par les auditeurs de conformité ENS.

PILAR est distribué en différentes versions : une version de base gratuite accessible via inscription sur le portail du CCN, adaptée aux systèmes de catégorie de base, et des versions plus complètes pour les systèmes complexes de catégorie moyenne et haute.

Qu'est-ce qu'INES et quand l'utilise-t-on dans le cadre de l'ENS ?

INES — Indice National d'Évaluation de la Sécurité — est l'outil du CCN conçu spécifiquement pour l'auto-évaluation des systèmes de catégorie de base. Il guide l'organisation à travers une séquence structurée de questions sur la mise en oeuvre des mesures de l'Annexe II applicables à sa catégorie, évalue le degré de conformité de chaque mesure et génère un rapport de résultats dans le format requis pour étayer la déclaration de conformité auto-évaluée selon la procédure CCN-STIC 809.

INES sert également d'outil de diagnostic préliminaire : avant de débuter le projet de mise en conformité, il permet d'identifier rapidement les écarts les plus critiques dans les systèmes de catégorie de base et de prioriser le travail de mise en oeuvre.

À quoi sert AMPARO dans les systèmes ENS de catégorie moyenne et haute ?

AMPARO — Application de Mesures de Protection et d'Analyse des Risques et d'Organisation — est l'outil du CCN orienté vers la gestion continue de la sécurité dans les systèmes de catégorie moyenne et haute une fois la mise en conformité initiale achevée. Contrairement à INES, qui est un outil d'évaluation ponctuelle, AMPARO est conçu pour le suivi continu de l'état de sécurité du système tout au long du cycle biennal de conformité. Il permet de gérer le plan de traitement des risques, d'enregistrer l'état de mise en oeuvre de chaque mesure de l'Annexe II et de générer des rapports périodiques sur l'état de sécurité.

Qu'est-ce que CLARA et comment facilite-t-il l'audit de conformité ENS ?

CLARA structure les listes de vérification de l'auditeur pour la revue de conformité ENS, organisées par mesure de l'Annexe II au niveau de renforcement correspondant à la catégorie du système. Du point de vue de l'organisation qui se prépare à l'audit, CLARA est un atout précieux : il permet de réaliser un pré-audit interne suivant exactement la même séquence de vérifications qu'utilisera l'auditeur externe, en détectant à l'avance les écarts susceptibles de donner lieu à des non-conformités.

Une entreprise privée peut-elle accéder aux outils du CCN ?

Oui. Le CCN met PILAR, INES, AMPARO et CLARA à disposition de toute organisation ayant besoin de se conformer à l'ENS — tant les entités du secteur public que les entreprises privées fournisseurs —, avec un accès soumis à inscription sur le portail du CCN. L'accès est gratuit. Toutefois, la courbe d'apprentissage de PILAR est modérée et les rapports générés constituent l'input que les auditeurs examinent avec le plus grand soin. L'intégration des résultats dans la documentation globale du système de management de la sécurité requiert un jugement technique pour garantir la cohérence de l'ensemble, comme expliqué en détail dans le guide sur les mesures de sécurité de l'Annexe II de l'ENS.

Comment Summum Sistemas intègre-t-il ces outils dans le processus de mise en conformité ENS ?

Chez Summum Sistemas, nous intégrons MAGERIT, PILAR, INES, AMPARO et CLARA comme outils de travail quotidiens dans nos projets de mise en conformité ENS. Le flux de travail est le suivant : construction de l'inventaire des actifs dans PILAR, analyse complète des risques avec MAGERIT v3, élaboration du plan d'adéquation avec CCN-STIC 806, mise en oeuvre des contrôles techniques, configuration d'INES ou AMPARO selon la catégorie, pré-audit avec CLARA, et livraison du dossier complet de preuves techniques.

Cette approche garantit que le système ne se contente pas d'être conforme sur le papier : il dispose de contrôles actifs et vérifiables. L'analyse forensique des incidents survenus durant le processus de mise en conformité est un autre domaine dans lequel nous travaillons en lien avec l'équipe de réponse aux incidents pour garantir que l'historique de gestion des incidents est aligné avec les exigences de l'Annexe II. Si vous souhaitez en savoir plus sur notre service d'implantation technique ENS, n'hésitez pas à nous contacter en nous indiquant le type de système et les services que vous fournissez à l'Administration.