Ciberseguridad y cumplimiento

Mise en œuvre technique de l'ENS : mesures de l'Annexe II avec MAGERIT et les outils CCN

La conformité à l'Esquema Nacional de Seguridad ne se résout pas uniquement avec des documents : chaque mesure de l'Annexe II du RD 311/2022 exige une mise en œuvre technique réelle et vérifiable. Summum Sistemas assure cette mise en œuvre en appliquant la méthodologie d'analyse des risques MAGERIT v3 avec l'outil PILAR du Centro Criptológico Nacional, sélectionne les mesures proportionnées à la catégorie de votre système et les déploie rigoureusement sur vos infrastructures. À l'issue du projet, votre système ne se contente pas d'être conforme sur le papier : il dispose de contrôles techniques actifs et du dossier de preuves dont l'auditeur de conformité a besoin pour émettre la déclaration ou la certification de conformité correspondant à votre catégorie.

RéglementationRD 311/2022 · Annexe II + Annexe III
MéthodologieMAGERIT v3 · PILAR · CCN-STIC (806, 808, 809)
ProfilEntreprises fournissant des systèmes ou services à l'Administration publique espagnole

L'Annexe II du Décret Royal 311/2022 régissant l'Esquema Nacional de Seguridad recense les mesures de sécurité que doivent appliquer les systèmes d'information soumis à l'ENS, regroupées en trois cadres : organisationnel (politiques, rôles et responsabilités), opérationnel (planification, contrôle d'accès, exploitation, services externes, gestion des incidents et continuité) et mesures de protection (installations, systèmes, communications, supports d'information, applications et utilisateurs). Chaque mesure s'applique en fonction de la catégorie du système — basique, moyenne ou élevée — et est détaillée dans les guides de la série CCN-STIC 800, notamment la CCN-STIC 808 pour la vérification de la mise en conformité. Implanter ces mesures de façon efficace et démontrable exige une connaissance technique du cadre réglementaire espagnol, une expérience des systèmes les plus courants dans les environnements de marchés publics et la maîtrise des outils que le CCN lui-même met à disposition pour faciliter le processus.

Summum Sistemas applique la méthodologie MAGERIT v3 — la méthode d'analyse et de gestion des risques des systèmes d'information des administrations publiques, maintenue par le ministère espagnol des Finances — et l'outil PILAR (Procedimiento Informático Lógico para el Análisis de Riesgos), développé et distribué par le CCN, pour réaliser l'analyse des risques qui fonde la sélection des mesures de l'Annexe II. L'analyse part d'un inventaire des actifs, évalue leurs interdépendances et détermine l'impact qu'une menace matérialisée aurait sur les cinq dimensions de sécurité CIDAT. Le résultat — la cartographie des risques et son plan de traitement — justifie quelles mesures de l'Annexe II doivent être appliquées, à quel niveau de renforcement et dans quel délai, et constitue l'un des documents que les auditeurs de conformité examinent avec le plus de rigueur.

Pour les systèmes de catégorie basique, le CCN fournit l'outil INES (Índice Nacional de Evaluación de la Seguridad), qui guide l'auto-évaluation requise pour la déclaration de conformité et génère le rapport de résultats. Pour les catégories moyenne et élevée, l'outil AMPARO facilite la gestion continue du système de sécurité une fois mis en œuvre. Pour préparer l'audit de conformité — qu'il s'agisse de l'audit interne préalable ou du processus avec l'organisme accrédité ENAC — le CCN dispose de CLARA (CHECKlist-based Lightweight Assessments for Reviewing Administration), qui structure les listes de vérification de l'auditeur. Summum Sistemas dispose d'une expérience pratique dans l'utilisation de tous ces outils et les intègre dans son flux de travail pour que le processus de mise en conformité soit traçable, efficace et directement exploitable lors de l'audit de conformité.

Le processus Mise en œuvre technique de l'ENS.

Le processus · quatre étapes
01

Inventaire des actifs et valorisation des dimensions CIDAT

Nous identifions et classons les actifs du système d'information en périmètre : installations, matériel, logiciels, services, données et personnel. Pour chaque actif et service, nous déterminons la valeur selon les cinq dimensions de sécurité (confidentialité, intégrité, disponibilité, authenticité et traçabilité) en utilisant l'échelle d'impact de l'Annexe I du RD 311/2022, afin d'obtenir la catégorie définitive du système avant de sélectionner les mesures.

02

Analyse des risques avec MAGERIT v3 et outil PILAR

Nous réalisons l'analyse complète des risques avec la méthodologie MAGERIT v3 et l'outil PILAR du CCN : identification des menaces par type d'actif, estimation de la probabilité et de l'impact, calcul du risque résiduel et définition du plan de traitement. L'analyse des risques est le document central justifiant la sélection des mesures de l'Annexe II et celui que les auditeurs de conformité examinent avec le plus de rigueur.

03

Plan de mise en conformité et sélection des mesures de l'Annexe II

À partir de l'analyse des risques, nous élaborons le plan de mise en conformité selon le guide CCN-STIC 806. Nous sélectionnons les mesures de l'Annexe II applicables à la catégorie du système, définissons le niveau de renforcement requis pour chacune, priorisons selon l'impact sur le risque résiduel et établissons un calendrier réaliste de mise en œuvre avec des responsables désignés.

04

Mise en œuvre technique des contrôles de sécurité

Nous réalisons la mise en œuvre technique des contrôles : durcissement (hardening) des systèmes d'exploitation et des services selon les guides CCN-STIC par plateforme, segmentation du réseau et contrôle d'accès, déploiement de systèmes de détection et réponse aux incidents (SIEM/EDR), configuration de sauvegardes vérifiées, gestion des correctifs et des vulnérabilités, et chiffrement des communications et des données au repos. Chaque contrôle est documenté avec les preuves de sa configuration et de son bon fonctionnement.

Ce qui est inclus

Ce qu'inclut Mise en œuvre technique de l'ENS.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Inventaire et valorisation des actifs du système

    Catalogue complet des actifs en périmètre — installations, matériel, logiciels, données, services et personnel — avec valorisation CIDAT par actif et par service, dans le format requis par MAGERIT v3 et l'outil PILAR.

  • Analyse des risques MAGERIT v3 avec outil PILAR

    Analyse complète des menaces, vulnérabilités, probabilités et impacts, avec la cartographie des risques résiduels et le plan de traitement justifiant la sélection des mesures de l'Annexe II. Exporté au format de rapport PILAR pour utilisation directe dans l'audit de conformité.

  • Plan de mise en conformité documenté (CCN-STIC 806)

    Document listant les mesures de l'Annexe II applicables à la catégorie du système, le niveau de renforcement requis pour chacune, la priorité de mise en œuvre, le calendrier et les responsables, selon la structure du guide CCN-STIC 806.

  • Mise en œuvre technique des contrôles de l'Annexe II

    Configuration vérifiée des contrôles techniques : durcissement des systèmes (guides CCN-STIC par plateforme), segmentation du réseau, contrôle d'accès, supervision des événements de sécurité, sauvegardes vérifiées, gestion des correctifs et chiffrement des communications et des données.

  • Rapports des outils CCN (INES, AMPARO, CLARA)

    Génération et remise des rapports d'évaluation produits par les outils officiels du CCN dans le format attendu par les auditeurs de conformité : rapport INES pour la catégorie basique, rapports AMPARO pour les catégories moyenne et élevée, et listes CLARA pour l'audit.

  • Dossier de preuves techniques pour l'audit de conformité

    Compilation structurée de toutes les preuves techniques requises par l'auditeur de conformité : captures de configuration, journaux, résultats des tests de reprise, enregistrements d'incidents et documentation des contrôles, prêts à présenter lors du processus de déclaration ou de certification de conformité.

Cluster Summum

Comment il se connecte aux sœurs.

La mise en œuvre technique des mesures de l'ENS est complétée par l'accompagnement dans le système de management et la documentation normative assurés par Summum Calidad : politique de sécurité, Déclaration d'Applicabilité, analyse des écarts avec l'ISO 27001 et préparation à l'audit interne. Ensemble, les deux équipes offrent une couverture complète de l'ENS sans lacune entre les dimensions technique et documentaire.

Questions fréquentes sur Mise en œuvre technique de l'ENS.

Qu'est-ce que MAGERIT et pourquoi est-il pertinent pour la conformité ENS ?

MAGERIT (Méthode d'analyse et de gestion des risques des systèmes d'information des administrations publiques) est la méthodologie de référence pour l'analyse des risques dans le contexte de l'ENS, maintenue par le ministère espagnol des Finances. Bien que le RD 311/2022 n'impose pas exclusivement MAGERIT, les guides CCN-STIC 806 et 808 le référencent comme méthodologie standard, et les auditeurs de conformité sont familiers de ses livrables. Utiliser MAGERIT avec l'outil PILAR du CCN garantit que l'analyse des risques est directement interprétable dans le processus d'audit et que les rapports générés sont valides sans adaptation supplémentaire.

Quelles sont les mesures techniques les plus exigeantes de l'Annexe II pour les catégories moyenne et élevée ?

Parmi les mesures de l'Annexe II les plus exigeantes sur le plan technique pour les catégories moyenne et élevée, on trouve : le contrôle d'accès avec authentification forte (mp.ac), la gestion de la sécurité des communications (op.exp.8), le durcissement des systèmes (op.exp.7), la protection des supports d'information (mp.si), la gestion des incidents avec journalisation et capacité d'analyse forensique (op.exp.3) et la continuité du service avec des sauvegardes vérifiées et des plans de reprise testés. Chaque mesure comporte des niveaux de renforcement (renforcement 1, 2 ou 3) appliqués selon la catégorie du système.

Quels outils le CCN met-il à disposition pour la mise en conformité ENS ?

Le Centro Criptológico Nacional fournit plusieurs outils gratuits : PILAR pour l'analyse des risques selon la méthodologie MAGERIT ; INES (Índice Nacional de Evaluación de la Seguridad) pour l'auto-évaluation des systèmes de catégorie basique ; AMPARO pour la gestion continue du système de sécurité en catégories moyenne et élevée ; et CLARA pour les listes de vérification de l'auditeur. Le CCN publie également des guides de durcissement par plateforme (série CCN-STIC) et le catalogue CPSTIC des produits et services de sécurité TIC qualifiés pour guider la sélection de solutions.

Combien de mesures contient l'Annexe II de l'ENS et lesquelles sont obligatoires selon la catégorie ?

L'Annexe II du RD 311/2022 contient 75 mesures de sécurité réparties entre le cadre organisationnel (4 mesures), le cadre opérationnel (31 mesures en cinq groupes : planification, contrôle d'accès, exploitation, services externes, gestion des incidents et continuité) et les mesures de protection (40 mesures en six groupes : installations, systèmes, communications, supports, applications et informaticiens). Toutes ne sont pas obligatoires pour toutes les catégories : les systèmes de catégorie basique appliquent un sous-ensemble plus réduit ; plus la catégorie est élevée, plus le nombre de mesures et le niveau de renforcement exigé sont importants. Le plan de mise en conformité individualise cette sélection pour votre système.

Une entreprise privée peut-elle utiliser les outils PILAR et INES du CCN ?

Oui. Le CCN met PILAR, INES et AMPARO à la disposition de toute organisation devant se conformer à l'ENS — aussi bien les entités du secteur public que les prestataires privés — avec un accès gratuit soumis à enregistrement. PILAR dispose de versions de démonstration et de versions complètes ; la version de base est suffisante pour les systèmes de catégorie basique. Summum Sistemas dispose d'une expérience pratique de ces outils et les intègre dans son processus de mise en conformité pour produire des rapports directement exploitables lors de l'audit de conformité.

Qu'est-ce qu'un Profil de Conformité Spécifique (PCE) et quand s'applique-t-il ?

Un Profil de Conformité Spécifique (Perfil de Cumplimiento Específico, PCE) est un document approuvé par le CCN définissant un ensemble prédéterminé de mesures de l'Annexe II adapté à un type spécifique de système d'information ou de secteur d'activité, simplifiant le processus de conformité pour ce profil. Lorsqu'un PCE applicable à votre type de système existe, il peut être suivi à la place d'une analyse complète des risques, à condition que le système corresponde exactement au profil défini. Le CCN publie les PCE en vigueur sur son portail ; Summum Sistemas évalue lors du diagnostic initial si votre système est candidat à l'utilisation d'un PCE.

Quelle est la différence technique entre déclaration de conformité et certification ENS ?

Sur le plan technique, les deux voies exigent que les contrôles de l'Annexe II soient réellement mis en œuvre et vérifiables par des preuves. La différence tient à qui vérifie : pour la déclaration de conformité (catégorie basique), l'organisation auto-évalue ses contrôles avec l'outil INES et déclare sa conformité ; pour la certification (catégories moyenne ou élevée), un organisme d'inspection accrédité par l'ENAC vérifie les preuves sur site de manière indépendante. Le niveau de rigueur dans la documentation des preuves doit être également élevé dans les deux cas, car l'administration contractante peut demander la révision de la déclaration à tout moment.