Sector público

Mise en œuvre technique de l'ENS à Barcelone pour les fournisseurs de l'administration

Si votre entreprise fournit des services technologiques à la Generalitat de Catalunya, à l'Ajuntament de Barcelona, à la Diputació de Barcelona, à l'Àrea Metropolitana de Barcelona (AMB) ou à des universités publiques comme l'UB, l'UAB, l'UPC ou l'UPF, le Schéma national de sécurité espagnol (Esquema Nacional de Seguridad, institué par le RD 311/2022, BOE-A-2022-7191) vous impose la mise en conformité de vos systèmes d'information. Summum Sistemas vous accompagne dans ce processus sous l'angle opérationnel : analyse des risques selon la méthodologie MAGERIT, modélisation des menaces avec l'outil PILAR du CCN, mise en œuvre des 73 mesures techniques de l'Annexe II et constitution du dossier de preuves nécessaire à votre déclaration ou certificat de conformité. Des appels d'offres plus solides, une sécurité réelle de vos systèmes.

RéglementationRD 311/2022 · BOE-A-2022-7191
PérimètreFournisseurs TIC du secteur public à Barcelone
ApprocheMise en œuvre technique · MAGERIT · PILAR · INES · Annexe II

Le Décret royal 311/2022, du 3 mai, qui institue l'Esquema Nacional de Seguridad (ENS), n'est pas une réglementation exclusivement destinée au secteur public : son article 2 étend l'obligation de mise en conformité aux systèmes d'information des entités privées qui fournissent des services ou des solutions à des entités du secteur public elles-mêmes soumises à l'ENS. Dans la région de Barcelone, cela signifie que toute entreprise fournissant la Generalitat de Catalunya, l'Ajuntament de Barcelona, la Diputació de Barcelona, l'Àrea Metropolitana de Barcelona ou des universités publiques comme l'Universitat de Barcelona (UB), l'Universitat Autònoma de Barcelona (UAB), l'Universitat Politècnica de Catalunya (UPC) ou l'Universitat Pompeu Fabra (UPF) doit mettre ses systèmes en conformité avant de pouvoir opérer ou soumissionner. La disposition transitoire du RD 311/2022 a fixé au 5 mai 2024 la date limite pour les systèmes déjà en exploitation ; passé cette date, opérer sans mise en conformité constitue un manquement pouvant bloquer l'accès aux marchés publics.

Summum Sistemas aborde la mise en conformité sous l'angle qui lui est propre : la mise en œuvre technique des mesures de sécurité de l'Annexe II du RD 311/2022. Cette annexe regroupe 73 mesures réparties en trois cadres — cadre organisationnel, cadre opérationnel et mesures de protection — et seize familles, dont sept dans le bloc opérationnel, qui inclut la famille op.nub spécifique aux services cloud, particulièrement pertinente dans le dense écosystème de fournisseurs SaaS et cloud de Barcelone. Rédiger des politiques ne suffit pas : il faut configurer les systèmes, durcir les services, déployer une supervision, gérer les vulnérabilités et démontrer que chaque mesure est effectivement appliquée avec des preuves techniques vérifiables.

L'analyse des risques est au cœur du processus. L'ENS exige que la sélection et la proportionnalité des mesures de sécurité reposent sur une analyse formelle des risques auxquels sont exposés les systèmes concernés. Summum Sistemas utilise la méthodologie MAGERIT — la référence officielle du CCN pour l'analyse des risques dans le contexte de l'administration publique espagnole — et s'appuie sur l'outil PILAR du CCN, qui permet de modéliser de façon structurée les actifs, menaces, vulnérabilités et impacts, et de générer les rapports attendus par les auditeurs de conformité. Pour évaluer le niveau actuel de mise en œuvre des mesures, nous utilisons également INES (Informe Nacional del Estado de Seguridad), l'outil d'auto-évaluation du CCN qui fournit un tableau de maturité par famille et par mesure. Le résultat est une analyse technique traçable, référencée à la réglementation et présentable devant tout organisme accrédité par l'ENAC.

Le processus Mise en œuvre technique de l'ENS à Barcelone pour les fournisseurs de l'administration.

Le processus · quatre étapes
01

Inventaire des actifs et détermination de la catégorie ENS

Nous établissons l'inventaire des actifs informationnels — matériel, logiciels, données, services et communications — relevant du périmètre ENS de votre organisation. À partir de cet inventaire, nous évaluons l'impact qu'aurait un incident de sécurité sur les cinq dimensions CIDAT (confidentialité, intégrité, disponibilité, authenticité et traçabilité) pour chaque service fourni à l'administration catalane, et nous déterminons la catégorie du système — basique, moyenne ou haute — conformément à l'Annexe I du RD 311/2022. Cette catégorie est le point de départ qui détermine quelles mesures de l'Annexe II sont obligatoires et quelle voie de conformité vous devez suivre.

02

Analyse des risques avec MAGERIT et modélisation avec PILAR

Nous réalisons l'analyse des risques selon la méthodologie MAGERIT v3 du CCN : identification des actifs, cartographie des dépendances, menaces applicables du catalogue MAGERIT, évaluation de la fréquence et de l'impact, et calcul du risque résiduel après application des mesures de protection. La modélisation est effectuée avec l'outil PILAR du CCN, qui génère un rapport structuré des actifs, menaces et risques directement utilisable comme preuve technique dans le processus de conformité ENS. Le résultat constitue la base objective sur laquelle sont sélectionnées et priorisées les mesures de l'Annexe II.

03

Évaluation de maturité avec INES et cartographie des écarts techniques

Nous appliquons le questionnaire INES (Informe Nacional del Estado de Seguridad) pour évaluer le niveau de mise en œuvre actuel de chacune des 73 mesures de l'Annexe II dans les familles correspondant à la catégorie attribuée. Le résultat est une carte de maturité par famille — de L0 (inexistant) à L5 (optimisé) — et une liste priorisée des écarts techniques à combler, avec estimation de l'effort et des dépendances entre mesures. Vous savez ainsi exactement où vous en êtes et ce qu'il reste à faire, sans raccourcis ni surdimensionnement.

04

Mise en œuvre technique des mesures de l'Annexe II

Nous mettons en œuvre les mesures techniques restantes : durcissement des systèmes d'exploitation et des services selon les guides CCN-STIC pertinents (511, 570, 610 et guides spécifiques aux éditeurs), configuration des mécanismes de contrôle d'accès et d'authentification renforcée, déploiement de systèmes de journalisation et de supervision des événements de sécurité, gestion des vulnérabilités avec un cycle de correctifs documenté, chiffrement des communications et du stockage, et configuration des sauvegardes conformément à la mesure mp.info.9 de l'Annexe II. Pour les services cloud, très répandus chez les fournisseurs technologiques de l'aire métropolitaine de Barcelone, nous traitons les mesures de la famille op.nub : évaluation du fournisseur, gestion de la chaîne d'approvisionnement et contrôles d'accès spécifiques à l'environnement cloud.

Ce qui est inclus

Ce qu'inclut Mise en œuvre technique de l'ENS à Barcelone pour les fournisseurs de l'administration.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Rapport d'analyse des risques MAGERIT avec PILAR

    Analyse formelle des risques selon MAGERIT v3, réalisée avec l'outil PILAR du CCN : inventaire des actifs, arbre des dépendances, évaluation des menaces et des impacts et calcul du risque résiduel. Document présentable comme preuve technique devant les auditeurs de conformité ENS.

  • Évaluation de maturité INES par famille de mesures

    Rapport d'état de mise en œuvre des mesures de l'Annexe II généré avec l'outil INES du CCN, avec niveau de maturité par famille (L0-L5) et cartographie priorisée des écarts à combler avant l'audit de conformité.

  • Durcissement technique documenté par système

    Application des guides CCN-STIC pertinents à chaque système d'exploitation, service et composant du périmètre : configuration de sécurité, suppression des services inutiles, gestion du moindre privilège et preuve de chaque changement appliqué avec enregistrement de version et de date.

  • Déploiement de la supervision et de la gestion des événements

    Configuration des mécanismes de journalisation, de corrélation et d'alerte des événements de sécurité conformément aux mesures op.mon et op.exp de l'Annexe II : sources de logs, rétention, alertes sur événements critiques et procédure de réponse aux incidents techniques documentée.

  • Plan et preuves de gestion des vulnérabilités

    Cycle documenté d'identification, d'évaluation, de priorisation et de remédiation des vulnérabilités techniques : analyses périodiques, critères de priorisation par criticité et catégorie ENS, registres des correctifs appliqués et validation de clôture. Couvre la mesure op.exp.3 de l'Annexe II.

  • Dossier complet de preuves pour la conformité

    Ensemble structuré de toute la documentation technique requise pour la déclaration de conformité (catégorie basique, selon la CCN-STIC 809) ou pour l'audit par un organisme accrédité ENAC (catégorie moyenne ou haute) : rapports, captures, journaux, procès-verbaux et procédures classés par famille de mesures.

Questions fréquentes sur Mise en œuvre technique de l'ENS à Barcelone pour les fournisseurs de l'administration.

Pourquoi dois-je me mettre en conformité avec l'ENS si je fournis la Generalitat de Catalunya ou l'Ajuntament de Barcelona ?

L'article 2 du RD 311/2022 étend l'obligation ENS aux systèmes d'information des entités privées qui fournissent des services à des organismes du secteur public eux-mêmes soumis à l'ENS. La Generalitat de Catalunya, l'Ajuntament de Barcelona, la Diputació de Barcelona et l'Àrea Metropolitana de Barcelona sont toutes soumises à l'ENS en tant qu'administrations publiques. Si vos systèmes d'information sont en contact avec ceux de l'une de ces entités — parce que vous leur fournissez un service, un logiciel ou traitez des données pour leur compte —, la mise en conformité ENS est obligatoire et peut être exigée dans les cahiers des charges des marchés publics.

Qu'est-ce que MAGERIT et pourquoi l'ENS l'exige-t-il ?

MAGERIT est la méthodologie d'analyse et de gestion des risques des systèmes d'information développée par le CCN. L'ENS exige que la sélection et l'application des mesures de l'Annexe II reposent sur une analyse de risques formelle proportionnelle à la catégorie du système. MAGERIT est la méthodologie de référence du CCN pour cette analyse dans le contexte de l'administration publique espagnole : elle permet d'identifier les actifs, de modéliser les menaces et de calculer le risque résiduel de manière structurée et traçable. Les auditeurs de conformité ENS connaissent cette méthodologie et s'attendent à la retrouver documentée dans les preuves de l'analyse des risques.

Qu'est-ce que PILAR et quel est son apport au processus de mise en conformité ?

PILAR est l'outil d'analyse des risques développé par le CCN qui met en œuvre la méthodologie MAGERIT. Il permet de modéliser les actifs du système, leurs dépendances, les menaces applicables du catalogue MAGERIT et les mesures de protection mises en œuvre, et génère des rapports structurés de risques et de maturité. Son usage dans le processus de mise en conformité ENS est très apprécié des auditeurs car il apporte traçabilité et objectivité : les résultats sont reproductibles, comparables dans le temps et directement présentables comme preuve technique lors de l'audit.

Combien de mesures compte l'Annexe II de l'ENS et lesquelles s'appliquent à mon entreprise ?

L'Annexe II du RD 311/2022 regroupe 73 mesures réparties en trois cadres et seize familles : le cadre organisationnel (4 mesures), le cadre opérationnel — avec 7 familles et 33 mesures, dont la famille op.nub pour les services cloud — et les mesures de protection — avec 8 familles et 36 mesures. Les mesures obligatoires pour votre entreprise dépendent de la catégorie du système (basique, moyenne ou haute) résultant de l'analyse d'impact sur les cinq dimensions CIDAT. Pour chaque mesure, l'Annexe II précise si elle s'applique au niveau basique, moyen ou haut. Summum Sistemas réalise le diagnostic pour déterminer exactement le sous-ensemble applicable à votre cas.

En quoi consiste la famille op.nub de l'Annexe II et quand me concerne-t-elle à Barcelone ?

La famille op.nub (opération dans le cloud) du cadre opérationnel de l'Annexe II régit les exigences de sécurité spécifiques aux services d'informatique en nuage. Elle s'applique lorsque le système concerné utilise des services IaaS, PaaS ou SaaS dans son architecture. Les mesures op.nub couvrent l'évaluation des fournisseurs cloud, la ségrégation des environnements, la gestion des accès dans l'environnement cloud et la chaîne d'approvisionnement des services cloud. Pour les fournisseurs TIC de la Generalitat de Catalunya, de l'Ajuntament de Barcelona ou des universités publiques catalanes utilisant une infrastructure cloud publique, cette famille est particulièrement pertinente et doit être explicitement traitée dans l'analyse des risques et le plan de mise en conformité.

Summum Sistemas délivre-t-il la certification ou la déclaration de conformité ENS ?

Non. Pour les systèmes de catégorie basique, la déclaration de conformité est délivrée par l'organisation elle-même, par auto-évaluation, conformément à la procédure CCN-STIC 809. Pour les systèmes de catégorie moyenne ou haute, le certificat de conformité est délivré par un organisme d'inspection accrédité par l'ENAC selon la norme UNE-EN ISO/IEC 17065. Summum Sistemas ne délivre aucun certificat de conformité — c'est la compétence exclusive des organismes accrédités par l'ENAC. Notre rôle est de mettre en œuvre les mesures techniques de l'Annexe II, de constituer le dossier de preuves et de préparer vos systèmes à réussir ce processus de conformité avec les meilleures garanties.