Le Décret royal 311/2022, du 3 mai, qui institue l'Esquema Nacional de Seguridad (ENS), n'est pas une réglementation exclusivement destinée au secteur public : son article 2 étend l'obligation de mise en conformité aux systèmes d'information des entités privées qui fournissent des services ou des solutions à des entités du secteur public elles-mêmes soumises à l'ENS. Dans la région de Barcelone, cela signifie que toute entreprise fournissant la Generalitat de Catalunya, l'Ajuntament de Barcelona, la Diputació de Barcelona, l'Àrea Metropolitana de Barcelona ou des universités publiques comme l'Universitat de Barcelona (UB), l'Universitat Autònoma de Barcelona (UAB), l'Universitat Politècnica de Catalunya (UPC) ou l'Universitat Pompeu Fabra (UPF) doit mettre ses systèmes en conformité avant de pouvoir opérer ou soumissionner. La disposition transitoire du RD 311/2022 a fixé au 5 mai 2024 la date limite pour les systèmes déjà en exploitation ; passé cette date, opérer sans mise en conformité constitue un manquement pouvant bloquer l'accès aux marchés publics.
Summum Sistemas aborde la mise en conformité sous l'angle qui lui est propre : la mise en œuvre technique des mesures de sécurité de l'Annexe II du RD 311/2022. Cette annexe regroupe 73 mesures réparties en trois cadres — cadre organisationnel, cadre opérationnel et mesures de protection — et seize familles, dont sept dans le bloc opérationnel, qui inclut la famille op.nub spécifique aux services cloud, particulièrement pertinente dans le dense écosystème de fournisseurs SaaS et cloud de Barcelone. Rédiger des politiques ne suffit pas : il faut configurer les systèmes, durcir les services, déployer une supervision, gérer les vulnérabilités et démontrer que chaque mesure est effectivement appliquée avec des preuves techniques vérifiables.
L'analyse des risques est au cœur du processus. L'ENS exige que la sélection et la proportionnalité des mesures de sécurité reposent sur une analyse formelle des risques auxquels sont exposés les systèmes concernés. Summum Sistemas utilise la méthodologie MAGERIT — la référence officielle du CCN pour l'analyse des risques dans le contexte de l'administration publique espagnole — et s'appuie sur l'outil PILAR du CCN, qui permet de modéliser de façon structurée les actifs, menaces, vulnérabilités et impacts, et de générer les rapports attendus par les auditeurs de conformité. Pour évaluer le niveau actuel de mise en œuvre des mesures, nous utilisons également INES (Informe Nacional del Estado de Seguridad), l'outil d'auto-évaluation du CCN qui fournit un tableau de maturité par famille et par mesure. Le résultat est une analyse technique traçable, référencée à la réglementation et présentable devant tout organisme accrédité par l'ENAC.