Sector público

Mise en conformité technique à l'ENS à Bilbao pour les fournisseurs de l'Administration

Si votre entreprise fournit des services technologiques au Gouvernement basque, à la Diputación Foral de Bizkaia, à la Mairie de Bilbao ou à l'Université du Pays basque (UPV/EHU), le Schéma National de Sécurité espagnol — l'Esquema Nacional de Seguridad, instauré par le RD 311/2022 (BOE-A-2022-7191) — vous impose de mettre vos systèmes d'information en conformité avec ses exigences techniques. Summum Sistemas prend en charge le volet opérationnel : analyse des risques selon la méthodologie MAGERIT, modélisation des menaces avec l'outil PILAR du CCN, mise en œuvre des 73 mesures techniques de l'Annexe II et constitution du dossier de preuves nécessaire à votre déclaration ou certification de conformité. Des offres plus solides sur le marché public basque, une sécurité réelle dans vos systèmes.

RéglementationRD 311/2022 · BOE-A-2022-7191
PérimètreFournisseurs TIC du secteur public à Bilbao et en Biscaye
ApprocheMise en conformité technique · MAGERIT · PILAR · INES · Annexe II

Le Real Decreto 311/2022, du 3 mai, qui approuve l'Esquema Nacional de Seguridad (ENS), étend dans son article 2 l'obligation de conformité aux systèmes d'information des entités privées qui fournissent des services ou des solutions à des entités du secteur public soumises à l'ENS. À Bilbao, cela concerne toute entreprise fournissant la Mairie de Bilbao, la Diputación Foral de Bizkaia — dont le siège institutionnel se trouve dans la ville —, les organismes et services du Gouvernement basque qui opèrent depuis Bilbao, ou l'Université du Pays basque (UPV/EHU), avec une présence bien établie sur le territoire via Bizkaia Aretoa et le campus de Leioa. La disposition transitoire unique du RD 311/2022 a fixé au 5 mai 2024 la date limite pour les systèmes déjà en exploitation ; opérer sans conformité au-delà de cette date peut bloquer l'accès aux marchés de l'une ou l'autre de ces administrations.

Summum Sistemas aborde la mise en conformité ENS depuis son domaine propre : la mise en œuvre technique des mesures de sécurité de l'Annexe II du RD 311/2022. Cette annexe regroupe 73 mesures réparties en trois cadres — organisationnel, opérationnel et mesures de protection — et seize familles, dont sept relèvent du bloc opérationnel, qui comprend la famille op.nub dédiée aux services en nuage. Rédiger des politiques ne suffit pas : il faut configurer les systèmes, durcir les services, déployer la supervision, gérer les vulnérabilités et produire des preuves démontrant que chaque mesure est effectivement appliquée et vérifiable.

L'analyse des risques est le socle du processus : l'ENS exige que la sélection et la proportionnalité des mesures de sécurité reposent sur une analyse formelle des risques auxquels les systèmes en périmètre sont exposés. Summum Sistemas utilise MAGERIT — la méthodologie de référence du CCN — appuyée par l'outil PILAR et par INES pour évaluer la maturité de mise en œuvre par famille de mesures. Une particularité propre aux administrations basques : outre les organismes d'inspection accrédités par ENAC, le Gouvernement basque dispose depuis 2026 de Cyberzaintza, l'Agence basque de cybersécurité, reconnue par le CCN comme Organe d'Audit Technique (OAT) pour certifier la conformité à l'ENS dans l'ensemble du secteur public basque. Nous constituons l'analyse technique et le dossier de preuves pour qu'ils soient présentables aussi bien à ENAC qu'à Cyberzaintza, selon la voie de conformité retenue par votre administration donneuse d'ordre.

Le processus Mise en conformité technique à l'ENS à Bilbao pour les fournisseurs de l'Administration.

Le processus · quatre étapes
01

Inventaire des actifs et détermination de la catégorie ENS

Nous dressons l'inventaire des actifs d'information — matériel, logiciel, données, services et communications — qui entrent dans le périmètre ENS de votre organisation. Nous évaluons l'impact qu'un incident de sécurité aurait sur les cinq dimensions CIDAT (confidentialité, intégrité, disponibilité, authenticité et traçabilité) pour chaque service fourni à la Mairie de Bilbao, à la Diputación Foral de Bizkaia, au Gouvernement basque ou à l'UPV/EHU, et nous déterminons la catégorie du système — basique, moyen ou élevé — conformément à l'Annexe I du RD 311/2022. Cette catégorie définit quelles mesures de l'Annexe II sont obligatoires et quelle voie de conformité vous devez suivre.

02

Analyse des risques avec MAGERIT et modélisation avec PILAR

Nous conduisons l'analyse des risques selon la méthodologie MAGERIT v3 : identification des actifs, cartographie des dépendances, menaces applicables issues du catalogue MAGERIT, évaluation de la fréquence et de l'impact, calcul du risque résiduel après application des sauvegardes. La modélisation est réalisée avec l'outil PILAR du CCN, qui génère un rapport structuré sur les actifs, les menaces et les risques, utilisable directement comme preuve technique, que ce soit devant un organisme accrédité par ENAC ou devant Cyberzaintza.

03

Évaluation de la maturité avec INES et cartographie des écarts techniques

Nous appliquons le questionnaire INES (Informe Nacional del Estado de Seguridad) pour évaluer le niveau d'implantation actuel de chacune des 73 mesures de l'Annexe II dans les familles correspondant à la catégorie assignée. Le résultat est une carte de maturité par famille — de L0 (inexistant) à L5 (optimisé) — et une liste priorisée d'écarts techniques à combler, avec estimation de l'effort et des dépendances entre mesures.

04

Mise en œuvre technique des mesures de l'Annexe II

Nous mettons en œuvre les mesures techniques restantes : durcissement des systèmes d'exploitation et des services conformément aux guides CCN-STIC (511, 570, 610 et guides spécifiques au fournisseur), contrôle d'accès et authentification renforcée, journalisation et supervision des événements de sécurité, gestion des vulnérabilités avec un cycle de correctifs documenté, chiffrement des communications et du stockage, et sauvegardes conformes à la mesure mp.info.9. Pour les services en nuage, nous traitons la famille op.nub : évaluation du fournisseur cloud, chaîne d'approvisionnement et contrôles d'accès propres à l'environnement cloud.

Ce qui est inclus

Ce qu'inclut Mise en conformité technique à l'ENS à Bilbao pour les fournisseurs de l'Administration.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Rapport d'analyse des risques MAGERIT établi avec PILAR

    Analyse formelle des risques selon MAGERIT v3, réalisée avec l'outil PILAR du CCN : inventaire des actifs, arbre des dépendances, évaluation des menaces et des impacts et calcul du risque résiduel. Document présentable comme preuve technique devant tout organisme de conformité ENS.

  • Évaluation de maturité INES par famille de mesures

    Rapport d'état de mise en œuvre des mesures de l'Annexe II généré avec l'outil INES du CCN, avec un niveau de maturité par famille (L0-L5) et une cartographie priorisée des écarts à combler avant l'audit de conformité.

  • Durcissement technique documenté par système

    Application des guides CCN-STIC pertinents à chaque système d'exploitation, service et composant en périmètre : configuration de sécurité, suppression des services superflus, gestion des privilèges minimaux et preuve de chaque changement avec version et date.

  • Supervision et gestion des événements de sécurité

    Configuration des mécanismes de journalisation, de corrélation et d'alerte conformément aux mesures op.mon et op.exp de l'Annexe II : sources de logs, rétention, alertes sur les événements critiques et procédure documentée de réponse aux incidents techniques.

  • Plan et preuves de gestion des vulnérabilités

    Cycle documenté d'identification, d'évaluation, de priorisation et de correction des vulnérabilités techniques : analyses périodiques, critères de priorisation par catégorie ENS, registres des correctifs appliqués et validation de clôture (mesure op.exp.3).

  • Dossier de preuves prêt pour ENAC ou Cyberzaintza

    Ensemble structuré de la documentation technique requise pour la déclaration de conformité (catégorie basique, CCN-STIC 809) ou pour l'audit d'un organisme accrédité par ENAC ou de Cyberzaintza en tant qu'Organe d'Audit Technique du secteur public basque, selon le cas.

Cluster Summum

Comment il se connecte aux sœurs.

La mise en œuvre technique des mesures de l'Annexe II se complète avec le volet documentaire et réglementaire que Summum Calidad gère à Bilbao : politique de sécurité, Déclaration d'Applicabilité intégrée à l'ISO 27001 et préparation de la déclaration ou de la certification de conformité. Les deux équipes travaillent de façon coordonnée sur un projet unique, sans duplication et avec un interlocuteur unique pour le client.

Questions fréquentes sur Mise en conformité technique à l'ENS à Bilbao pour les fournisseurs de l'Administration.

Pourquoi dois-je me mettre en conformité avec l'ENS si je fournis la Mairie de Bilbao ou la Diputación Foral de Bizkaia ?

L'article 2 du RD 311/2022 étend l'obligation de l'ENS aux systèmes d'information des entités privées qui fournissent des services à des entités du secteur public soumises à l'ENS. La Mairie de Bilbao, la Diputación Foral de Bizkaia, le Gouvernement basque et l'Université du Pays basque (UPV/EHU) sont toutes soumises à l'ENS en tant qu'Administrations publiques. Si vos systèmes d'information entrent en contact avec ceux de l'une de ces entités — parce que vous leur fournissez un service, un logiciel, ou que vous traitez des données pour leur compte —, la mise en conformité à l'ENS est obligatoire et peut être exigée comme condition dans les cahiers des charges de la commande publique.

Qu'est-ce que Cyberzaintza et quel est son rapport avec la conformité ENS à Bilbao ?

Cyberzaintza est l'Agence basque de cybersécurité, rattachée au Gouvernement basque. En 2026, elle a obtenu la reconnaissance du Centre Cryptologique National espagnol (CCN) en tant qu'Organe d'Audit Technique (OAT) du secteur public, ce qui l'habilite à certifier la conformité à l'ENS dans l'ensemble de l'administration publique basque. Pour un fournisseur à Bilbao, cela signifie que l'audit de conformité pour les systèmes de catégorie moyenne ou élevée peut être instruit par Cyberzaintza en plus des organismes d'inspection accrédités par ENAC, selon ce que détermine l'administration donneuse d'ordre. Summum Sistemas prépare l'analyse technique et le dossier de preuves pour qu'il soit valable dans l'une ou l'autre voie.

Qu'est-ce que MAGERIT et pourquoi l'ENS l'exige-t-il ?

MAGERIT est la Méthodologie d'Analyse et de Gestion des Risques des Systèmes d'Information élaborée par le CCN. L'ENS exige que la sélection et l'application des mesures de l'Annexe II reposent sur une analyse formelle des risques proportionnelle à la catégorie du système. MAGERIT est la référence du CCN pour cette analyse dans le contexte de l'Administration espagnole : elle permet d'identifier les actifs, de modéliser les menaces et de calculer le risque résiduel de façon structurée et traçable, exactement ce qu'attendent les auditeurs accrédités par ENAC comme Cyberzaintza.

Combien de mesures compte l'Annexe II de l'ENS et lesquelles sont obligatoires pour mon entreprise ?

L'Annexe II du RD 311/2022 regroupe 73 mesures réparties en trois cadres et seize familles : le cadre organisationnel (4 mesures), le cadre opérationnel — avec 7 familles et 33 mesures, dont la famille op.nub pour les services en nuage — et les mesures de protection — avec 8 familles et 36 mesures. Les mesures obligatoires pour votre entreprise dépendent de la catégorie du système (basique, moyen ou élevé) résultant de l'analyse d'impact sur les cinq dimensions CIDAT. Summum Sistemas réalise le diagnostic pour déterminer exactement le sous-ensemble applicable à votre cas.

En quoi consiste la famille op.nub de l'Annexe II et quand me concerne-t-elle en tant que fournisseur en Biscaye ?

La famille op.nub (opération en nuage) du cadre opérationnel régit les exigences de sécurité spécifiques aux services d'informatique en nuage. Elle s'applique dès lors que le système en périmètre utilise des services IaaS, PaaS ou SaaS dans son architecture. Ses mesures couvrent l'évaluation des fournisseurs cloud, la ségrégation des environnements, la gestion des accès dans l'environnement cloud et la chaîne d'approvisionnement des services cloud. Si vous fournissez des services sur une infrastructure cloud publique à la Mairie de Bilbao, à la Diputación Foral de Bizkaia ou au Gouvernement basque, cette famille doit être explicitement traitée dans votre analyse de risques et votre plan de mise en conformité.

Summum Sistemas délivre-t-il la certification ou la déclaration de conformité ENS ?

Non. Pour les systèmes de catégorie basique, la déclaration de conformité est délivrée par l'organisation elle-même, en autoévaluation, conformément à la CCN-STIC 809. Pour les systèmes de catégorie moyenne ou élevée, la certification est délivrée par un organisme d'inspection accrédité par ENAC ou, pour le secteur public basque, elle peut être instruite par Cyberzaintza en tant qu'Organe d'Audit Technique reconnu par le CCN. Summum Sistemas ne délivre aucun certificat : nous mettons en œuvre les mesures techniques de l'Annexe II, nous produisons le dossier de preuves et nous préparons vos systèmes à réussir ce processus de conformité avec toutes les garanties.