Ciberseguridad y cumplimiento

Mise en conformité technique ENS à Las Palmas de Gran Canaria pour les fournisseurs de l'Administration

Si votre entreprise fournit des services technologiques au Gobierno de Canarias, au Cabildo de Gran Canaria, à l'Ayuntamiento de Las Palmas de Gran Canaria ou à l'Université de Las Palmas de Gran Canaria (ULPGC), l'Esquema Nacional de Seguridad (RD 311/2022, BOE-A-2022-7191) impose que vos systèmes d'information soient techniquement conformes. Summum Sistemas vous accompagne sur le plan opérationnel : analyse de risques selon la méthodologie MAGERIT, modélisation des menaces avec l'outil PILAR du Centro Criptológico Nacional, déploiement des 75 mesures de l'Annexe II et constitution du dossier de preuves techniques pour votre déclaration ou certification de conformité. Conformité réelle, offres de marché public plus solides aux Îles Canaries.

RéglementationRD 311/2022 · BOE-A-2022-7191
PérimètreFournisseurs TIC de l'Administration à Las Palmas de Gran Canaria
ApprocheDéploiement technique · MAGERIT · PILAR · INES · Annexe II

Le Real Decreto 311/2022 du 3 mai, portant approbation de l'Esquema Nacional de Seguridad, dépasse largement le cadre du secteur public : son article 2 rend la mise en conformité obligatoire pour les systèmes d'information des entités privées qui fournissent des services ou des solutions technologiques à toute entité du secteur public soumise à l'ENS. Dans l'environnement de Las Palmas de Gran Canaria, cela concerne les fournisseurs du Gobierno de Canarias — dont la direction de l'administration publique pilote la transformation numérique régionale —, du Cabildo de Gran Canaria, de l'Ayuntamiento de Las Palmas de Gran Canaria et de l'Universidad de Las Palmas de Gran Canaria (ULPGC). Si vos systèmes d'information entrent en contact avec ceux de l'une de ces entités — parce que vous leur fournissez un service géré, un logiciel, ou que vous traitez des données de citoyens pour leur compte —, la mise en conformité avec l'ENS est une obligation légale. La disposition transitoire unique du RD 311/2022 a fixé au 5 mai 2024 la date limite pour les systèmes préexistants ; depuis lors, opérer sans conformité constitue un manquement susceptible de bloquer l'accès aux marchés publics.

Summum Sistemas aborde la mise en conformité à l'ENS sous l'angle technique et opérationnel : le déploiement effectif des mesures de sécurité de l'Annexe II du RD 311/2022. Cette annexe regroupe 75 mesures en trois cadres et seize familles. Le cadre organisationnel couvre la politique de sécurité, la réglementation et les procédures internes, le processus d'autorisation et l'acquisition de nouveaux composants. Le cadre opérationnel, avec ses sept familles — planification (op.pl), contrôle d'accès (op.acc), exploitation (op.exp), services externes (op.ext), gestion des incidents (op.mon), continuité de service (op.cont) et exploitation dans le nuage (op.nub) — regroupe les 33 mesures les plus exigeantes sur le plan technique, notamment celles spécifiques aux environnements cloud (op.nub), particulièrement pertinentes dans un marché comme celui de Gran Canaria où de nombreuses entreprises TIC s'appuient sur une infrastructure cloud publique pour servir des clients du secteur public. Les mesures de protection, réparties en neuf familles, couvrent les installations et l'environnement physique, la gestion du personnel, la protection des postes de travail, des communications, des supports d'information, des applications informatiques, de l'information et des services.

L'analyse de risques avec la méthodologie MAGERIT et l'outil PILAR du Centro Criptológico Nacional constitue le cœur technique du processus de conformité. MAGERIT permet d'identifier tous les actifs du système d'information — matériel, logiciel, données, services, communications et installations —, de cartographier leurs dépendances et de calculer l'impact que chaque menace matérialisée aurait sur les cinq dimensions de sécurité CIDAT : confidentialité, intégrité, disponibilité, authenticité et traçabilité. L'outil PILAR, développé et distribué par le CCN, met en œuvre cette méthodologie dans un environnement guidé qui génère des rapports directement utilisables comme preuves techniques devant les auditeurs de conformité. Parallèlement à PILAR, le CCN met à disposition l'outil INES (Índice Nacional de Evaluación de la Seguridad), qui évalue le niveau de maturité de déploiement de chaque mesure de l'Annexe II et produit le tableau de bord qui accompagne la déclaration de conformité ou prépare l'audit par un organisme accrédité ENAC.

Le processus Mise en conformité technique ENS à Las Palmas de Gran Canaria pour les fournisseurs de l'Administration.

Le processus · quatre étapes
01

Inventaire des actifs et détermination de la catégorie ENS

Nous établissons l'inventaire des actifs informationnels — matériel, logiciel, données, services et communications — entrant dans le périmètre ENS de votre organisation, en tenant compte de vos contrats de prestation de services avec le Gobierno de Canarias, le Cabildo de Gran Canaria, l'Ayuntamiento de Las Palmas de Gran Canaria ou l'ULPGC. À partir de cet inventaire, nous évaluons l'impact qu'un incident de sécurité aurait sur les cinq dimensions CIDAT pour chaque service en périmètre et déterminons la catégorie du système — basique, moyen ou élevé — conformément à l'Annexe I du RD 311/2022. La catégorie définit les mesures obligatoires de l'Annexe II et la voie de conformité applicable : déclaration auto-évaluée (basique) ou certification par un organisme accrédité ENAC (moyen ou élevé).

02

Analyse de risques avec MAGERIT et modélisation avec PILAR

Nous réalisons l'analyse complète des risques selon la méthodologie MAGERIT v3 : identification et valorisation des actifs, arbre de dépendances, sélection des menaces dans le catalogue MAGERIT, estimation de la fréquence et de l'impact, calcul du risque intrinsèque et du risque résiduel après application des sauvegardes. La modélisation est effectuée avec l'outil PILAR du CCN, qui génère un rapport structuré d'actifs, de menaces et de risques directement présentable comme preuve technique aux auditeurs de conformité. L'analyse de risques justifie la sélection proportionnelle des mesures de l'Annexe II et constitue le document le plus scruté lors du processus de conformité ENS.

03

Évaluation de maturité avec INES et cartographie des lacunes techniques

Nous appliquons le questionnaire INES du CCN pour évaluer le niveau de déploiement actuel de chaque mesure de l'Annexe II correspondant à la catégorie assignée au système. Le résultat est une cartographie de maturité par famille de mesures — de L0 (inexistant) à L5 (optimisé) — et une liste priorisée de lacunes techniques avec estimation d'effort et interdépendances. Ce diagnostic précis évite le sur-déploiement de mesures ne correspondant pas à la catégorie assignée et concentre les ressources sur les contrôles réduisant le plus efficacement les risques réels.

04

Déploiement technique des mesures de l'Annexe II

Nous exécutons le déploiement des contrôles techniques en suspens : durcissement (hardening) des systèmes d'exploitation et des services conformément aux guides CCN-STIC (511, 570, 610 et guides spécifiques au fabricant), configuration des mécanismes de contrôle d'accès et d'authentification renforcée, déploiement de systèmes de journalisation et de surveillance des événements de sécurité, gestion des vulnérabilités avec cycle de mise à jour documenté, chiffrement des communications et des données au repos, et configuration de sauvegardes vérifiées conformément à la mesure mp.info.9. Pour les architectures cloud — courantes dans le tissu TIC de Gran Canaria — nous traitons spécifiquement les mesures de la famille op.nub : évaluation du prestataire cloud, contrôles d'accès en environnement cloud et gestion de la chaîne d'approvisionnement cloud.

Ce qui est inclus

Ce qu'inclut Mise en conformité technique ENS à Las Palmas de Gran Canaria pour les fournisseurs de l'Administration.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Rapport d'analyse de risques MAGERIT avec PILAR

    Analyse formelle de risques conforme à MAGERIT v3, réalisée avec l'outil PILAR du CCN : inventaire des actifs, arbre de dépendances, évaluation des menaces et des impacts sur les dimensions CIDAT, et calcul du risque résiduel. Présentable comme preuve technique aux auditeurs de conformité ENS.

  • Évaluation de maturité INES par famille de mesures

    Rapport d'état de déploiement des mesures de l'Annexe II généré avec l'outil INES du CCN, avec niveau de maturité par famille (L0–L5) et cartographie priorisée des lacunes à combler avant l'audit de conformité. Inclut la famille cloud (op.nub), pertinente pour les architectures à base de services cloud.

  • Durcissement technique documenté par système

    Application des guides CCN-STIC à chaque système d'exploitation, service et composant en périmètre : configuration de sécurité, suppression des services inutiles, gestion des privilèges minimaux et enregistrement de chaque modification avec version et date. Couvre serveurs, postes de travail et composants réseau en périmètre.

  • Déploiement de la surveillance et gestion des événements de sécurité

    Configuration des mécanismes de journalisation, corrélation et alertes d'événements de sécurité conformément aux mesures op.mon et op.exp de l'Annexe II : sources de journaux, politique de conservation, alertes sur événements critiques et procédure de réponse aux incidents techniques documentée et vérifiable.

  • Plan et preuves de gestion des vulnérabilités

    Cycle documenté d'identification, d'évaluation, de priorisation et de remédiation des vulnérabilités techniques : analyses périodiques, critères de priorisation par criticité et catégorie ENS, registres de correctifs appliqués et validation de clôture. Couvre la mesure op.exp.3 de l'Annexe II.

  • Dossier complet de preuves pour la conformité

    Ensemble structuré de la documentation technique requise pour la déclaration de conformité (catégorie basique, CCN-STIC 809) ou pour l'audit par un organisme accrédité ENAC (catégorie moyenne ou élevée) : rapports, captures, journaux, procès-verbaux et procédures classés par famille de mesures de l'Annexe II.

Cluster Summum

Comment il se connecte aux sœurs.

Le déploiement technique des mesures de l'Annexe II réalisé par Summum Sistemas se coordonne avec le travail documentaire et réglementaire géré par Summum Calidad : catégorisation du système, Déclaration d'Applicabilité intégrée avec ISO 27001, politique de sécurité et accompagnement tout au long du processus de déclaration ou de certification de conformité. Deux équipes, un projet coordonné unique, couverture complète de l'ENS pour les fournisseurs du secteur public des Îles Canaries.

Questions fréquentes sur Mise en conformité technique ENS à Las Palmas de Gran Canaria pour les fournisseurs de l'Administration.

Pourquoi dois-je me conformer à l'ENS si je suis fournisseur du Gobierno de Canarias ou du Cabildo de Gran Canaria ?

L'article 2 du RD 311/2022 étend l'obligation ENS aux systèmes d'information des entités privées qui fournissent des services à des entités du secteur public elles-mêmes soumises à l'ENS. Le Gobierno de Canarias, le Cabildo de Gran Canaria, l'Ayuntamiento de Las Palmas de Gran Canaria et l'ULPGC sont toutes des administrations publiques soumises à l'ENS. Si vos systèmes d'information entrent en contact avec ceux de l'une de ces entités — parce que vous leur fournissez un service, un logiciel ou que vous traitez des données de citoyens pour leur compte —, la conformité à l'ENS est obligatoire et peut être exigée dans les cahiers des charges des marchés publics. La disposition transitoire unique du RD 311/2022 a fixé au 5 mai 2024 la date limite pour les systèmes préexistants.

Quels organismes publics de Las Palmas de Gran Canaria exigent la conformité ENS de leurs fournisseurs ?

Toute entité du secteur public soumise à l'ENS peut exiger la conformité de ses fournisseurs TIC. À Las Palmas de Gran Canaria, les principaux donneurs d'ordre sont le Gobierno de Canarias (et ses conseillerias, dont la Consejería de Administración Pública, Justicia y Seguridad), le Cabildo de Gran Canaria, l'Ayuntamiento de Las Palmas de Gran Canaria et l'Universidad de Las Palmas de Gran Canaria (ULPGC). Les organismes autonomes et entités instrumentales de ces institutions qui gèrent leurs propres systèmes d'information sont également concernés. L'ENS ne fait aucune distinction entre le territoire péninsulaire et l'archipel : les exigences techniques sont identiques aux Canaries et dans le reste du pays.

La mise en conformité ENS aux Îles Canaries présente-t-elle des spécificités par rapport au reste de l'Espagne ?

Sur le plan réglementaire, l'ENS est identique sur l'ensemble du territoire national, y compris l'archipel canarien. Le RD 311/2022 n'établit aucune exception territoriale ni régime particulier pour les Canaries. Cependant, le contexte économique présente des particularités pertinentes pour la contractualisation : les entreprises domiciliées aux Canaries sont soumises à l'Impuesto General Indirecto Canario (IGIC) au lieu de la TVA, ce qui influe sur la structure des coûts des projets de mise en conformité mais pas sur les exigences techniques de l'ENS. L'IGIC ne modifie ni l'obligation de se conformer, ni la façon dont les preuves sont documentées, ni la manière dont la conformité est démontrée aux auditeurs.

Qu'est-ce que MAGERIT et pourquoi est-ce la méthodologie de référence pour l'ENS ?

MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) est la méthodologie d'analyse des risques élaborée par le CCN et maintenue par le Ministère des Finances et de la Fonction Publique espagnol. L'ENS exige que la sélection des mesures de l'Annexe II repose sur une analyse formelle des risques proportionnée à la catégorie du système. MAGERIT est la méthodologie de référence du CCN pour cette analyse dans le contexte de l'administration espagnole : elle permet d'identifier les actifs, de modéliser les menaces du catalogue officiel et de calculer le risque résiduel de manière structurée et traçable. Les auditeurs de conformité ENS connaissent ses rapports, ce qui facilite le processus de déclaration ou de certification.

Combien de mesures compte l'Annexe II de l'ENS et lesquelles s'appliquent à mon entreprise ?

L'Annexe II du RD 311/2022 contient 75 mesures réparties en trois cadres et seize familles : le cadre organisationnel (4 mesures), le cadre opérationnel avec 7 familles et 33 mesures — dont la famille op.nub pour les services cloud, particulièrement pertinente pour les entreprises TIC utilisant une infrastructure cloud — et les mesures de protection avec 9 familles et 38 mesures. Les mesures obligatoires pour votre entreprise dépendent de la catégorie du système (basique, moyen ou élevé) qui résulte de l'analyse d'impact CIDAT. Summum Sistemas réalise le diagnostic initial qui détermine précisément le sous-ensemble applicable à votre cas, évitant aussi bien le sur-déploiement inutile que les lacunes susceptibles de générer des non-conformités.

Summum Sistemas délivre-t-il la certification ou la déclaration de conformité ENS ?

Non. Pour les systèmes de catégorie basique, la déclaration de conformité est émise par l'organisation elle-même par voie d'auto-évaluation conformément à la procédure de la CCN-STIC 809. Pour les systèmes de catégorie moyenne ou élevée, la certification de conformité est délivrée par un organisme d'inspection accrédité par ENAC conformément à la norme UNE-EN ISO/IEC 17065. Summum Sistemas n'émet aucun certificat de conformité — c'est la compétence exclusive des organismes accrédités ENAC. Ce que nous faisons, c'est déployer techniquement les mesures de l'Annexe II, réaliser l'analyse de risques MAGERIT avec PILAR, évaluer l'état de déploiement avec INES et constituer le dossier de preuves dont vos systèmes ont besoin pour réussir ce processus avec les meilleures garanties possibles.