Sector público

Mise en conformité technique à l'ENS à Madrid pour les fournisseurs de l'Administration

Si votre entreprise fournit des services technologiques à la Comunidad de Madrid, à l'Ayuntamiento de Madrid, à des organismes de l'Administration générale de l'État basés dans la capitale, ou à des universités publiques comme l'Universidad Complutense de Madrid, le Schéma National de Sécurité espagnol — l'Esquema Nacional de Seguridad, instauré par le RD 311/2022 (BOE-A-2022-7191) — vous impose d'aligner vos systèmes d'information sur ses exigences techniques. Ce n'est pas une simple formalité : l'agence de cybersécurité de la Comunidad de Madrid a elle-même été reconnue par le Centre Cryptologique National (CCN) comme Organisme d'Audit Technique de l'ENS, et l'Ayuntamiento de Madrid certifie déjà la conformité de ses propres systèmes — Sede Electrónica et Portail du Contribuable, catégorie MOYENNE — au regard du même schéma qui s'impose à vous en tant que fournisseur. Summum Sistemas vous accompagne dans ce processus sous l'angle opérationnel : analyse des risques selon la méthodologie MAGERIT, modélisation des menaces avec l'outil PILAR du CCN, mise en œuvre des 73 mesures techniques de l'Annexe II et constitution du dossier de preuves nécessaire à votre déclaration ou certification de conformité. Des offres plus solides, une sécurité réelle dans vos systèmes.

RéglementationRD 311/2022 · BOE-A-2022-7191
PérimètreFournisseurs TIC de la Comunidad de Madrid, de l'Ayuntamiento et d'organismes de l'État
ApprocheMise en conformité technique · MAGERIT · PILAR · INES · Annexe II

Le Real Decreto 311/2022, du 3 mai, qui approuve l'Esquema Nacional de Seguridad (ENS), n'est pas une norme réservée aux organismes publics : son article 2 étend l'obligation de conformité aux systèmes d'information des entités privées qui fournissent des services ou des solutions à des entités du secteur public elles-mêmes soumises à l'ENS. Madrid concentre sur son territoire municipal et son aire métropolitaine le siège de la Comunidad de Madrid, de l'Ayuntamiento de Madrid, de la plupart des ministères et organismes de l'Administration générale de l'État, ainsi que plusieurs universités publiques — dont l'Universidad Complutense de Madrid, qui maintient depuis 2023 son propre plan de mise en conformité à l'ENS —, ce qui fait de la capitale le plus grand pôle de commande publique technologique du pays. Toute entreprise qui fournit des services numériques, livre des logiciels ou exploite des systèmes en contact avec ceux de ces institutions doit mettre ses systèmes en conformité avant de pouvoir opérer ou soumissionner à des marchés publics. La disposition transitoire unique du RD 311/2022 a fixé au 5 mai 2024 la date limite pour les systèmes déjà en exploitation ; à compter de cette date, opérer sans conformité constitue un manquement susceptible de bloquer l'accès à la commande publique.

Summum Sistemas aborde la mise en conformité ENS depuis son domaine propre : la mise en œuvre technique des mesures de sécurité de l'Annexe II du RD 311/2022. Cette annexe regroupe 73 mesures réparties en trois cadres — cadre organisationnel, cadre opérationnel et mesures de protection — et seize familles, dont sept relèvent du bloc opérationnel, qui comprend la famille op.nub dédiée aux services en nuage, particulièrement pertinente pour les fournisseurs SaaS opérant dans l'écosystème public madrilène. Rédiger des politiques ne suffit pas : il faut configurer les systèmes, durcir les services, déployer la supervision, gérer les vulnérabilités et produire des preuves démontrant que chaque mesure est effectivement appliquée et vérifiable.

L'analyse des risques est le socle du processus. L'ENS exige que la sélection et la proportionnalité des mesures de sécurité reposent sur une analyse formelle des risques auxquels les systèmes en périmètre sont exposés. Summum Sistemas utilise la méthodologie MAGERIT — la référence officielle du CCN pour l'analyse des risques dans le contexte de l'Administration publique espagnole — en s'appuyant sur l'outil PILAR du CCN, qui permet de modéliser actifs, menaces, vulnérabilités et impacts de façon structurée et de générer les rapports que les auditeurs de conformité s'attendent à trouver. Pour évaluer le niveau d'implantation actuel des mesures, nous utilisons également INES (Informe Nacional del Estado de Seguridad), l'outil d'autoévaluation du CCN qui fournit un tableau de maturité par famille et par mesure. Le résultat est une analyse techniquement rigoureuse, référencée à la norme et présentable devant tout organisme d'inspection accrédité par ENAC.

Le processus Mise en conformité technique à l'ENS à Madrid pour les fournisseurs de l'Administration.

Le processus · quatre étapes
01

Inventaire des actifs et détermination de la catégorie ENS

Nous dressons l'inventaire des actifs d'information — matériel, logiciel, données, services et communications — qui entrent dans le périmètre ENS de votre organisation. À partir de cet inventaire, nous évaluons l'impact qu'un incident de sécurité aurait sur les cinq dimensions CIDAT (confidentialité, intégrité, disponibilité, authenticité et traçabilité) pour chaque service fourni à la Comunidad de Madrid, à l'Ayuntamiento de Madrid ou à des organismes de l'État, et nous déterminons la catégorie du système — basique, moyen ou élevé — conformément à l'Annexe I du RD 311/2022. Cette catégorie est le point de départ qui définit quelles mesures de l'Annexe II sont obligatoires et quelle voie de conformité vous devez suivre.

02

Analyse des risques avec MAGERIT et modélisation avec PILAR

Nous conduisons l'analyse des risques selon la méthodologie MAGERIT v3 : identification des actifs, cartographie des dépendances, menaces applicables issues du catalogue MAGERIT, évaluation de la fréquence et de l'impact, calcul du risque résiduel après application des sauvegardes. La modélisation est réalisée avec l'outil PILAR du CCN, qui génère un rapport structuré sur les actifs, les menaces et les risques, utilisable directement comme preuve technique dans le processus de conformité ENS. Le résultat constitue la base objective à partir de laquelle les mesures de l'Annexe II sont sélectionnées et hiérarchisées.

03

Évaluation de la maturité avec INES et cartographie des écarts techniques

Nous appliquons le questionnaire INES (Informe Nacional del Estado de Seguridad) pour évaluer le niveau d'implantation actuel de chacune des 73 mesures de l'Annexe II dans les familles correspondant à la catégorie assignée. Le résultat est une carte de maturité par famille — de L0 (inexistant) à L5 (optimisé) — et une liste priorisée d'écarts techniques à combler avant l'audit de conformité, avec estimation de l'effort et des dépendances entre mesures. Vous savez exactement où vous en êtes et ce qu'il reste à faire, sans raccourcis et sans sur-ingénierie.

04

Mise en œuvre technique des mesures de l'Annexe II

Nous mettons en œuvre les mesures techniques en attente : durcissement des systèmes d'exploitation et des services conformément aux guides CCN-STIC pertinents (511, 570, 610 et guides spécifiques éditeur), configuration des mécanismes de contrôle d'accès et d'authentification renforcée, déploiement des systèmes d'enregistrement et de supervision des événements de sécurité, gestion des vulnérabilités avec cycle de correctifs documenté, chiffrement des communications et du stockage, et configuration des sauvegardes conformément à la mesure mp.info.9 de l'Annexe II. Pour les services en nuage, nous traitons les mesures de la famille op.nub : évaluation du fournisseur cloud, gestion de la chaîne d'approvisionnement et contrôles d'accès spécifiques à l'environnement cloud, particulièrement pertinents pour les fournisseurs SaaS au service de l'Administration basée à Madrid.

Ce qui est inclus

Ce qu'inclut Mise en conformité technique à l'ENS à Madrid pour les fournisseurs de l'Administration.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Rapport d'analyse des risques MAGERIT avec PILAR

    Analyse formelle des risques selon MAGERIT v3, réalisée avec l'outil PILAR du CCN : inventaire des actifs, arbre de dépendances, évaluation des menaces et des impacts, calcul du risque résiduel. Présentable comme preuve technique devant les auditeurs de conformité ENS.

  • Évaluation de maturité INES par famille de mesures

    Rapport d'état d'implantation des mesures de l'Annexe II généré avec l'outil INES du CCN, avec niveau de maturité par famille (L0-L5) et carte des écarts priorisés à combler avant l'audit de conformité.

  • Durcissement technique documenté par système

    Application des guides CCN-STIC pertinents à chaque système d'exploitation, service et composant en périmètre : configuration de sécurité, suppression des services inutiles, gestion des privilèges minimaux et preuve de chaque modification appliquée avec enregistrement de la version et de la date.

  • Déploiement de la supervision et de la gestion des événements de sécurité

    Configuration des mécanismes de journalisation, de corrélation et d'alerte des événements de sécurité conformément aux mesures op.mon et op.exp de l'Annexe II : sources de journaux, conservation, alertes sur événements critiques et procédure de réponse aux incidents techniques documentée.

  • Plan et preuves de gestion des vulnérabilités

    Cycle documenté d'identification, d'évaluation, de priorisation et de remédiation des vulnérabilités techniques : analyses périodiques, critères de priorisation par criticité et catégorie ENS, enregistrements des correctifs appliqués et validation de clôture. Couvre la mesure op.exp.3 de l'Annexe II.

  • Dossier complet de preuves pour la conformité

    Ensemble structuré de toute la documentation technique requise pour la déclaration de conformité (catégorie basique, selon CCN-STIC 809) ou pour l'audit par un organisme accrédité ENAC (catégorie moyenne ou élevée) : rapports, captures, journaux, comptes rendus et procédures indexés par famille de mesures.

Questions fréquentes sur Mise en conformité technique à l'ENS à Madrid pour les fournisseurs de l'Administration.

Pourquoi dois-je me conformer à l'ENS si je suis fournisseur de la Comunidad de Madrid ou de l'Ayuntamiento de Madrid ?

L'article 2 du RD 311/2022 étend l'obligation ENS aux systèmes d'information des entités privées qui fournissent des services à des organismes publics eux-mêmes soumis à l'ENS. La Comunidad de Madrid et l'Ayuntamiento de Madrid sont soumis à l'ENS en tant qu'administrations publiques : l'agence de cybersécurité de la Comunidad de Madrid a d'ailleurs été reconnue par le CCN comme Organisme d'Audit Technique de l'ENS, et l'Ayuntamiento de Madrid certifie déjà ses propres systèmes (Sede Electrónica, Portail du Contribuable) en catégorie MOYENNE. Si vos systèmes d'information interagissent avec les leurs — parce que vous leur fournissez un service, un logiciel ou que vous traitez des données pour leur compte — la conformité à l'ENS est obligatoire et peut être exigée dans les cahiers des charges des marchés publics.

L'ENS concerne-t-il aussi les fournisseurs d'organismes de l'État et des universités publiques madrilènes ?

Oui. Les ministères et organismes de l'Administration générale de l'État basés à Madrid, ainsi que les universités publiques de la capitale — comme l'Universidad Complutense de Madrid, qui maintient depuis 2023 son propre plan de mise en conformité à l'ENS — sont des entités du secteur public soumises au Schéma. Leurs marchés de services numériques, de développement logiciel, de maintenance de systèmes ou de traitement de données entraînent l'obligation de conformité ENS pour leurs fournisseurs privés.

Qu'est-ce que MAGERIT et pourquoi l'ENS l'exige-t-il ?

MAGERIT est la Méthodologie d'Analyse et de Gestion des Risques des Systèmes d'Information (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) élaborée par le CCN. L'ENS exige que la sélection et l'application des mesures de l'Annexe II reposent sur une analyse formelle des risques proportionnée à la catégorie du système. MAGERIT est la méthodologie de référence du CCN pour cette analyse dans le contexte de l'Administration publique espagnole : elle permet d'identifier les actifs, de modéliser les menaces et de calculer le risque résiduel de façon structurée et traçable. Les auditeurs de conformité ENS connaissent cette méthodologie et s'attendent à la trouver documentée dans les preuves d'analyse des risques.

Qu'est-ce que PILAR et quelle est sa contribution au processus de mise en conformité ?

PILAR est l'outil d'analyse des risques développé par le CCN qui implémente la méthodologie MAGERIT. Il permet de modéliser les actifs du système, leurs dépendances, les menaces applicables du catalogue MAGERIT et les sauvegardes mises en place, et génère des rapports structurés sur les risques et la maturité. Son utilisation dans le processus de conformité ENS est très appréciée des auditeurs car elle apporte traçabilité et objectivité : les résultats sont reproductibles, comparables d'une période à l'autre et directement présentables comme preuve technique lors de l'audit.

Combien de mesures contient l'Annexe II de l'ENS et lesquelles s'appliquent à mon entreprise ?

L'Annexe II du RD 311/2022 regroupe 73 mesures réparties en trois cadres et seize familles : le cadre organisationnel (4 mesures), le cadre opérationnel — avec 7 familles et 33 mesures, dont la famille op.nub pour les services en nuage — et le cadre des mesures de protection — avec 8 familles et 36 mesures. Les mesures obligatoires pour votre entreprise dépendent de la catégorie du système (basique, moyen ou élevé) qui résulte de l'analyse d'impact sur les cinq dimensions CIDAT. Summum Sistemas réalise le diagnostic pour déterminer exactement le sous-ensemble applicable à votre situation.

Summum Sistemas émet-il la certification ou la déclaration de conformité ENS ?

Non. Pour les systèmes de catégorie basique, la déclaration de conformité est émise par l'organisation elle-même dans le cadre d'un processus d'autoévaluation, conformément à la CCN-STIC 809 — la même logique déjà appliquée par l'Ayuntamiento de Madrid pour certains de ses systèmes, bien que dans son cas via une certification complète en catégorie MOYENNE. Pour les systèmes de catégorie moyenne ou élevée, la certification de conformité doit être délivrée par un organisme d'inspection accrédité par ENAC selon la norme UNE-EN ISO/IEC 17065. Summum Sistemas n'émet aucun certificat de conformité — c'est la compétence exclusive des organismes accrédités par ENAC. Ce que nous faisons, c'est mettre en œuvre les mesures techniques de l'Annexe II, constituer le dossier de preuves et préparer vos systèmes pour qu'ils passent ce processus de conformité dans les meilleures conditions possibles.