Sector público

Mise en conformité technique à l'ENS à Málaga pour les fournisseurs de l'Administration

Si votre entreprise fournit des services technologiques à la Junta de Andalucía, à la Diputación Provincial de Málaga, à l'Ayuntamiento de Málaga ou à l'Universidad de Málaga (UMA), le Schéma National de Sécurité espagnol — l'Esquema Nacional de Seguridad, instauré par le RD 311/2022 (BOE-A-2022-7191) — vous impose de mettre vos systèmes d'information en conformité. La communauté dense d'entreprises TIC installées au Parque Tecnológico de Andalucía (PTA) qui travaille pour ces administrations partage la même obligation. Summum Sistemas vous accompagne dans ce processus depuis le plan opérationnel : analyse des risques selon la méthodologie MAGERIT, modélisation des menaces avec l'outil PILAR du CCN, mise en œuvre des 73 mesures techniques de l'Annexe II et constitution du dossier de preuves nécessaire à votre déclaration ou certification de conformité. Des offres plus solides, une sécurité réelle de vos systèmes.

RéglementationRD 311/2022 · BOE-A-2022-7191
PérimètreFournisseurs TIC du secteur public à Málaga
ApprocheMise en conformité technique · MAGERIT · PILAR · INES · Annexe II

Le Décret Royal 311/2022, du 3 mai, qui instaure l'Esquema Nacional de Seguridad (ENS), n'est pas une réglementation exclusive au secteur public : son article 2 étend l'obligation de mise en conformité aux systèmes d'information des entités privées qui fournissent des services ou des solutions à des organismes publics eux-mêmes soumis à l'ENS. À Málaga, cela signifie que toute entreprise fournissant la Junta de Andalucía, la Diputación Provincial de Málaga, l'Ayuntamiento de Málaga ou l'Universidad de Málaga (UMA) doit mettre ses systèmes en conformité avant de pouvoir opérer ou soumissionner. La disposition transitoire du RD 311/2022 a fixé au 5 mai 2024 la date limite pour les systèmes déjà en service ; passé ce délai, opérer sans conformité constitue un manquement pouvant bloquer l'accès aux marchés publics.

Summum Sistemas aborde la mise en conformité ENS depuis son domaine propre : la mise en œuvre technique des mesures de sécurité de l'Annexe II du RD 311/2022. Cette annexe regroupe 73 mesures réparties en trois cadres — cadre organisationnel, cadre opérationnel et mesures de protection — et seize familles, dont sept relèvent du bloc opérationnel, qui comprend la famille op.nub dédiée aux services en nuage. Rédiger des politiques ne suffit pas : il faut configurer les systèmes, durcir les services, déployer la supervision, gérer les vulnérabilités et produire des preuves démontrant que chaque mesure est effectivement appliquée et vérifiable. La famille op.nub est particulièrement pertinente à Málaga, en raison de la concentration de fournisseurs SaaS et IaaS installés au Parque Tecnológico de Andalucía qui servent des organismes publics andalous.

L'analyse des risques est au cœur du processus. L'ENS exige que la sélection et la proportionnalité des mesures de sécurité s'appuient sur une analyse formelle des risques auxquels sont exposés les systèmes concernés. Summum Sistemas utilise la méthodologie MAGERIT — la référence officielle du CCN pour l'analyse des risques dans le contexte de l'Administration publique espagnole — et l'appuie sur l'outil PILAR du CCN, qui permet de modéliser de façon structurée les actifs, les menaces, les vulnérabilités et les impacts, et de générer les rapports attendus par les auditeurs de conformité. Pour évaluer le niveau de mise en œuvre des mesures, nous utilisons également INES (Informe Nacional del Estado de Seguridad), l'outil d'auto-évaluation du CCN qui fournit un tableau de maturité par famille et par mesure. Le résultat est une analyse technique rigoureuse, référencée à la réglementation et présentable à toute entité accréditée par l'ENAC.

Le processus Mise en conformité technique à l'ENS à Málaga pour les fournisseurs de l'Administration.

Le processus · quatre étapes
01

Inventaire des actifs et détermination de la catégorie ENS

Nous dressons l'inventaire des actifs d'information — matériel, logiciel, données, services et communications — qui entrent dans le périmètre ENS de votre organisation, y compris les services en nuage que de nombreuses entreprises du Parque Tecnológico de Andalucía fournissent à la Junta de Andalucía et aux organismes publics malagueños. À partir de cet inventaire, nous évaluons l'impact qu'un incident de sécurité aurait sur les cinq dimensions CIDAT (confidentialité, intégrité, disponibilité, authenticité et traçabilité) pour chaque service fourni à l'Administration, et nous déterminons la catégorie du système — basique, moyen ou élevé — conformément à l'Annexe I du RD 311/2022. Cette catégorie est le point de départ qui définit quelles mesures de l'Annexe II sont obligatoires et quelle voie de conformité vous devez suivre.

02

Analyse des risques avec MAGERIT et modélisation avec PILAR

Nous conduisons l'analyse des risques selon la méthodologie MAGERIT v3 : identification des actifs, cartographie des dépendances, menaces applicables issues du catalogue MAGERIT, évaluation de la fréquence et de l'impact, calcul du risque résiduel après application des sauvegardes. La modélisation est réalisée avec l'outil PILAR du CCN, qui génère un rapport structuré sur les actifs, les menaces et les risques, utilisable directement comme preuve technique dans le processus de conformité ENS. Le résultat constitue la base objective à partir de laquelle les mesures de l'Annexe II sont sélectionnées et hiérarchisées.

03

Évaluation de la maturité avec INES et cartographie des écarts techniques

Nous appliquons le questionnaire INES (Informe Nacional del Estado de Seguridad) pour évaluer le niveau actuel de mise en œuvre de chacune des 73 mesures de l'Annexe II dans les familles correspondant à la catégorie assignée. Le résultat est une carte de maturité par famille — de L0 (inexistant) à L5 (optimisé) — et une liste hiérarchisée des écarts techniques à combler, avec estimation de l'effort et des dépendances entre mesures. Vous savez ainsi exactement où vous en êtes et ce qu'il reste à faire, sans raccourcis ni sur-implémentation.

04

Mise en œuvre technique des mesures de l'Annexe II

Nous mettons en œuvre les mesures techniques restantes : durcissement des systèmes d'exploitation et des services conformément aux guides CCN-STIC pertinents (511, 570, 610 et ceux propres au fabricant), configuration des mécanismes de contrôle d'accès et d'authentification renforcée, déploiement de systèmes de journalisation et de supervision des événements de sécurité, gestion des vulnérabilités avec un cycle de correctifs documenté, chiffrement des communications et du stockage, et configuration des sauvegardes conformément à la mesure mp.info.9 de l'Annexe II. Pour les entreprises du Parque Tecnológico de Andalucía opérant en mode cloud, nous travaillons en détail les mesures de la famille op.nub : évaluation du fournisseur, gestion de la chaîne d'approvisionnement et contrôles d'accès propres à l'environnement cloud.

Ce qui est inclus

Ce qu'inclut Mise en conformité technique à l'ENS à Málaga pour les fournisseurs de l'Administration.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Rapport d'analyse des risques MAGERIT avec PILAR

    Analyse formelle des risques selon MAGERIT v3, réalisée avec l'outil PILAR du CCN : inventaire des actifs, arbre des dépendances, évaluation des menaces et des impacts, calcul du risque résiduel. Document présentable comme preuve technique devant les auditeurs de conformité ENS.

  • Évaluation de maturité INES par famille de mesures

    Rapport d'état de mise en œuvre des mesures de l'Annexe II généré avec l'outil INES du CCN, avec niveau de maturité par famille (L0-L5) et carte des écarts hiérarchisée à combler avant l'audit de conformité.

  • Durcissement technique documenté par système

    Application des guides CCN-STIC pertinents à chaque système d'exploitation, service et composant concerné : configuration de sécurité, suppression des services superflus, gestion du moindre privilège et preuve de chaque changement appliqué avec version et date.

  • Déploiement de la supervision et de la gestion des événements

    Configuration des mécanismes de journalisation, de corrélation et d'alerte des événements de sécurité conformément aux mesures op.mon et op.exp de l'Annexe II : sources de journaux, rétention, alertes sur événements critiques et procédure documentée de réponse aux incidents techniques.

  • Plan et preuves de gestion des vulnérabilités

    Cycle documenté d'identification, d'évaluation, de hiérarchisation et de correction des vulnérabilités techniques : analyses périodiques, critères de priorisation par criticité et catégorie ENS, registres des correctifs appliqués et validation de clôture. Couvre la mesure op.exp.3 de l'Annexe II.

  • Contrôles techniques op.nub pour les fournisseurs cloud

    Évaluation de la sécurité du fournisseur cloud, ségrégation des environnements et contrôles d'accès propres à la famille op.nub de l'Annexe II, destinés aux entreprises SaaS/IaaS du Parque Tecnológico de Andalucía qui servent l'Administration.

Cluster Summum

Comment il se connecte aux sœurs.

La mise en œuvre technique des mesures de l'Annexe II se complète avec le volet documentaire et normatif géré par Summum Calidad : politique de sécurité, Déclaration d'Applicabilité intégrée à l'ISO 27001 et préparation de la déclaration ou de la certification de conformité. Les deux équipes travaillent de façon coordonnée sur un projet unique, sans doublons et avec un interlocuteur unique pour le client.

Questions fréquentes sur Mise en conformité technique à l'ENS à Málaga pour les fournisseurs de l'Administration.

Pourquoi dois-je me conformer à l'ENS si je suis fournisseur de la Junta de Andalucía ou de l'Ayuntamiento de Málaga ?

L'article 2 du RD 311/2022 étend l'obligation ENS aux systèmes d'information des entités privées qui fournissent des services à des organismes publics eux-mêmes soumis à l'ENS. La Junta de Andalucía, la Diputación Provincial de Málaga, l'Ayuntamiento de Málaga et l'Universidad de Málaga (UMA) sont toutes soumises à l'ENS en tant qu'administrations publiques. Si vos systèmes d'information interagissent avec les leurs — parce que vous leur fournissez un service, un logiciel ou que vous traitez des données pour leur compte — la conformité à l'ENS est obligatoire et peut être exigée dans les cahiers des charges des marchés publics.

Mon entreprise est installée au Parque Tecnológico de Andalucía et fournit un service SaaS. Qu'est-ce que cela implique pour l'ENS ?

Si votre service en nuage traite des informations ou soutient un organisme soumis à l'ENS, la famille op.nub de l'Annexe II s'applique : évaluation de la sécurité du fournisseur cloud, ségrégation des environnements, gestion des accès propre à l'environnement cloud et contrôle de la chaîne d'approvisionnement du service. Il s'agit d'un ensemble de mesures spécifique qui s'ajoute au reste de l'Annexe II et qui exige une analyse précise du modèle de responsabilité partagée entre votre entreprise et le fournisseur d'infrastructure cloud utilisé.

Qu'est-ce que MAGERIT et pourquoi l'ENS l'exige-t-il ?

MAGERIT est la Méthodologie d'Analyse et de Gestion des Risques des Systèmes d'Information (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) élaborée par le CCN. L'ENS exige que la sélection et l'application des mesures de l'Annexe II reposent sur une analyse formelle des risques proportionnée à la catégorie du système. MAGERIT est la méthodologie de référence du CCN pour cette analyse dans le contexte de l'Administration publique espagnole : elle permet d'identifier les actifs, de modéliser les menaces et de calculer le risque résiduel de façon structurée et traçable. Les auditeurs de conformité ENS connaissent cette méthodologie et s'attendent à la retrouver documentée dans l'analyse des risques.

Qu'est-ce que PILAR et quelle est sa contribution au processus de mise en conformité ?

PILAR est l'outil d'analyse des risques développé par le CCN qui implémente la méthodologie MAGERIT. Il permet de modéliser les actifs du système, leurs dépendances, les menaces applicables du catalogue MAGERIT et les sauvegardes mises en place, et génère des rapports structurés sur les risques et la maturité. Son utilisation dans le processus de conformité ENS est très appréciée des auditeurs car elle apporte traçabilité et objectivité : les résultats sont reproductibles, comparables d'une période à l'autre et directement présentables comme preuve technique lors de l'audit.

Combien de mesures compte l'Annexe II de l'ENS et lesquelles s'appliquent à mon entreprise ?

L'Annexe II du RD 311/2022 regroupe 73 mesures réparties en trois cadres et seize familles : le cadre organisationnel (4 mesures), le cadre opérationnel — avec 7 familles et 33 mesures, dont la famille op.nub pour les services en nuage — et les mesures de protection — avec 8 familles et 36 mesures. Les mesures obligatoires pour votre entreprise dépendent de la catégorie du système (basique, moyen ou élevé) résultant de l'analyse d'impact sur les cinq dimensions CIDAT. Summum Sistemas réalise le diagnostic pour déterminer précisément le sous-ensemble applicable à votre cas.

Summum Sistemas délivre-t-il la certification ou la déclaration de conformité ENS ?

Non. Pour les systèmes de catégorie basique, la déclaration de conformité est émise par l'organisation elle-même, de façon auto-évaluée, conformément à la CCN-STIC 809. Pour les systèmes de catégorie moyenne ou élevée, la certification de conformité doit être délivrée par une entité d'inspection accréditée par l'ENAC selon la norme UNE-EN ISO/IEC 17065. Summum Sistemas n'émet aucun certificat de conformité — cela relève exclusivement des entités accréditées par l'ENAC. Notre rôle est de mettre en œuvre les mesures techniques de l'Annexe II, de produire le dossier de preuves et de préparer vos systèmes à réussir ce processus de conformité avec les meilleures garanties.