Le Décret Royal 311/2022, du 3 mai, qui instaure l'Esquema Nacional de Seguridad (ENS), n'est pas une réglementation exclusive au secteur public : son article 2 étend l'obligation de mise en conformité aux systèmes d'information des entités privées qui fournissent des services ou des solutions à des organismes publics eux-mêmes soumis à l'ENS. À Málaga, cela signifie que toute entreprise fournissant la Junta de Andalucía, la Diputación Provincial de Málaga, l'Ayuntamiento de Málaga ou l'Universidad de Málaga (UMA) doit mettre ses systèmes en conformité avant de pouvoir opérer ou soumissionner. La disposition transitoire du RD 311/2022 a fixé au 5 mai 2024 la date limite pour les systèmes déjà en service ; passé ce délai, opérer sans conformité constitue un manquement pouvant bloquer l'accès aux marchés publics.
Summum Sistemas aborde la mise en conformité ENS depuis son domaine propre : la mise en œuvre technique des mesures de sécurité de l'Annexe II du RD 311/2022. Cette annexe regroupe 73 mesures réparties en trois cadres — cadre organisationnel, cadre opérationnel et mesures de protection — et seize familles, dont sept relèvent du bloc opérationnel, qui comprend la famille op.nub dédiée aux services en nuage. Rédiger des politiques ne suffit pas : il faut configurer les systèmes, durcir les services, déployer la supervision, gérer les vulnérabilités et produire des preuves démontrant que chaque mesure est effectivement appliquée et vérifiable. La famille op.nub est particulièrement pertinente à Málaga, en raison de la concentration de fournisseurs SaaS et IaaS installés au Parque Tecnológico de Andalucía qui servent des organismes publics andalous.
L'analyse des risques est au cœur du processus. L'ENS exige que la sélection et la proportionnalité des mesures de sécurité s'appuient sur une analyse formelle des risques auxquels sont exposés les systèmes concernés. Summum Sistemas utilise la méthodologie MAGERIT — la référence officielle du CCN pour l'analyse des risques dans le contexte de l'Administration publique espagnole — et l'appuie sur l'outil PILAR du CCN, qui permet de modéliser de façon structurée les actifs, les menaces, les vulnérabilités et les impacts, et de générer les rapports attendus par les auditeurs de conformité. Pour évaluer le niveau de mise en œuvre des mesures, nous utilisons également INES (Informe Nacional del Estado de Seguridad), l'outil d'auto-évaluation du CCN qui fournit un tableau de maturité par famille et par mesure. Le résultat est une analyse technique rigoureuse, référencée à la réglementation et présentable à toute entité accréditée par l'ENAC.