Sector público

Mise en conformité technique à l'ENS à Séville pour les fournisseurs de l'Administration

Séville accueille le siège de la Présidence de la Junta de Andalucía au Palacio de San Telmo, aux côtés de la Diputación de Sevilla, de l'Ayuntamiento de Sevilla, de l'Universidad de Sevilla et de l'Universidad Pablo de Olavide. Ces cinq entités relèvent du secteur public et sont soumises au Schéma National de Sécurité espagnol ; le RD 311/2022 (BOE-A-2022-7191) étend cette obligation à toute entreprise qui leur fournit des services technologiques ou des solutions en contact avec leurs systèmes. Summum Sistemas met en œuvre techniquement les 73 mesures de l'Annexe II : analyse des risques selon la méthodologie MAGERIT, modélisation avec l'outil PILAR du CCN, durcissement des systèmes et constitution du dossier de preuves qui soutient votre déclaration ou certification de conformité. De l'ingénierie appliquée, pas de la paperasse.

RéglementationRD 311/2022 · BOE-A-2022-7191
PérimètreFournisseurs TIC du secteur public à Séville
ApprocheMise en conformité technique · MAGERIT · PILAR · INES · Annexe II

L'article 2 du RD 311/2022 ne laisse aucune place à l'interprétation : l'Esquema Nacional de Seguridad (ENS) s'applique aussi aux entités privées dès lors que leurs systèmes d'information fournissent des services à des organismes du secteur public eux-mêmes soumis à l'ENS, ou traitent des données pour leur compte. À Séville, cela concerne les fournisseurs de la Junta de Andalucía — dont la Présidence a son siège au Palacio de San Telmo —, de la Diputación de Sevilla, de l'Ayuntamiento de Sevilla, de l'Universidad de Sevilla et de l'Universidad Pablo de Olavide. La disposition transitoire unique a fixé au 5 mai 2024 la date limite de mise en conformité pour les systèmes déjà en exploitation ; les nouveaux systèmes doivent être conformes dès leur mise en production, et l'absence de conformité peut exclure une entreprise des marchés publics de l'un quelconque de ces organismes.

Summum Sistemas prend en charge le volet qui lui est propre : la mise en œuvre technique réelle des mesures de sécurité de l'Annexe II du RD 311/2022. Cette annexe organise 73 mesures en trois cadres — organisationnel, opérationnel et de protection — répartis en 16 familles, dont sept relèvent du bloc opérationnel, qui comprend la famille op.nub pour les services en nuage, particulièrement pertinente pour les fournisseurs SaaS qui servent des organismes andalous via une infrastructure cloud. Rédiger une politique de sécurité ne suffit pas : il faut configurer les systèmes, durcir les services, déployer la supervision, gérer les vulnérabilités et produire une preuve technique vérifiable que chaque mesure est effectivement en place.

Le point de départ de toute mise en conformité sérieuse est l'analyse des risques. L'ENS exige que la sélection des mesures de l'Annexe II repose sur une analyse formelle, proportionnée à la catégorie du système. Summum Sistemas applique la méthodologie MAGERIT du CCN — la référence officielle pour l'analyse des risques dans le cadre de l'Administration publique espagnole — et la met en œuvre avec l'outil PILAR, qui modélise actifs, menaces et sauvegardes de façon traçable et génère le rapport de risque résiduel qu'attendent les auditeurs de conformité. Pour vérifier le niveau d'implantation mesure par mesure, nous utilisons également INES (Informe Nacional del Estado de Seguridad), la plateforme d'autoévaluation du CCN qui produit le tableau d'état par famille et étaye la déclaration de conformité.

Le processus Mise en conformité technique à l'ENS à Séville pour les fournisseurs de l'Administration.

Le processus · quatre étapes
01

Périmètre, organismes concernés et catégorisation ENS

Nous identifions les systèmes d'information en périmètre et les services que vous fournissez aux organismes publics de Séville — Junta de Andalucía, Diputación, Ayuntamiento, Universidad de Sevilla, Universidad Pablo de Olavide ou autres —, ainsi que les flux de données reliant vos systèmes aux leurs. Nous appliquons l'Annexe I du RD 311/2022 pour déterminer la catégorie ENS (basique, moyenne ou élevée) en évaluant l'impact sur les cinq dimensions CIDAT. Cette catégorie fixe les mesures de l'Annexe II exigibles et la voie de conformité applicable.

02

Analyse des risques MAGERIT avec l'outil PILAR

Nous réalisons l'analyse des risques selon la méthodologie MAGERIT v3 et la modélisons avec PILAR, l'outil du CCN : inventaire des actifs, cartographie des dépendances, menaces applicables du catalogue MAGERIT, évaluation de la fréquence et de l'impact, et calcul du risque résiduel après les sauvegardes existantes. Le rapport obtenu constitue la base objective de sélection et de priorisation des mesures de l'Annexe II, et fait partie du dossier technique de conformité.

03

Évaluation de maturité avec INES et cartographie des écarts

Nous appliquons le questionnaire INES pour évaluer le niveau d'implantation réel des mesures de l'Annexe II dans les familles correspondant à la catégorie assignée. Le résultat est une carte de maturité par famille et une liste priorisée d'écarts techniques, avec estimation de l'effort et des dépendances entre mesures, pour savoir exactement ce qu'il reste à faire avant l'audit de conformité.

04

Mise en œuvre technique des mesures de l'Annexe II

Nous mettons en œuvre les mesures en attente : durcissement des systèmes d'exploitation et des services conformément aux guides CCN-STIC, contrôle d'accès et authentification renforcée, chiffrement des communications et du stockage, sauvegardes, supervision et journalisation des événements de sécurité, et gestion des vulnérabilités avec cycle de correctifs documenté. Pour les services en nuage, nous traitons également la famille op.nub : évaluation du fournisseur cloud, ségrégation des environnements et contrôles d'accès spécifiques.

Ce qui est inclus

Ce qu'inclut Mise en conformité technique à l'ENS à Séville pour les fournisseurs de l'Administration.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Rapport de catégorisation ENS (Annexe I)

    Document technique justifiant la catégorie attribuée — basique, moyenne ou élevée — en évaluant l'impact sur les cinq dimensions CIDAT pour chaque service fourni aux organismes publics de Séville, selon une méthodologie traçable et référencée au RD 311/2022.

  • Analyse des risques MAGERIT avec rapport PILAR

    Analyse formelle des risques selon MAGERIT v3, réalisée avec l'outil PILAR du CCN : inventaire des actifs, arbre de dépendances, évaluation des menaces et des impacts et calcul du risque résiduel, présentable comme preuve technique devant les auditeurs de conformité.

  • Évaluation de maturité INES par famille de mesures

    Rapport d'état d'implantation des mesures de l'Annexe II généré avec l'outil INES du CCN, avec niveau de maturité par famille et carte des écarts priorisés à combler avant l'audit de conformité.

  • Durcissement technique documenté par système

    Application des guides CCN-STIC à chaque système d'exploitation, service et composant en périmètre : configuration de sécurité, suppression des services inutiles, gestion des privilèges minimaux et preuve de chaque modification avec enregistrement de version et de date.

  • Supervision et gestion des vulnérabilités

    Configuration des mécanismes de journalisation, de corrélation et d'alerte des événements de sécurité (op.mon, op.exp) et cycle documenté d'identification, de priorisation et de remédiation des vulnérabilités techniques, avec enregistrement des correctifs et validation de clôture.

  • Dossier complet de preuves pour la conformité

    Ensemble structuré de toute la documentation technique requise pour la déclaration de conformité (catégorie basique, CCN-STIC 809) ou pour l'audit par un organisme accrédité ENAC (catégorie moyenne ou élevée) : rapports, captures, journaux et procédures indexés par famille de mesures.

Cluster Summum

Comment il se connecte aux sœurs.

La mise en œuvre technique des mesures de l'Annexe II réalisée par Summum Sistemas se complète à Séville par le volet documentaire et normatif que pilote Summum Calidad : politique de sécurité, Déclaration d'Applicabilité intégrée à l'ISO 27001 et préparation de la déclaration ou certification de conformité. Deux équipes spécialisées, un projet coordonné unique, pour que votre entreprise puisse soumissionner auprès de la Junta de Andalucía et des autres organismes sévillans en toute confiance.

Questions fréquentes sur Mise en conformité technique à l'ENS à Séville pour les fournisseurs de l'Administration.

Pourquoi l'ENS concerne-t-il mon entreprise si je ne travaille qu'avec la Diputación de Sevilla ou l'Ayuntamiento de Sevilla ?

L'article 2 du RD 311/2022 étend l'obligation ENS aux systèmes d'information des entités privées qui fournissent des services ou des solutions à des organismes du secteur public soumis au Schéma. La Diputación de Sevilla et l'Ayuntamiento de Sevilla sont soumis à l'ENS en tant qu'administrations publiques. Si vos systèmes traitent des données de l'un ou l'autre, hébergent des logiciels qu'ils utilisent ou échangent des informations avec leurs systèmes, la conformité à l'ENS est obligatoire et peut être exigée comme critère de solvabilité technique dans les cahiers des charges des marchés publics.

L'Universidad de Sevilla et l'Universidad Pablo de Olavide exigent-elles aussi la conformité ENS de leurs fournisseurs ?

Oui. Les deux sont des universités publiques et relèvent donc du secteur public soumis à l'ENS. Leurs contrats de services numériques — développement logiciel, hébergement de systèmes, traitement de données d'étudiants ou de recherche, services en nuage — transmettent l'obligation de conformité ENS aux fournisseurs privés qui y participent. Leurs cahiers des charges incluent de plus en plus fréquemment des clauses spécifiques exigeant la preuve de conformité au Schéma.

Qu'apporte l'outil PILAR par rapport à une analyse des risques réalisée sur mesure dans un tableur ?

PILAR est l'outil d'analyse des risques développé par le CCN qui implémente la méthodologie MAGERIT de façon structurée, avec des catalogues d'actifs, de menaces et de sauvegardes alignés sur l'Annexe II du RD 311/2022. Il génère des rapports dans le format attendu par les auditeurs de conformité, avec des résultats reproductibles et comparables d'une revue à l'autre. Une analyse artisanale sur tableur n'est pas interdite, mais elle complique la traçabilité entre menaces, risques et mesures appliquées, ce qui génère souvent des observations lors de l'audit ENAC.

Combien de mesures compte l'Annexe II de l'ENS et lesquelles s'appliquent à moi à Séville ?

L'Annexe II du RD 311/2022 regroupe 73 mesures réparties en trois cadres et 16 familles : le cadre organisationnel (4 mesures), le cadre opérationnel — 7 familles et 33 mesures, dont la famille op.nub pour les services en nuage — et les mesures de protection — 8 familles et 36 mesures. Les mesures obligatoires dépendent de la catégorie de votre système (basique, moyenne ou élevée), déterminée par l'analyse d'impact sur les cinq dimensions CIDAT. Summum Sistemas réalise ce diagnostic pour déterminer exactement le sous-ensemble applicable à votre entreprise.

Qu'est-ce que la famille op.nub et pourquoi est-elle importante pour les fournisseurs de la Junta de Andalucía utilisant le cloud public ?

La famille op.nub du cadre opérationnel de l'Annexe II définit les exigences de sécurité spécifiques aux services de cloud computing : évaluation du fournisseur cloud, ségrégation des environnements, gestion des accès et chaîne d'approvisionnement des services cloud. Elle s'applique dès lors que le système en périmètre utilise une infrastructure IaaS, PaaS ou SaaS. Pour les fournisseurs TIC de la Junta de Andalucía ou d'autres organismes sévillans utilisant une infrastructure cloud publique, cette famille doit être explicitement traitée dans l'analyse des risques et le plan de mise en œuvre.

Summum Sistemas délivre-t-il le certificat de conformité ENS ?

Non. Pour les systèmes de catégorie basique, la déclaration de conformité est émise par l'organisation elle-même via un processus d'autoévaluation, conformément à la CCN-STIC 809. Pour les systèmes de catégorie moyenne ou élevée, le certificat est délivré par un organisme d'inspection accrédité par ENAC selon la norme UNE-EN ISO/IEC 17065. Summum Sistemas ne délivre aucun certificat — c'est la compétence exclusive des organismes accrédités par ENAC — nous mettons en œuvre les mesures techniques de l'Annexe II, constituons le dossier de preuves et préparons vos systèmes pour franchir ce processus en toute confiance.