Ciberseguridad y cumplimiento

Mise en œuvre technique de l'ENS à Tenerife

Le Cabildo de Tenerife, la mairie de Santa Cruz de Tenerife, l'Université de La Laguna et les communes de l'archipel sont tous soumis à l'Esquema Nacional de Seguridad. Leurs prestataires technologiques le sont également : le RD 311/2022 (BOE-A-2022-7191) exige que les systèmes d'information des entités contractantes soient mis en conformité au même niveau que les organismes publics qu'ils servent. Summum Sistemas accompagne les entreprises technologiques de Tenerife dans la dimension que l'ENS leur impose le plus : le plan technique. Analyse de risques avec la méthodologie MAGERIT, modélisation des actifs et des menaces avec l'outil PILAR du CCN, mise en œuvre des 75 mesures de l'Annexe II et préparation des preuves techniques exigées par l'audit de conformité. Sans chiffres inventés, sans bureaux fictifs : un accompagnement réel sur le terrain technique et opérationnel.

RéglementationRD 311/2022 · BOE-A-2022-7191
ProfilPrestataires technologiques de l'Administration publique à Tenerife
ApprocheMise en œuvre technique : MAGERIT · PILAR · INES · Annexe II

L'Esquema Nacional de Seguridad, approuvé par le décret royal RD 311/2022 du 3 mai, n'est pas uniquement un cadre documentaire : son Annexe II comporte 75 mesures de sécurité réparties en trois cadres — organisationnel, opérationnel et de protection — et 16 familles. La famille opérationnelle comprend 7 sous-familles et 33 mesures, dont op.nub (sécurité des services en nuage), particulièrement pertinente pour les entreprises technologiques qui fournissent de l'infrastructure cloud à des organismes publics canariens. Pour un prestataire du Cabildo de Tenerife ou de la mairie de Santa Cruz, la conformité à l'ENS ne s'arrête pas à l'adoption d'une politique de sécurité : elle commence véritablement lorsque les mesures techniques qui soutiennent cette politique sont mises en œuvre, vérifiées et documentées.

Tenerife concentre une part significative de l'activité du secteur public canarien : le Cabildo de Tenerife en tant qu'administration insulaire de référence, la mairie de Santa Cruz de Tenerife en tant que capitale de la communauté autonome, l'Université de La Laguna (ULL) avec ses systèmes de gestion académique et de recherche, et des dizaines de communes dotées de leurs propres services numériques. Les entreprises souhaitant répondre à des appels d'offres ou continuer à être prestataires de ces organismes doivent démontrer leur conformité à l'ENS dans la catégorie correspondant aux systèmes qu'elles gèrent. Le régime économique spécial des Canaries — avec l'IGIC au lieu de la TVA — ne modifie pas cette obligation : l'ENS s'applique uniformément sur tout le territoire national, y compris dans l'archipel.

Summum Sistemas aborde la mise en conformité sous l'angle qui définit le travail réel d'implantation technique. La première étape est l'analyse de risques avec la méthodologie MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información), le cadre officiel du CCN pour identifier les actifs, évaluer les menaces, estimer l'impact et calculer le risque résiduel. Sur cette analyse repose la sélection proportionnée des mesures de l'Annexe II, avec l'appui de PILAR — l'outil développé par le Centro Criptológico Nacional qui automatise l'évaluation des actifs et le calcul du risque selon MAGERIT — et d'INES, l'outil CCN pour l'auto-évaluation du niveau de conformité à l'ENS. La combinaison de méthodologie et d'outils officiels garantit que l'analyse est traçable, reproductible et acceptée par les auditeurs de conformité accrédités par l'ENAC.

Le processus Mise en œuvre technique de l'ENS à Tenerife.

Le processus · quatre étapes
01

Inventaire des actifs et analyse de risques MAGERIT

Nous dressons l'inventaire complet des actifs informationnels — systèmes, services, données, applications, infrastructure — entrant dans le périmètre ENS pour les contrats avec des organismes publics de Tenerife : Cabildo, mairies, ULL ou autres entités du secteur public canarien. Sur cet inventaire, nous appliquons la méthodologie MAGERIT v3 pour évaluer chaque actif selon les cinq dimensions CIDAT, identifier les menaces pertinentes à partir du catalogue CCN et calculer le risque inhérent et résiduel. Le résultat est le rapport d'analyse de risques qui fonde toutes les décisions techniques ultérieures et que les auditeurs de conformité considèrent comme le document central du dossier ENS.

02

Modélisation PILAR et rapport de conformité INES

Nous exécutons l'analyse dans PILAR (l'outil officiel du CCN), en saisissant les actifs, leurs dépendances et leur valorisation CIDAT pour obtenir le profil de sécurité requis et la sélection automatique des mesures proportionnées de l'Annexe II. Parallèlement, nous renseignons l'outil INES avec l'état actuel de mise en œuvre de chaque mesure afin de produire une cartographie précise des écarts : ce qui est mis en œuvre, ce qui est partiellement couvert et ce qui reste à traiter, avec le niveau de maturité L0–L5 pour chaque contrôle.

03

Mise en œuvre technique des mesures de l'Annexe II

Nous réalisons la mise en œuvre des mesures techniques pendantes dans les trois cadres de l'Annexe II : dans le cadre opérationnel, nous configurons les contrôles d'accès (op.acc), l'exploitation sécurisée des systèmes (op.exp), la continuité du service (op.cont) et la surveillance des événements de sécurité (op.mon) ; dans le cadre de protection, nous appliquons le durcissement des dispositifs (mp.com, mp.si), la protection des communications (mp.com) et le chiffrement des informations sensibles (mp.info) ; pour les services en nuage (op.nub), nous vérifions que le modèle de responsabilité partagée avec le fournisseur cloud est documenté et que les contrôles applicables au locataire sont effectivement mis en œuvre.

04

Cybersécurité opérationnelle : surveillance et réponse aux incidents

La conformité à l'ENS n'est pas un projet ponctuel : la réglementation exige une vigilance continue. Nous configurons ou révisons les mécanismes de surveillance des événements de sécurité (SIEM, journaux d'audit, alertes d'anomalies) et établissons les procédures de gestion des incidents conformément au Schéma. Lorsque l'organisme public contractant — Cabildo, mairie ou ULL — exige la notification des incidents au CCN-CERT, nous vérifions que le prestataire dispose des canaux et procédures nécessaires pour satisfaire cette exigence dans les délais fixés par la réglementation.

Ce qui est inclus

Ce qu'inclut Mise en œuvre technique de l'ENS à Tenerife.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Rapport d'analyse de risques MAGERIT avec PILAR

    Document d'analyse de risques élaboré selon la méthodologie MAGERIT v3 et exécuté dans l'outil PILAR du CCN : inventaire des actifs valorisés selon les dimensions CIDAT, identification des menaces du catalogue CCN, calcul du risque inhérent et résiduel, et profil de sécurité requis pour les systèmes dans le périmètre des organismes publics de Tenerife.

  • Rapport d'écart INES avec cartographie de maturité L0–L5

    Résultat de l'auto-évaluation dans l'outil INES du CCN : état actuel de chaque mesure de l'Annexe II pour le système évalué, niveau de maturité L0–L5 par contrôle, écart par rapport au profil requis et plan de clôture priorisé par impact sur la catégorie du système.

  • Mise en œuvre technique documentée des mesures de l'Annexe II

    Enregistrement de la configuration et de la mise en œuvre des contrôles techniques dans les trois cadres de l'Annexe II : durcissement des systèmes d'exploitation et des services, configuration des contrôles d'accès, surveillance des événements, protection des communications et chiffrement, avec des preuves traçables pour chaque mesure mise en œuvre.

  • Procédures de gestion des incidents et de surveillance

    Procédures opérationnelles de sécurité (SOP) pour la détection, la classification, la réponse et la notification des incidents de sécurité, incluant les canaux de communication avec le CCN-CERT lorsque le contrat avec l'organisme public canarien l'exige, et les seuils d'alerte du système de surveillance.

  • Rapport de conformité op.nub pour les services cloud

    Pour les prestataires fournissant de l'infrastructure ou de la plateforme cloud à des organismes tels que le Cabildo de Tenerife ou l'ULL : analyse du modèle de responsabilité partagée, vérification des contrôles op.nub de l'Annexe II applicables au locataire et documentation de l'accord de sécurité avec le fournisseur cloud.

  • Dossier de preuves techniques pour l'audit de conformité

    Dossier structuré de preuves techniques prêt à être présenté à une entité accréditée par l'ENAC (catégorie moyenne ou haute) ou à soutenir la déclaration de conformité auto-évaluée (catégorie de base) : captures de configuration, journaux d'audit, résultats d'analyses de vulnérabilités et procès-verbaux de révision des contrôles.

Cluster Summum

Comment il se connecte aux sœurs.

La mise en œuvre technique de Summum Sistemas et l'accompagnement normatif de Summum Calidad forment un projet ENS complet et sans failles : le plan technique (MAGERIT, PILAR, durcissement, preuves) et le plan documentaire-normatif (SGSI, Déclaration d'Applicabilité, politique de sécurité) sont développés en parallèle et de manière coordonnée, de sorte que le dossier qui arrive à l'audit de conformité est cohérent du début à la fin.

Questions fréquentes sur Mise en œuvre technique de l'ENS à Tenerife.

L'ENS s'applique-t-il aux entreprises qui travaillent uniquement avec le Cabildo de Tenerife ou les mairies canariennes ?

Oui. L'article 2 du RD 311/2022 établit que l'ENS s'applique aux entités du secteur public et aux systèmes d'information des prestataires qui leur fournissent des services ou des solutions. Le Cabildo de Tenerife, les mairies de l'île et l'Universidad de La Laguna sont des entités du secteur public soumises à l'ENS. Leurs contractants technologiques — éditeurs de logiciels, fournisseurs de services cloud, sociétés de maintenance, sous-traitants de traitement de données — doivent se conformer au même niveau que les systèmes de l'Administration qu'ils servent. Le régime fiscal spécial des Canaries (IGIC au lieu de TVA) ne modifie pas cette obligation : l'ENS est une réglementation nationale applicable sur l'ensemble du territoire espagnol, y compris l'archipel.

Qu'est-ce que MAGERIT et pourquoi le CCN l'exige-t-il pour l'analyse de risques ENS ?

MAGERIT est la Méthodologie d'Analyse et de Gestion des Risques des Systèmes d'Information, élaborée par l'ancien ministère des Administrations publiques et maintenue par le CCN. Le RD 311/2022 n'impose pas explicitement MAGERIT, mais le guide CCN-STIC 803 (Valorisation des systèmes dans l'ENS) établit MAGERIT comme référence méthodologique officielle pour l'analyse de risques et la catégorisation du système. L'outil PILAR, développé par le CCN, met en œuvre MAGERIT de manière automatisée et génère des rapports de risque dans le format attendu par les auditeurs de conformité accrédités par l'ENAC. Utiliser MAGERIT et PILAR n'est pas une obligation légale explicite, mais c'est la voie qui garantit traçabilité, reproductibilité et acceptation dans le processus de certification.

Quelle est la différence entre une déclaration de conformité de base et une certification ENAC ?

Pour les systèmes de catégorie de base, l'organisation peut auto-évaluer sa conformité à l'ENS et émettre sa propre déclaration de conformité, en suivant la procédure de la CCN-STIC 809. Aucun tiers externe n'est requis : la responsabilité incombe à l'organisation elle-même. Pour les systèmes de catégorie moyenne ou haute, la conformité doit être certifiée par un organisme d'inspection accrédité par l'ENAC conformément à la norme UNE-EN ISO/IEC 17065. Summum Sistemas n'émet aucun certificat de conformité — c'est la compétence exclusive des entités accréditées par l'ENAC ; notre rôle est de préparer les systèmes pour qu'ils passent ce processus avec les preuves techniques en ordre.

La sécurité cloud (op.nub) est-elle une exigence pertinente pour les prestataires de l'ULL ou du Cabildo de Tenerife ?

Oui, et de plus en plus. La famille op.nub de l'Annexe II régit les exigences de sécurité lorsque les systèmes dans le périmètre utilisent de l'infrastructure, de la plateforme ou du logiciel en tant que service de tiers. Pour un prestataire qui fournit une application SaaS au Cabildo de Tenerife ou à l'Universidad de La Laguna avec cette application hébergée chez un fournisseur cloud, op.nub exige de documenter le modèle de responsabilité partagée, de vérifier les contrôles applicables au locataire et de s'assurer que le fournisseur cloud dispose des certifications ou rapports de sécurité — comme le label ENS du CCN pour les fournisseurs cloud — qui permettent de faire confiance à la chaîne de garde. Summum Sistemas examine et documente cet aspect dans le cadre de la mise en œuvre technique.

Combien de temps prend la mise en œuvre technique de l'ENS pour un prestataire technologique de taille moyenne à Tenerife ?

Cela dépend de la catégorie du système, du niveau de maturité technique préalable et du nombre de systèmes dans le périmètre. Pour un prestataire avec des systèmes de catégorie de base et des pratiques de sécurité partiellement mises en œuvre, la mise en œuvre technique peut être achevée en trois à cinq mois. Pour la catégorie moyenne, avec des systèmes plus complexes et sans durcissement préalablement documenté, le délai habituel est de six à douze mois, incluant l'analyse MAGERIT/PILAR, la mise en œuvre des mesures techniques et la compilation du dossier de preuves. Dans tous les cas, la coordination avec Summum Calidad sur le plan documentaire se fait en parallèle, sans allonger le délai global.

Les entreprises technologiques canariennes peuvent-elles appliquer l'IGIC sur les contrats de mise en œuvre ENS avec des organismes publics ?

Le régime de l'IGIC (Impuesto General Indirecto Canario) s'applique aux entreprises établies aux Canaries qui fournissent des services dans l'archipel. Dans les contrats entre une entreprise technologique canarienne et un organisme public canarien (Cabildo, mairie, ULL), la facturation est régie par les règles de l'IGIC, et non par la TVA continentale. Cela affecte la fiscalité des services de mise en œuvre technique ENS que Summum Sistemas fournit à Tenerife, mais ne modifie ni le contenu des exigences ENS ni le calendrier de mise en conformité. Le RD 311/2022 s'applique sur l'ensemble du territoire national indépendamment du régime fiscal régional.