Sector público

Mise en conformité technique à l'ENS à Saragosse pour les fournisseurs de l'Administration

Si votre entreprise fournit des services technologiques au Gobierno de Aragón, à la Diputación Provincial de Saragosse, à l'Ayuntamiento de Saragosse ou à l'Universidad de Zaragoza, le Schéma National de Sécurité espagnol — l'Esquema Nacional de Seguridad, instauré par le RD 311/2022 (BOE-A-2022-7191) — vous impose d'aligner vos systèmes d'information sur ses exigences techniques. Summum Sistemas vous accompagne dans ce processus sous l'angle opérationnel : analyse des risques selon la méthodologie MAGERIT, modélisation des menaces avec l'outil PILAR du CCN, mise en œuvre des 73 mesures techniques de l'Annexe II et constitution du dossier de preuves nécessaire à votre déclaration ou certification de conformité. Des offres plus solides, une sécurité réelle dans vos systèmes.

RéglementationRD 311/2022 · BOE-A-2022-7191
PérimètreFournisseurs TIC de l'Administration à Saragosse et en Aragon
ApprocheMise en œuvre technique · MAGERIT · PILAR · INES · Annexe II

Le Décret Royal 311/2022, du 3 mai, qui approuve l'Esquema Nacional de Seguridad (ENS), n'est pas une norme exclusivement réservée au secteur public : son article 2 étend l'obligation de mise en conformité aux systèmes d'information des entités privées qui fournissent des services ou des solutions aux entités du secteur public soumises à l'ENS. Saragosse accueille le siège du Gobierno de Aragón et de ses principaux départements, ainsi que la Diputación Provincial de Saragosse, l'Ayuntamiento de Saragosse et l'Universidad de Zaragoza, ce qui fait de la ville le nœud central de la commande publique technologique de la communauté autonome. Toute entreprise fournisseuse de ces institutions doit mettre ses systèmes en conformité avant de pouvoir opérer ou soumissionner. La disposition transitoire unique a fixé au 5 mai 2024 la date limite pour les systèmes déjà existants ; passé ce délai, opérer sans mise en conformité constitue un manquement pouvant bloquer l'accès aux marchés publics.

Summum Sistemas aborde la mise en conformité ENS depuis son domaine propre : la mise en œuvre technique des mesures de sécurité de l'Annexe II du RD 311/2022. Cette annexe regroupe 73 mesures réparties en trois cadres — cadre organisationnel, cadre opérationnel et mesures de protection — et seize familles, dont sept relèvent du bloc opérationnel, qui comprend la famille op.nub dédiée aux services en nuage, particulièrement pertinente pour les fournisseurs SaaS opérant dans l'écosystème public aragonais. Rédiger des politiques ne suffit pas : il faut configurer les systèmes, durcir les services, déployer la supervision, gérer les vulnérabilités et produire des preuves démontrant que chaque mesure est effectivement appliquée et vérifiable.

L'analyse des risques est au cœur du processus. L'ENS exige que la sélection et la proportionnalité des mesures de sécurité reposent sur une analyse formelle des risques auxquels sont exposés les systèmes concernés. Summum Sistemas utilise la méthodologie MAGERIT — la référence officielle du CCN pour l'analyse des risques dans le contexte de l'Administration publique espagnole — et s'appuie sur l'outil PILAR du CCN, qui permet de modéliser actifs, menaces, vulnérabilités et impacts de façon structurée et de générer les rapports attendus par les auditeurs de conformité. Pour évaluer le niveau d'implantation des mesures, nous utilisons également INES (Informe Nacional del Estado de Seguridad), l'outil d'auto-évaluation du CCN qui fournit un tableau de maturité par famille et par mesure. Le résultat est une analyse technique traçable, référencée à la réglementation et présentable devant toute entité accréditée par l'ENAC.

Le processus Mise en conformité technique à l'ENS à Saragosse pour les fournisseurs de l'Administration.

Le processus · quatre étapes
01

Inventaire des actifs et détermination de la catégorie ENS

Nous réalisons l'inventaire des actifs d'information — matériel, logiciels, données, services et communications — qui relèvent du périmètre ENS de votre organisation, en lien avec les contrats actifs ou en cours d'appel d'offres auprès du Gobierno de Aragón, de la Diputación Provincial de Saragosse, de l'Ayuntamiento de Saragosse, de l'Universidad de Zaragoza ou d'autres organismes. À partir de cet inventaire, nous évaluons l'impact qu'aurait un incident de sécurité sur les cinq dimensions CIDAT (confidentialité, intégrité, disponibilité, authenticité et traçabilité) pour chaque service fourni, et nous déterminons la catégorie du système — basique, moyenne ou élevée — conformément à l'Annexe I du RD 311/2022. Cette catégorie est le point de départ qui détermine quelles mesures de l'Annexe II sont obligatoires et quelle voie de conformité suivre.

02

Analyse des risques avec MAGERIT et modélisation avec PILAR

Nous réalisons l'analyse des risques selon la méthodologie MAGERIT v3 du CCN : identification des actifs, dépendances, menaces applicables du catalogue MAGERIT, évaluation de la fréquence et de l'impact, et calcul du risque résiduel après application des sauvegardes. La modélisation est réalisée avec l'outil PILAR du CCN, qui génère un rapport structuré des actifs, menaces et risques directement utilisable comme preuve technique dans le processus de conformité ENS. Le résultat constitue la base objective sur laquelle sont sélectionnées et priorisées les mesures de l'Annexe II.

03

Évaluation de la maturité avec INES et cartographie des écarts techniques

Nous appliquons le questionnaire INES (Informe Nacional del Estado de Seguridad) pour évaluer le niveau d'implantation actuel de chacune des 73 mesures de l'Annexe II dans les familles correspondant à la catégorie assignée. Le résultat est une carte de maturité par famille — de L0 (inexistant) à L5 (optimisé) — et une liste priorisée d'écarts techniques à combler avant l'audit de conformité, avec estimation de l'effort et des dépendances entre mesures. Vous savez exactement où vous en êtes et ce qu'il reste à faire, sans raccourcis et sans sur-ingénierie.

04

Mise en œuvre technique des mesures de l'Annexe II

Nous mettons en œuvre les mesures techniques en attente : durcissement des systèmes d'exploitation et des services conformément aux guides CCN-STIC (511, 570, 610 et guides spécifiques constructeur), configuration des mécanismes de contrôle d'accès et d'authentification renforcée, déploiement des systèmes d'enregistrement et de supervision des événements de sécurité, gestion des vulnérabilités avec un cycle de correctifs documenté, chiffrement des communications et du stockage, et configuration des sauvegardes conformément à la mesure mp.info.9 de l'Annexe II. Pour les services en nuage, nous traitons les mesures de la famille op.nub : évaluation du prestataire, gestion de la chaîne d'approvisionnement et contrôles d'accès spécifiques à l'environnement cloud.

Ce qui est inclus

Ce qu'inclut Mise en conformité technique à l'ENS à Saragosse pour les fournisseurs de l'Administration.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Rapport d'analyse des risques MAGERIT avec PILAR

    Analyse formelle des risques selon MAGERIT v3, réalisée avec l'outil PILAR du CCN : inventaire des actifs, arbre des dépendances, évaluation des menaces et impacts, et calcul du risque résiduel. Document présentable comme preuve technique devant les auditeurs de conformité ENS.

  • Évaluation de maturité INES par famille de mesures

    Rapport de l'état de mise en œuvre des mesures de l'Annexe II généré avec l'outil INES du CCN, avec niveau de maturité par famille (L0-L5) et cartographie priorisée des écarts à combler avant l'audit de conformité.

  • Durcissement technique documenté par système

    Application des guides CCN-STIC pertinents à chaque système d'exploitation, service et composant concerné : configuration de sécurité, suppression des services inutiles, gestion du moindre privilège et preuve de chaque changement appliqué avec version et date.

  • Déploiement de la supervision et de la gestion des événements

    Configuration des mécanismes d'enregistrement, de corrélation et d'alerte des événements de sécurité conformément aux mesures op.mon et op.exp de l'Annexe II : sources de journaux, rétention, alertes sur événements critiques et procédure documentée de réponse aux incidents techniques.

  • Plan et preuves de gestion des vulnérabilités

    Cycle documenté d'identification, d'évaluation, de priorisation et de remédiation des vulnérabilités techniques : analyses périodiques, critères de priorisation par criticité et catégorie ENS, registres des correctifs appliqués et validation de clôture. Couvre la mesure op.exp.3 de l'Annexe II.

  • Dossier complet de preuves pour la conformité

    Ensemble structuré de toute la documentation technique requise pour la déclaration de conformité (catégorie basique, selon la CCN-STIC 809) ou pour l'audit par une entité accréditée ENAC (catégorie moyenne ou élevée) : rapports, captures, journaux, procès-verbaux et procédures classés par famille de mesure.

Cluster Summum

Comment il se connecte aux sœurs.

La mise en œuvre technique des mesures de l'Annexe II se complète avec le volet documentaire et normatif géré par Summum Calidad : politique de sécurité, Déclaration d'Applicabilité intégrée avec l'ISO 27001 et préparation de la déclaration ou certification de conformité. Les deux équipes travaillent de façon coordonnée sur un projet unique, sans doublons et avec un interlocuteur unique pour le client.

Questions fréquentes sur Mise en conformité technique à l'ENS à Saragosse pour les fournisseurs de l'Administration.

Pourquoi dois-je me mettre en conformité avec l'ENS si je fournis le Gobierno de Aragón ou l'Ayuntamiento de Saragosse ?

L'article 2 du RD 311/2022 étend l'obligation ENS aux systèmes d'information des entités privées qui fournissent des services à des entités du secteur public elles-mêmes soumises à l'ENS. Le Gobierno de Aragón, la Diputación Provincial de Saragosse, l'Ayuntamiento de Saragosse et l'Universidad de Zaragoza sont toutes soumises à l'ENS en tant qu'administrations publiques. Si vos systèmes d'information sont en contact avec l'un quelconque d'entre eux — parce que vous leur fournissez un service, un logiciel ou traitez des données pour leur compte —, la mise en conformité ENS est obligatoire et peut être exigée dans les cahiers des charges des marchés publics.

La Diputación de Saragosse et l'Universidad de Zaragoza exigent-elles la même conformité ENS que le Gobierno de Aragón ?

Oui. L'ENS est un cadre unique d'application nationale (RD 311/2022) qui ne varie pas selon le niveau de l'administration qui l'exige : le Gobierno de Aragón, la Diputación Provincial de Saragosse, l'Ayuntamiento de Saragosse et l'Universidad de Zaragoza sont soumis exactement au même schéma de catégorisation, aux mêmes mesures de l'Annexe II et aux mêmes voies de conformité. Ce qui peut varier entre cahiers des charges, c'est le niveau de détail documentaire exigé ou la catégorie précise requise pour un service donné, mais le cadre réglementaire de référence est identique pour les quatre entités.

Qu'est-ce que MAGERIT et pourquoi l'ENS l'exige-t-il ?

MAGERIT est la méthodologie d'analyse et de gestion des risques des systèmes d'information élaborée par le CCN. L'ENS exige que la sélection et l'application des mesures de l'Annexe II reposent sur une analyse formelle des risques proportionnelle à la catégorie du système. MAGERIT est la méthodologie de référence du CCN pour cette analyse dans le contexte de l'Administration espagnole : elle permet d'identifier les actifs, de modéliser les menaces et de calculer le risque résiduel de façon structurée et traçable. Les auditeurs de conformité ENS connaissent cette approche méthodologique et s'attendent à la retrouver dans la documentation de l'analyse des risques.

Combien de mesures compte l'Annexe II de l'ENS et lesquelles s'appliquent à mon entreprise ?

L'Annexe II du RD 311/2022 regroupe 73 mesures réparties en trois cadres et seize familles : le cadre organisationnel (4 mesures), le cadre opérationnel — avec 7 familles et 33 mesures, dont la famille op.nub pour les services en nuage — et le cadre des mesures de protection — avec 8 familles et 36 mesures. Les mesures obligatoires pour votre entreprise dépendent de la catégorie du système (basique, moyenne ou élevée) qui résulte de l'analyse d'impact sur les cinq dimensions CIDAT. Summum Sistemas réalise le diagnostic pour déterminer exactement le sous-ensemble applicable à votre situation.

En quoi consiste la famille op.nub de l'Annexe II et quand concerne-t-elle un fournisseur à Saragosse ?

La famille op.nub (exploitation en nuage) du cadre opérationnel de l'Annexe II définit les exigences de sécurité spécifiques aux services d'informatique en nuage. Elle s'applique lorsque le système concerné utilise des services IaaS, PaaS ou SaaS dans son architecture. Les mesures op.nub couvrent l'évaluation des prestataires cloud, la ségrégation des environnements, la gestion des accès dans l'environnement cloud et la chaîne d'approvisionnement des services cloud. Elle est particulièrement pertinente pour les fournisseurs technologiques du Gobierno de Aragón et de l'Ayuntamiento de Saragosse qui utilisent une infrastructure cloud publique, et doit être explicitement traitée dans l'analyse des risques et le plan de mise en conformité.

Summum Sistemas délivre-t-elle la certification ou la déclaration de conformité ENS ?

Non. Pour les systèmes de catégorie basique, la déclaration de conformité est émise par l'organisation elle-même, de façon auto-évaluée, conformément à la procédure de la CCN-STIC 809. Pour les systèmes de catégorie moyenne ou élevée, la certification de conformité est délivrée par une entité d'inspection accréditée par l'ENAC conformément à la norme UNE-EN ISO/IEC 17065. Summum Sistemas ne délivre aucun certificat de conformité — c'est la compétence exclusive des entités accréditées par l'ENAC. Notre rôle est de mettre en œuvre les mesures techniques de l'Annexe II, de constituer le dossier de preuves et de préparer vos systèmes à réussir ce processus de conformité dans les meilleures conditions.