Un prestataire doit appliquer l'ENS dès lors que ses systèmes participent à la fourniture de services publics dans le champ du Real Decreto 311/2022 (décret royal espagnol instituant le Schéma national de sécurité) et selon les termes du contrat. La mise en conformité ne consiste pas à acheter des outils : elle exige de délimiter le système, de le catégoriser, d'analyser les risques, d'approuver une déclaration d'applicabilité, de mettre en œuvre des mesures, de réunir des preuves et de se soumettre au mécanisme de conformité correspondant.
Confirmer le périmètre
Les éléments suivants doivent être identifiés :
- L'entité publique cliente.
- Le service et le contrat.
- Les systèmes et les sites.
- Les données et les communications.
- Le personnel ayant accès.
- Le cloud et les sous-traitants.
- Les intégrations.
- Les responsabilités partagées.
Il n'est pas nécessaire d'inclure toute l'entreprise dans le périmètre si le service peut être clairement délimité, mais les dépendances critiques ne peuvent pas en être exclues.
Rôles
| Rôle | Responsabilité |
|---|---|
| Responsable de l'information | Exigences et classification de l'information |
| Responsable du service | Exigences du service |
| Responsable de la sécurité | Décisions et supervision de la sécurité |
| Responsable du système | Exploitation et contrôles |
| Direction | Politique, ressources et risque |
Ces fonctions doivent être formalisées et ne doivent pas donner lieu à des conflits incompatibles entre elles.
Catégoriser le système
On évalue les dimensions de sécurité prévues par l'ENS : disponibilité, authenticité, intégrité, confidentialité et traçabilité. L'impact obtenu détermine la catégorie basique, moyenne ou haute.
La catégorisation doit être convenue avec le client lorsqu'il existe des interdépendances. Une catégorie inférieure ne doit jamais être choisie pour des raisons de coût.
Politique et normes internes
La politique définit les principes, l'organisation, les obligations, la gestion des risques, la gestion des incidents, la continuité, le personnel et l'amélioration continue. Elle est complétée par des normes et des procédures opérationnelles.
Elle doit refléter le système réel ; un modèle générique ne démontre pas la mise en œuvre effective.
Analyse des risques
L'analyse recense les actifs, les menaces, les vulnérabilités, l'impact, la probabilité et les mesures de maîtrise. Elle est actualisée après tout changement ou incident, ainsi que de manière périodique.
Elle doit couvrir la chaîne d'approvisionnement, le cloud, les accès à distance, les rançongiciels, la perte de clés d'accès et la continuité du service.
Déclaration d'applicabilité
La Déclaration d'Applicabilité (DdA) recense les mesures applicables, leur état, les preuves et la justification. En cas de mesures compensatoires, il faut démontrer un niveau de protection égal ou supérieur, conformément au référentiel et aux guides applicables.
| Mesure | État | Preuve | Responsable | Écart |
|---|---|---|---|---|
| Contrôle d'accès | Mise en œuvre | Matrice et journaux | IT | Revue trimestrielle |
| Sauvegardes | Partielle | Configuration | Exploitation | Test de restauration manquant |
La DdA est un document vivant qui doit correspondre à ce qui est vérifié lors de l'audit.
Mesures techniques et organisationnelles
Les domaines clés sont :
- Politique et organisation.
- Actifs.
- Accès.
- Exploitation.
- Protection des communications.
- Protection de l'information.
- Services externes.
- Continuité.
- Surveillance.
- Incidents.
La priorité est donnée aux mesures de base ayant le plus fort impact : inventaire des actifs, MFA, gestion des correctifs, sauvegardes, journalisation, séparation des tâches et capacité de réponse.
Accès privilégiés
Les accès administratifs reposent sur des comptes nominatifs, la MFA, le moindre privilège, un système bastion le cas échéant, la journalisation et une revue périodique. Les accès support sont accordés de manière temporaire.
Aucun compte partagé sans traçabilité ne doit exister.
Cloud et fournisseurs
Les éléments suivants sont examinés :
- Périmètre de la certification du fournisseur.
- Responsabilité partagée.
- Régions.
- Sous-traitants.
- Chiffrement et gestion des clés.
- Journaux.
- Continuité.
- Notification.
- Sortie (réversibilité).
La certification du fournisseur cloud ne certifie pas automatiquement la configuration mise en place par le client.
Développement et gestion des changements
En cas de développement logiciel, les éléments suivants doivent être couverts :
- Exigences de sécurité.
- Dépôts et branches.
- Revue de code.
- Gestion des dépendances.
- Gestion des secrets.
- Tests.
- Environnements séparés.
- Approbation et capacité de retour arrière.
Chaque changement significatif doit entraîner la mise à jour de l'analyse des risques et des preuves correspondantes.
Incidents
La procédure définit la détection, la classification, le confinement, la communication, la récupération et le retour d'expérience. Les délais contractuels doivent permettre à l'organisme public de respecter les siens.
Des scénarios de rançongiciel, de fuite d'informations, de panne de service et de compromission d'un fournisseur sont testés.
Continuité
Sont définis les RTO/RPO, les sauvegardes, la redondance, le personnel et la communication. La restauration doit être testée de manière effective : une sauvegarde incapable d'être restaurée ne démontre pas la continuité.
Évaluation de conformité
Le mécanisme applicable dépend de la catégorie et des exigences en vigueur. Certains systèmes exigent une certification par un organisme accrédité, tandis que d'autres peuvent relever d'une déclaration de conformité selon les règles correspondantes.
Il convient de consulter le portail ENS du CCN ainsi que l'organisme certificateur. Le terme « certifié » ne doit jamais être communiqué avant son obtention effective ni en dehors de son périmètre réel.
Outils du CCN
Le CCN (Centre national espagnol de cryptologie) propose des guides CCN-STIC ainsi que des outils de gouvernance tels qu'INES, AMPARO et MARGA. Ils doivent être utilisés en fonction du périmètre du système et ne remplacent jamais le jugement professionnel.
Plan à 120 jours
Jours 1 à 30
Périmètre, rôles, catégorie et analyse des écarts.
Jours 31 à 60
Risques, DdA, politiques et mesures prioritaires.
Jours 61 à 90
Mise en œuvre, tests, incidents et continuité.
Jours 91 à 120
Audit interne, actions correctives et évaluation de conformité.
Preuves
- Périmètre et architecture.
- Catégorisation.
- Risques.
- Politique et DdA.
- Inventaire.
- Accès.
- Correctifs.
- Sauvegardes et restauration.
- Journaux.
- Incidents.
- Fournisseurs.
- Formation.
- Audits.
Erreurs fréquentes
- Commencer par acheter de la technologie.
- Ne pas délimiter le système.
- Choisir la catégorie en fonction du budget.
- Copier la déclaration d'applicabilité d'un tiers.
- Se fier uniquement au certificat du fournisseur cloud.
- Partager des comptes d'accès.
- Ne pas tester la restauration des sauvegardes.
- Négliger les sous-traitants.
- Auditer avant la mise en œuvre.
- Communiquer sur la certification en dehors de son périmètre.
Liste de contrôle
- Périmètre contractuel défini.
- Rôles formalisés.
- Catégorie approuvée.
- Risques actualisés.
- Politique et DdA approuvées.
- Mesures et preuves réunies.
- Cloud et chaîne d'approvisionnement vérifiés.
- Gestion des incidents et continuité testées.
- Audit interne réalisé.
- Conformité applicable obtenue.
Questions fréquentes
Tout prestataire du secteur public a-t-il besoin de l'ENS ?
Cela dépend du service et des systèmes utilisés pour fournir des services publics, ainsi que du contrat et du champ d'application du Real Decreto 311/2022.
L'ISO 27001 remplace-t-elle l'ENS ?
Non. Elle peut apporter des mesures utiles, mais celles-ci doivent être mises en correspondance et les exigences propres à l'ENS doivent tout de même être respectées. Si votre entreprise dispose déjà d'un SMSI, notre service de certification ISO 27001 permet de tirer parti de ce travail déjà réalisé.
Un cloud certifié suffit-il ?
Non. La configuration, l'exploitation et le périmètre du service du fournisseur doivent également respecter l'ENS.
Chez Summum Calidad, nous accompagnons l'ensemble du processus : de la délimitation du périmètre et de l'analyse des risques jusqu'à la déclaration d'applicabilité, la mise en œuvre des mesures et l'audit interne préalable à la certification. Découvrez notre service de mise en conformité ENS.