Sector publico y seguridad

Mise en conformité ENS à Salamanque : système de gestion de la sécurité pour les fournisseurs de l'Administration

Salamanque concentre des organismes publics de premier plan — la Diputación Provincial, la Mairie de Salamanque et l'Université de Salamanque (USAL) — qui exigent de plus en plus de leurs fournisseurs et prestataires la démonstration d'une mise en conformité au Schéma National de Sécurité (ENS) avant d'attribuer des marchés. Le RD 311/2022 (BOE-A-2022-7191) établit clairement que l'obligation ne pèse pas seulement sur le secteur public : elle s'applique également aux organisations privées dont les systèmes d'information interagissent avec ceux des entités publiques. Summum Calidad accompagne les organisations de Salamanque dans ce processus sous l'angle du système de gestion de la sécurité de l'information, en intégrant les exigences de l'ENS à celles de l'ISO 27001:2022 pour réduire les efforts, éliminer les doublons documentaires et atteindre la conformité avec la rigueur qu'imposent les délais d'appels d'offres.

RéglementationRD 311/2022 · BOE-A-2022-7191
ProfilFournisseurs de l'Administration publique à Salamanque
ModalitéProjet structuré avec accompagnement continu

La Diputación de Salamanca, la Mairie de Salamanque et l'Université de Salamanque (USAL) comptent parmi les entités publiques dont les volumes de marchés publics sont les plus importants de la province. Toutes trois sont soumises à l'ENS en tant qu'entités du secteur public, ce qui signifie que tout fournisseur dont les systèmes d'information interagissent avec les leurs — un intégrateur de logiciels, un prestataire de services managés, un opérateur de télécommunications ou un consultant ayant accès à leurs systèmes — doit démontrer sa mise en conformité à l'ENS au niveau approprié. Le délai général pour les systèmes existants a expiré le 5 mai 2024, conformément à la disposition transitoire du RD 311/2022. Les entreprises de Salamanque qui n'ont pas entamé le processus à temps se trouvent désormais en situation de non-conformité, susceptible de les exclure de futurs appels d'offres ou d'engager leur responsabilité vis-à-vis de l'organisme contractant.

Summum Calidad aborde la mise en conformité à l'ENS sous l'angle du système de gestion de la sécurité de l'information. L'ENS structure ses exigences — 75 mesures réparties dans trois cadres et 16 familles à l'Annexe II du RD 311/2022, dont les sept familles du cadre opérationnel et la famille op.nub spécifique aux services cloud — selon une logique de gestion qui correspond essentiellement au cycle PDCA de l'ISO 27001 appliqué au contexte de l'Administration publique espagnole. Lorsqu'une entreprise de Salamanque opère déjà avec l'ISO 27001 ou vise la certification, la mise en conformité à l'ENS n'est pas un second projet : c'est une extension du même système de gestion, avec des contrôles mutualisés, une documentation réutilisable et une seule revue de direction couvrant les exigences des deux normes.

Le point de départ de l'ENS est toujours la catégorisation du système selon l'Annexe I du RD 311/2022 : basique, moyen ou élevé, selon l'impact qu'un incident de sécurité aurait sur les cinq dimensions CIDAT (confidentialité, intégrité, disponibilité, authenticité et traçabilité). La catégorie détermine le sous-ensemble des 75 mesures de l'Annexe II qui sont obligatoires et la voie de conformité requise : pour la catégorie basique, une déclaration de conformité auto-évaluée selon la CCN-STIC 809 est suffisante ; pour la catégorie moyenne ou élevée, une certification par un organisme d'inspection accrédité par ENAC conformément à la norme UNE-EN ISO/IEC 17065 est exigée. Summum Calidad guide l'ensemble du processus — diagnostic, mise en œuvre, documentation des preuves et préparation à l'audit externe — sans délivrer le certificat, qui relève exclusivement de la compétence des tiers accrédités.

Le processus Mise en conformité ENS à Salamanque.

Le processus · quatre étapes
01

Diagnostic initial et catégorisation du système

Nous analysons les systèmes d'information de votre organisation et les services que vous fournissez à des organismes tels que la Diputación de Salamanca, la Mairie ou l'USAL, afin de déterminer la catégorie ENS applicable selon l'Annexe I du RD 311/2022. Nous évaluons l'impact sur les cinq dimensions CIDAT et, dans le même temps, identifions les contrôles ISO 27001 déjà déployés dans votre organisation pour les réutiliser au maximum plutôt que de repartir de zéro.

02

Analyse des écarts ENS–ISO 27001

Nous cartographions les 75 mesures de l'Annexe II de l'ENS par rapport aux contrôles de votre système de gestion ou à vos pratiques de sécurité actuelles. Le résultat est un tableau d'écarts priorisés — contrôles absents, partiellement couverts et directement réutilisables — assorti d'une estimation de l'effort nécessaire pour combler chaque écart avant la déclaration ou l'audit de conformité. Cette analyse évite les doublons et concentre l'effort là où il est véritablement nécessaire.

03

Conception du SMSI intégré et Déclaration d'Applicabilité

Nous concevons ou mettons à jour votre système de gestion de la sécurité de l'information pour qu'il couvre simultanément l'ENS et l'ISO 27001:2022. Nous élaborons la Déclaration d'Applicabilité intégrée avec la sélection et l'exclusion justifiées des contrôles des deux normes, et rédigeons la politique de sécurité conformément à l'article 12 du RD 311/2022, adaptée à la structure réelle de votre organisation à Salamanque.

04

Mise en œuvre des contrôles et documentation des preuves

Nous accompagnons la mise en œuvre des mesures de l'Annexe II encore en attente — organisationnelles, opérationnelles et de protection, y compris celles de la famille op.nub si vous utilisez des services cloud pour fournir des services à l'Administration — et produisons la documentation probante requise : procédures, enregistrements, rapports d'analyse de risques, comptes rendus de revue de direction et registres de formation. La mise en œuvre technique — durcissement, surveillance, chiffrement — est coordonnée avec Summum Sistemas.

Ce qui est inclus

Ce qu'inclut Mise en conformité ENS à Salamanque.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Rapport de catégorisation du système (Annexe I ENS)

    Document justifiant la catégorie attribuée au système — basique, moyen ou élevé — par l'évaluation de l'impact sur les cinq dimensions CIDAT pour chaque service fourni aux organismes publics de Salamanque, avec une méthodologie traçable référencée au RD 311/2022.

  • Analyse des écarts ENS–ISO 27001 avec contrôles cartographiés

    Tableau croisé des 75 mesures de l'Annexe II de l'ENS avec les contrôles de votre système de gestion ISO 27001:2022, identifiant les réutilisations, les écarts partiels et les contrôles absents, assorti d'une estimation de l'effort pour combler chaque écart avant la conformité.

  • Déclaration d'Applicabilité intégrée ENS–ISO 27001

    Document formel reprenant la sélection et l'exclusion justifiées des contrôles de l'ENS et de l'Annexe A de l'ISO 27001:2022, dans le format attendu par les auditeurs de conformité et par la CCN-STIC 809.

  • Politique de sécurité de l'information conforme à l'ENS

    Politique d'entreprise rédigée conformément à l'article 12 du RD 311/2022 et adaptée à la structure de votre organisation : objet, périmètre, rôles, engagements de la direction, cycle de révision biennal et références aux organismes publics salmantins avec lesquels vous travaillez.

  • Procédures, enregistrements et dossier de preuves

    Ensemble complet de procédures opérationnelles et de preuves attestant la mise en œuvre réelle des contrôles : gestion des utilisateurs et des accès, sauvegardes, gestion des vulnérabilités, contrôle des changements, gestion des incidents et formation du personnel, prêt à présenter à l'organisme d'audit.

  • Revue pré-audit et simulation de conformité

    Pour la catégorie moyenne ou élevée, audit interne préalable simulant le processus de l'organisme accrédité ENAC : revue des preuves, identification des points faibles et correction avant l'arrivée de l'auditeur externe, afin de minimiser le risque de non-conformités.

Cluster Summum

Comment il se connecte aux sœurs.

La mise en conformité à l'ENS par le système de gestion se renforce lorsqu'elle est complétée par la mise en œuvre technique des mesures de l'Annexe II assurée par Summum Sistemas : analyse de risques MAGERIT et PILAR, durcissement des systèmes, surveillance continue et préparation du dossier de preuves techniques. Ensemble, nous couvrons le volet documentaire-réglementaire et le volet technique-opérationnel dans un projet unique et coordonné, sans que votre équipe ait à gérer deux interlocuteurs distincts.

Questions fréquentes sur Mise en conformité ENS à Salamanque.

Dois-je me conformer à l'ENS si je suis fournisseur de la Diputación de Salamanca ou de la Mairie ?

Oui. Si vos systèmes d'information interagissent avec ceux de la Diputación Provincial de Salamanca, de la Mairie de Salamanque ou de tout autre organisme public soumis à l'ENS — y compris l'Université de Salamanque (USAL), organisme public universitaire —, le RD 311/2022 vous impose d'atteindre la conformité au niveau applicable à votre système. Cela concerne aussi bien les intégrateurs de logiciels que les prestataires de services managés, les opérateurs de télécommunications ou les consultants ayant accès aux systèmes de ces organismes. Le délai général a expiré le 5 mai 2024.

Que se passe-t-il si je réponds à un appel d'offres de l'USAL ou de la Diputación de Salamanca sans être conforme à l'ENS ?

L'absence de conformité à l'ENS peut constituer un motif d'exclusion dans les appels d'offres publics qui exigent une attestation de conformité, ou un motif de résiliation contractuelle si l'écart est découvert en cours d'exécution. Elle engage également la responsabilité de l'entité publique contractante, dont la propre conformité peut être remise en question si ses fournisseurs ne sont pas conformes. En pratique, un nombre croissant d'avis de marché public en Castille-et-León incluent la conformité ENS au niveau approprié comme exigence technique.

Quelle est la différence entre les catégories basique, moyenne et élevée, et laquelle s'applique à mon cas ?

La catégorie est déterminée en évaluant l'impact qu'un incident de sécurité aurait sur les cinq dimensions CIDAT (confidentialité, intégrité, disponibilité, authenticité et traçabilité) des services dans le périmètre. Si l'impact maximal dans l'une quelconque de ces dimensions est faible, le système est de catégorie basique ; si une dimension atteint un impact moyen, il est de catégorie moyenne ; si une dimension atteint un impact élevé, il est de catégorie élevée. La catégorie basique exige une déclaration de conformité auto-évaluée (CCN-STIC 809) ; la catégorie moyenne ou élevée exige une certification par un organisme accrédité ENAC. Summum Calidad réalise la catégorisation en première étape du projet.

Combien de temps prend la mise en conformité à l'ENS pour une organisation à Salamanque ?

Cela dépend de la catégorie du système et du point de départ en matière de sécurité. Pour les systèmes de catégorie basique avec certaines pratiques déjà en place, le processus peut être achevé en trois à six mois. Pour la catégorie moyenne ou élevée sans certification ISO 27001 préalable, le délai habituel se situe entre neuf et dix-huit mois, incluant l'analyse de risques, la mise en œuvre des mesures techniques et organisationnelles et l'audit de conformité par l'organisme accrédité. Si vous disposez déjà d'une certification ISO 27001, le délai se réduit considérablement car l'écart se concentre sur les aspects spécifiques du cadre espagnol.

Puis-je intégrer la mise en conformité à l'ENS à la certification ISO 27001 que je possède ou suis en train de déployer ?

Oui, et c'est la démarche la plus efficiente. L'ENS et l'ISO 27001:2022 partagent la même structure de gestion — politique, analyse de risques, sélection de contrôles proportionnés, revue et amélioration continue — et de nombreuses mesures de l'Annexe II de l'ENS ont un équivalent direct dans l'Annexe A de l'ISO 27001:2022. Avec l'ISO 27001 en cours ou certifiée, l'écart vers l'ENS se concentre sur les aspects spécifiques du cadre espagnol, réduisant le travail de 30 % à 40 % par rapport à deux projets indépendants. Summum Calidad réalise cette analyse des écarts et comble uniquement ce qui manque réellement.

Summum Calidad délivre-t-il le certificat de conformité ENS ?

Non. Le certificat de conformité pour la catégorie moyenne ou élevée ne peut être délivré que par un organisme d'inspection accrédité par ENAC conformément à la norme UNE-EN ISO/IEC 17065. Pour la catégorie basique, la déclaration de conformité est auto-évaluée et émise par l'organisation elle-même selon la CCN-STIC 809. Summum Calidad vous prépare à réussir ce processus avec toutes les garanties : diagnostic, mise en œuvre, documentation des preuves et revue pré-audit. Le certificat final est délivré par le tiers accrédité de votre choix ; nous veillons à ce que vous soyez dans les meilleures conditions possibles pour affronter cet audit.