CAHIER SPECIAL DES CHARGES n ICT/

Transcription

1 CAHIER SPECIAL DES CHARGES n ICT/ APPEL D OFFRES GÉNÉRAL portant sur l installation et l entretien d une zone démilitarisée (DMZ) dans le secteur informatique pour le compte du SPF Affaires étrangères, Commerce extérieur et Coopération au Développement

2 page 2/55 TABLE DES MATIÈRES. A. DISPOSITIONS GÉNÉRALES Objet et nature du marché Durée du contrat Pouvoir adjudicateur Informations complémentaires Session d information Introduction et ouverture des offres Introduction des offres Ouverture des offres Service dirigeant fonctionnaire dirigeant Description des services à prester Documents régissant le marché Législation Documents concernant le marché Offres Données à mentionner dans l offre Durée de validité de l offre Echantillons, documents et attestations à joindre à l offre Prix Prix Révision de prix Responsabilité du soumissionnaire Critères de sélection Régularité des offres Critères d attribution Critères de sélection Critères d exclusion Critères de sélection relatifs aux moyens financiers du soumissonnaire Critères de sélection relatifs aux capacités techniques du soumissionnaire Régularité des offres Critères d attribution Liste des critères d attribution Cotation finale Cautionnement Réceptions Exécution des services Délais et clauses Délais Clause d exécution Lieu où les services doivent être exécutés et formalités Lieu où les services doivent être exécutés Evaluation des services exécutés Facturation et paiement des services Avis de marché et rectificatifs Engagements particuliers pour le prestataire de services Litiges Amendes pour exécution tardive des services B. PRESCRIPTIONS TECHNIQUES Flux actuels d informations Structure actuelle de la protection Objectif L architecture proposée Redondance et niveau de performance Out-Of-Band (OOB) Management Intégration dans l architecture de réseau existante Spécifications TO-BE Stateful Firewalling & IPS (Interne) Stateful Firewalling & IPS (Externe) Terminaison VPN site à site Intégrité forward WEB... 31

3 page 3/ Reverse WEB & Loadbalancing Accès à distance (RAS) Gestion des accès des utilisateurs Fonctions d intégrité de la messagerie électronique Service de nom de domaine (Externe) (Domain Name Service (Extern)) SIEM Installation au sein de l environnement du SPF AE Gestion opérationnelle Introduction Migration de l infrastructure existante Contrôle et gestion à distance Centre de services SPOC Services pour la gestion, l'entretien et l'assistance Gestion des incidents Gestion des configurations/changements Gestion des mises en production Gestion de la capacité Accords sur les niveaux de service (Service Level Agreements ou SLA) Services d'expertise sur demande Formation Rapportage C. ANNEXES FICHE DE RENSEIGNEMENTS FORMULAIRE D OFFRE... 51

4 page 4/55 Service Public Fédéral Affaires étrangères, Commerce extérieur et Coopération au Développement Rue des Petits Carmes, Bruxelles Direction d encadrement ICT Fax : 02/ CAHIER SPÉCIAL DES CHARGES n ICT/ APPEL D OFFRES GÉNÉRAL portant sur l installation et l entretien d une zone démilitarisée (DMZ) dans le secteur informatique pour le compte du SPF Affaires étrangères, Commerce extérieur et Coopération au Développement A. DISPOSITIONS GÉNÉRALES. En application de l article 3, paragraphe 1 er, de l AR du 26 septembre 1996, l attention des soumissionnaires est attirée sur le fait que, dans le présent cahier spécial des charges, il a été dérogé à l article 75 de l annexe de l arrêté royal du 26 septembre 1996 concernant les amendes pour retard, en particulier sur le plan du pourcentage des amendes par jour calendrier et du pourcentage maximum des amendes calculé à la valeur des services. 1. Objet et nature du marché. Le présent marché porte sur l'installation de l'infrastructure de sécurité, de la migration depuis l'environnement existant, de l'entretien de l'infrastructure fournie et du monitoring partiel de l'infrastructure fournie. Ces quatre volets sont détaillés ci-dessous. 1. Le cahier des charges concerne l installation d une infrastructure de sécurité, comprenant les firewalls et les équipements de sécurité connexes capables de contrôler le trafic généré par +/ utilisateurs du SPF Affaires étrangères (SPF AE). Cette infrastructure ne contrôlera pas seulement le trafic de et vers l Internet, mais aussi les flux de et vers des autres instances, en particulier les liaisons de et vers les autres SPF et institutions publiques (tant nationales qu'internationales) ainsi que la connectivité pour les partenaires. L infrastructure doit aussi garantir la sécurité des serveurs des Affaires étrangères et de leurs applications accessibles à partir de l internet et du Wide Area Network (WAN). 2. Le marché couvre également la migration de l environnement existant vers le nouveau. La migration doit être réalisée avec le strict minimum d interruption du service. 3. Le marché comporte aussi un important service d entretien de l installation, pour le maintient à jour du niveau de securité. 4. Pour la surveillance opérationnelle d une partie de l infrastructure de sécurité, le soumissionnaire doit proposer une solution de monitoring permanent à distance depuis son Security Operation Centre (SOC), conjointement aux services sur site (SPF AE) nécessaires. Afin de pouvoir comparer objectivement et sur une base équitable les offres respectives des soumissionnaires, aucun des équipements actuels ne pourra être réutilisé. A la fin du contrat, le soumissionnaire est responsable de la récupération, à ses frais de l ensemble du matériel géré par le soumissionnaire ainsi que des coûts de résiliations de l ensemble de tous les services repris dans le projet (ligne vers le SOC, équipements, services, ). Aucun surcoût ne sera accepté par le SPF AE à la fin du contrat. La procédure choisie est celle de l appel d offres général.

5 page 5/55 Ce marché comporte un seul lot. Il s agit d un marché mixte (A.R. 8 janvier 1996, art. 86). Les services relatifs aux 4 volets du marché (voir ci-dessus) sont à prix global mensuel. Les services de consultance et de formations sont à bordereau de prix. 2. Durée du contrat. Le marché prend cours le premier jour calendrier qui suit le jour où le prestataire de services a reçu la notification d attribution du marché et est conclu pour une durée quatre (4) ans. Chaque partie peut néanmoins mettre fin de manière anticipée au contrat à la fin de la deuxième ou de la troisième année, à condition que la notification à l autre partie soit faite par lettre recommandée au moins 180 jours calendrier avant la fin de la deuxième ou de la troisième année, selon le cas. Dans ce cas, la partie qui doit subir la résiliation du contrat, ne peut réclamer des dommages et intérêts à cet effet. L exécution des services prévus au présent cahier spécial des charges doit, dans tous les cas, être terminée dans le délai prévu, conformément au point Pouvoir adjudicateur Informations complémentaires. Le pouvoir adjudicateur est l Etat belge, représenté par le Service Public Fédéral Affaires étrangères, Commerce extérieur et Coopération au Développement rue des Petits Carmes, 15 à 1000 Bruxelles. Des informations complémentaires relatives à la procédure peuvent être obtenues auprès de Mme Patricia De Jonghe, Tél. : 02/ Fax : 02/ [email protected] Des informations complémentaires relatives au contenu du marché peuvent être obtenues auprès de M. Frédéric Ruelle, Tél. : 02/ Fax : 02/ [email protected] 4. Session d information. Il n y a pas de session d information prévue. 5. Introduction et ouverture des offres. 5.1 Introduction des offres Les offres sont, avant l ouverture des offres, soit introduites électroniquement via l application e- tendering (voir ci-dessous pour plus d informations), soit envoyées par courrier (une lettre recommandée est conseillée), soit déposées personnellement auprès du pouvoir adjudicateur. Les offres sont acceptées pour autant que la séance d ouverture des offres n ait pas été déclarée ouverte. Offres envoyées par des moyens électroniques Les offres électroniques peuvent être envoyées via le site internet e-tendering qui garantit le respect des conditions établies par l'article 81 quater de l'ar de 8 janvier Il y a lieu de remarquer que l'envoi d'une offre par ne répond pas à ces conditions. Dès lors, il n'est pas autorisé d'introduire une offre par ce moyen. Sans préjudice des variantes autorisées éventuelles, chacun des soumissionnaires ne peut remettre qu'une offre par marché. Le soumissionnaire peut fournir sur un support papier et ce avant la date

6 page 6/55 limite de réception, certains écrits s il s avère que ces écrits ne peuvent être créés par des moyens électroniques ou qu il s avère trop complexe de les créer par ces moyens. Si nécessaire, les attestations telles que demandées seront scannées afin d être jointes à l offre. Par le seul fait de remettre une offre totalement ou partiellement par des moyens électroniques, le soumissionnaire accepte que les données découlant du fonctionnement du dispositif de réception de son offre soient enregistrées. (Article 81 quater de l AR du 8 janvier 1996). L offre doit parvenir au pouvoir adjudicateur avant la date limite de réception des offres. Afin de remédier à certains aléas de la transmission, de la réception ou de l ouverture des demandes de participation ou des offres introduites par des moyens électroniques, le pouvoir adjudicateur autorise le soumissionnaire d introduire à la fois une offre transmise par des moyens électroniques et, à titre de sauvegarde, une copie établie par des moyens électroniques ou sur support papier. Cette copie de sauvegarde est glissée dans une enveloppe définitivement scellée qui porte clairement la mention «copie de sauvegarde» et est introduite dans les délais de réception impartis. Cette copie ne peut être ouverte qu en cas de défaillance lors de la transmission, la réception ou l ouverture de l offre transmise par des moyens électroniques. Elle remplace dans ce cas définitivement le document transmis par des moyens électroniques. La copie de sauvegarde est par ailleurs soumise aux règles du présent cahier spécial des charges et de l arrêté royal du 8 janvier 1996 qui sont applicables aux offres. Plus d'informations peuvent être obtenues sur le site : ou via le numéro de téléphone du helpdesk du service e-procurement : +32 (0) Offres non introduites par des moyens électroniques Les offres, qui n ont pas été introduites électroniquement, sont glissées (en double exemplaire : deux originaux ou un original et une copie) dans une enveloppe fermée. Sur cette enveloppe, il y a lieu d indiquer les mentions suivantes : - le numéro du cahier spécial des charges; - la date et l heure de l ouverture des offres. Cette enveloppe est glissée dans une deuxième enveloppe portant les mentions suivantes: - le mot «offre» dans le coin supérieur gauche; - à l endroit prévu pour l adresse du destinataire : Service Public Fédéral Affaires étrangères, Commerce extérieur et Coopération au Développement Direction d encadrement ICT Rue des Petits Carmes, BRUXELLES Modification ou retrait d une offre déjà introduite Lorsqu un soumissionnaire souhaite retirer ou modifier une offre déjà envoyée ou introduite, ceci doit se dérouler conformément aux dispositions de l article 105 de l arrêté royal du 8 janvier La modification ou le retrait d une offre déjà introduite est possible via des moyens électroniques qui satisfont au prescrit de l article 81 quater de l arrêté royal du 8 janvier 1996 ou sur papier. Afin de modifier ou de retirer une offre déjà envoyée ou introduite, une déclaration écrite, correctement signée par le soumissionnaire ou par son mandataire, est exigée. L objet et la portée des modifications doivent, sous peine de nullité de l offre, être mentionnés de façon précise. Le retrait doit être inconditionnel. Le retrait peut également être communiqué par télégramme, télex ou téléfax, pour autant que : 1 il parvienne au président de la séance d ouverture des offres avant qu il n ouvre la séance ;

7 page 7/55 2 et qu il soit confirmé par lettre recommandée déposée à la poste au plus tard le jour qui précède celui de la séance d ouverture des offres. Cette condition n est pas d application s il est fait usage de moyens électroniques qui satisfont au prescrit de l article 81 quater de l arrêté royal du 8 janvier Remarque : Pour des raisons techniques et organisationnelles, le pouvoir adjudicataire préfère que les offres soient déposées électroniquement. Le choix appartient bien entendu toujours au soumissionnaire et en aucune façon ce choix n aura d influence sur l analyse et l évaluation de l offre. Dans le cadre de l examen des offres par le pouvoir adjudicateur, l attention des soumissionnaires est attirée sur le fait qu ils doivent permettre la visite de leurs installations par les délégués du pouvoir adjudicateur. 5.2 Ouverture des offres Le 20/08/2013 à 14h15 au 15, rue des Petits Carmes, 1000 Bruxelles, il sera procédé à l ouverture publique des offres remises pour le présent marché. 6. Service dirigeant fonctionnaire dirigeant. Le service dirigeant au sens des articles 1 er et 2 du cahier général des charges est le pouvoir adjudicateur. Seul le pouvoir adjudicateur est compétent pour la surveillance du marché ainsi que pour son contrôle. Le fonctionnaire dirigeant (qui sera un fonctionnaire du pouvoir adjudicateur) sera désigné dans la notification d attribution du marché. Les limites de sa compétence y seront indiquées. 7. Description des services à prester. Cf. B. PRESCRIPTIONS TECHNIQUES

8 page 8/55 8. Documents régissant le marché Législation. - La loi du 24 décembre 1993 relative aux marchés publics et à certains marchés de travaux, de fournitures et de services ; - L arrêté royal du 8 janvier 1996 relatif aux marchés publics de travaux, de fournitures et de services et aux concessions de travaux publics; - L arrêté royal du 26 septembre 1996 établissant les règles générales d'exécution des marchés publics et des concessions de travaux publics + annexe : cahier général des charges des marchés publics de travaux, de fournitures et de services et des concessions de travaux publics; - Toutes les modifications à la loi et aux arrêtés précités, en vigueur au jour de l ouverture des offres; 8.2. Documents concernant le marché. - Le présent cahier spécial des charges n ICT/ L offre approuvée. 9. Offres Données à mentionner dans l offre. L attention des soumissionnaires est attirée sur l article 10 de la loi du 24 décembre 1993 et sur l article 78 de l arrêté royal du 8 janvier 1996 relatif aux incompatibilités. Le soumissionnaire est tenu d utiliser le formulaire d offre joint en annexe au présent cahier spécial des charges. Si, toutefois, d autres documents sont utilisés, il est tenu d attester sur chaque document la conformité au formulaire d offre joint au cahier spécial des charges (Art. 89 de l AR du 8 janvier 1996). L offre et les annexes jointes au formulaire d offre sont rédigées en français ou en néerlandais. Par le dépôt de son offre, le soumissionnaire renonce automatiquement à ses conditions générales ou particulières de vente, même si celles-ci sont mentionnées dans l une ou l autre annexe à l offre. Le soumissionnaire indique clairement dans son offre quelle information est confidentielle et/ou se rapporte à des secrets techniques ou commerciaux et ne peut donc pas être divulguée par le pouvoir adjudicateur. Le formulaire d offre est joint au cahier spécial des charges. Format de la réponse L offre du soumissionnaire doit comprendre une partie technique et une partie commerciale. 1 ) Partie technique La partie technique des offres sera constituée selon le plan qui suit, étant entendu que les soumissionnaires sont invités à limiter les informations fournies dans l'ensemble l offre à ce qui leur est spécifiquement demandé (en se limitant à 110 pages tout au plus). Des développements éventuels, des ajouts, des brochures ou de l'information peuvent, s'ils le souhaitent, être présentés dans des annexes. La partie technique de l'offre devra être organisée comme suit en respectant les nombres de pages: - Synopsis (2 pages tout au plus), - Présentation générale de la société (4 pages tout au plus), - Approche générale (10 pages tout au plus),

9 page 9/55 - Réponse par fonctionnalité (40 pages tout au plus pour l ensemble des fonctions), - Informations complémentaires - Annexes Synopsis (2 pages tout au plus) Cette synthèse devra présenter les points clés du projet et les éléments essentiels de l'offre concernant chaque composante. Les soumissionnaires peuvent employer cette synthèse pour présenter leur capacité à exécuter, de manière professionnelle, le projet dans son ensemble. Présentation générale de la société (4 pages tout au plus). Cette section permet au soumissionnaire de se présenter (historique, parts de marché, ventes et résultats, représentations géographiques des activités, etc.). Approche générale (10 pages tout au plus) Cette section présentera la solution proposée dans son ensemble. En plus, toutes les limites techniques (capacité maximum licence, etc..) prévues dans l'offre devront être mentionnées dans cette section. En outre, les soumissionnaires sont priés de mettre en évidence les distinctions: - entre les caractéristiques et les services disponibles aujourd hui et ceux qui ne le seront que dans l'avenir (roadmap), - entre les éléments qui font partie de l offre de base et les éléments proposés en option. Dans cette partie, les soumissionnaires devront également fournir des informations détaillées au sujet de la migration des moyens actuels de sécurité du SPF AE vers le nouveau setup. Cette description devra permettre au SPF AE d'obtenir une vue précise de l'approche des soumissionnaires à ce sujet, tant au point de vue des principes de migration au niveau organisationnel et technique, que par rapport à l'approche et les services fournis, afin de réaliser cette migration avec une perturbation minimale pour le SPF AE. Réponse par fonctionnalité (maximum 40 pages pour l ensemble des services) Cette section permet de détailler l'offre pour chacune des solutions techniques. Chaque service doit être traité dans un chapitre séparé. Une réponse détaillée, point par point comme prévue, est demandée pour chacune des sections. Toutes les restrictions concernant les services assurés par le soumissionnaire doivent également apparaître dans le paragraphe prévu dans la section concernée. Informations complémentaires Cette section est facultative. Elle est prévue pour contenir n'importe quelle information considérée utile par les soumissionnaires dans leur réponse. Annexes Cette section doit être utilisée pour toutes les annexes à l offre. 2 ) Partie commerciale La partie commerciale de l'offre devra être séparée de la partie technique Les renseignements suivants seront mentionnés dans l offre : - le prix global mensuel de l offre en lettres et chiffres (hors TVA) ; - les prix unitaires en lettres et chiffres pour les services de consultance et de formation (hors TVA) ; - le montant de la TVA ; - la signature de la personne compétente pour signer l offre ; - la qualité de la personne qui signe l offre ;

10 page 10/55 - la date à laquelle la personne précitée a signé l offre ; - le numéro d immatriculation complet du soumissionnaire auprès de la Banque Carrefour des Entreprises (pour les soumissionnaires belges) - à titre d information, le détail des frais mensuels selon le format suivant : Service Basic/Option Frais mensuel Stateful Firewalling & IPS (Interne) Stateful Firewalling & IPS (Out Of Band) Stateful Firewalling & IPS (Cortesy) Stateful Firewalling & IPS (Externe) Terminaison VPN site à site Intégrité forward WEB Gestion des accès des utilisateurs Instrastructure (Racks s, Switches, Cabling, etc..) SIEM Logging Gestion operationelles (Service Management, Monitoring, Connectivité vers le SOC, Reporting, etc) Contrôle de l intégrité de l host à partir de "User Access Controle service" Basic Basic Basic Basic Basic Basic Basic Basic Basic Basic Option 9.2. Durée de validité de l offre. Les soumissionnaires restent liés par leur offre pendant un délai de 120 jours calendrier, à compter du jour qui suit celui de l ouverture des offres Echantillons, documents et attestations à joindre à l offre. Les soumissionnaires joignent à leur offre: - tous les documents demandés dans le cadre des critères de sélection et des critères d attribution (voir rubrique 12 ci-après); - les statuts ainsi que tout autre document utile prouvant la compétence du (des) signataire(s).

11 page 11/ Prix Prix. Tous les prix mentionnés dans le formulaire d offre doivent être obligatoirement libellés en EURO. Le présent marché est un marché mixte. Les quatre volets détaillés au point 1 du présent cahier spécial des charges sont à prix global mensuel, ce qui signifie que ce prix global mensuel est forfaitaire. Le prestataire de services est censé avoir inclus dans son prix global mensuel tous les frais possibles grevant ces services, à l exception de la TVA. Les services de consultance et de formations sont à bordereau de prix, ce qui signifie que les prix unitaires sont forfaitaires. Le prestataire de services est censé avoir inclus dans ses prix unitaires tous les frais possibles grevant ces services, à l exception de la TVA. Veuillez noter que tous les frais non-récurrents, y compris tout le hardware à installer doivent être amortis dans le modèle des frais récurrents mensuels. Pour cette dernière raison, les formulaires de l offre financière ne comprendront pas une rubrique pour les frais nonrécurrents Révision de prix. Pour le présent marché, aucune révision de prix n est possible. 11. Responsabilité du soumissionnaire. Le prestataire de services assume la pleine responsabilité des fautes et manquements présentés dans les services fournis, en particulier dans les études, les comptes, les plans ou dans toutes les autres pièces déposées par lui en exécution du marché. Par ailleurs, le prestataire de services garantit le pouvoir adjudicateur des dommages et intérêts dont celui-ci est redevable à des tiers du fait du retard dans l exécution des services ou de la défaillance du prestataire de services.

12 page 12/ Critères de sélection Régularité des offres Critères d attribution Critères de sélection. Les soumissionnaires sont évalués sur la base des critères de sélection repris ci-après. Seules les offres des soumissionnaires qui satisfont aux critères de sélection sont prises en considération pour participer à la comparaison des offres selon les critères d attribution repris au point 12.3 du présent cahier spécial des charges, dans la mesure où ces offres sont régulières sur le plan administratif et technique Critères d exclusion. Par le dépôt de son offre, le soumissionnaire atteste qu il ne se trouve pas dans un des cas d exclusion figurant ci-dessous. Le pouvoir adjudicateur vérifiera l exactitude de cette déclaration sur l honneur implicite dans le chef du soumissionnaire dont l offre est la mieux classée. A cette fin, il demandera au soumissionnaire concerné par les moyens les plus rapides, et dans le délai qu il détermine, de fournir les renseignements ou documents permettant de vérifier sa situation personnelle. Le pouvoir adjudicateur demandera lui-même les renseignements ou documents qu il peut obtenir gratuitement par des moyens électroniques auprès des services qui en sont gestionnaires. Premier critère d exclusion..1. Le soumissionnaire belge qui emploie du personnel assujetti à la loi du 27 juin 1969 révisant l arrêté-loi du 28 décembre 1944 concernant la sécurité sociale des travailleurs, doit être en ordre en ce qui concerne ses obligations vis-à-vis de l Office National de Sécurité Sociale. Il est considéré comme étant en ordre en ce qui concerne les obligations précitées, s il apparaît, qu au plus tard la veille de la date limite de réception des offres, il : 1 a transmis à l Office National de Sécurité Sociale toutes les déclarations requises jusque et y compris celles relatives à l avant-dernier trimestre civil écoulé par rapport à la date limite de réception des offres et 2 n a pas pour ces déclarations une dette en cotisations supérieure à 2500 EURO, à moins qu il n ait obtenu pour cette dette des délais de paiement qu il respecte strictement. Toutefois, même si la dette en cotisations est supérieure à EURO, le soumissionnaire sera considéré comme étant en régle, s il établit, avant la décision d attribuer le marché, qu il possède, au plus tard la veille de la date limite de réception des offres à l égard d un pouvoir adjudicateur au sens de l article 4, 1 et 2, 1 à 8 et 10 de la loi, ou d une entreprise publique au sens de l article 26 de cette même loi, une ou plusieurs créances certaines, exigibles et libres de tout engagement à l égard de tiers pour un montant au moins égal, à EURO près, à celui pour lequel il est en retard de paiement de cotisations. 2. Le soumissionnaire étranger doit au plus tard la veille de la date limite de réception des offres : 1 être en règle avec ses obligations relatives au paiement des cotisations de sécurité sociale selon les dispositions légales du pays où il est établi. 2 être en ordre avec les dispositions du 1er, s il emploie du personnel assujetti à la loi du 27 juin 1969 révisant l arrêté-loi du 28 décembre 1944 concernant la sécurité sociale des travailleurs.

13 page 13/55.3. A quelque stade de la procédure que ce soit, le pouvoir adjudicateur peut s informer, par tous moyens qu il juge utiles, de la situation en matière de paiement des cotisations de sécurité sociale de tout soumissionnaire. Deuxième critère d exclusion. Est exclu de la participation à la procédure d attribution : Le prestataire de services qui a fait l objet d un jugement ayant force de chose jugée dont le pouvoir adjudicateur a connaissance pour : 1 participation à une organisation criminelle telle que définie à l article 324bis du Code pénal ; 2 corruption, telle que définie à l article 246 du Code pénal ; 3 fraude au sens de l article 1 er de la convention relative à la protection des intérêts financiers des communautés européennes, approuvée par la loi du 17 février 2002 ; 4 blanchiment de capitaux tel que défini à l article 3 de la loi du 11 janvier 1993 relative à la prévention de l utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme. En vue de l application du présent paragraphe, le pouvoir adjudicateur peut, lorsqu il a des doutes sur la situation personnelle d un prestataire de services, s adresser aux autorités compétentes belges ou étrangères pour obtenir les informations qu il estime nécessaires à ce propos. Troisième critère d exclusion. Le soumissionnaire ne peut pas se trouver dans un des cas suivants : 1 se trouver en état de faillite ou de liquidation, avoir cessé ses activités ou avoir obtenu un concordat judiciaire, ou se trouver dans toute situation analogue résultant d une procédure de même nature existant dans les législations et réglementations nationales ; 2 avoir déposé une déclaration de faillite, avoir entamé une procédure de liquidation ou de concordat judiciaire ou avoir en cours une procédure de même nature existant dans les législations et réglementations nationales. Quatrième critère d exclusion. Le soumissionnaire ne peut pas avoir été condamné par un jugement passé en force de chose jugée pour un délit qui porte atteinte à son intégrité professionnelle. Cinquième critère d exclusion. Le soumissionnaire ne peut pas, en matière professionnelle, avoir commis une faute grave, constatée par tout moyen dont le pouvoir adjudicateur pourra justifier. En outre, le soumissionnaire, par la signature de son offre, s engage à respecter les normes définies dans les conventions de base de l Organisation Internationale du Travail (OIT) et, en particulier: 1. L interdiction du travail forcé (conventions n 29 concernant le travail forcé ou obligatoire, 1930, et n 105 sur l abolition du travail forcé, 1957); 2. Le droit à la liberté syndicale (convention n 87 sur la liberté syndicale et la protection du droit syndical, 1948); 3. Le droit d organisation et de négociation collective (convention n 98 sur le droit d organisation et de négociation collective, 1949); 4. L interdiction de toute discrimination en matière de travail et de rémunération (conventions n 100 sur l égalité de rémunération, 1951 et n 111 concernant la discrimination (emploi et profession), 1958);

14 page 14/55 5. L âge minimum fixé pour le travail des enfants (convention n 138 sur l âge minimum, 1973), ainsi que l interdiction des pires formes du travail des enfants (convention n 182 sur les pires formes du travail des enfants, 1999). Le non-respect des conventions susmentionnées sera donc considéré comme faute grave en matière professionnelle au sens de l article 69, 4 de l AR du 8 janvier Les dispositions qui précèdent s appliquent sans préjudice des autres dispositions reprises à l article 69 de l arrêté précité. Sixième critère d exclusion. Le soumissionnaire doit être en ordre concernant ses obligations vis-à-vis des contributions directes et de la TVA. Septième critère d exclusion. Le soumissionnaire ne peut pas s être rendu gravement coupable de fausses déclarations en fournissant des renseignements exigibles dans le cadre du présent marché Critères de sélection relatifs aux moyens financiers du soumissonnaire. Le soumissionnaire doit avoir réalisé au cours d un des trois derniers exercices un chiffre d affaires total au moins égal à ,00 EURO. Il joindra à son offre une déclaration relative au chiffre d affaires total réalisé pendant les trois derniers exercices, à moins que le chiffre d affaires total soit mentionné dans les comptes annuels approuvés qui peuvent être consultés via le guichet électronique (il s agit des comptes annuels libellés selon le schéma comptable complet, ou selon le schéma comptable raccourci dans laquelle la mention facultative du chiffre d affaires total réalisé, a été complétée). Le soumissionnaire doit avoir réalisé au cours d un des trois derniers exercices un chiffre d affaires relatif aux activités directement liées aux services décrits dans le présent cahier spécial des charges, égal à ,00 EURO. Il joindra à son offre une déclaration relative à ce chiffre d affaires réalisé pendant les trois derniers exercices. Le soumisionnaire doit également prouver sa solvabilité financière. Cette capacité financière sera jugée sur base des comptes annuels approuvés des trois dernières années déposées auprès de la Banque Nationale de Belgique. Les soumissionnaires qui ont déposé les comptes annuels approuvés auprès de la Banque Nationale de Belgique, ne sont pas tenus de les joindre à leur offre, étant donné que le pouvoir adjudicateur est à même de les consulter via le guichet électronique de l autorité fédérale. Les soumissionnaires qui n ont pas déposé les comptes annuels approuvés des trois dernières années comptables auprès de la Banque Nationale de Belgique, sont tenus de les joindre à leur offre. Cette obligation vaut également pour les comptes annuels approuvés récemment et qui n ont pas encore été déposés auprès de la Banque Nationale de Belgique, parce que le délai légal accordé pour le dépôt de ceux-ci n est pas encore échu.pour les entreprises individuelles, il convient de faire rédiger un document reprenant tous les actifs et tous les passifs par un comptable IEC ou un réviseur d entreprise. Ce document doit être certifié conforme par un comptable IEC agréé ou par le réviseur d entreprise, selon le cas. Le document doit refléter une situation financière récente (datant de 6 mois au maximum, à compter de la date d ouverture des offres). Au cas où l entreprise n a pas encore publié de compte annuel, un bilan intermédiaire certifié conforme par le comptable IEC ou par le réviseur d entreprise suffit. Les entreprises étrangères doivent joindre également à leur offre les comptes annuels approuvés des trois dernières années ou un document reprenant tous les actifs et tous les passifs de l entreprise. Au cas où l entreprise n a pas encore publié de compte annuel, un bilan intermédiaire certifié conforme par le comptable ou par le réviseur d entreprise ou par la personne ou l organisme qui exerce ce type de fonction dans le pays concerné suffit.

15 page 15/ Critères de sélection relatifs aux capacités techniques du soumissionnaire. Premier critère relatif à la capacité du soumissionnaire. Le soumissionnaire doit disposer des références suivantes en matière de services exécutés pendant les trois dernières années : Le soumissionnaire est tenu de fournir la preuve de la réalisation d'au moins trois projets comparables, pour un nombre d utilisateurs internes comparable (les projets réalisés au sein de la société du soumissionnaire ou au sein de la/des société(s) du/des sous-traitant(s) ne sont pas pris en compte pour ce critère). À cet effet, il fournira une liste des marchés les plus importants accomplis au cours des trois dernières années. Il fournira également une liste reprenant des projets comparables réalisés au cours de la même période, et indiquera les instances publiques et privées pour lesquelles ces projets ont été réalisés. S il s agit de services à des administrations, les services sont prouvés par des certificats établis ou approuvés par l administration compétente. S il s agit de services à des personnes de droit privé, les services sont prouvés par des certificats établis par ces personnes, ou à défaut, par une déclaration du soumissionnaire. Le soumissionnaire indiquera aussi la date, le montant total du marché et les coordonnées d'une personne de contact au sein de la société ou de l'organisation. Deuxième critère relatif à la capacité du soumissionnaire. Le soumissionnaire indiquera comment il garantit la qualité de ses services et ses produits. Il décrira son système de gestion pour gérer ses processus, ses activités afin de satisfaire les exigences de ses clients et se conformer aux réglementations en vigueur. Les certifications suivantes sont requises de la part du soumissionnaire: Project management (PMI, Prince2), Service management (ITIL), Réseau (CCNP, CCIE ou équivalent), Sécurité (CISSP et/ou CISA, security vendor certifications, ISO27001, etc..). De plus, une certification ISO 9001 (ou équivalent) est requise de la part du prestataire de services. En cas de recours à une société sous-traitante, le SPF AE souhaite que le sous-traitant en question soit lui aussi titulaire d'une certification ISO 9001 (ou équivalent). Le soumissionnaire joint à son offre une liste des services qu il fera exécuter par un sous-traitant. Troisième critère relatif à la capacité du soumissionnaire. Le SOC doit être localisé dans l UE Régularité des offres. Les offres des soumissionnaires sélectionnés seront examinées du point de vue de leur régularité. Les offres irrégulières seront exclues. Seules les offres régulières seront prises en considération pour être confrontées aux critères d attribution Critères d attribution. Pour le choix de l offre la plus intéressante d un point de vue économique, les offres régulières des soumissionnaires sélectionnés seront confrontées à une série de critères d attribution. Ces critères seront pondérés afin d obtenir un classement final.

16 page 16/ Liste des critères d attribution. Les critères d attribution, par ordre décroissant d importance, sont les suivants : 1) Prix 50p 2) Valeur technique 50p a) Architecture globale 25p Architecture Design 5p Qualité des produits proposés 7,5p Qualité des fonctionnalités proposés 7,5p Confort de gestion / Possibilité d audit 5p b) Services de monitoring, gestion, assistance et support 15p Sécurité du SOC et gestion des données confidentielles 5p Taux de proactivité, centre de services en assistance, services 5p de reporting, training et consultance (Adhoc) Services de l entretien et SLA 5p c) Installation de la solution, Transition de AS-IS vers TO-BE 10p Cotation finale. Les cotations pour les 2 critères d attribution seront additionnées. Le marché sera attribué au soumissionnaire qui obtient la cotation finale la plus élevée, après que le pouvoir adjudicateur aura vérifié, à l égard de ce soumissionnaire, l exactitude de la déclaration implicite sur l honneur et à condition que le contrôle ait démontré que la déclaration implicite sur l honneur correspond à la réalité. L évaluation des critères d attribution se fera comme suit : - le critère d attribution 1 (Prix) sera évalué selon la formule suivante : (Montant total de l offre la moins chère / Montant total de l offre) x 50 Le montant tolal de l offre sera composé du prix global mensuel multiplié par 42 (= durée du marché de 48 mois 6 mois équivalents à 180 jours d installation), du prix d une journée de formation pour 5 personnes multiplié par 2 (1 formation en FR et une formation en NL) et du prix d une journée de consultance multiplié par 80 (estimation du nombre de jours qui seront utiles après l implémentation de la solution). Pour rappel, afin de pouvoir comparer objectivement et sur une base équitable les offres respectives des soumissionnaires, aucun des équipements actuels ne pourra être réutilisé. - le critère d attribution 2 (Valeur technique) sera évalué sur base d une étude/comparaison détaillée du respect et de la qualité demandés de l intégration et des fonctionnalités.

17 page 17/ Cautionnement. Le cautionnement est fixé à 5 % du montant total, hors TVA, du marché (Cf Cotation finale). Le montant ainsi obtenu est arrondi à la dizaine d euro supérieure. Le cautionnement peut être constitué conformément aux dispositions légales et réglementaires, soit en numéraire, ou en fonds publics, soit sous forme de cautionnement collectif. Le cautionnement peut également être constitué par une garantie accordée par un établissement de crédit satisfaisant au prescrit de la loi du 22 mars 1993 relative au statut et au contrôle des établissements de crédit ou par une entreprise d assurances satisfaisant au prescrit de la loi du 9 juillet 1975 relative au contrôle des entreprises d assurances et agréée pour la branche 15 (caution). L adjudicataire doit, dans les trente jours de calendrier suivant le jour de la conclusion du marché, justifier la constitution du cautionnement par lui-même ou par un tiers, de l une des façons suivantes : 1 lorsqu il s agit de numéraire, par le virement du montant au numéro de compte du Postchèque de la Caisse des Dépôts et Consignations (CCP n ) ou d un organisme public remplissant une fonction similaire à celle de ladite Caisse, ci-après dénommé organisme public remplissant une fonction similaire ; 2 lorsqu il s agit de fonds publics, par le dépôt de ceux-ci entre les mains du caissier de l Etat au siège de la Banque nationale à Bruxelles ou dans l une de ses agences en province, pour compte de la Caisse des Dépôts et Consignations, ou d un organisme public remplissant une fonction similaire ; 3 lorsqu il s agit d un cautionnement collectif, par le dépôt par une société exerçant légalement cette activité, d un acte de caution solidaire auprès de la Caisse des Dépôts et Consignations ou d un organisme public remplissant une fonction similaire ; 4 lorsqu il s agit d une garantie, par l acte d engagement de l établissement de crédit ou de l entreprise d assurances. Cette justification se donne, selon le cas, par la production au pouvoir adjudicateur : 1 soit du récépissé de dépôt de la Caisse des Dépôts et Consignations ou d un organisme public remplissant une fonction similaire ; 2 soit d un avis de débit remis par l établissement de crédit ou l entreprise d assurances ; 3 soit de la reconnaissance de dépôt délivrée par le caissier de l Etat ou par un organisme public remplissant une fonction similaire ; 4 soit de l original de l acte de caution solidaire visé par la Caisse des Dépôts et Consignations ou par un organisme public remplissant une fonction similaire ; 5 soit de l original de l acte d engagement établi par l établisement de crédit ou l entreprise d assurances accordant une garantie. Ces documents, signés par le déposant, indiquent au profit de qui le cautionnement est constitué, son affectation précise par l indication sommaire de l objet du marché et de la référence du cahier spécial des charges, ainsi que le nom, le prénom et l adresse complète de l adjudicataire et éventuellement, du tiers qui a effectué le dépôt pour compte, avec la mention bailleur de fonds ou mandataire, suivant le cas. Le délai de trente jours de calendrier visé ci-avant est suspendu pendant la période de fermeture de l entreprise de l adjudicataire pour les jours de vacances annuelles payées et les jours de repos compensatoire prévus par voie réglementaire ou dans une convention collective de travail rendue obligatoire. La preuve de la constitution du cautionnement doit être envoyée à l adresse qui sera mentionnée dans l avis d attribution du marché. Le cautionnement sera libéré en une fois après l acceptation définitive du dernier marché exécuté sur base du contrat conclu sur base du présent cahier spécial des charges, à la demande expresse de l adjudicataire et à condition que les services fournis aient été réceptionnés.

18 page 18/ Réceptions. Les services seront suivis de près pendant leur exécution par un délégué du pouvoir adjudicateur. 15. Exécution des services Délais et clauses Délais Les services d installation doivent être exécutés dans un délai de 180 jours calendrier à compter du deuxième jour ouvrable qui suit la date d envoi du bon de commande. Les jours de fermeture de l entreprise du prestataire de services pour les vacances annuelles ne sont pas inclus dans le calcul. Le bon de commande est adressé au prestataire de services soit par envoi recommandé soit par fax, soit par tout autre moyen permettant de déterminer la date d envoi de manière certaine. Les échanges de correspondance subséquents relatifs au bon de commande {et à l exécution des services} suivent les mêmes règles que celles prévues pour l envoi du bon de commande chaque fois qu une partie désire se ménager la preuve de son intervention. En cas de réception du bon de commande postérieure au délai de deux jours ouvrables, le délai de livraison peut-être prorogé au prorata du retard constaté pour la réception du bon de commande, à la demande écrite et justifiée du prestataire de services. Si le service qui a fait la commande, après avoir examiné la demande écrite du prestaire de services, l estime fondée ou partiellement fondée, il lui communique par écrit quelle acceptation de prorogation de délai est acceptée. En cas de libellé manifestement incorrect ou incomplet du bon de commande empêchant toute exécution de la commande, le prestaire de services en avise immédiatement par écrit le service commandeur afin qu une solution soit trouvée pour permettre l exécution normale de la commande. Si nécessaire, le prestataire de services sollicite une prorogation du délai de l exécution des services dans les mêmes conditions que celles prévues en cas de réception tardive du bon de commande. En tout état de cause, les réclamations relatives au bon de commande ne sont plus recevables si elles ne sont pas introduites dans les 15 jours de calendrier à compter à partir du premier jour qui suit celui où le prestataire de services a reçu le bon de commande Clause d exécution Le soumissionnaire s engage, jusqu à la complète exécution du marché, à respecter les 8 conventions de base de l OIT, telles qu elles sont reprises au point du présent cahier spécial des charges. Le non-respect de cet engagement pourra, en vertu de l article 20, 1er, 4 du Cahier général des charges annexé à l arrêté royal du 26 septembre 1996, donner lieu à l application des mesures d office prévues au 6 du même article, et notamment à la résiliation unilatérale du marché Lieu où les services doivent être exécutés et formalités Lieu où les services doivent être exécutés. Les services seront exécutés à l adresse suivante : Service Public Fédéral Affaires étrangères, Commerce extérieur et Coopération au Développement Rue des Petits Carmes, BRUXELLES

19 page 19/ Evaluation des services exécutés. Si pendant l exécution des services, des anomalies sont constatées, ceci sera immédiatement notifié à l adjudicataire par un fax ou par un message , qui sera confirmé par la suite au moyen d une lettre recommandée. L adjudicataire est tenu de recommencer les services exécutés de manière non conforme. Au moment où les services auront été exécutés, on procédera à l évaluation de la qualité et de la conformité des services exécutés. Un procès-verbal de cette évaluation sera établi, dont l exemplaire original sera transmis au prestataire de services. Les services qui n auront pas été exécutés de manière correcte ou conforme devront être recommencés. 16. Facturation et paiement des services. En ce qui concerne le montant global mensuel, au terme de chaque mois presté après l installation, le prestataire de services envoie les factures (en un seul exemplaire) et le procès-verbal de réception des services (un exemplaire original) à l adresse suivante. En ce qui concerne les services de formations et de consultance, lorsque ceux-ci ont été prestés, le prestataire de services envoie les factures (en un seul exemplaire) et le procès-verbal de réception des services (un exemplaire original) à l adresse suivante Service Public Fédéral Affaires étrangères, Commerce extérieur et Coopération au Développement Direction d encadrement B&B Rue des Petits Carmes, BRUXELLES La facture reprendra toutes les références mentionnées sur le bon de commande ainsi que le nom de la personne de contact. Seuls les services exécutés de manière correcte pourront être facturés. Le paiement a lieu dans un délai de 50 jours de calendrier à compter de la réception de la déclaration de créance, pour autant que le pouvoir adjudicateur ait été mis dans les délais prévus en possession des autres documents éventuellement exigés. La facture doit être libellée en EURO. 17. Avis de marché et rectificatifs. Les avis de marché et rectificatifs annoncés ou publiés au Bulletin des Adjudications ou au Journal Officiel des Communautés européennes qui ont trait aux marchés en général, ainsi que les avis de marché et rectificatifs relatifs à ce marché, font partie intégrante du présent cahier spécial des charges. Le soumissionnaire est censé en avoir pris connaissance et en avoir tenu compte lors de l établissement de son offre. 18. Engagements particuliers pour le prestataire de services. Tous les résultats et rapports établis par le prestataire de services lors de l exécution de ce marché, sont la propriété du pouvoir adjudicateur et ne peuvent être publiés ou communiqués à des tiers qu avec l autorisation écrite du pouvoir adjudicateur. Le prestataire de services et ses collaborateurs sont liés par un devoir de réserve concernant les informations dont ils ont connaissance lors de l exécution de ce marché. Ces informations ne peuvent en aucun cas être communiquées à des tiers sans l autorisation écrite du pouvoir adjudicateur. Le prestataire de servicespeut toutefois faire mention de ce marché en tant que référence. Le prestataire de services s engage à faire exécuter le marché par les personnes indiquées dans l offre, sauf cas de force majeure. Les personnes mentionnées ou leurs remplaçants sont tous censés

20 page 20/55 participer effectivement à la réalisation du marché. Les remplaçants doivent être reconnus par le pouvoir adjudicateur. 19. Litiges. Tous les litiges relatifs à l exécution de ce marché sont exclusivement tranchés par les tribunaux compétents de l arrondissement judiciaire de Bruxelles. La langue véhiculaire est le français ou le néerlandais. Le pouvoir adjudicateur n est en aucun cas responsable des dommages causés à des personnes ou à des biens qui sont la conséquence directe ou indirecte des activités nécessaires à l exécution de ce marché. Le prestataire de services garantit le pouvoir adjudicateur contre toute action en dommages et intérêts par des tiers à cet égard. 20. Amendes pour exécution tardive des services. Par dérogation à l article 75 de l annexe de l arrêté royal du 26 septembre 1996, l amende pour exécution tardive des services d installation est fixée à 3,5% du montant total mensuel par jour calendrier. Il est dérogé aux dispositions de l article 75 relatif aux amendes pour exécution tardive des services en raison du désavantage important qu entraîne pour l Etat belge l exécution tardive des services.

21 page 21/55 B. PRESCRIPTIONS TECHNIQUES. 1. Flux actuels d informations L architecture proposée doit permettre un contrôle efficace du trafic entre les différents réseaux. Elle doit, par ailleurs, permettre d inspecter et si nécessaire d interdire le trafic entre les différents réseaux, intégralement ou partiellement, en fonction des desiderata du SPF AE. Les réseaux externes, avec lesquels le SPF AE est relié, sont les suivants : réseau Fedman, internet (via Fedman), lignes louées avec différents partenaires tels que des institutions publiques (institutions européennes) ou prestataires de services internationaux, lignes PSTN éventuelles, réseau WAN des ambassades (HERMES) et différents réseaux internes. L architecture concerne: les échanges avec le propre personnel du SPF qui travaille dans un autre environnement, par exemple le personnel détaché sur d autres sites ; les échanges avec des SPF et entités (publiques et privées) autres que le SPF AE qui ont un impact, direct ou indirect, sur les activités, par exemple dans le cadre de l exécution d un contrat de maintenance ; en cas d accès pour des interventions (urgentes) de tierces parties (par exemple ICT) ; en cas d accès pour des organisations (inter)nationales qui défendent des intérêts sur le plan de la sécurité, des intérêts politiques, militaires, économiques et environnementaux (Défense, Commission européenne, ). Les échanges se déroulent via : l internet, via la DMZ un tunnel sécurisé (configuration VPN site à site) passant par l internet une session sécurisé pour un seul utilisateur (configuration VPN Client) passant par l internet des lignes louées site à site (LL-V35, SHDSL, X25) un réseau MPLS WAN une passerelle pseudowire (VLL) passant par une connexion MAN régionale (Fedcom) des accès par ligne commutée (PSTN/ISDN) et en accordant ou en obtenant l accès : à des applications telles que la messagerie électronique à des fichiers de données à des services web internes à des programmes de gestion installés au niveau du SPF Les échanges d informations peuvent avoir lieu dans les deux sens. 2. Structure actuelle de la protection Pour des raisons de confidentialités, les données concernant la structure actuelle de la protection ne peuvent pas être précisées. 3. Objectif Aujourd'hui, le SPF AE souhaite une nouvelle infrastructure de protection qui soit suffisamment puissante pour couvrir les besoins des fonctionnaires et également assurer l accès aux dispositifs interne du SPF AE pour minimum 500 utilisateurs externes simultanés par le biais de l internet. D un point de vue fonctionnel, cette nouvelle infrastructure implique: - Le remplacement des pare-feu internes et externes - Le remplacement des serveurs forward/reverse proxy/loadbalancing

22 page 22/55 - Assistance concernant le remplacement de service RAS (service fourni par Fedict) - Assistance concernant le remplacement des fonctions d intégrité de la messagerie électronique / de l internet (service fourni par Fedict) - L ajou d un environnement SIEM (logging) - L ajou d un système de gestion des accès - Le remplacement du pare-feu Cortesy (EU) L adjudicataire sera responsable de la livraison et de la gestion partielle opérationnelle d une puissante infrastructure et devra assurer un niveau de sécurité élevé en conformité avec les besoins du SPF AE. L adjudicataire sera dans l obligation d apporter des adaptations à l infrastructure et/ou à sa méthode de travail afin de protéger le SPF AE si des manquements sont constatés par les responsables du SPF AE. Le SPF AE attend de l adjudicataire l une maîtrise de haut niveau des technologies de sécurité pour garantir une disponibilité élevée des services et une résistance maximale face aux menaces (obligation de résultat). La solution doit être évolutive et doit permettre une augmentation du trafic du réseau, du nombre d interfaces, de la vitesse de connexion des interfaces et du nombre d utilisateurs internes et externes. La solution doit également s adapter aux nouvelles exigences sur le plan de la sécurité (nouvelles menaces, nouvelles techniques de piratage informatique ). Le soumissionnaire doit indiquer clairement la façon dont l équipement proposé prévoira des extensions. L infrastructure de protection doit être parfaitement redondante et doit se composer de deux «access streets» basés sur des équipements physiquement séparés. Chaque «access street» doit être en mesure de garantir seul toutes les fonctions qui sont prévues dans ce cahier des charges en cas de panne d un datacenter. Les deux access streets doivent être installés dans deux sites distincts, un dans le bâtiment Egmont 1 et l autre dans le bâtiment Egmont 2 Dans son offre, le soumissionnaire doit clairement (et en détail) décrire l architecture proposée et la méthode de travail. Remarque et explication : les services du fournisseur de services internet (ISP) et la location des lignes ne sont pas inclus dans l offre du soumissionnaire (hormis en ce qui concerne les lignes destinées à la supervision et à l entretien de l infrastructure de protection). Le soumissionnaire doit mentionner tout recours à des sous-traitants en indiquant la part du marché qui est sous-traitée de même que les noms des sous-traitant(s). 4. L architecture proposée L architecture de la solution doit être basée sur une constellation de pare-feu en deux couches (une couche externe et une couche interne), complétées des dispositifs et équipements nécessaires afin de satisfaire aux différents besoins de sécurité fonctionnels. Pour les environnements impliquant un risque potentiel élevé, le SPF AE exige la présence de doubles pare-feu architecture périmétriques (internes + externes). Cela s applique à toutes les connexions internet, y compris les réseaux VPN qui sont transportés par un réseau public (Internet). Le rôle (et par conséquent l ensemble des fonctionnalités) des pare-feu périmétriques internes et externes ne doit cependant pas être parfaitement équivalent (voir plus loin sous la rubrique dispositions techniques). Pour les environnements impliquant un risque potentiel moyen, un seul périmètre suffit : cela s applique aux périmètres WLAN (à l avenir) ; aux DMZ internet (celles-ci se trouvent par définition entre le périmètre interne et externe (Internet) ; au lien vers des réseaux fiables (p.ex. WAN du SPF AE). Dans sa réponse, le soumissionnaire doit développer une proposition d architecture mettant en œuvre l ensemble des fonctionnalités requises : il doit tout particulièrement veiller à une description de

23 page 23/55 l intégration des différents composants proposés et de la façon dont ses composants interagissent afin de fournir le niveau de sécurité maximal. Pour tout le trafic entrant ou sortant, le SPF AE accordera la préférence à une solution combinant les produits de minimum deux technologies de sécurité différentes. Le système de sécurité doit reposer sur un système de commande fiable. Il peut s agir d un système standard qui est soigneusement protégé ou d un système spécialisé. Le soumissionnaire doit fortement expliquer et justifier son choix. Les technologies présentées doivent être en mesure de garantir un soutien intégral et suffisamment puissant à IPv4 et IPv6 : aucune différence notable entre le support IPv4 et IPv6 ; aucune émulation logicielle IPv6 ; permettre la traduction entre les deux protocols. Les différent composants présentés (firewall, vpn, proxy s, etc..) doivent pouvoir être intégrés de manière standardisée dans une solution «Access Management» qui établira un lien vers l environnement AD du SPF AE. Une intégration des systèmes s imposera afin de pouvoir disposer d une solution simple et centralisée pour le contrôle des accès : utilisation d une seule et unique banque de données avec utilisateurs, échange de droits d accès, «guest-access» vers l internet pour les utilisateurs inconnus, intégration dans la solution VPN, etc.

24 page 24/55 Le croquis ci-dessous reproduit l architecture TO-BE fonctionnelle demandée : BUZA CENTRAL NETWORK Cortesy ZONE x ZONE y ZONE z N4 ZONE x N4 ZONE y EU Zone Egmont 1 Egmont 2 Egmont 1 TRUSTED PARTIES To Hermes (WAN) OOB FW Virtual Firewals IPS/ IDP integrated Border Protection 2-Layer of Defence Virtual Firewals IPS/ IDP integrated OOB FW TRUSTED PARTIES To Hermes (WAN) FW Mgt & Report FW Mgt & Report Forward WEB INTEGRITY To BUZA AD Identity Mgt Identity Mgt To BUZA AD IN SCOPE SIEM Logging SIEM Logging Reverse WEB & Loadbalancing UNTRUSTED PARTIES IPSEC VPN integrated IPS/ IDP integrated Border Protection 1-Layer of Defence IPSEC VPN integrated IPS/ IDP integrated UNTRUSTED PARTIES FEDMAN To AD MAIL INTEGRITY To SIEM EU By Fedict DNS Domain name Services DNS To SIEM By Fedict To Identity (SAML2) SSL VPN Remote Access & Identity By Fedict SSL VPN To SIEM Internet (Belnet) BUZA RAS

25 page 25/55 5. Redondance et niveau de performance L infrastructure de sécurité doit être entièrement redondante. Elle doit se composer de deux séries d équipements complets situés dans deux sites distincts (Egmont 1 et Egmont 2). Les deux sites sont reliés mutuellement à l aide de fibres optiques (dark fiber). Ces lignes ne font pas partie du présent cahier des charges. La solution proposée doit par conséquent être parfaitement redondante pour toutes les fonctions requises. Toutes les zones de sécurité internes doivent être reliées entre elles de façon redondante sur un cluster FW (Fierwall), étendu entre les sites Egmont 1 et Egmont 2. Ces deux datacenters constituent également le hub de toutes les connexions vers les zones utilisateurs, les zones partenaire et la DMZ. Les transferts entre les sous-réseaux au sein d une zone de sécurité auront, en règle générale, lieu sur les commutateurs principaux (core switches) dans ces deux centres de données. En revanche, les transferts entre des zones de sécurité seront «délégués» par les routeurs principaux (core switch/routers) vers les clusters de pare-feu. La perte de paquets doit rester inférieure à 0,01%, hormis éventuellement dans les cas suivants : En cas de surcharge d une ligne de communication vers l extérieur En cas de re-routage En cas d entretien planifié Si la charge à soutenir par le pare-feu est supérieure aux spécifications qui sont indiquées dans le cahier des charges et la réponse du soumissionnaire. 6. Out-Of-Band (OOB) Management Le réseau Out Of Band contient un OOB Firewall cluster et doit être entièrement redondant. La zone Out-Of-Band se compose des composants suivants: OOB Firewall cluster OOB switches Firewall Management platform Composants SIEM Access management 7. Intégration dans l architecture de réseau existante Internet/FedMan Dans la nouvelle configuration, le soumissionnaire se basera sur la présence des caractéristiques de l accès Internet suivant : Une ligne Fedman primaire (1 Gbps) au niveau du site Egmont 1, pour le trafic de base Une ligne Fedman secondaire (1 Gbps) au niveau du site Egmont 1, en guise de sauvegarde sur la ligne primaire. Cette ligne déménagera dans le courant de 2013 vers Egmont 2 afin de satisfaire à la demande de redondance géographique. Réseau interne Pour la connexion avec l internet, la connexion FedMan actuelle sera mise à la disposition de l adjudicataire. L accès à FedMan sera organisé de manière redondante dans les deux sites distincts. Pour pouvoir basculer et partager le trafic destiné à l internet entre les deux connexions internet, il faudra éventuellement faire appel aux protocoles HSRP et BGP au niveau des routeurs d Internet. Le back-end FW doit posséder une interface avec le core switch (actuellement, Nortel switch Passport 8610). Seulement si l architecture proposée le nécessite, le

26 page 26/55 Réseau DMZ soumissionnaire doit présenter des commutateurs extra en vue de l intégration de sa solution dans l architecture globale LAN du SPF AE. A terme, une liaison sur 10Gbit/s sera nécessaire. La séparation entre les zones de sécurité au sein de chaque site sera réalisée soit par des VLAN séparés, si le risque d intrusion est limité, soit par des chemins séparés physiquement (avec commutateurs appart) si le risque d intrusion est important (par exemple en cas de transfert au sein de zones internet). Il convient de toujours utiliser des commutateurs séparés physiquement avant et après les pare-feu. Les commutateurs, avec tolérance d erreur et redondance (actif-passif), garantissent la liaison entre les différents serveurs, hôtes et pare-feu au sein de l infrastructure de sécurité (DMZ). Dans ce contexte, ils remplissent les fonctions suivantes : - Support des VLAN - Support des interfaces optiques - Support de protocoles L2 - Support de «stacking» - Support complet de IPv4 et IPv6 Le Soumissionnaire doit définir les performances des commutateurs à installer afin de garantir le niveau de performance demandé. Le nombre d interfaces physiques au niveau des pare-feu doit être supérieur ou égal à 24 (100M/1000M). Le soumissionnaire doit préciser le nombre d interfaces de soutien. Facteurs externes Le nombre de VLAN doit être supérieur à La jonction de VLAN doit être soutenue La transition de la situation AS-IS à la situation TO-BE devra avoir lieu en synergie avec l évolution parallèle du réseau backbone du SPF AE. Cela implique entre autres: Des travaux de câblage (dans les salles de données) L aménagement de dark fiber (fibre noir) entre les bâtiments centraux (Egmont 1 Egmont2) Le remplacement de l infrastructure core et distribution LAN / WLAN au niveau des sites centraux. Aujourd'hui, cette nouvelle infrastructure se compose quasiment exclusivement d appareils Nortel/Avaya, mais sera remplacée à terme. Consolidation des parcs de serveurs au niveau des sites Egmont 1 et Egmont 2 Cela peut entraîner des dépendances sur le plan du timing des installations.

27 page 27/55 Le croquis ci-dessous reproduit l architecture TO-BE technique demandée : Hermes DMZ Hermes DMZ

28 page 28/55 8. Spécifications TO-BE Les différentes fonctionnalités à mettre en œuvre sont décrites dans ce chapitre sur le plan fonctionnel et des exigences particulières. Dans sa réponse, le soumissionnaire doit décrire ce qui suit : La solution proposée et la façon dont elle répond à la fonctionnalité demandée L adéquation de la solution par rapport aux exigences techniques formulées La façon dont il intègrera cette fonctionnalité dans son infrastructure de sécurité L approche qu il propose afin de réaliser la migration de la situation actuelle vers la nouvelle configuration Les possibilités de rendre cette fonctionnalité évolutive (scalable). Les avantages/inconvénients du produit / de la solution proposés Sa connaissance et son expérience de la technologie et des produits qui sont utilisés Sa réponse aux éventuelles exigences spécifiques, décrites pour chaque fonctionnalité. 8.1 Stateful Firewalling & IPS (Interne) L objectif de cette couche consiste à protéger les réseaux internes du SPF AE contre des attaques provenant à la fois de l intérieur et de l extérieur et axées sur les systèmes et applications internes. Cette protection englobe un pare-feu à états (stateful firewalling) et une fonctionnalité IPS, et doit être compatible avec les applications et utilisateurs (application & user aware) et offrir ainsi la possibilité d établir une politique de sécurité (security policy) sur la base d applications au lieu de ports et de noms d utilisateurs au lieu d adresses IP. Elle doit pouvoir soutenir un concept de zonage afin de pouvoir répartir des réseaux internes en zones et de les séparer les uns des autres. La virtualisation doit être supportée pour l exécution du concept de zonage interne du SPF AE (minimum 10 instances virtuelles). Ce composant doit être conçu de manière dédiée sur le site du SPF AE. Des signatures et autres mises à niveau dynamiques pour, par exemple, la fonction IPS doivent être téléchargées à partir de l Internet / Cloud. Exigences physiques minimum 16x Gigabits cuivre, 4x Gigabits fibre, 2x 10 Gigabits Twinax ou fibre interface management dédiée et port console débit FW/IPS de minimum 5Gbps (le système IPS intégré ne peut pas entraîner un goulot d étranglement) deux blocs d alimentation permutables à chaud (dual hot-swappable power supplies) montage dans rack 19 (19 rack mountable) Disponibilité minimum un clustering HA actif / en stand-by et la méthode de regroupement doit être configurable par instance virtuelle zero-downtime failover & upgrade (de préférence sans perte de sessions) Gestion matériel informatique central dédié ou plateforme virtuelle de gestion sélection de protocoles de management autorisés (par exemple : HTTPS, SSH, SNMP) support pour segregation of duties mises à niveau programmées de signatures pour des composants dynamiques, par exemple la fonctionnalité IPS Les logs historiques doivent être centralisés sur la plateforme de gestion ou sur un stockage externe pouvant être approché à partir de la plateforme centrale de gestion. Dans les deux cas, un nombre suffisant de logs doivent être conservés localement afin de pallier d éventuels problèmes de connectivité avec la gestion centrale ou le stockage externe pour que des logs ne se perdent pas une alerte sur la base de logs est requise. La corrélation d événements sur la base de logs est un plus Logs d audit d actions de l administrateur et mise à niveau (automatique) des versions des politiques en termes de pare-feu outils d audit basé sur des règles, avec reproduction des visites(hits)/règle et des optimisations recommandées (éventuellement à l'aide d'outils de tierces parties)

29 page 29/55 Réseau minimum sessions concurrentes NAT dynamique (NAT plusieurs sur un) et statique (NAT un sur un) Marquage (tagging) et inspection IEEE 802.1q VLAN Agrégation de liens IEEE 802.3ad LACP Routage OSPF et BGP dynamique Classification, marquage, policing et/ou shaping, DiffServ/DSCP QoS avec possibilité de réglage de limitations et de garanties de largeur de bande par type de trafic (au moins adresse IP source et de destination et protocole ou port. Les utilisateurs et applications sont un plus) Implémentation IPv6 complète sans perte de performance (si un support complet n est pas possible, un support sur base de roadmap sera accepté) Sécurité Décryptage SSL et inspection du trafic crypté SSL atténuation DDOS (limitation du débit, paquets malformés, scans) configuration utilisateur /IP par Active Directory et NTLM / portail captif la possibilité de mise en œuvre de politiques associées au temps (Time based policies) est un plus Intelligence Applicative (web2.0, etc.) contrôle des protocoles les plus courants tels que FTP, H.323, SIP, RDP... pour une ouverture dynamique de ports et reconnaissance d application des protocoles les plus courants tels que HTTP afin de pouvoir ainsi développer des politiques à l aide d applications au lieu de numéros de ports La DLP (Data Leakage/Loss Prevention): la possibilité de scanner et bloquer des documents qui sortent du réseau par sur base du contenu, du template utilisé ou du metadata dans le document. Lien avec l Active Directory en vue du développement de politiques de sécurités sur base des comptes (utilisateur / IP «mappings») Intégration avec le composant SIEM Lien vers le composant de gestion des accès (Radius,...) 8.2 Stateful Firewalling & IPS (Externe) Cette couche a également pour but de protéger les réseaux DMZ & internes du SPF AE contre des attaques sur des systèmes et applications internes et doit également comprendre «stateful firewalling»,et la fonctionnalité IPS. En outre, elle doit être «application aware». Les Firewals externe suivantes peuvent être distingués: - Internet Firewalls (cluster) - OOB Firewalls (cluster) - Cortesy Firewall (single) La couche pare-feu externe doit pouvoir scinder la DMZ en différentes zones et les pare-feu OOB doivent protéger le réseau OOB. Les pare-feu OOB doivent en outre être «user aware», tandis que les pare-feu externes et Cortesy ne doivent pas l être. Ces composants doivent être conçus de manière dédiée sur le site du SPF AE. Des signatures et autres mises à niveau dynamiques pour, par exemple, la fonction IPS doivent être téléchargées à partir de l application Cloud. Exigences physiques Externe : minimum 12x cuivre, 4x fibre ; OOB/Cortesy : minimum 8x cuivre interface management dédiée et port console (pas pour OOB/Cortesy) Externe : débit FW/IPS de minimum 2Gbps ; OOB/Cortesy : débit FW/IPS de minimum 500Mbps (le système IPS intégré ne peut pas entraîner un goulot d étranglement) deux blocs d alimentation permutables à chaud (dual hot-swappable power supplies) (pas pour OOB/Cortesy) montage dans rack 19 (19 rack mountable) (pas pour OOB/Cortesy)

30 page 30/55 Disponibilité clustering HA actif / en stand-by. La méthode de regroupement doit être configurable par instance virtuelle (pas pour OOB/Cortesy) zero-downtime failover & upgrade (de préférence sans perte de sessions) (pas pour OOB/Cortesy) Gestion matériel informatique central dédié ou plateforme virtuelle de gestion sélection de protocoles de management autorisés (par exemple : HTTPS, SSH, SNMP) support pour segregation of duties et si possible workflow management mises à niveau programmées de signatures pour des composants dynamiques, par exemple la fonctionnalité IPS Les logs historiques doivent être centralisés sur la plateforme de gestion ou sur un stockage externe pouvant être approché à partir de la plateforme centrale de gestion. Dans les deux cas, un nombre suffisant de logs doivent être conservés localement afin de pallier d éventuels problèmes de connectivité avec la gestion centrale ou le stockage externe pour que des logs ne se perdent pas une alerte sur la base de logs est requise. La corrélation d événements sur la base de logs est un plus logs d audit d actions de l administrateur et mise à niveau (automatique) des versions des politiques en termes de pare-feu outils d audit basé sur des règles, avec reproduction des visites(hits)/règle et des optimisations recommandées (éventuellement à l'aide d'outils de tierces parties) Réseau Sécurité Externe : minimum sessions concurrentes ; OOB/Cortsey : minimum sessions concurrentes NAT dynamique (NAT plusieurs sur un) et statique (NAT un sur un) Marquage (tagging) et inspection IEEE 802.1q VLAN Agrégation de liens IEEE 802.3ad LACP (pas pour OOB/Cortesy) Routage OSPF et BGP dynamique (pas pour OOB/Cortesy) Classification, marquage, policing et/ou shaping, DiffServ/DSCP QoS avec possibilité de réglage de limitations et de garanties de largeur de bande par type de trafic (adresse IP source et de destination, protocole, port ou application) (pas pour OOB/Cortesy) Implémentation (et translation) IPv6 complète sans perte de performance (si un support complet n est pas possible, un support sur base de roadmap sera accepté) Décryptage SSL et inspection du trafic crypté SSL Protection DDOS (limitation du débit, paquets malformés, scans) Intelligence Applicative (web2.0, etc.) contrôle des protocoles les plus courants tels que FTP, H.323, SIP, RDP... pour une ouverture dynamique de ports et reconnaissance d application des protocoles les plus courants tels que HTTP afin de pouvoir ainsi développer des politiques à l aide d applications au lieu de numéros de ports Intégration avec le composant SIEM Lien vers le composant de gestion des accès (Radius,...) 8.3 Terminaison VPN site à site Il s agit d un composant destiné à la terminaison IPsec VPN. Ces tunnels serviront essentiellement aux connexions vers des fournisseurs de support tiers et des sauvegardes éventuellement cryptées le long de l internet public entre les différents sites du SPF AE. Ce composant peut être intégré dans la couche pare-feu externe. Il est aussi autorisé de prévoir cette fonctionnalité sur des appareils dédiés sous forme de pare-feu ou de routeurs distincts. Exigences physiques interface management dédiée et port console si sur matériel informatique distinct

31 page 31/55 Disponibilité débit AES-256 de minimum 1Gbps montage dans rack 19 (19 rack mountable) clustering HA actif / en stand-by (SA failover) mise à niveau sans temps d arrêt Gestion Réseau l intégration avec la plateforme de gestion pour les pare-feu externe est un plus sélection de protocoles de management autorisés (par exemple : HTTPS, SSH, SNMP) support pour segregation of duties et si possible workflow management l enregistrement de données doit avoir lieu localement ou en externe. Si les données sont enregistrées en externe, elles doivent être cachées localement afin de pouvoir pallier les problèmes de connectivité avec le stockage externe. L intégration avec la gestion centrale pour les pare-feu est un plus alerte en cas de problèmes avec des tunnels VPN logs d audit d actions de l administrateur NAT de trafic au sein d un tunnel VPN Marquage (tagging) et inspection IEEE 802.1q VLAN Classification, marquage, policing et / ou shaping, DiffServ/DSCP QoS avec possibilité de réglage de limitations et de garanties de largeur de bande par type de trafic (adresse IP source et de destination, protocole ou port) Implémentation IPv6 complète sans perte de performance (si un support complet n est pas possible, un support sur base de roadmap sera accepté) Sécurité la possibilité de mise en œuvre de politiques associées au temps est un plus Possibilité d authentification à l aide de PSK (Pre-Shared Secrets secrets prépartagés) ou certificats avec processus automatique d inscription de certificats Suite IPsec, y compris cryptage, 3DES, AES256 et méthodes de hachage SHAx Intégration avec le composant SIEM Lien vers le composant de gestion des accès (Radius,...) Aspects particuliers relatifs à la maintenance 8.4 Intégrité forward WEB Le contractant est responsable de la disponibilité 24/7 de tous les tunnels. Cela implique, entre autres, également la prise de contact avec le personnel technique du pair VPN afin de résoudre d éventuels problèmes opérationnels. Ici, l objectif consiste à empêcher, par le biais d un filtre à URL, les utilisateurs de l internet du SPF AE de visiter des sites internet indésirables sur l internet public et, en outre, à inspecter le contenu internet entrant quant à la présence de logiciels néfastes (virus, chevaux de Troie, vers, logiciels espions). Ce composant doit également permettre de décrypter un contenu crypté SSL et de le contrôler. Ce composant peut être intégré dans la couche pare-feu interne. Il est en outre aussi autorisé de prévoir cette fonctionnalité sur des appareils dédiés sous forme de serveurs proxy. Exigences physiques interface management dédiée et port console si sur matériel informatique distinct le nombre maximum d utilisateurs s élève à montage dans rack 19 (19 rack mountable) Disponibilité clustering HA actif / en stand-by zero-downtime failover & upgrade (de préférence sans perte de sessions)

32 page 32/55 Gestion Réseau gestion à l aide d une application soit basée web, soit intégration avec la plateforme de gestion pour les pare-feu interne. sélection de protocoles de management autorisés (par exemple : HTTPS, SSH, SNMP) support pour segregation of duties et si possible workflow management mises à niveau de URLs, signatures programmées pour des composants dynamiques tel que les catégories de filtres URL et les définitions de virus logs historiques de sites internet visités, y compris à la fois les sites autorisés et bloqués, avec conservation des logs pendant 1 an l'enregistrement de données doit avoir lieu localement ou en externe. Si les données sont enregistrées en externe, elles doivent être cachées localement afin de pouvoir pallier des problèmes de connectivité avec le stockage externe agrégation d activités d utilisateurs afin de pouvoir ainsi reproduire le comportement en termes de visites de l internet par utilisateur logs d audit d actions de l administrateur Classification, marquage, policing et / ou shaping DiffServ/DSCP QoS avec possibilité de réglage de limitations et de garanties de largeur de bande par type de trafic (adresse IP source et de destination, protocole ou port et utilisateurs) Implémentation IPv6 complète sans perte de performance (si un support complet n est pas possible, un support sur base de roadmap sera accepté) Sécurité Décryptage SSL et inspection du trafic crypté SSL configuration utilisateur /IP par Active Directory et NTLM / Captive Portal politiques associées au temps avec intervalles et quotas périodiques Les protocoles HTTP, HTTPS et FTP doivent être supportés. Filtrage URL basé sur des catégories dynamiques avec fonctionnalités white- et blacklisting gestion des quotas de largeur de bande blocage de certains types de fichiers inspection au sein de fichiers compressés Lien avec l Active Directory en vue du développement de politiques de sécurités sur base des comptes des utilisateurs et des groupes. Intégration avec le composant SIEM Lien vers le composant de gestion des accès (Radius,...) 8.5 Reverse WEB & Loadbalancing Un composant prévoyant la possibilité de rendre des ressources internes (e.g. Exchange 2010) accessibles à des utilisateurs (tant internes que des tierces parties) est requis. La plupart des ressources internes doivent uniquement être disponibles pour des utilisateurs connus du SPF AE, mais certaines d entre elles doivent également être rendues accessibles aux tierces parties. En outre, un élément important ici est une fois de plus le contenu crypté SSL. Par conséquent, ce composant doit également être en mesure de décrypter des sessions SSL (offloading) et de les manipuler. Ce composant doit disposer de fonctionnalités avancées telles que la réécriture de l header HTTP (HTTP header rewriting) et l équilibrage «intelligente» de charge du serveur (server loadbalancing). Une intégration (applicative) avec Microsoft Exchange, Sharepoint et Lync est essentielle. Exigences physiques matériel informatique distinct interface management dédiée et port console montage dans rack 19 (19 rack mountable) Disponibilité clustering HA actif / en stand-by zero-downtime failover & upgrade (de préférence sans perte de sessions)

33 page 33/55 Gestion sélection de protocoles de management autorisés (par exemple : HTTPS, SSH, SNMP) support pour segregation of duties et si possible workflow management logs historiques statistiques telles que largeur de bande et temps de fonctionnement par serveur / ferme de serveurs sous-jacents logs d audit d actions de l administrateur Réseau support jusqu'à 2000 sessions concurrentes limitation de la largeur de bande pour des applications spécifiques Implémentation IPv6 complète sans perte de performance (si un support complet n est pas possible, un support sur base de roadmap sera accepté). La traduction (NAT64) doit également être possible pour rendre des services accessibles uniquement en IPv4 accessibles à partir d utilisateurs uniquement en IPv6 sur l Internet. Equilibrage de charge de serveurs dans différentes farms, répartis avec différents paramètres et méthodes d équilibrage Soutien de X-Forwarded-For en vue de l identification de l adresse IP source (après translation NAT44 ou NAT64 source) Sécurité & Application Décryptage SSL ou décharge La possibilité d avoir authentification forte par le biais d une e-id, d un SMS, d un (software) token et d un certificat client est obligatoire Les protocoles HTTP, HTTPS et FTP doivent être supportés, y compris les capacités de réécriture d en-têtes Les protocoles NTLM, KERBEROS, RADIUS, (AD) LDAP, LDAPS et SAML2 (IDP/SP) doivent être soutenus Lien avec l Active Directory en vue de l établissement de politiques avec des utilisateurs de l Active Directory et des groupes Intégration avec le composant SIEM Lien vers le composant de gestion des accès (Radius,...) Une intégration (applicative) avec Microsoft Exchange et Sharepoint est essentielle. 8.6 Accès à distance (RAS) Cette fonction sera fournie et gérée par Fedict via le réseau Fedman. 8.7 Gestion des accès des utilisateurs Une plateforme d identité doit être mise sur pied à la fois pour la gestion de credentials (non-ad) et la gestion de politiques d accès à la fois pour les utilisateurs RAS et LAN (réseau câblé et sans fil). Il faut créer une plateforme de gestion des accès qui se trouve entre les composants DMZ et l environnement d Active Directory du SPF AE. Le système doit être suffisamment évolutif pour pouvoir prévoir en première instance une connection pour les utilisateurs RAS (traitement de l authentification forte, contrôle de l intégrité de l endpoint dans le futur, LDAP avec l AD, possibilités d autorisation) et puis pour tous les utilisateurs internes (wired/wireless). L infrastructure proposée doit être parfaitement conforme avec les standards ouverts afin de pouvoir garantir une intégration des composants proposés par le biais de l authentification des utilisateurs sur la base d une «banque de données d utilisateurs» centrale (par exemple fonctionnalité proxy d accès internet / aucun accès internet, etc.). Ici, on peut par exemple penser à l intégration dans le système d identification, d authentification et d autorisation du SPF AE sur base de LDAP/LDAPS aves l Active Directory (par nom d utilisateur /mot de passe) et sur base de eid avec le Registre national. L utilisateur doit être identifié et son identité doit au moins être contrôlée au moyen d une procédure de type «nom d utilisateur + mot de passe» (access Interne). Le soumissionnaire doit préciser pour quel type d application une procédure

34 page 34/55 d identification de ce type peut être appliquée. Il doit également préciser quel autre type de contrôle peut être exécuté (token, certificat, SMS, ). Le soumissionnaire devra expliquer comment ce contrôle sera intégré dans une structure centralisée d identification, d authentification et d autorisation du SPF AE. Cette plateforme peut être conçue séparément ou être intégrée dans un des autres composants (par example Reverse WEB & Loadbalancing). Exigences physiques interface management dédiée et port console si sur matériel informatique distinct montage dans rack 19 (19 rack mountable) Disponibilité active/standby Gestion Sécurité sélection de protocoles de management autorisés (par exemple : HTTPS, SSH, SNMP) support pour segregation of duties et si possible workflow management logs historiques des tentatives d authentification, c'est-à-dire à la fois des tentatives réussies ou échouées. l'enregistrement de données doit avoir lieu localement ou en externe. Si les données sont enregistrées en externe, elles doivent être cachées localement afin de pouvoir pallier des problèmes de connectivité avec le stockage externe L agrégation d actions par session d authentification de même que des statistiques par utilisateur, par exemple la durée des sessions sont un plus La possibilité d avoir authentification forte par le biais d une e-id, d un SMS, d un (software) token et d un certificat hardware/client est obligatoire la possibilité de mise en œuvre de politiques associées au temps est un plus Les protocoles NTLM, KERBEROS, RADIUS, (AD) LDAP, LDAPS et si possible SAML2 (IDP/SP) doivent être soutenus Optional, fonctionnalité de contrôle de l intégrité de l hôte (tous les endpoints ont-ils été installés et sont-ils à jour?) Lien avec l Active Directory en vue de l établissement de politiques avec des utilisateurs de l Active Directory et des groupes Intégration avec le composant SIEM 8.8 Fonctions d intégrité de la messagerie électronique Cette fonction sera fournie et gérée par Fedict via le réseau Fedman. 8.9 Service de nom de domaine (Externe) (Domain Name Service (Extern)) Les serveurs DNS de Fedman jouent actuellement les rôles de serveurs récursifs et de noms en cache (recursive and caching name servers) pour tout le trafic DNS sortant à partir de la DMZ. Le serveur responsable du domaine (authoritative name server) pour le domaine diplomatie.belgium,be est géré par Fedman.

35 page 35/ SIEM Ce système englobe une fonctionnalité globale de gestion de sécurité des événements qui peut lire, analyser, faire rapport et corréler dans le futur différents composants de sécurité. Le soumissionnaire doit décrire la solution proposée, avec explication des types d événements enregistrés, les possibilités de filtrer des événements, les types de rapports pouvant être produits et la capacité d établir des statistiques. Les fichiers de données enregistrés doivent être conservés pendant une durée minimale d une année. Dans sa réponse, le soumissionnaire doit détailler les volumes prévus pour ces fichiers sur la base du volume de trafic attendu. Dans sa réponse, il doit préciser la solution recommandée en vue de la conservation de ces fichiers. Le soumissionnaire doit préciser si le système prévoit des procédures d alarme en cas de constatation d un incident. Il doit expliquer en quoi consistent ces procédures d alarme : établissement de rapports, notification à l utilisateur, notification à une console de surveillance, production de messages Le soumissionnaire doit être en mesure de répondre à des demandes de recherches ou de statistiques, notamment à des enquêtes de la police judiciaire concernant le comportement de certains utilisateurs et ce, avec effet rétroactif sur une période minimale de 1 année. Ce système doit pouvoir être intégré dans le système général présent et dans le système d audit du système d identification, d authentification et d autorisation du SPF AE. Un échange d informations doit être possible dans les deux sens, par exemple les événements des serveurs au sein de la DMZ devraient pouvoir envoyer des informations à la plateforme de sécurité par le biais du système global d enregistrement d événements du SPF AE et les événements des serveurs proxy devraient également pouvoir être envoyés vers le système global d enregistrement d événements du SPF AE. Ce composant doit être installé sur le matériel informatique dédié ou en tant que service Exigences physiques (en cas d appareil physique) minimum 2x Gigabits et possibilité de raccordement sur SAN interface management dédiée et port console Jusqu'à 3000 EPS (événements par seconde) Stockage : 25GB de logs par jour (non compressés) refroidissement actif d avant en arrière (front-to-back) montage dans rack 19 (19 rack mountable) Disponibilité Une redondance n est pas requise zero-downtime failover & upgrade (de préférence sans perte de sessions) Gestion Gestion par le biais d une application ou basée web sélection de protocoles de management autorisés (par exemple : HTTPS, SSH, SNMP) support pour segregation of duties et si possible workflow management Conservation des événements historiques et des statistiques pendant 1 an et possibilité de générer des rapports sur la base de ces données l enregistrement de données doit avoir lieu localement ou en externe. Si les données sont enregistrées en externe, elles doivent être cachées localement afin de pouvoir pallier les problèmes de connectivité avec le stockage externe. En outre, l archivage sur un média hors ligne doit être possible des possibilités étendues d alerte Il est très important de prévoir un soutien de qualité des autres solutions proposées dans l offre afin d ainsi normaliser l enregistrement de tous les événements des composants sur une plateforme centrale. Possibilité de «correlation» dans le futur logs d audit d actions de l administrateur Possibilité d archivage des logs après une année (jusqu'à 5 années)

36 page 36/55 Réseau Implémentation IPv6 complète sans perte de performance (si un support complet n est pas possible, un support sur base de roadmap sera accepté) Sécurité L intégration Windows SSO ou LDAP est un plus SNMPv2c, SNMPv3 et Syslog doivent être supportés Lien avec l Active Directory afin de traduire des adresses IP en événements en fonction des noms des utilisateurs Lien vers le composant de gestion des accès (Radius,...) 9. Installation au sein de l environnement du SPF AE Le soumissionnaire doit fournir les informations suivantes : Le poids et les dimensions de toute unité installée, l espace requis pour leur installation, la distance maximale entre les différents équipements Les caractéristiques de l alimentation électrique de chaque unité installée La production de chaleur de chaque unité installée Une description des connexions et des raccordements au système de câbles du réseau, à prévoir par le SPF AE. L offre doit mentionner les conditions auxquelles l aménagement des locaux, leur conditionnement d air et l alimentation électrique doivent satisfaire, outre tous les accessoires qui sont nécessaire pour l utilisation et le bon fonctionnement de l équipement proposé. A cet effet, il doit notamment mentionner les spécifications techniques qui permettent un raccordement correct des dispositifs proposés au réseau électrique du SPF AE, outre la consommation et la production de chaleur. L offre doit également inclure une description précise des travaux pour : l aménagement ; l installation ; le raccordement, qui doivent être exécutés par le SPF AE durant l installation de l équipement (à l exclusion des raccordements électriques et des connexions avec les différents réseaux du SPF AE ; les raccordements internes doivent être inclus dans l offre). La description doit comprendre tous les éléments nécessaires qui permettent au SPF AE de déterminer de manière très précise tous les éléments, accessoires, câbles, etc. devant être commandés afin de réaliser l architecture souhaitée. Les armoires racks doivent être compris dans l offre. Touts les éléments de sécurité qui seront proposés par le soumissionnaire mais qui seront gérés par les SPF AE (donc au-dessus du point de démarcation) doivent être installés dans un rack (fermé) à part et si possible dans un endroit séparé et sécurisé. Les armoires utilisées doivent être équipées d un système de détection des effractions, avec la possibilité de générer une alarme au niveau du système de contrôle.

37 page 37/ Gestion opérationnelle 10.1 Introduction Le SPF AE accordant une grande importance à la confidentialité, à l'intégrité et à la disponibilité de ses données, et ce 24 heures sur 24 et 7 jours sur 7, le SPF AE sous-traitera l'intégralité ou une partie des activités qui doivent y contribuer. La livraison, l'installation, la configuration initiale et la formation doivent être proposées pour l'ensemble des systèmes faisant partie du cahier des charges. Il convient toutefois de limiter la gestion opérationnelle aux services «Internet facing». Ces services peuvent être énumérés comme suit : Pare-feu et IPS Internet facing Reverse WEB proxy & Loadbalancing Le soumissionnaire s'engage à assumer l'intégralité de la gestion opérationnelle de l'infrastructure liée aux services «Internet facing». La gestion de tous les autres services restera du ressort du SPF AE. Le croquis ci-dessous reproduit la démarcation demandée :

38 page 38/55 Les services à gérer par le soumissionnaire sont résumés comme suit : Installation de l'infrastructure proposée et migration à partir de l'environnement existant. Entretien et gestion (d'une partie) de l'infrastructure proposée, en vue d'en garantir le fonctionnement selon les critères fixés sur le plan des performances, de la disponibilité et de la protection. À cet effet, le soumissionnaire doit proposer une solution de «gestion et contrôle à distance», avec une connexion sécurisée vers l'environnement à protéger situé à Bruxelles. Présence ad hoc d'ingénieurs/de consultants à des fonctions non permanentes spécifiques, telles que le soutien et le dépannage sur site, les services d'expertise en matière de conseil et d'innovation, l'application/la mise en œuvre d'une démonstration de faisabilité, etc. Formation

39 page 39/55 Afin de garantir la confidentialité des données du SPF AE à caractère personnel (par ex. l'échange de données de visa), la législation belge relative à la protection des données personnelles et de la vie privée devra être appliquée ; le soumissionnaire doit donc veiller à la stricte observation de la législation belge relative à la protection des données personnelles et de la vie privée en prenant toutes les mesures nécessaires pour satisfaire à ladite législation. Le réseau interne du SPF AE comporte des zones de sécurité au sein desquelles sont traitées des données classifiées. Il conviendra de protéger les données classifiées conformément aux différentes directives, dont la plus importante est la directive européenne. Celle-ci est décrite dans la «Décision du Conseil du 31 mars 2011 concernant les règles de sécurité aux fins de la protection des informations classifiées de l'ue». L'objectif est ici d'empêcher toute fuite de données classifiées et qu'elles ne tombent aux mains de personnes ou instances non autorisées. Les zones de sécurité en question sont ultra-sécurisées et se trouvent derrière des pare-feu internes gérés (et qui le resteront) par le SPF AE. Même si le soumissionnaire ne sera pas directement en contact avec les données classifiées ellesmêmes, les pare-feu qui relèvent du champ d'application du présent cahier des charges feront toutefois partie de la protection globale (une protection de première ligne dans ce cas précis) et devront par conséquent être soumis à des homologations régulières effectuées par le SPF AE, dont les résultats sont exigés par l'otan et l'ue. Le soumissionnaire prendra les mesures nécessaires en conformité avec les directives UE et apportera sa pleine collaboration en cas d'homologation de ce type Migration de l infrastructure existante Le marché couvre également la migration de l environnement existant vers le nouveau par le soumissionnaire (y compris les services qui vont être fournis par Fedict). Les services à migrer sur les nouvelles plateformes matérielles peuvent être résumés comme suit : Deux couches de pare-feu Réseaux VPN (client, site à site) Relais de messagerie pour la protection (intégrité de la messagerie électronique) Forward proxy et reverse proxy (intégrité de l'internet) DMZ loadbalancers Services d'accès à distance Services DNS À cet effet, le soumissionnaire doit donc proposer un nouveau matériel informatique permettant pour certains services - de combiner plusieurs fonctions sur la même plateforme matérielle. Toutes les fonctionnalités demandées, aussi bien actuelles que complémentaires, devront être soutenues par la nouvelle infrastructure ou par Fedict pour certains services. Le soumissionnaire doit prendre toutes les dispositions et mesures nécessaires pour réduire au minimum les interruptions de service pendant la migration. En outre, le soumissionnaire doit expliquer en détail tout le processus de migration et en faire une représentation claire (plan de projet avec étapes importantes, obligations associées, etc.). Les services DNS (Infoblox), RAS (Checkpoint) et AV/AS (Barracuda) ne doivent pas être réalisés étant donné que ces fonctions seront reprises par FedICT via FEDMAN. Au cours de la mise en œuvre de la migration, l adjudicataire devra néanmoins prendre les mesures utiles telles que la coordination avec FedICT ainsi que les configurations (y compris l'ensemble des enregistrements) que FedICT doit mettre en place. Pour les nouvelles fonctionnalités demandées (SIEM, identités...), il conviendra de créer de nouvelles plateformes.

40 page 40/ Contrôle et gestion à distance Le soumissionnaire doit disposer d'une infrastructure qui lui permette de superviser, en permanence et à distance, l'état de l'infrastructure de sécurité du SPF AE. Le SPF AE laisse libre choix de l'emplacement de l'infrastructure de contrôle, à condition qu'il contribue positivement à la réalisation des aspects suivants, en ce qui concerne les SOC (Security Operations Center) proposés : Le respect de la législation belge relative à la protection des données personnelles et de la vie privée La protection physique de ses SOC et la prise de mesures efficaces en matière d'accès non autorisé par le biais de réseaux associés conformes ou comparables aux normes OTAN Le SOC doit être localisé dans l EU L'existence de plans et de procédures informatiques de secours, en ce compris des audits et des essais de conformité réguliers. Le SPF AE part du principe que les activités les plus importantes pour la supervision et la gestion de son infrastructure de sécurité requièrent une approche 24/7, avec une priorité toute particulière accordée à l'analyse des incidents qui surviennent au sein des différents systèmes (par ex. FW, IDP, AV ). Les anomalies détectées doivent être analysées et donneront éventuellement lieu à un incident. Il va de soi que en vue d'une protection proactive dans le cadre de la prestation de services 24/7 les mises à jour nécessaires doivent être immédiatement installées sitôt la découverte de nouvelles vulnérabilités. Pour les systèmes à distance, il conviendra de ne leur accorder qu'un accès en lecture seule (SNMP, netflow si possible, et éventuellement un jeu de commandes limité via SSH). En résumé : Un contrôle opérationnel 24/7 de la disponibilité et du bon fonctionnement (interfaces réseau, unité centrale, mémoire, charge...) Des mises à jour logicielles et matérielles périodiques Une actualisation périodique des signatures IDS/IPS La correction immédiate des vulnérabilités critiques sitôt ces dernières connues 10.4 Centre de services SPOC Le soumissionnaire mettra à disposition un centre de services néerlandophone, francophone et anglais accessible pour les services de garde du SPF AE 24h/24, 7j/7 et 365 jours par an. Un support trilingue de seconde ligne, avec point de contact (centralisé) permanent, est également exigé. Les utilisateurs du SPF AE ne communiqueront jamais en direct avec le Service Desk du soumissionnaire. Les services de garde du SPF AE sont localisés à Bruxelles, Washington et Bangkok. Le soumissionnaire doit décrire précisément le niveau/la structure de soutien proposé(e) Services pour la gestion, l'entretien et l'assistance La gestion des appareils et des tâches opérationnelles associées est indispensable pour pouvoir garantir une disponibilité globale du service de protection demandée Les processus suivants (nomenclature ITIL) sont abordés ci-après :

41 page 41/55 Gestion des incidents Gestion des changements Gestion des configurations Gestion des mises en production Gestion de la capacité Gestion de la disponibilité (voir chapitre SLA) Un Service Manager dédicacé pour l'évaluation de ces services sera désigné par le soumissionnaire. Il participera aux réunions qui seront organisées au SPF AE tous les trois mois. Il présentera les tableaux de bord opérationnels et les rapports. Il sera également le premier contact pour tous les problèmes ou modifications opérationnelles. Au minimum tous les ans ou semestriellement au mieux ou encore pro activement, il soumettra au SPF AE une mise-a-jour du catalogue des services en tenant compte de l évolution des prix et des nouveautés disponibles Gestion des incidents La procédure exacte à mettre en œuvre devra être déterminée en étroite concertation. Un incident est signalé par téléphone, fax, SMS ou message électronique. Il convient toutefois de tenir compte du fait que le système de messagerie électronique pourrait ne pas être disponible dans le cas où un incident affecterait le système de sécurité lui-même. La procédure doit être organisée de telle sorte qu'il soit ultérieurement possible de déterminer, et au besoin démontrer, ce qui a été l'objet de l'incident et le moment auquel celui-ci est survenu. Dès constatation d'un problème par le soumissionnaire, il conviendra d'en informer le SPF AE par différents moyens de communication, et ce en fonction de la gravité de l'incident (par ex. par messagerie électronique, SMS, téléphone, etc.), et de prendre les mesures nécessaires à sa résolution. L offre doit tenir compte de la modularité du système de contrôle, qui doit également être suffisamment proactif pour détecter d'éventuels problèmes dès leur apparition, sans que le SPF AE ne doive lui-même les signaler (détection des incidents affectant le service et le système, par exemple l'inaccessibilité de sites Internet depuis un client via les proxy, etc.). Les différents types d'incidents doivent être classés par catégorie (de criticité). Ces catégories pourront être davantage «affinées» et détaillées par la suite, en concertation avec le SPF AE. Il est demandé au soumissionnaire de décrire en détail son processus de gestion des incidents standard Gestion des configurations/changements La gestion de la solution comprend en outre la mise en œuvre d'un processus de gestion des changements structuré par rapport aux configurations des dispositifs de sécurité. L'aspect le plus important concerne ici assurément la gestion de la base de règles/politique. Nous distinguons en la matière les types de changements suivants : o Des changements logiques, par ex. des reconfigurations des services, l'activation de nouveaux services, la désactivation de services existants, les changements de paramètres... o Des changements physiques, par ex. des extensions matérielles Les changements logiques doivent être mis en œuvre selon un processus de gestion des changements strict, avec étapes de validation explicites par les deux parties. Le soumissionnaire est invité à décrire le processus à cet égard, éventuellement à l'aide d'un exemple. Les points suivants doivent au minimum être abordés : o La demande de changement de service et le processus de validation : quel est le processus administratif? Par quelles étapes de validation faut-il passer? o L'implémentation d'un nouveau service o o La validation d'un nouveau service : mesures de la qualité, test de basculement... La documentation du nouveau service ; la mise en place et la documentation d'un «protocole» MAC à base de règles : formulaires, personnes de contact... Le processus demandé doit prévoir un modèle logique avec identification, contrôle, entretien et vérification des différents éléments au fil de leur durée d'utilisation : Identification

42 page 42/55 o L'objectif est de sélectionner, d'identifier et d'étiqueter tous les éléments en lien avec leurs «propriétaires», leurs relations et leur documentation, afin de les reprendre dans la base de données de gestion des configurations (CMDB) o La gestion des configurations rend possible une gestion plus efficace des changements Contrôle : s'assurer que les composants ont été modifiés avec les autorisations nécessaires (demande de changement). Ce contrôle concerne l'ajout, le changement et la suppression d'un élément. Conservation de configuration : traçabilité des changements d'un composant donné (développement, test, production ou disponible) Vérification et audit : vérification de l'existence physique réelle des éléments en gestion et validation des informations stockées dans la CMDB et les bibliothèques validées. Cela comprend la validation de la documentation et des descriptions des configurations pour la mise en service Gestion des mises en production Cela concerne la planification et la supervision de la mise en service d'un logiciel de protection et du matériel informatique correspondant. Le soumissionnaire doit tenir compte des aspects suivants. Élaboration et implémentation d'outils aux fins de distribution et d'installation. Le matériel informatique et le logiciel modifiés doivent être traçables et protégés (seules des versions adéquates, autorisées et testées seront installées). Communication et gestion des attentes pendant la planification et au cours de la migration Validation du contenu exact d'une «distribution». Installation de nouvelles versions de logiciels et de nouveau matériel en production, en tenant compte des procédures en matière de gestion des changements et des configurations S'assurer que les distributions d'origine de tous les logiciels ont été enregistrées et protégées dans une bibliothèque avec DSL (bibliothèque des logiciels définitifs ou DSL) et que la CMDB est à jour.

43 page 43/ Gestion de la capacité Cela concerne ici la garantie que la capacité de l'infrastructure sur le plan des niveaux de service (Service Levels) est toujours en adéquation avec la demande croissante de l'organisation. À cet effet, le soumissionnaire doit prendre en considération les points suivants : L'instauration d'instruments de mesure : pour les informations relatives à la capacité : degré d'utilisation des services, débits du réseau, etc. pour les informations relatives aux performances : temps de réponse/disponibilité des services depuis et vers les différentes zones. La détermination de «seuils» et de situations de référence : «seuils» pour la sur-utilisation de services ou «seuils» définis dans les valeurs des SLA. La génération d'alarmes en cas de dépassement des «seuils» et la création de rapports sur les anomalies. Les informations collectées doivent être analysées en vue d'identifier les tendances et d'établir des situations de référence (baseline) ; prévisions d'évolution et détections proactives des situations problématiques. Recommandation éventuelle visant à l'adaptation des configurations pour l'amélioration/l'optimisation de la prestation de services. Le système de sécurité doit comporter les équipements indispensables pour pouvoir mesurer le trafic, les temps de réponse et toutes les informations, afin de pouvoir garantir le bon fonctionnement du système. Ces données doivent être enregistrées en vue de l'analyse des incidents et de l'établissement de rapports. Le soumissionnaire doit décrire la solution proposée en mentionnant explicitement les différents types de mesures réalisées et enregistrées, les possibilités de filtrage des événements, les types de rapports pouvant être générés et la possibilité de générer des statistiques. Le système de sécurité doit disposer d'une capacité de conservation suffisante pour pouvoir conserver ces informations pendant une année.

44 page 44/ Accords sur les niveaux de service (Service Level Agreements ou SLA) La solution proposée doit être validée par le biais d'accords sur les niveaux de services (SLA). Ces SLA doivent entériner le niveau de service attendu par le SPF AE et auquel s'engage le soumissionnaire. Les SLA ont trait à : La disponibilité globale de l'ensemble des services de sécurité selon le niveau de qualité attendu ; ce paramètre vient renforcer les caractéristiques suivantes : o La disponibilité de bout en bout du système. Cela fonctionne-t-il ou non? o Le niveau de performance du système : le système sera considéré comme indisponible si le niveau de performance attendu n'est pas atteint o Le niveau de sécurité offert par le système : il sera considéré comme indisponible si des failles de sécurité «notables» sont observées. La résolution d'incidents. La mise en œuvre de changements Disponibilité globale. La solution proposée doit pouvoir fonctionner correctement au moins 99,9 % du temps chaque mois. Un fonctionnement correct n'a pas été assuré si : le flux d'informations s'interrompt (indisponibilité) ; des problèmes graves de performances apparaissent ; la sécurité du flux d'informations n'est plus garantie (niveau de sécurité) ; si des données sont régulièrement perdues (niveau de performance). Si le niveau de service, défini dans le SLA, n'est pas atteint, des amendes seront appliquées. Les amendes représentent un certain pourcentage du coût mensuel global de service en gestion du soumissionnaire. Le montant des amendes est fixé en vertu des principes suivants : Une amende est liée à l'indisponibilité ou à une faille de sécurité du système, par rapport à la disponibilité de la période observée Des incidents pour lesquels une solution n'a pas pu être apportée dans un délai raisonnable (voir plus bas) ; cette amende est due pour chaque incident distinct. Les différentes amendes sont cumulatives. Disponibilité (mensuel) Penalité (%) < 99,80% et 99,70% 10 < 99,70% et 99,60% 20 < 99,60% et 99,50 30 < 99,50 % et 99,40 % 40 < 99,40 % et 99,30 % 50 < 99,30 % et 99,20 % 60 < 99,20 % et 99,10 % 70 < 99,10 % et 99 % 80 < 99,00 % 100 L'infrastructure de sécurité doit comporter au minimum deux parties physiques (Access Streets) concordant entièrement avec deux voies d'accès (aussi bien en interne que vers l'internet). L'entretien doit être organisé de telle sorte qu'une seule partie physique soit coupée au même moment. Toutes les fenêtres d'entretien sont fixées en concertation avec le soumissionnaire et les responsables au sein du SPF AE.

45 page 45/55 L'entretien planifié doit se faire par un accord préalable du SPF-AE et doit être communiqué par le soumissionnaire au moins 5 jours ouvrable avant la mise en œuvre effective, de sorte que le SPF AE puisse prendre ses dispositions. Si cela affecte les services, le temps consacré à l'entretien pourra ne pas être pris en compte dans le calcul du niveau de disponibilité. Pour chaque action correctrice résultant d'un grave problème de sécurité qui aurait pu compromettre la confidentialité, l'intégrité ou la disponibilité du service, et qui nécessite de ce fait l'arrêt immédiat des systèmes, le temps consacré à cet entretien est alors considéré comme une période d'indisponibilité et est pris en compte dans le calcul des amendes, à moins qu'une autorisation formelle du SPF AE n'ait été préalablement reçue. Le soumissionnaire doit décrire dans son offre l'ensemble des «indicateurs de performance» proposés, ainsi qu'indiquer au moyen de quel(le) appareil/outillage/fonctionnalité ceux-ci pourront être mesurés et rapportés. Dès l'instant où une faille est constatée dans la protection d'un flux de données, ce flux est considéré comme interrompu et les amendes correspondantes s'appliquent alors. Si l'incident ne provoque pas de dommage immédiatement observable et mesurable (par ex. la consultation de données sans autorisation), le fonctionnement du système de sécurité est considéré comme interrompu entre le moment où l'incident est observé et le moment où une solution est apportée. Si l'incident est observé par le personnel du soumissionnaire et s'il ne provoque aucun dommage immédiatement observable et mesurable, il ne sera pas pris en compte dans le calcul de la disponibilité du système. En cas de destruction, modification ou consultation non autorisée de données qui doivent être protégées par le soumissionnaire, et si sa responsabilité est clairement établie, l'amende s'élèvera à 10 % des coûts mensuels totaux des services, pour chaque violation. L'évaluation de la disponibilité ne tiendra pas compte des périodes d'indisponibilité pouvant être attribuées à : Un débit de données visiblement supérieur au débit demandé Une défaillance extérieure au système de sécurité (par ex. une ligne défectueuse) Une intervention erronée de la part d'un membre du personnel du SPF AE, à condition que cette modification n'ait pas été validée par le soumissionnaire conformément à la procédure de gestion des changements, acceptée dans les 8 heures de travail suivant l'intervention Toute cause qui ne peut pas être imputée de façon incontestable au soumissionnaire et aux équipements, logiciels ou prestations qui n'ont pas été fourni(e)s par lui (les prestations d'un sous-traitant du soumissionnaire, engagé par le soumissionnaire dans le cadre de cette mission, font partie des prestations du soumissionnaire). L'incident a été causé ou favorisé par une intervention erronée d'un membre du personnel du SPF AE L'incident a été causé ou favorisé par une ouverture imprudente des voies d'accès, et ce sur demande expresse du SPF AE ; le soumissionnaire a néanmoins la responsabilité d'avertir le SPF AE.

46 page 46/55 Traitement des incidents et problèmes Un délai maximal est fixé pour chaque catégorie d'incidents Gravité de l'incident Niveau 1 - Critique (indisponibilité) Niveau 2 Importante Niveau 3 Mineure Délai d'intervention imparti SLA Disponibilité Dans la 4 heures Dans les 3 jours Si un incident est à l'origine d'incidents secondaires, la gravité de l'incident total (et donc le délai d'intervention imparti) sera celle de l'incident le plus grave. Tout incident doit être traité et réglé dans un délai maximal qui dépend de la nature et de la gravité de l'incident. Tout incident non réglé dans le délai maximal imparti donnera lieu à une amende de 3 % du coût mensuel total de l'entretien. L'amende est due chaque mois pour tout incident qui n'a pas été réglé dans le délai imparti. Tout incident non réglé dans le mois x est automatiquement reporté au mois x+1 et donne lieu, s'il n'a pas été réglé à temps, à une nouvelle amende. L'amende s'ajoute aux amendes pour disponibilité insuffisante. La demande de changements Les MAC (Move, Adds and Changes) standard de «4 heures de temps d'implémentation» seront la règle, mais des MAC critiques «1 heure de temps d'implémentation» devront aussi être exceptionnellement possibles. Changement standard (temps d'implémentation) Dans les 8 heures Changement critique (temps d'implémentation) Dans l'heure Tout changement non réglé dans le délai maximal imparti donnera lieu à une amende de 1 % du coût mensuel total de l'entretien. L'amende est due chaque mois pour tout incident qui n'a pas été réglé dans le délai imparti. Tout changement non réglé dans le mois x est automatiquement reporté au mois x+1 et donne lieu, s'il n'a pas été réglé à temps, à une nouvelle amende. L'amende s'ajoute aux amendes pour disponibilité insuffisante Services d'expertise sur demande Pour les services de sécurité sous gestion du SPF AE, la présence ad hoc d'ingénieurs/de consultants dans le domaine de la sécurité sera demandée pour les tâches suivantes : Assistance en cas de changements de conception et de configurations complexes (toujours sur le site du SPF AE) Assistance en cas de dépannage et de problèmes (toujours sur le site du SPF AE) Réponse à des questions techniques Réalisation d'audits de configuration Innovation Les services de sécurité sous gestion du SPF AE donnent accès à des données classifiées. Par conséquent, les consultants/ingénieurs proposés doivent être titulaires d'une habilitation de sécurité (nationale). Le nombre de jours est estimé au maximum à 50 jours durant la première année, et à 10 jours pour chaque année consécutive. Un planning d'exécution devra toujours être établi en concertation. Un minimum de deux ingénieurs sécurité est demandé. Il est demandé au soumissionnaire de joindre à sa réponse les CV de ces personnes.

47 page 47/ Formation Le soumissionnaire doit prévoir des activités de formation en néerlandais / français pour au maximum 5 personnes du SPF AE. L'anglais peut exceptionnellement être utilisé pour certaines formations spécifiques, à la condition expresse que le SPF AE ait préalablement donné son accord. Le personnel en charge des activités de formation doit : Avoir une expertise reconnue dans la formation qui est dispensée ; Maîtriser PARFAITEMENT la langue dans laquelle la formation est donnée ; Posséder les qualités pédagogiques essentielles à la transmission structurée et méthodique des connaissances aux participants à la formation ; Être capable de se servir des moyens pédagogiques Tenir compte des remarques de l'autorité adjudicatrice en ce qui concerne le contenu et la présentation de la formation. Ces activités de formation devront se tenir soit dans les locaux du SPF AE, soit dans les locaux du soumissionnaire. Si la formation devait toutefois être donnée dans les locaux du soumissionnaire, le soumissionnaire pourrait proposer des locaux à l'extérieur de ses propres bâtiments, pour autant qu'ils se trouvent dans la région bruxelloise Rapportage Le soumissionnaire s'engage à remettre périodiquement un certain nombre de rapports standard. En règle générale, ces rapports ne requièrent aucune intervention humaine et doivent pouvoir être normalement livrés par les outils de rapportage reliés à la solution de sécurité. Cette liste de rapports doit pouvoir évoluer au cours du contrat, sans se traduire par de quelconques frais supplémentaires. Le soumissionnaire doit fournir les rapports mensuels par voie électronique (messagerie électronique et sur demande via un tableau de bord/portail en ligne). Les données fournies doivent permettre de se faire une idée correcte et complète des composants contrôlés. Les données doivent être aussi exactes, actuelles et objectives que possible. Les données doivent être regroupées en catégories principales avec la possibilité d'afficher à l'écran des informations plus détaillées par le biais d'une fonction de «zoom avant». Les données fournies doivent refléter l'utilisation réelle des services. Les informations contrôlées doivent bien entendu être en adéquation avec le contrat sur les niveaux de services (SLA) du prestataire de services. Le portail en ligne comme les rapports SLA mensuels comporteront notamment les statistiques suivantes : o o o o o o Disponibilité de l infrastructure Nombre d'incidents/tickets traités et fermés Rapport détaillé de chaque ticket/incident traité Aperçu des demandes de service (demandes de changements) Statut des changements, mises à niveau, correctifs et autres opérations d'entretien + planification des mises à niveau logicielles, etc. Points/actions en cours (journal des actions) Sur le plan de la sécurité, l'entrepreneur doit pouvoir établir les rapports suivants (liste non limitative) : Classement des sessions refusées, rejetées les plus fréquentes Classement de la plus grande utilisation de la largeur de bande par les serveurs (serveurs/utilisateurs) Classement de la plus grande utilisation d'applications Classement des utilisateurs les plus actifs Journal des menaces (critiques, etc.) Inbound Denies and Drops per Source IP. Denies and Drops per Firewall Rule. Number of Inbound HTTP or HTTPS Hits per Source IP. Number of Outbound Connections, per Port. Suspicious Inbound Denies and Drop per Port.

48 page 48/55 Number of Inbound HTTP or HTTPS Hits per Source IP. Number of Inbound Events per Hour of the Day. Number of Outbound Events per Hour of the Day. Rules most Frequently Fired. Machines Connected to, Inbound, per Destination. Number of Outbound HTTP or HTTPS Hits per Destination IP. Suspicious Inbound Denies and Drops per Destination IP. Number of Outbound HTTP or HTTPS Hits per Source IP. Number of Inbound Connections, per Port.

49 page 49/55 C. ANNEXES. - fiche de renseignements ; - un formulaire d offre. APPROUVÉ : 1000 BRUXELLES Le Directeur ICT. Jorg LEENAARDS

50 page 50/55 FICHE DE RENSEIGNEMENTS IMPORTANT : VEUILLEZ RESPECTER STRICTEMENT LE PRESCRIT DE L ARTICLE 89 DE L ARRÊTÉ ROYAL DU 8 JANVIER CET ARTICLE DE L ARRÊTÉ ROYAL DU 8 JANVIER 1996 DISPOSE : «Le soumissionnaire établit son offre et remplit le métré récapitulatif ou l inventaire sur le formulaire éventuellement prévu dans le cahier spécial des charges. S il les établit sur d autres documents que le formulaire prévu, le soumissionnaire atteste sur chacun de ceux-ci que le document est conforme au modèle prévu dans le cahier spécial des charges. Les documents sont signés par le soumissionnaire ou par son mandataire. Toutes ratures, surcharges et mentions complémentaires ou modificatives, tant dans l offre que dans ses annexes, qui seraient de nature à influencer les conditions essentielles du marché, telles que les prix, les délais, les conditions techniques, doivent également être signées par le soumissionnaire ou son mandataire». 1. Renvois à indiquer sur le formulaire d offre - Pour une personne physique agissant comme soumissionnaire : indiquer les noms, prénom, qualité ou profession, nationalité. - Pour les sociétés, indiquer : «La société... (nom de la société ou dénomination, forme, nationalité et siège) représentée par le soussigné (nom, prénom, qualité)». - Pour les associations sans personnalité juridique, indiquer : «Les soussignés... (pour chacun des partenaires de l association momentanée : nom, prénom, qualité ou profession, nationalité et domicile, n d immatriculation à la Banque Carrefour des Entreprises de chaque partenaire de l association momentanée ou n d immatriculation à la Banque Carrefour des Entreprises de l association même, si l association momentanée est immatriculée à la Banque Carrefour des Entreprises), en association momentanée pour l entreprise dont question dans la présente, s engagent solidairement sur leurs biens meubles et immeubles...». De plus, mentionner dans l offre celui des soumissionnaires qui est chargé de représenter l association vis-à-vis de l Administration. Quant aux entreprises belges qui emploient du personnel, le numéro d immatriculation complet du soumissionnaire auprès de la Banque Carrefour des Entreprises doit être mentionné. Les soumissionnaires belges ne sont plus obligés de joindre l attestation de l Office National de Sécurité Sociale à leur offre. Le pouvoir adjudicateur peut obtenir cette information directement auprès du guichet électronique. Toutes les annexes portent la mention : «Pour être joint à mon offre du... et en faire partie intégrante (suivie de la date et de la signature, ainsi que du nom, du prénom et de la qualité du signataire). 2. Dépôt des offres Comme indiqué au cahier spécial des charges, l offre en double exemplaire (deux originaux ou un original et une copie) est expédiée ou déposée à l adresse du pouvoir adjudicateur pour le jour et l heure fixés, précisés dans le cahier spécial des charges, sous la forme telle que décrite clairement dans le cahier spécial des charges.

51 page 51/55 FORMULAIRE D OFFRE Service Public Fédéral Affaires étrangères, Commerce extérieur et Coopération au Développement Rue des Petits Carmes, Bruxelles Direction d encadrement ICT Fax : 02/ CAHIER SPÉCIAL DES CHARGES n ICT/ APPEL D OFFRES GÉNÉRAL portant sur l installation et l entretien d une zone démilitarisée (DMZ) dans le secteur informatique pour le compte du SPF Affaires étrangères, Commerce extérieur et Coopération au Développement La firme dont l adresse est: (dénomination complète) (rue) (code postal et commune) (pays) immatriculée à la Banque Carrefour des Entreprises sous le numéro et pour laquelle Monsieur/Madame (*) (nom) (fonction) domicilié(e) à l adresse (rue) (code postal et commune) agissant comme soumissionnaire ou fondé de pouvoirs et signant ci-dessous, s engage à exécuter, conformément aux conditions et dispositions du cahier spécial des charges n ICT/ le service défini à cette fin formant le SEUL LOT du présent document à exécuter, au prix global mensuel et aux prix unitaires forfaitaires mentionnés ci-après, indiqué en lettres et en chiffres, libellés en EURO, hors TVA, de: (pays)

52 page 52/55 a) prix global mensuel, hors T.V.A. : [en lettres et en chiffres en EURO] auquel il y a lieu d ajouter la T.V.A., soit un montant de : [en lettres et en chiffres en EURO] ce qui donne un prix unitaire forfaitaire, T.V.A. incluse, de : [en lettres et en chiffres en EURO] b) prix unitaire forfaitaire, hors T.V.A., pour 1 jour de consultance : [en lettres et en chiffres en EURO] auquel il y a lieu d ajouter la T.V.A., soit un montant de : [en lettre et en chiffres en EURO] ce qui donne un prix unitaire forfaitaire, T.V.A. incluse, de : [en lettres et en chiffres en EURO]

53 page 53/55 c) prix unitaire forfaitaire, hors T.V.A., pour 1 formation pour +/- 5 personnes : [en lettres et en chiffres en EURO] auquel il y a lieu d ajouter la T.V.A., soit un montant de : [en lettres et en chiffres en EURO] ce qui donne un prix unitaire forfaitaire, T.V.A. incluse, de : [en lettres et en chiffres en EURO]

54 page 54/55 En cas d approbation de la présente offre, le cautionnement sera constitué dans les conditions et délais prescrits dans le cahier spécial des charges. L information confidentielle et/ou l information qui se rapporte à des secrets techniques ou commerciaux est clairement indiquée dans l offre. Les sommes dues seront payées par l organisme de paiement du pouvoir adjudicateur par virement ou versement sur le compte n : IBAN BIC La langue néerlandaise/française (*) est choisie pour l interprétation du contrat. Toute correspondance concernant l exécution du marché doit être envoyée à l adresse suivante: (rue) (code postal et commune) (n de et de fax) Fait : A Le 20 Le soumissionnaire ou le fondé de pouvoirs: (nom) (fonction) (signature) APPROUVÉ, 1000 BRUXELLES Jorg LEENAARDS Directeur ICT

55 page 55/55 POUR MEMOIRE : DOCUMENTS À JOINDRE OBLIGATOIREMENT À L OFFRE: - Tous les documents et renseignements demandés dans le cadre des critères de sélection et d attribution; N oubliez pas de prévoir une numérotation continue de toutes les pages de votre offre, de votre inventaire et des annexes. CONSEILS UTILES RELATIFS A L INTRODUCTION DE L OFFRE Les offres sont, avant l ouverture des offres, soit envoyées par courrier (une lettre recommandée est conseillée), soit déposées à l accueil du bâtiment du pouvoir adjudicateur. Les offres sont acceptées pour autant que la séance d ouverture des offres n ait pas été déclarée ouverte. Les offres sont glissées dans une enveloppe fermée. Sur cette enveloppe, il y a lieu d indiquer les mentions suivantes : - l identité complète du pouvoir adjudicateur - le numéro du cahier spécial des charges; - la date et l heure de l ouverture des offres. Cette enveloppe est glissée dans une deuxième enveloppe portant les mentions suivantes: - le mot «offre» dans le coin supérieur gauche; - à l endroit prévu pour l adresse du destinataire: Service Public Fédéral Affaires étrangères, Commerce extérieur et Coopération au Développement Direction d encadrement ICT Rue des Petits Carmes, BRUXELLES