Date de la session d information : 11 août

Transcription

1 CAHIER SPÉCIAL DES CHARGES: APPEL D OFFRES GÉNÉRAL POUR «PLATE-FORME DE SECURITE FIREWALL ET ANTIVIRUS STATIONS DE TRAVAIL SERVEURS» POUR LE COMPTE DU SERVICE PUBLIC FEDERAL FINANCES III.1.1 Préambule Gestion du projet et méthodologie III Dimensionnement Connections actives III.2.1 Préambule Gestion du projet et méthodologie IV.8 ANNEXE VIII : Gestion du projet et méthodologie Date de la séance d ouverture des offres: 9 septembre 2011 Date de la session d information : 11 août

2 2

3 Table des Matières I. Dispositions administratives... 6 I.1 Description du marché... 6 I.1.1 Lot 1 : Plate-forme de sécurité... 6 I.1.2 Lot 2 : Antivirus stations de travail et serveurs I.2 Le pouvoir adjudicateur I.3 Utilisation par d autres pouvoirs adjudicateurs fédéraux I.4 Déclaration de confidentialité I.5 Mode de passation I.6 Procédure négociée ultérieure I.7 Détermination des prix I.8 Durée du marché I.9 Séance d information I.10 Forme et contenu des offres I.11 Associations momentanées I.12 Variantes libres I.13 Options I.14 Délai de validité I.15 Dépôt des offres I.16 Ouverture des offres I.17 Procédure d attribution du marché I.17.1 Critères de sélection qualitative I.17.2 Régularité des offres I.17.3 Critères d attribution II. Dispositions contractuelles II.1 Notification de l attribution du marché II.2 Le bon de commande et ses modalités II.3 Fonctionnaire dirigeant II.4 Cautionnement II.5 Caractère livrable du système proposé II.6 Exécution du marché II.6.1 Clause d évolution technologique II.6.2 Délais d exécution et planning II.6.3 Réunion «KICK-OFF» II.6.4 Comité de pilotage (Steering Committee) II.6.5 Reporting II.6.6 Lieu d exécution du marché et particularités II.6.7 Personnel de l adjudicataire II.6.8 Sous-traitants II.6.9 Moyens mis à disposition par le SPF Finances II.6.10 Normes et standards à respecter II.6.11 Gestion des changements («change management») II.6.12 Engagements particuliers concernant les informations reçues II.6.13 Responsabilités II.7 Suivi des services prestés et contrôles par des tiers II.7.1 Suivi de la bonne exécution du marché II.7.2 Contrôles par des tiers II.8 Evaluation des services prestés et opérations de vérification II.9 Réception provisoire II.10 Garantie II.11 Réception définitive II.12 Modalités et frais de réception II.13 Propriété intellectuelle II.14 Dépôt chez un séquestre II.15 Facturation, paiement et révision des prix II.15.1 Facturation et paiement

4 II.15.2 Révision des prix II.15.3 Clause du client le plus avantagé II.16 Publicité - référencement II.17 Livraisons en retard II.18 Moyens de défense de l administration - Litiges III. Description des exigences techniques III.1 Lot 1 : Plate-forme de sécurité III.1.1 Préambule III.1.2 Description du projet III.1.3 Infrastructure à proposer III.1.4 Services à proposer III.2 Lot 2 : Antivirus Stations de travail et serveurs III.2.1 Préambule III.2.2 Antivirus Stations de travail : III.2.3 Antivirus Serveurs : III.2.4 Documentation technique III.2.5 SLA pour l architecture centrale et les clients IV. Annexes IV.1 ANNEXE I : Description des sites informatiques du SPF Finances Limitations relatives à l installation des machines IV.1.1 Caractéristiques techniques de la salle informatique North Galaxy IV.1.2 Caractéristiques techniques du site informatique DRS Anderlecht IV.2 ANNEXE II : Description du réseau interne IV.2.1 Services réseaux IV.2.2 Services Equipements Physiques Réseaux IV.3 ANNEXE III : Modèle de soumission IV.4 ANNEXE IV : Modèles de tableaux de prix IV.4.1 Lot 1 : Plate-forme de sécurité IV.4.2 Lot 2 : Antivirus Stations de travail et serveurs IV.5 ANNEXE V : Modèle de référence IV.6 ANNEXE VI : Curriculum vitae IV.7 ANNEXE VII : Formulaire de questions/réponses IV.8 ANNEXE VIII : Gestion du projet et méthodologie IV.8.1 PMFin IV.8.2 PID IV.8.3 Structures de gouvernance IV.8.4 Réunion de coup d'envoi ( kick-off ) IV.8.5 Réunion du comité de pilotage IV.8.6 Autres réunions IV.8.7 Qualité IV.8.8 Rapports IV.8.9 Gestion des changements (voir aussi partie II, Gestion des changements (request for change))

5 Auteur de projet Nom: Service d'encadrement ICT Adresse: Boulevard du Roi Albert II 33 bte 95 à 1030 Bruxelles Personnes de contact: Informations administratives N. ORBAN (Fr), tél. 0257/ Informations techniques Jean LECLERCQ / Michaël HAUSSY (Fr), tél. 0257/ /63608 Jean.leclercq@minfin.fed.be michael.haussy@minfin.fed.be Réglementation en vigueur 1. Loi du 24 décembre 1993 (MB du ) relative aux marchés publics et à certains marchés de travaux, de fournitures et de services, et ses modifications ultérieures. 2. Arrêté royal du 8 janvier 1996 (MB du ) relatif aux marchés publics de travaux, de fournitures et de services et aux concessions de travaux publics, et ses modifications ultérieures. 3. Arrêté royal du 26 septembre 1996 (MB du ) établissant les règles générales d'exécution des marchés publics et des concessions de travaux publics ainsi que l annexe à cet arrêté royal concernant le cahier général des charges, et ses modifications ultérieures. En ce qui concerne les documents propres au pouvoir adjudicateur : 1. Le présent cahier spécial des charges. 2. Les avis relatifs au marché et les avis de modification, annoncés ou publiés dans le Bulletin des Adjudications et dans le Journal des Publications de l'union Européenne, qui concernent les marchés publics en général. 3. Les clarifications résultant de la séance d'information (questions posées et réponses données par le pouvoir adjudicateur). Ces précisions font partie intégrante des conditions contractuelles. Le soumissionnaire est censé en avoir pris connaissance et en avoir tenu compte dans son offre. 4. Documents auxquels le pouvoir adjudicateur renvoie dans le cahier spécial des charges. En ce qui concerne les documents propres au soumissionnaire : L'offre du soumissionnaire. Les précisions et engagements acceptés par le SPF Finances et qui complètent l'offre (avec la même référence) suite aux questions et demandes de clarification. 5

6 I. Dispositions administratives Cette première partie se rapporte à la réglementation d'attribution d'un marché public jusqu'à la désignation de l'adjudicataire. Les dispositions contenues dans cette partie se rapportent à la loi du 24 décembre 1993 et à l arrêté royal du 8 janvier 1996 et ses modifications ultérieures. I.1 Description du marché I.1.1 Lot 1 : Plate-forme de sécurité Le SPF Finances utilise un vaste réseau TCP/IP réparti sur tout le territoire national, comptant environ utilisateurs. Ce réseau est relié à divers autres réseaux : Fedman donne accès à l Internet et aux autres SPF et institutions publiques. Le WAN du SPF Finances, implémenté aujourd hui avec Bilan Des lignes louées vers certains partenaires du SPF Finances, qu ils soient publics (Commission Européenne) ou privés (fournisseurs de services). Figure 1 - Connexions réseau L accès au réseau du SPF Finances à partir du monde extérieur est protégé par une infrastructure de firewall. Le firewall a été mis en place en vue d un accès sécurisé à l Internet pour les besoins des services centraux du SPF Finances. Le SPF Finances souhaite aujourd hui une nouvelle infrastructure de protection suffisamment puissante pour couvrir les besoins des fonctionnaires, ainsi que l accès aux ressources du SPF Finances pour au moins usagers externes simultanés à partir d Internet. Il s agit ici 6

7 d utilisateurs externes devant avoir accès au réseau interne du SPF Finances. Ce nombre doit par ailleurs pouvoir évoluer sensiblement. L adjudicataire sera responsable de fournir une infrastructure performante et un niveau de sécurité élevé en rapport avec les besoins du SPF Finances. L adjudicataire sera tenu d adapter l infrastructure et/ou sa manière de protéger le SPF Finances si des manquements sont constatés par les responsables SPF Finances. Le SPF Finances attend de l adjudicataire le résultat d un travail soigné effectué par des professionnels de la sécurité informatiques afin maitriser l infrastructure proposée en offrant une haute disponibilité des services et en parant à un maximum de menaces. Une représentation schématisée des différents réseaux est fournie à la figure ci-dessus. On y distingue : Le réseau LAN sur lequel les utilisateurs internes sont connectés (LAN/users) Le réseau WAN sur lequel les utilisateurs du SPF Finances sont connectés. Le réseau sur lequel sont connectés les serveurs du SPF Finances (subdivisions en plusieurs réseaux possible) Des réseaux internes spécifiques. Des zones DMZ à établir par l adjudicataire. Le réseau Internet, accessible via le réseau Fedman Des réseaux spécifiques vers certains partenaires. Le soumissionnaire proposera une architecture qui sera en mesure de protéger et isoler ces différents réseaux les uns des autres, idéalement par deux technologies différentes. La performance de l infrastructure proposée sera en mesure de supporter le trafic généré sans impact au niveau du throughput et en minimisant la «latency». Trois volets font partie du lot 1 : achat et installation d une infrastructure de sécurité, migration depuis l environnement actuel monitoring et maintenance de l infrastructure mise en place. Ces trois volets sont détaillés ci-dessous. Le cahier des charges concerne l achat et l installation d une infrastructure de sécurité, comprenant les firewalls et les équipements connexes capables de supporter le trafic généré par utilisateurs du SPF Finances. Ces utilisateurs sont soit des utilisateurs internes connectés sur le LAN des Finances, soit des utilisateurs externes connectés à travers le WAN des Finances... Aux utilisateurs du SPF Finances, s ajoutent les (au moins) utilisateurs externes simultanés mentionnés plus haut. Cette infrastructure ne contrôlera pas seulement le trafic de et vers l Internet, mais aussi les flux de et vers les autres liaisons, en particulier les liaisons de et vers les autres SPF et institutions publiques. L infrastructure doit aussi garantir la sécurité des serveurs des Finances et de leurs applications accessibles à partir de l internet. Enfin, l'infrastructure comprend également un appareillage de service d'analyse et de contrôle antivirus de fichiers destiné aux serveurs internes. Le marché couvre également la migration de l environnement existant au nouveau. La migration doit être réalisée avec le strict minimum d interruption du service. Le marché comporte par ailleurs un important service d entretien de l installation, de tenue à jour pour préserver la capacité de sécurité, et de surveillance opérationnelle de l infrastructure de sécurité. Pour ce faire, le soumissionnaire proposera une solution de monitoring permanent à distance (depuis ses locaux), conjointement aux services sur site (SPF Finances) nécessaires. Remarque et précision : les services de l Internet Service Provider et la location des lignes ne seront pas compris dans l offre du soumissionnaire (sauf en ce qui concerne les lignes allouées à la surveillance et à la maintenance de l infrastructure de sécurité). 7

8 Le soumissionnaire mentionnera tout recours à la sous-traitance avec indication de la part du marché qui est sous-traitée ainsi que le nom des sous-traitants. I.1.2 Lot 2 : Antivirus stations de travail et serveurs. Sur la base de la teneur du présent cahier des charges, le SPF Finances veut : disposer d une protection antivirus complète pour ses stations de travail Windows et serveurs Windows ; acquérir des logiciels spécifiques assurant une protection antivirus complète sur le plan des stations de travail et serveurs Windows ; acquérir des logiciels spécifiques permettant de commander et de gérer de façon centralisée l architecture centrale de management et de distribution ; disposer de services pour installer, configurer, mettre en route et rendre opérationnels l architecture et les logiciels visés plus haut, y compris les formations nécessaires. assurer la maintenance de l équipement. Le SPF Finances fournira les équipements matériels de type serveurs y compris le système d exploitation Microsoft Windows serveur nécessaire au développement, à l exploitation et à la mise en place. Le soumissionnaire mentionnera dans son offre, les spécifications minimales et nombre de serveurs nécessaires à l implémentation de sa solution. L adjudicataire reste cependant responsable de la fourniture d éventuels logiciels spécifiques nécessaires dans le cadre de la réalisation de ce projet, il reprendra dans son offre la liste détaillée de ces derniers ainsi que leur coût respectif. Le soumissionnaire mentionnera tout recours à la sous-traitance avec indication de la part du marché qui est sous-traitée ainsi que le nom des sous-traitants. I Description : système antivirus pour les stations de travail Windows I L Architecture centrale de gestion et de distribution distribution automatique des upgrades (mises à niveau) et updates (mises à jour) des logiciels antivirus sur les stations de travail Windows gestion centrale et reporting détaillé de l état de chaque station de travail Windows en termes de protection antivirus, d attaques arrêtées, de virus les plus fréquents et d utilisateurs les plus infectés. Rapport relatif aux (postes) clients sur lesquels le logiciel antivirus a été retiré (Lost & Found ou fonctionnalité équivalente). une fonction d inventaire doit être intégrée dans la gestion centrale pour donner un état des vulnérabilités possibles sur les clients : fichiers infectés, ports ouverts, services en cours Les clients non protégés (pas d antivirus) doivent être détectés automatiquement. Les clients doivent pouvoir déterminer eux-mêmes, automatiquement, quel dossier partagé ou serveur de distribution est chargé de la mise à jour, en fonction du temps de réponse le plus court du serveur. Les ordinateurs portables qui ne sont pas reliés au réseau du SPF Finances mais disposent d une connexion Internet doivent être mis à jour automatiquement par le serveur du fournisseur d antivirus. L adjudicataire doit prévoir une solution sur mesure pour les portables Windows du SPF, indépendamment de la solution destinée aux stations de travail Windows. 8

9 Services nécessaires pour installer, configurer et mettre en route cette architecture, y compris l installation du système d exploitation. I Logiciel antivirus spécifique pour les stations de travail Windows les licences nécessaires pour utiliser le logiciel sur les stations de travail Windows les services de support nécessaires pour mettre le logiciel à jour pendant ans à partir du kick-off et assurer pendant cette période une protection antivirus permanente sur les stations de travail Windows les services nécessaires pour installer et configurer le logiciel sur les stations de travail Windows du SPF. Il convient de tenir compte du fait que le client antivirus actuel est McAfee. Géographiquement, les stations de travail Windows sont réparties dans toute la Belgique. I Logiciel spécifique pour l architecture centrale de gestion et de distribution Les licences et services nécessaires pour mettre en place l architecture centrale de gestion et de distribution qui donnera aux stations de travail Windows une protection permanente et à jour contre les virus. I Contrat de maintenance de l architecture centrale Le contrat de maintenance comprend notamment la maintenance préventive, évolutive et corrective des logiciels, ainsi que l assistance technique. I Autres services SLA documentation formation et transfert de connaissances assistance complémentaire. I Description : système antivirus pour les serveurs I Architecture centrale de gestion et de distribution - doit assurer : distribution automatique des upgrades et updates des logiciels antivirus sur les serveurs Windows gestion centrale et reporting détaillé de l état de chaque serveur Windows en termes de protection antivirus. services nécessaires pour installer, configurer et mettre en route cette architecture, y compris l installation du système d exploitation I Le logiciel antivirus spécifique pour les serveurs Windows les licences nécessaires pour utiliser le logiciel sur les serveurs Windows les services de support nécessaires pour mettre le logiciel à jour pendant ans à partir du kick-off et assurer pendant cette période une protection antivirus permanente sur les serveurs Windows les services nécessaires pour installer et configurer le logiciel sur les serveurs du SPF. 9

10 I Logiciel spécifique pour l architecture centrale de gestion et de distribution Les licences et services nécessaires pour mettre en place l architecture centrale de gestion et de distribution qui donnera aux serveurs Windows une protection permanente et à jour contre les virus. I Contrat de maintenance de l architecture centrale Le contrat de maintenance comprend notamment la maintenance préventive et corrective des logiciels, ainsi que l assistance technique. I Autres services SLA documentation formation et transfert de connaissances assistance complémentaire. I.2 Le pouvoir adjudicateur Le pouvoir adjudicateur est l Etat belge, représenté par le Ministre des Finances, Rue de Loi 12, 1000 Bruxelles. Toute correspondance relative à ce marché peut être adressée à l adresse suivante : SPF Finances Services d encadrement ICT Boulevard du Roi Albert II, 33 bte BRUXELLES I.3 Utilisation par d autres pouvoirs adjudicateurs fédéraux Le SPF Finances est le pouvoir adjudicateur compétent pour la surveillance et le contrôle du marché. Cependant, dans le cadre du présent marché, conformément à l article 2, 4 de la loi du 15 juin 2006, d autres pouvoirs adjudicateurs fédéraux ou entreprises publiques fédérales peuvent se référer aux conditions du présent marché afin de répondre à des besoins éventuels, sans recourir à cette fin à la mise en concurrence. Par conséquent, chaque fois qu il est fait mention du «SPF Finances» dans le présent texte, il convient de lire effectivement «SPF Finances» pour tout ce qui concerne ou précède l adjudication, ou «SPF Finances ou un autre pouvoir adjudicateur fédérale ou une entreprise publique fédéral» pour tout ce qui concerne l exécution. I.4 Déclaration de confidentialité En déposant l'offre le soumissionnaire est lié automatiquement à la clause suivante : 10

11 La personne ou les personnes qui intervient en tant que mandataire(s) et qui a/ont signé cette offre électroniquement, garantit/garantissent la confidentialité des données et les résultats de leur traitement qui sont obtenus dans le cadre de la mission décrite dans ce cahier spécial des charges. Il s ensuit que ces données et les résultats de leur traitement : seront utilisés uniquement, si nécessaire, pour la réalisation de l'objet de la mission, ne seront ni diffusés ni copiés, ne seront pas gardés plus longtemps que nécessaire pour l'exécution de la mission. I.5 Mode de passation Le marché est passé par appel d'offres général. En application de l'article 18 de la loi du 24 décembre 1993 relative aux marchés publics et à quelques marchés de travaux, de fournitures et de services, le pouvoir adjudicateur peut soit renoncer à octroyer le marché, soit recommencer la procédure, au besoin suivant une autre méthode. Le marché ayant trait à plusieurs lots, le pouvoir adjudicateur a le droit de n'en attribuer que certains et, éventuellement, de décider que les autres lots feront l'objet d'un ou plusieurs nouveaux marchés, au besoin suivant un autre mode. I.6 Procédure négociée ultérieure Conformément à l'article 17, 2, 2, b de la loi du 24 décembre 1993 relative aux marchés publics, le pouvoir adjudicateur se réserve le droit, moyennant une procédure négociée, sans publicité pendant une période de maximum trois ans après la conclusion du présent marché, d'attribuer, au soumissionnaire qui a obtenu le premier marché, un marché pour de nouveaux services consistant en une répétition des services similaires aux services décrits dans le présent cahier de charges. I.7 Détermination des prix Le présent marché est un marché de type mixte pour le lot 1 et pour le lot 2. Le marché mixte est celui dont les prix sont fixés suivant plusieurs des modes dont il est question aux alinéas 2 à 4 de l article 86 de l arrêté royal du 8 janvier Tous les prix mentionnés dans les formulaires «ANNEXE IV : Modèles de tableaux de prix IV.4» doivent être obligatoirement libellés en euros. Dans son offre, le soumissionnaire indiquera les prix de toutes les parties de l'offre tel que demandé dans «ANNEXE IV : Modèles de tableaux de prix IV.4». Il détaillera également chaque partie. L'utilisation du modèle «ANNEXE IV : Modèles de tableaux de prix IV.4», tel qu'il est joint au cahier des charges, est obligatoire. La non-utilisation de ce modèle peut mener à l'exclusion de l'offre. L'on ne tiendra pas compte des prix qui sont mentionnés à un autre endroit qu'à la partie 2 de l'offre. 11

12 I.8 Durée du marché Le marché a une durée de trois ans à partir du kick-off. L adjudicataire sera tenu d assurer jusqu à deux années supplémentaires (1 + 1) à la demande du pouvoir adjudicateur aux conditions mentionnées dans son offre. L adjudicataire reste donc lié contractuellement pendant le délai de la période initiale, augmenté de prolongations éventuelles. I.9 Séance d information Etant donné la complexité du marché, le pouvoir adjudicateur a décidé d'organiser une séance d'information unique à l'attention des candidats-soumissionnaires. Il ne sera répondu à aucune des questions posées après cette séance d information afin de traiter tous les candidats-soumissionnaires de la même manière. Il y sera exclusivement répondu aux questions écrites introduites au plus tard le 8 août 2011 par le biais du formulaire questions / réponses joint en annexe au présent cahier spécial des charges (voir annexe: formulaire questions / réponses ). Ces questions peuvent uniquement être introduites par courriel, dans un tableur tel que celui joint en annexe, à l'adresse tender.firewall@minfin.fed.be La séance d'information se déroulera le 11 août 2011 à 10 h à cette adresse : SPF Finances Boulevard du Roi Albert II, Bruxelles C5. Salle Mandarin. Toutes les questions doivent obligatoirement faire précisément référence au cahier spécial des charges, de façon à faciliter une réponse rapide (par ex. partie 1, point 1.1, paragraphe 1, page 1). Prière aussi de mentionner la langue du cahier spécial des charges utilisé (la pagination peut différer d une langue à l autre). Pendant cette séance d'information, un bref aperçu de l'objet du marché sera présenté. Les réponses aux questions introduites dans les délais seront données verbalement lors de la séance d information et seront ensuite publiées sur le site Internet du SPF Finances. Il est demandé aux sociétés intéressées de se faire connaître au préalable par courriel à l adresse tender.firewall@minfin.fed.be et de communiquer le nom et la fonction de la (des) personne(s) qui les représentera (représenteront) à la séance d information. Pour des raisons d organisation, un maximum de 2 personnes par société intéressée sera admis. Le SPF Finances se réserve le droit de refuser aux personnes qui ne se sont pas fait connaître 24 heures à l'avance, de participer à la session d information. Si les sociétés intéressées remarquent des incohérences, imprécisions, etc. dans le cahier spécial des charges, elles sont invitées à le faire savoir par écrit avant la séance d information, suivant les mêmes modalités que pour l envoi des questions. Le SPF Finances accorde une grande importance à l égalité des soumissionnaires et rédige les spécifications de ses cahiers des charges en conséquence. Si une firme intéressée estime malgré tout que ses chances sont diminuées, voire réduites à néant, par certaines spécifications du 12

13 présent cahier des charges, elle est invitée à en faire part par écrit au plus tard lors de la séance d information. Le cas échéant, le SPF adaptera, s il l estime nécessaire, son cahier des charges afin d'en tenir compte. I.10 Forme et contenu des offres Le soumissionnaire est tenu d utiliser le formulaire d offre joint en annexe au présent cahier spécial des charges. Si toutefois d autres documents sont utilisés, il est tenu d attester sur chaque document la conformité au formulaire d offre joint au cahier spécial des charges (art. 89 de l AR du 8 janvier 1996). L offre et les annexes jointes au formulaire d offre sont rédigées en français ou en néerlandais. Le soumissionnaire doit indiquer la langue à utiliser pour l interprétation du contrat, c est-à-dire le français ou le néerlandais. Les documents d ordre techniques qui sont ajoutés à l offre peuvent être rédigés en anglais dans le cas où il n existerait pas de traduction dans la langue de l offre. Par le dépôt de son offre, le soumissionnaire renonce automatiquement à ses conditions générales ou particulières de vente, même si celles-ci sont mentionnées dans l une ou l autre annexe à l offre. Les soumissionnaires sont tenus de s'engager expressément sur toutes les clauses administratives et contractuelles du présent cahier spécial des charges. Toute réserve ou absence d engagement sur l'une de ces clauses peut entraîner l'irrégularité de l'offre. Quant à la structure de l offre: L'offre du soumissionnaire devra obligatoirement être présentée selon le schéma suivant : Partie 1 Partie administrative Critères d exclusion A. Formulaire d offre (modèle: voir ci-dessous) B. Pouvoirs des mandataires C. Sélection qualitative Critère de sélection relatif aux moyens économiques et financiers du soumissionnaire Critères de capacité technique D. Informations relatives aux sous-traitants (si applicable) Partie 2 Partie financière Le tableau de prix : détailler et résumer les coûts (modèle: voir ci-dessous) Partie 3 Proposition technique L offre suit la structure de la partie 3 du cahier des charges Partie 4 Annexes obligatoires Annexe 1: Références de projets récents, aussi bien dans le secteur privé que public (modèle: voir ci-dessous) Annexe 2: Curriculum Vitae (modèle: voir ci-dessous) Partie 5 Annexes spécifiques Annexe A, B, C, : Annexes que le soumissionnaire juge utile de joindre. Chaque proposition du soumissionnaire qui ne suivrait pas la structure imposée par le 13

14 pouvoir adjudicateur, peut être considérée comme irrégulière. La Partie 3 - proposition technique ne peut contenir aucune indication administrative et/ou de prix. Il ne sera tenu aucun compte de toute mention administrative ou indication de prix apparaissant dans une autre partie que la partie 2. Il est demandé de réduire au minimum le nombre de fichiers à présenter. Ainsi par exemple des fichiers séparés peuvent être regroupés dans des documents plus importants. Il est également essentiel d ordonner les fichiers au moyen d'une numérotation, de sorte que la structure de l offre soit claire. Il est aussi demandé que dans chaque fichier les pages soient pourvues d une numérotation ininterrompue. Concernant les mandataires: Toute offre introduite par des mandataires doit indiquer l'entité au nom de laquelle agissent les mandataires. Celui qui a signé l offre électroniquement doit, à la date de la signature, être habilité à engager le mandant au montant total de l offre. Les mandataires joignent à l'offre une copie électronique d e l acte authentique ou sous seing privé les habilitant, ou une copie de cet acte. Ils doivent également mentionner le numéro de l'annexe au Moniteur belge à laquelle sont publiés les mandats. Concernant les sous-traitants Tout recours à des sous-traitants sera clairement indiqué dans l'offre du soumissionnaire. Celui-ci décrira le type de relation contractuelle qui le lie avec chacun de ses sous-traitants. Le nom et l'adresse des sous-traitants seront joints à l'offre, avec mention de la ou des parties du marché à réaliser par chaque sous-traitant. Les sous-traitants doivent par ailleurs répondre aux «critères d exclusion» mentionnés au point «procédure d attribution du marché». Les sous-traitants seront, de préférence, certifié ISO 9001 (ou équivalent) pour l activité qui leur est sous-traitée. Le soumissionnaire joindra à son offre tous les renseignements permettant de contrôler la situation de chacun de ses sous-traitants. Concernant les documents d ordre technique Les documents d ordre technique (Pas de brochures publicitaires!) qui sont joints à l offre dans la partie 5 - annexes spécifiques, peuvent être rédigés en anglais dans le cas où il n existerait pas de traduction dans la langue de l offre, les autres langues ne sont pas autorisées. Formulaires à utiliser (joints en annexe au présent cahier spécial des charges): 1. Le formulaire d offre: voir annexe: formulaire d offre 2. Le formulaire tableau de prix : voir annexe: inventaire 3. Le formulaire pour les références: voir annexe: modèle de référence 4. Le formulaire curriculum vitae: voir annexe: curriculum vitae 14

15 I.11 Associations momentanées La remise d'une offre par une association momentanée est admise. Le formulaire d offre (voir formulaire qui est repris dans le présent cahier spécial des charges : «annexe : formulaire d offre») est complété et signé par tous les membres de l'association momentanée ou par un ou plusieurs membres qui, selon les règles, sont mandatés pour représenter tous les membres de l'association momentanée (la preuve de ce mandat doit dans ce cas être présentée). Chaque membre de l'association momentanée doit satisfaire aux critères d'exclusion décrits ultérieurement dans le présent document. L'évaluation de la capacité économique, financière et technique porte sur l'association momentanée et non sur chaque membre séparément. Chaque membre de l'association momentanée est solidairement responsable de toutes les obligations résultant de la présente adjudication. I.12 Variantes libres Il est interdit de proposer des variantes libres. I.13 Options La proposition «d options libres» ne sont pas autorisées. Les options demandées doivent obligatoirement faire partie de l offre. I.14 Délai de validité Les soumissionnaires restent liés par leur offre pendant un délai de 240 jours calendrier, à compter du jour qui suit celui de l ouverture des offres. I.15 Dépôt des offres Le pouvoir adjudicateur impose dans le cadre du présent marché le recours aux moyens électroniques pour le dépôt des offres. S'il s'avère que certains écrits ne peuvent être créés par des moyens électroniques, ou qu'il s'avère trop complexe de les créer par ces moyens, ces écrits peuvent être fournis sur un support papier et ce avant la date limite de réception. Le recours à des documents sur un support papier devra faire l'objet d'un accord préalable de la part du pouvoir adjudicateur. 15

16 Cet accord est à demander à l adresse suivante : SPF Finances Service d Encadrement ICT Cellule Marchés publics Boulevard du Roi Albert II 33 bte Bruxelles nathalie.orban@minfin.fed.be Afin de remédier à certains aléas de la transmission, de la réception ou de l'ouverture des demandes de participation ou des offres introduites par des moyens électroniques, le pouvoir adjudicateur autorise les soumissionnaires à introduire à la fois une offre transmise par des moyens électroniques et, à titre de sauvegarde, une copie établie par des moyens électroniques ou sur support papier. Cette copie de sauvegarde est glissée dans une enveloppe définitivement scellée qui porte clairement la mention "copie de sauvegarde" et est introduite dans les délais de réception impartis. Cette copie ne peut être ouverte qu'en cas de défaillance lors de la transmission, la réception ou l'ouverture de la demande de participation ou de l'offre transmise par des moyens électroniques. Elle remplace dans ce cas définitivement le document transmis par des moyens électroniques. Quant à l'introduction même: Avant leur ouverture, les offres électroniques sont déposées via le site Internet e-tendering qui garantit le respect des conditions de l'article 81 ter de l'ar du 8 janvier Notons que l'envoi d'une offre par courriel ne répond pas à ces conditions. Il n'est dès lors pas autorisé d'introduire l'offre de cette façon. Indépendamment des variantes éventuellement autorisées, chaque soumissionnaire ne peut introduire qu'une seule offre par marché. L'offre doit parvenir au pouvoir adjudicateur avant la date limite de réception des offres. En soumettant son offre par la voie électronique, le soumissionnaire accepte que les données générées par le système de réception soient enregistrées (article 81 quinquiès de l'ar du 8 janvier 1996). Il faut signaler que la signature doit se faire par voie électronique. Une signature manuscrite scannée n est pas considérée comme une signature acceptable. Au besoin, les attestations demandées seront scannées afin de les joindre à l'offre. Vous trouverez de plus amples informations sur le site Internet suivant : Ou via le helpdesk e-procurement : FR: Liza Torossian, , e.proc@publicprocurement.be NL: Peter Christiaens, , e.proc@publicprocurement.be Si un soumissionnaire souhaite modifier ou retirer une offre déjà envoyée: Cela doit s'effectuer selon les dispositions reprises à l'article 105 de l'ar du 8 janvier La modification ou le retrait d'une offre déjà introduite peut se faire par voie électronique satisfaisant à l'article 81 ter de l'ar du 8 janvier 1996 ou sur papier. Pour modifier ou retirer une offre déjà introduite, une déclaration écrite est nécessaire. Celle-ci doit être dûment signée par le soumissionnaire ou son mandataire. L'objet et la portée des 16

17 modifications doivent, sous peine de nullité de l'offre, être mentionnés de manière précise. Le retrait doit être inconditionnel. Le retrait peut également être communiqué par télégramme ou télécopie, pour autant que celui-ci arrive dans les mains du président de la séance avant l'ouverture des offres, avant qu'il ne déclare la séance ouverte. I.16 Ouverture des offres La séance publique d'ouverture des offres électroniques se déroulera le 9 septembre 2011 à 10 h, à l'adresse suivante : SPF Finances North Galaxy Bld. du Roi Albert II, Bruxelles C5. Petite salle I.17 Procédure d attribution du marché I.17.1 Critères de sélection qualitative Simplification administrative Par le simple fait de participer à la procédure d'attribution d'un marché public, le soumissionnaire déclare ne pas se trouver dans l'un des cas d'exclusion suivants, tels que mentionnés aux articles 17, 43 et 69 de l'arrêté Royal du 8 janvier 1996 relatif aux marchés publics pour des contrats de travaux, fournitures et services, et les concessions de travaux publics. Le pouvoir adjudicateur analysera l'exactitude de cette déclaration implicite sur l'honneur en fonction du soumissionnaire dont l'offre est la mieux classée. Le soumissionnaire en question devra fournir les renseignements et les documents qui devront permettre de vérifier sa situation, par la voie la plus rapide et le délai imposé par le pouvoir adjudicateur, et ce pour chaque décision relative à l'attribution du marché. Ces informations seront toutefois demandées par le pouvoir adjudicateur par voie électronique auprès des gestionnaires de données si celles-ci sont disponibles gratuitement par ce biais. Un soumissionnaire peut être exclu de la participation à un marché s'il apparaît, après vérification, que la déclaration sur l'honneur ne correspond pas à sa situation personnelle à la date limite précédant la réception des demandes de participation lors d'une procédure limitée ou d'une procédure de négociation avec publication, ou à la date ultime précédant la réception des offres en cas de procédure ouverte. Une régularisation à posteriori est dès lors impossible. Une telle exclusion est également possible si, pendant le déroulement de la procédure, il apparaît que le fichier personne du candidat ou du soumissionnaire ne correspond plus à la déclaration sur l'honneur. Dans ces deux hypothèses, le pouvoir adjudicateur effectuerait un classement corrigé, en tenant compte de l'impact possible de la suppression de la demande de participation ou de l'offre du candidat exclu ou du soumissionnaire, à savoir, en cas d'application des dispositions relatives au contrôle des prix anormaux de l'article 110, 4 de l'arrêté royal du 8 janvier Le pouvoir adjudicateur pourra ensuite attribuer le marché au soumissionnaire dont l'offre est classée juste après celle du soumissionnaire exclu, après avoir appliqué ces mêmes dispositions à son égard également. 17

18 I Critères d exclusion Premier critère d exclusion..1. Le soumissionnaire belge qui emploie du personnel assujetti à la loi du 27 juin 1969 révisant l arrêté-loi du 28 décembre 1944 concernant la sécurité sociale des travailleurs doit être en règle en matière de cotisations de sécurité sociale avant la date limite de réception des offres. Le pouvoir adjudicateur demandera directement cette information via le guichet électronique. Est en règle pour l application du présent article, le soumissionnaire qui, suivant compte arrêté au plus tard la veille de la date limite de réception des offres : 1 a transmis à l Office National de Sécurité Sociale toutes les déclarations requises jusque et y compris celles relatives à l avant-dernier trimestre civil écoulé par rapport à la date limite de réception des offres et 2 n a pas pour ces déclarations une dette en cotisations supérieure à euros, à moins qu il n'ait obtenu pour cette dette des délais de paiement qu il respecte strictement. Toutefois, même si la dette en cotisations est supérieure à euros, le soumissionnaire sera considéré comme étant en règle s il établit, avant la décision d attribuer le marché, qu il possède, au jour auquel l attestation constate sa situation, à l égard d un pouvoir adjudicateur au sens de l article 4, 1 et 2, 1 à 8 et 10 de la loi, ou d une entreprise publique au sens de l article 26 de cette même loi, une ou plusieurs créances certaines, exigibles et libres de tout engagement à l égard de tiers pour un montant au moins égal, à euros près, à celui pour lequel il est en retard de paiement de cotisations. 2. Le soumissionnaire étranger doit joindre à son offre ou présenter au pouvoir adjudicateur avant la date limite de réception des offres : 1 une attestation délivrée par l autorité compétente certifiant que, suivant compte arrêté au plus tard la veille de la date limite de réception des offres, il est en règle à cette date avec ses obligations relatives au paiement des cotisations de sécurité sociale selon les dispositions légales du pays où il est établi. Lorsqu un tel document n est pas délivré dans le pays concerné, il peut être remplacé par une déclaration sous serment ou par une déclaration solennelle faite par l intéressé devant une autorité judiciaire ou administrative, un notaire ou un organisme professionnel qualifié de ce pays ; 2 une attestation conformément au 1, s il emploie du personnel assujetti à la loi du 27 juin 1969 révisant l arrêté-loi du 28 décembre 1944 concernant la sécurité sociale des travailleurs..3. A quelque stade de la procédure que ce soit, le pouvoir adjudicateur peut s informer, par tous les moyens qu il juge utiles, de la situation en matière de paiement des cotisations de sécurité sociale de tout soumissionnaire. Deuxième critère d exclusion. Le soumissionnaire ne peut pas se trouver dans l'une des situations suivantes : 18

19 1 se trouver en état de faillite ou de liquidation, avoir cessé ses activités ou avoir obtenu un concordat judiciaire, ou se trouver dans toute situation analogue résultant d une procédure de même nature existant dans les législations et réglementations nationales; 2 avoir déposé une déclaration de faillite, avoir entamé une procédure de liquidation ou de concordat judiciaire ou avoir en cours une procédure de même nature existant dans les législations et réglementations nationales. Pour les soumissionnaires Belges, le pouvoir adjudicateur demandera directement cette information via le guichet électronique. Pour le soumissionnaire étranger, l attestation doit émaner de l organisme administratif compétent du pays concerné, ou, à défaut, le soumissionnaire doit produire une déclaration sur l honneur certifiée par un notaire ou par une autorité judiciaire ou administrative. Troisième critère d exclusion. Le soumissionnaire doit être en ordre concernant ses obligations vis-à-vis des contributions directes et de la TVA. Le soumissionnaire belge joint à son offre une attestation 276C2 récente (datant de 6 mois au maximum avant la date d ouverture des offres) émanant de l administration des Contributions directes ainsi qu'une attestation récente (datant de six mois au maximum avant la date d'ouverture des offres) de l'administration de la TVA dont il dépend et mentionnant qu il est en ordre concernant ses obligations vis-à-vis de l administration précitée. Le soumissionnaire étranger joint à son offre une ou plusieurs attestations récentes (datant de 6 mois maximum avant la date d ouverture des offres) émanant de l administration / des administrations compétente(s), dans son pays, pour la perception des contributions directes et de la TVA (ou des taxes qui, dans son pays, remplacent la TVA), mentionnant qu il est en ordre concernant ses obligations vis-à-vis de l administration / des administrations précitée(s). Si cette attestation ou ces attestations ne sont pas délivrées dans son pays, il suffit de joindre une déclaration sur l honneur certifiée par un notaire ou par une autorité judiciaire ou administrative de son pays. Quatrième critère d exclusion Est exclu de l'accès au marché à quelque stade que ce soit de la procédure le prestataire de services qui a fait l'objet d'un jugement ayant force de chose jugée dont le pouvoir adjudicateur a connaissance pour: 1 participation à une organisation criminelle telle que définie à l'article 324bis du Code pénal; 2 corruption, telle que définie à l'article 246 du Code pénal; 3 fraude au sens de l'article 1er de la convention relative à la protection des intérêts financiers des communautés européennes, approuvée par la loi du 17 février 2002; 4 blanchiment de capitaux tel que défini à l'article 3 de la loi du 11 janvier 1993 relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme. En vue de l'application du présent paragraphe, le pouvoir adjudicateur peut, lorsqu'il a des doutes sur la situation personnelle d'un prestataire de services, s'adresser aux autorités compétentes belges ou étrangères pour obtenir les informations qu'il estime nécessaires à ce propos. 19

20 Cinquième critère d'exclusion Le non-respect de la législation environnementale et sociale, qui a été le sujet d'un jugement définitif ou d'une décision d'effet équivalent, peut être considéré comme une violation de la conduite professionnelle de l'opérateur économique concerné ou comme une faute grave autorisant l'exclusion de l'acteur concerné de la soumission pour le contrat. Réf.: art. 53 et 54 de la directive 2004/17/CE et art. 45 de la directive 2004/18/CE I Critère de sélection relatif aux moyens économiques et financiers du soumissionnaire Le soumissionnaire fournit la preuve de sa capacité économique et financière par le biais de son chiffre d'affaires relatif aux activités sur lesquelles porte le marché et réalisées au cours des trois derniers exercices comptables. La capacité financière minimale pour être sélectionné doit être, sur base annuelle, de 50% du montant global de l offre du soumissionnaire. I Critères de capacité technique Premier critère relatif à la capacité technique du soumissionnaire. Le soumissionnaire prouvera la réalisation de deux projets équivalents au moins, pour un nombre d utilisateurs internes comparable (les projets réalisés au sein de la société du soumissionnaire ou au sein de la/des société(s) du/des sous-traitant(s) ne sont pas pris en compte pour ce critère). À cet effet, il fournira une liste des marchés les plus importants accomplis au cours des trois dernières années. Il fournira également une liste des projets similaires réalisés au cours de la même période, et indiquera les instances publiques et privées pour lesquelles ces projets ont été réalisés. Lorsqu'il s'agit de services aux pouvoirs publics, la preuve sera fournie par des certificats qui seront émis ou signés par l'autorité compétente. Lorsqu il s agit de services à des personnes privées, la preuve sera fournie par des certificats émanant de ces personnes. À défaut de ces certificats, le soumissionnaire peut certifier lui-même la réalisation de ces prestations. Le soumissionnaire précisera la date, le montant total du marché, ainsi que les coordonnées d une personne de contact au sein de la société ou de l organisation concernée. L utilisation du modèle «Présentation des références» (voir annexe au cahier spécial des charges «Présentation des références») est obligatoire pour la présentation des références. Deuxième critère relatif aux capacités techniques du soumissionnaire. Le soumissionnaire indiquera comment il garantit la qualité de ses services et ses produits. Il décrira son système de gestion pour gérer ses processus, ses activités afin de satisfaire les exigences de ses clients et se conformer aux réglementations en vigueur. Le soumissionnaire précisera dans quelle mesure les systèmes proposés sont conformes aux recommandations «Common Criteria» - voir sur le site : Au niveau services, le soumissionnaire précisera ses niveaux de certification en termes de sécurité. De plus, une certification ISO 9001 (ou équivalent) est requise de la part du prestataire de services. En cas de recours à de la sous-traitance, le SPF Finances souhaite que les soustraitants soient également certifiés ISO 9001 (ou équivalent). 20

21 I.17.2 Régularité des offres Les offres des candidats sélectionnés seront examinées sur le plan de leur régularité conformément aux articles 89 et suivants de l'arrêté royal du 8 janvier 1996 et aux dispositions du présent cahier spécial des charges. Les offres irrégulières seront exclues. Chaque proposition sera examinée afin de s assurer qu elle soit conforme aux besoins exprimés. S'il est déterminé qu'un besoin exprimé n'a pas été satisfait, l'offre peut être considérée comme étant irrégulière. La solution proposée dans l offre du soumissionnaire doit satisfaire aux besoins techniques présupposés qui peuvent être trouvés dans ce cahier des charges. Chaque proposition financière ou offre de prix incomplète ou contenant des contradictions ou des erreurs importantes, ou qui ne respecte pas les exigences en matière de présentation du prix, telles que formulées dans le cahier spécial des charges, peut être considérée comme irrégulière. Seules les offres reconnues régulières seront prises en considération pour être confrontées aux critères d attribution. I.17.3 Critères d attribution Le choix de l'offre la plus avantageuse sera fait par le SPF Finances sur la base des données et des renseignements qui sont joints à l'offre par le soumissionnaire et sur la base des critères décrits ci-après. L'attribution se fera sur la base de l'offre régulière la plus intéressante, en tenant compte des critères ci-dessous. Le soumissionnaire joindra à son offre, tous les renseignements nécessaires à l'évaluation de son offre à la lumière des critères d'attribution et de leurs sous-critères éventuels, comme détaillé cidessous. Tous les critères (et tous les sous-critères éventuels) reçoivent un coefficient de pondération par lequel le score obtenu sera multiplié. Les critères mentionnés ci-dessous sont les seuls qui seront utilisés pour effectuer le choix parmi les offres. 21

22 I Lot 1 : Plate-forme de sécurité. L attribution se fera selon la table de critères ci-dessous 1.Prix 40% 2.Architecture/Infrastructure Selon les sous-critères 25% proposée suivants Architecture globale 5% Qualité des produits 5% proposés Disponibilité de la solution 5% proposée Performance de la solution 5% proposée Facilité de gestion 5% globale/auditibilité 3.Services de monitoring, Selon les sous-critères 22% gestion, assistance et suivants maintenance Respect de la confidentialité 5% des données Pro-activité 5% Services de Help-Desk, 5% assistance et formation Services de maintenance et 5% SLA Evolution de la solution sous 2% 4.Mise en place de la solution 5. La clarté et la qualité de l offre l aspect services Selon les sous-critères suivants Définition de la «Security 5% Policy» Installation de la solution 5% 10% 3% Sous peine d exclusion, le soumissionnaire doit obtenir au moins 60% pour chacun des critères principaux L architecture globale sera évaluée sur la façon dont le soumissionnaire organise les différents systèmes entre eux. L utilisation de technologie appropriée les unes par rapport aux autres (par exemple : les 2 couches firewall de technologie différentes, l utilisation de la virtualisation de façon judicieuse afin d apporter un maximum de sécurité...). La qualité des produits proposés sera évaluée par rapport à leurs critères EAL ou équivalent respectifs ainsi que les fonctionnalités de chacun. La disponibilité de la solution sera évaluée sur le caractère redondant de la solution, sa capacité à offrir les différents services malgré les pannes. La performance de la solution sera évaluée sur la capacité de la solution à offrir les performances requises pour les différents services, les performances demandées sont décrites dans le document. La facilité de gestion globale/auditibilité tient compte de la façon dont les différents systèmes sont accessibles par les responsables SPF Finances afin d avoir une vue sur le statuts et la configuration des appareils. L installation de la solution reprend la mise en place dans les locaux du SPF Finances ainsi que la migration des différents services. 22

23 Le sous-critère pro-activité tiendra compte des propositions du soumissionnaire concernant des mécanismes afin de parer à des problèmes de sécurité, de performance (mise à jour de manière générale, analyse de log, corrélation entre les logs etc.). L évolution de la solution sous l aspect services évaluera les possibilités d évolutivité de la solution d un point de vue performance, extension du nombre d utilisateur et l aspect fonctionnalités supplémentaires. I Lot 2 : Antivirus stations de travail et serveurs L offre sera évaluée à l aide des critères suivants, en fonction de leur poids respectif : 1. Le prix 40% 2. Les performances, la 25% qualité technique et les possibilités du logiciel antivirus * 3.La qualité technique et les 10% possibilités du logiciel de gestion central antivirus 4.La qualité et les possibilités 7% du reporting du gestionnaire 5. Le SLA (Service Level 5% Agreement) et les pénalités proposées ** 6.Formation et transfert de 4% connaissances 7. Documentation 3% 8.Assistance complémentaire 3% 9.La clarté et la qualité de 3% l offre * in the wild on demand, zoo on demand, un test de vitesse sera également réalisé, test sur fichiers archivés et comprimés, test sur fichiers au format Office **Eléments du SLA, Mesure du SLA, Pénalités proposées Les soumissionnaires seront invités à effectuer une démonstration. Cette invitation ne préjuge pas de la régularité de l offre qui peut être toujours à l étude. Cette invitation permet au soumissionnaire de présenter son offre d un point de vue pratique, seul l offre sera utilisée pour faire un choix. Pour être classé en ordre utile pour l attribution du marché, le soumissionnaire doit obtenir au moins 60% des points pour chacun des principaux critères d attribution, à savoir les critères 2, 3, 4, 5. 23

24 II. Dispositions contractuelles Cette deuxième partie fixe la procédure relative à l exécution du marché. Pour autant qu il n y soit pas dérogé, l Arrêté royal du 26 septembre 1996 et ses modifications ultérieures établissant les règles générales d exécution des marchés publics de travaux, de fournitures et de services et des concessions de travaux publics est d application, de même que les dispositions de l annexe à cet arrêté royal relative au cahier général des charges, et ses modifications ultérieures. II.1 Notification de l attribution du marché Conformément à l article 65/8 de la loi du 23 décembre 2009 (insertion d un nouveau livre concernant la motivation, l information et les moyens juridiques dans la loi du 24 décembre 1993 sur les marchés publics et certains marchés d adjudication de travaux, fournitures et services), l instance adjudicatrice communique, immédiatement après la décision d attribution : Extrait du 1 : 1 à chaque soumissionnaire non sélectionné, les motifs de sa non-sélection, sous la forme d un extrait de la décision motivée ; 2 à chaque soumissionnaire dont l offre est déclarée irrégulière, les motifs du rejet, sous la forme d'un extrait de la décision motivée ; 3 à chaque soumissionnaire dont l offre n est pas choisie ainsi qu au soumissionnaire choisi, la décision motivée. La notification visée ci-dessus comprend également, le cas échéant : 1 la mention précise de la durée exacte du terme visé à l article 65/11, premier alinéa ; 2 la recommandation d avertir l instance adjudicatrice dans le même délai, par télécopie, courriel ou autre moyen électronique, si l intéressé dépose une demande de suspension conformément à l'article 65/11; 3 le numéro de télécopie ou l adresse électronique auxquels la notification visée à l article 65/11, troisième alinéa, peut être envoyée. L instance adjudicatrice émet cette notification sans retard, par télécopie, courriel ou autre moyen électronique ainsi que, le même jour, par lettre recommandée. 2. La notification visée sous 1 ne génère aucune obligation contractuelle à l égard du soumissionnaire choisi et suspend le délai durant lequel les soumissionnaires sont tenus par leur offre, pour autant qu un tel délai et que l article 65/11 s'appliquent. Pour toutes les offres déposées dans le cadre de ce marché, la suspension du délai prend fin : 1 en l absence de demande de suspension en vertu de l article 65/11, deuxième alinéa, le dernier jour du délai visé à l article 65/11, premier alinéa ; 2 en présence d une demande de suspension en vertu de l article 65/11, deuxième alinéa, le jour où l instance de recours visée à l'article 65/15 prend sa décision ; 24

25 3 en tout cas, au plus tard le quarante-cinquième jour après la notification visée au paragraphe 1. Certains renseignements ne peuvent être communiqués lorsque leur diffusion entrave l application de la loi, compromet l intérêt public, lèse les intérêts commerciaux légitimes d entreprises publiques ou privées ou empêche une concurrence loyale entre entreprises. II.2 Le bon de commande et ses modalités Le bon de commande est adressé à l adjudicataire et ce, soit par courrier recommandé, soit par fax, soit via tout autre support permettant de définir la date d'envoi de façon certaine. Les échanges de correspondance subséquents relatifs au bon de commande (et à l exécution des services) suivent les mêmes règles que celles prévues pour l envoi du bon de commande chaque fois qu une partie désire se ménager la preuve de son intervention. En cas de réception du bon de commande postérieure au délai de deux jours ouvrables, le délai de livraison peut-être prorogé au prorata du retard constaté pour la réception du bon de commande, à la demande écrite et justifiée de l adjudicataire. Si le service commandeur, après avoir examiné la demande écrite de l adjudicataire, l estime fondée ou partiellement fondée, il lui communique par écrit quelle prorogation de délai est acceptée. En cas de libellé manifestement incorrect ou incomplet du bon de commande empêchant toute exécution de la commande, l adjudicataire en avise immédiatement par écrit le service commandeur afin qu une solution soit trouvée pour permettre l exécution normale de la commande. Si nécessaire, l adjudicataire sollicite une prorogation du délai de l exécution des services dans les mêmes conditions que celles prévues en cas de réception tardive du bon de commande. En tout état de cause, les réclamations relatives au bon de commande ne sont plus recevables si elles ne sont pas introduites dans les 15 jours calendrier à compter du premier jour qui suit celui où l adjudicataire a reçu le bon de commande. II.3 Fonctionnaire dirigeant Le fonctionnaire dirigeant est chargé du contrôle de l exécution du marché Nom: Louis Collet Fonction: Directeur du Service d'encadrement ICT Téléphone : 0257/ En fonction à: Service d'encadrement ICT Adresse: Boulevard du Roi Albert II 33 bte 95 à 1030 Bruxelles Le fonctionnaire dirigeant est seul habilité à apporter toute modification au présent marché en cours d exécution. II.4 Cautionnement Le cautionnement est fixé à 5% du montant total, hors TVA, du marché. Le montant ainsi obtenu est arrondi à la dizaine d euros supérieure. 25

26 Le cautionnement peut être constitué conformément aux dispositions légales et réglementaires, soit en numéraire ou en fonds publics, soit sous forme de cautionnement collectif. Le cautionnement peut également être constitué par une garantie accordée par un établissement de crédit satisfaisant au prescrit de la loi du 22 mars 1993 relative au statut et au contrôle des établissements de crédit ou par une entreprise d assurances satisfaisant au prescrit de la loi du 9 juillet 1975 relative au contrôle des entreprises d assurances et agréée pour la branche 15 (caution). L adjudicataire doit, dans les trente jours de calendrier suivant le jour de la conclusion du marché, justifier la constitution du cautionnement par lui-même ou par un tiers, de l une des façons suivantes : 1 lorsqu il s agit de numéraire, par le virement du montant au numéro de compte du Postchèque de la Caisse des Dépôts et Consignations (CCP n , IBAN: BE , BIC: PCHQBEBB) ou d un organisme public remplissant une fonction similaire à celle de ladite Caisse, ci-après dénommé organisme public remplissant une fonction similaire ; 2 lorsqu il s agit de fonds publics, par le dépôt de ceux-ci entre les mains du caissier de l Etat au siège de la Banque nationale à Bruxelles ou dans l une de ses agences en province, pour compte de la Caisse des Dépôts et Consignations, ou d un organisme public remplissant une fonction similaire ; 3 lorsqu il s agit d un cautionnement collectif, par le dépôt par une société exerçant légalement cette activité, d un acte de caution solidaire auprès de la Caisse des Dépôts et Consignations ou d un organisme public remplissant une fonction similaire ; 4 lorsqu il s agit d une garantie, par l acte d engagement de l établissement de crédit ou de l entreprise d assurances. Cette justification se donne, selon le cas, par la production au pouvoir adjudicateur : 1 soit du récépissé de dépôt de la Caisse des Dépôts et Consignations ou d un organisme public remplissant une fonction similaire ; 2 soit d un avis de débit remis par l établissement de crédit ou l entreprise d assurances ; 3 soit de la reconnaissance de dépôt délivrée par le caissier de l Etat ou par un organisme public remplissant une fonction similaire ; 4 soit de l original de l acte de caution solidaire visé par la Caisse des Dépôts et Consignations ou par un organisme public remplissant une fonction similaire ; 5 soit de l original de l acte d engagement établi par l établissement de crédit ou l entreprise d assurances accordant une garantie. Ces documents, signés par le déposant, indiquent au profit de qui le cautionnement est constitué, son affectation précise par l indication sommaire de l objet du marché et de la référence du cahier spécial des charges, ainsi que le nom, le prénom et l adresse complète de l adjudicataire et éventuellement, du tiers qui a effectué le dépôt pour compte, avec la mention «bailleur de fonds» ou «mandataire», suivant le cas. Si la preuve de la caution n est pas fournie dans le délai requis, une amende sera appliquée. L absence de caution peut entraîner la rupture du contrat. Le délai de trente jours de calendrier visé ci-avant est suspendu pendant la période de fermeture de l entreprise de l adjudicataire pour les jours de vacances annuelles payées et les jours de repos compensatoire prévus par voie réglementaire ou dans une convention collective de travail rendue obligatoire. 26

27 La preuve de la constitution du cautionnement doit être envoyée à l adresse suivante : SPF Finances Service d'encadrement B&CG Division Engagements Boulevard du Roi Albert II, 33, bte Bruxelles Le cautionnement est libérable à la demande de l adjudicataire pour 80% après la réception provisoire des équipements et pour les 20% restants lors de l'expiration de la période de garantie. II.5 Caractère livrable du système proposé Les éventuels appareils, le logiciel système (sauf les pièces spécifiques développées au cours du projet) et les programmes d'application proposés doivent être officiellement disponibles et livrables lors de l'introduction de l'offre. Leur entretien éventuel doit également être disponible (il ne peut dès lors pas s'agir de versions β du logiciel, de pré-releases, etc. ). II.6 Exécution du marché II.6.1 Clause d évolution technologique Si, avant l'expiration du délai de livraison, une évolution technologique donne naissance à des logiciels/matériels plus avancés en termes de performances ou de fonctionnalités que ceux proposés dans l offre et ce, sans augmentation de prix, l adjudicataire est tenu d'en avertir le pouvoir adjudicateur et d en proposer le remplacement. Le pouvoir adjudicateur est libre d'accepter ou de refuser la proposition. II.6.2 Délais d exécution et planning Le soumissionnaire joindra à son offre un calendrier d exécution tenant compte de la durée maximale du contrat. Ce calendrier se présentera sous la forme de tableaux GANTT. Spécifiquement pour le lot 1 : Plate-forme de sécurité le soumissionnaire tiendra particulièrement compte du délai maximum de 6 mois pour effectuer la migration à partir du kick-off. Spécifiquement pour le lot 2 : Antivirus stations de travail et serveurs le soumissionnaire tiendra particulièrement compte du délai maximum de 9 mois pour effectuer la migration à partir du kickoff. II.6.3 Réunion «KICK-OFF» Dans un délai maximum d un mois calendrier à compter de la notification du marché, l adjudicataire et le Service Public Fédéral/l Administration tiendront obligatoirement leur première réunion de pilotage, dénommée réunion de KICK-OFF. Cette première réunion permet de présenter les équipes respectives dans leur composition et leur compétence, de fixer le calendrier des réunions de et du groupe de pilotage, de définir le planning de réalisation du marché, d y exposer les principes du SLA, 27

28 II.6.4 Comité de pilotage (Steering Committee) Le Comité de pilotage comprend, d une part, le responsable du projet chez l adjudicataire, accompagné des différentes personnes concernées selon l état d avancement du projet, et, d autre part, la Cellule d accompagnement du projet représentant l Administration. La Cellule d accompagnement est la seule instance à laquelle l adjudicataire doit rendre des comptes ; elle se fait assister par un Comité de suivi interne. Le Comité de pilotage traite les aspects contractuels, administratifs et techniques de l exécution du marché (livraison, réceptions, garantie, respect du SLA, avancement du projet, qualité des exécutions ). Il est le siège du reporting. II.6.5 Reporting Périodiquement, selon un calendrier défini de commun accord lors de la réunion de «kick-off», l adjudicataire fait un rapport complet au groupe de pilotage (Steering Committee) de l avancement du projet (état de chaque étape de réalisation), des problèmes rencontrés avec propositions de solution. II.6.6 Lieu d exécution du marché et particularités II L exécution des services En vue d une collaboration optimale avec le personnel du SPF Finances, le personnel de l adjudicataire effectuant des prestations dans les locaux du SPF Finances doit, dans la mesure du possible, suivre le même horaire de travail que les collègues des Finances. Par heures de bureau normales, nous entendons les jours ouvrés, du lundi au vendredi, de 7h30 à 18h00, selon le régime d'horaire variable en vigueur au SPF Finances. Le 2 novembre, le 15 novembre et la période entre Noël en Nouvel An sont considérés comme jours fériés par le SPF Finances, ainsi que le premier jour ouvrable de l année. Des «ponts» obligatoires sont également prévus ; ils seront communiqués chaque année. II Livraisons II Livraisons et installation L adjudicataire doit fournir au SPF Finances tous les renseignements et facilités nécessaires pour que la préparation et l exécution des livraisons puissent être contrôlées. Aucune livraison ne peut être faite sans qu'un avis en ait été donné, par écrit, aux services destinataires au moins quatre jours ouvrables avant la date d'expédition des marchandises ou de l installation du logiciel, sauf avis contraire explicite du pouvoir adjudicateur. L'équipement (logiciel) sera fourni et installé par l'adjudicataire, conformément à un calendrier détaillé à convenir de commun accord après l'avis d'attribution du marché. Les locaux d installation seront aménagés par le SPF Finances conformément aux prescriptions énoncées dans l offre remise par l adjudicataire. 28

29 II Spécifications techniques Les livraisons et services doivent correspondre en tous points avec les plans, documents et domaines applicables à ce marché. Même en cas de défaut de spécification technique contractuelle, les livraisons et services doivent satisfaire à toutes les exigences et règles de bonne exécution. II Emballages Les emballages éventuels demeurent la propriété de l adjudicataire et sont enlevés par lui dans les dix jours calendrier à compter de la date de livraison. Passé ce délai, le SPF Finances est en droit de renvoyer ces emballages aux frais de l adjudicataire. Le matériel sera déballé dans les locaux désignés par le destinataire et selon ses instructions. II.6.7 Personnel de l adjudicataire Pour ce marché, l adjudicataire devra désigner un chef de projet (également décrit, dans le cadre de PMfin 1, comme le «coordinateur de projet externe») qui l e représentera dans ses rapports avec le SPF Finances. Le personnel de l adjudicataire qui sera amené à réaliser le marché devra : avoir une expérience dans le cadre de la solution proposée ou de solutions comparables, être en mesure de comprendre tous les textes, rapports, comptes rendus, etc. nécessaires, utilisés ou produits par les deux parties dans le cadre du présent marché, et ce tant en français qu en néerlandais. Avoir une connaissance orale et écrite suffisante pour pouvoir communiquer en français ou en néerlandais, et si possible indifféremment dans les deux langues, le chef de projet doit être en outre capable de communiquer oralement tant en français qu en néerlandais. Le service d assistance et de support technique doit en outre pouvoir communiquer avec aisance dans les deux langues. Le personnel de l adjudicataire devra satisfaire à toutes les dispositions légales en vigueur en Belgique en matière d'immigration et de permis de travail. L adjudicataire garantira le SPF Finances contre tout dommage généralement quelconque que le SPF Finances pourrait subir du fait du non-respect par l adjudicataire ou les membres de son personnel des dispositions légales en question. L adjudicataire doit disposer de suffisamment de personnel possédant les connaissances nécessaires et adaptées à l exécution des tâches. Le personnel concerné doit également disposer d'une connaissance suffisante des outils utilisés dans le cadre du projet. Les adjudicataires doivent être capables de répondre immédiatement aux besoins résultant de l attribution du marché. L équipe de projet mise à disposition par l adjudicataire doit être suffisante afin de mener à bien les missions qui lui sont confiées. Le personnel affecté à l'exécution du marché doit être le même que celui proposé dans l'offre. A défaut, le personnel mis à disposition pour l'exécution sera de niveau et d expérience équivalents. Le SPF Finances devra marquer son accord sur la composition de l'équipe proposée pour le projet. 1 une méthodologie de projet unique au sein du SPF Finances qui est basée sur la méthode internationalement reconnue Prince2 29

30 L'adjudicataire garantit pour toute la durée du marché, la stabilité des personnes affectées à l'exécution du présent marché. En cours d'exécution, l'adjudicataire n'apportera aucun changement dans la composition de l'équipe de projet sans l'autorisation préalable du SPF Finances. Le SPF Finances pourra réclamer le remplacement immédiat d'une ou plusieurs personnes de l'équipe de projet de l'adjudicataire si elle juge que leurs qualifications ou leurs prestations entravent la bonne exécution du marché. Le changement devra intervenir dans les 10 jours ouvrables de la demande du SPF Finances, et ce sans frais à dater de la notification de l incident au soumissionnaire. Les soumissionnaires doivent joindre à leur offre, le curriculum vitae (obligatoire selon le modèle de «curriculum vitae») des personnes amenées à réaliser le marché. L offre devra contenir une proposition claire concernant la composition réelle de l équipe de projet et le type de profils qui participeront à la réalisation du marché. Un certain nombre de personnes pourront être proposées par profil, mais le soumissionnaire devra indiquer combien et quels membres du personnel feront partie de l équipe de projet réelle. La liste des membres du personnel proposés (effectifs et suppléants éventuels) sera considérée comme une liste exhaustive comprenant tous les membres du personnel susceptibles de faire partie de l équipe de projet. II.6.8 Sous-traitants L adjudicataire assumera l'entière responsabilité de la livraison de tous les produits et services visés dans ce marché. Le recours à des sous-traitants n'exonère pas l adjudicataire de ses responsabilités quant aux prestations attendues dans le cadre du marché. En cas de changement de sous-traitant par rapport à l offre, l'adjudicataire informera le SPF Finances qui devra marquer son accord avant que l adjudicataire puisse procéder au changement. Le fait que le prestataire de services confie tout ou partie de ses engagements à des tiers ne l'exonère pas de sa responsabilité envers le SPF Finances. Celui-ci ne se reconnaît aucun lien contractuel avec ces tiers. II.6.9 Moyens mis à disposition par le SPF Finances II Moyens techniques L adjudicataire mettra à disposition de son personnel tout le matériel nécessaire à l exécution de sa mission (ordinateur portable, etc.). Le SPF Finances ne met qu un petit nombre de locaux à la disposition de l adjudicataire. Si celuici estime leur nombre insuffisant, il fera usage de ses propres locaux. Le personnel de l adjudicataire dispose d un accès limité au réseau du SPF Finances, ainsi que d une adresse . Le SPF Finances ne dispose pas d emplacements de parking pour le personnel de l adjudicataire. Le SPF Finances n'effectuera aucune adaptation aux postes de travail des membres du personnel de l'adjudicataire afin de les faire mieux fonctionner au sein de l'infrastructure du SPF Finances. 30

31 L'adjudicataire ne peut en aucun cas modifier, perturber ou surcharger l'infrastructure du SPF Finances par l'ajout de postes de travail pour son personnel dans cette infrastructure, sauf pour ce qui est directement associé au développement de l'application concernée. L'adjudicataire est intégralement responsable de la protection des postes de travail concernés contre les virus et de la gestion de ces postes. Il utilisera de manière prioritaire les outils mis à sa disposition par le SPF Finances. Au cas où d'autres logiciels devraient être utilisés dans le cadre du projet, leur utilisation se déroulera, après acceptation par le comité de pilotage, sous la responsabilité de l'adjudicataire et le coût de cette utilisation sera compris dans le prix des services. Le personnel de l adjudicataire devra suivre les procédures internes et les règlements relatifs à l utilisation des moyens mis à sa disposition et à leur accès, et ne peut exiger aucun ajout ou modification à l environnement de travail du pouvoir adjudicateur. Si des manquements dans le soutien logistique entraînent des perturbations de service, il devra être fait appel aux moyens d arbitrage décrit dans le point «Moyens d actions de l administration Litiges» avant de faire appel au droit. II Tâches des collaborateurs du SPF Finances Les collaborateurs du SPF Finances participent au(x) projet(s) pour ce qui concerne : la définition du contenu du/de chaque projet ; la participation au choix de solutions : architecture, etc. ; la validation des documents de réalisation : dossiers de spécification, dossiers de réalisation, dossiers d acceptation, dossier de tests, manuels d utilisation, manuels de maintenance, etc. ; les contrôles de la qualité, notamment le contrôle de la concordance de la documentation avec la réalisation, du respect des normes en matière de documentation et de programmation, etc. ; le cas échéant : la participation obligatoire aux tests de réception (aspects techniques et fonctionnels), indépendamment du fait qu il s agisse de tests de fonctionnement unitaires, de tests d intégration ou de tests concernant le fonctionnement général ; le support logistique aux équipes d exécution, en ce qui concerne la mise à disposition des moyens techniques nécessaires à la réalisation selon ce qui sera déterminé en concertation. La réalisation sera suivie de très près, étape après étape, par les collaborateurs du SPF Finances, qui, avec l aide nécessaire de l adjudicataire, seront chargés de contrôler (et, si nécessaire, de définir) les normes et standards sur le plan (où cela s applique) de l architecture, des règles d application, des procédures de travail, de la documentation, de la programmation, etc. Ils doivent également veiller à ce que les normes soient strictement respectées, de façon à ce que les solutions implémentées puissent ensuite être reprises dans leur intégralité et sans problème spécifique par le SPF Finances. II.6.10 Normes et standards à respecter Les équipes de réalisation mis à disposition par l'adjudicataire au SPF Finances appliqueront les méthodes et les standards spécifiés par le SPF Finances ou ceux choisis avec son accord. Ces standards concernent au minimum : les normes techniques pour logiciels ; la méthode de gestion de projet (PMFin, une méthodologie de projet unique au sein du SPF Finances qui est basée sur la méthode internationalement reconnue Prince2) ; la tenue de la documentation ; 31

32 les règles de programmation (création, structures des codes, commentaires, conventions en matière de dénomination, standards de développement conformément aux fondements ICT, y compris les Standards ouverts, etc.); les règles de gestion définies par les services de gestion des environnements d'exploitation ; les procédures pour les garanties de base Toutes les normes utilisées par le SPF Finances figurent dans un document explicatif, disponible sur (sous «ICT et plans informatiques») et (onder ICT en informaticaplan ). Toute référence à quelque norme ou méthodologie que ce soit dans le présent cahier des charges dépend de la description exacte dans le document officiel présent sur ce site. Seul le comité tactique est compétent au sein du SPF Finances pour modifier ou ajouter des normes et méthodologies. Si l adjudicataire a besoin de l approbation d une nouvelle norme, il devra en introduire la demande auprès du comité tactique et entièrement se soumettre à sa décision. II.6.11 Gestion des changements («change management») II Généralités A tout moment lors de l exécution du contrat, le SPF Finances peut proposer au prestataire de services de modifier, de développer ou de limiter n importe quel aspect de l exécution du contrat, entre autres le contenu des services («proposition de modification» dans PMFin request for change). Des activités ou des aspects qui ont pu être anticipés ou prévus par le prestataire de services lors de la remise de son offre, ou encore qui en font raisonnablement partie, sont inclus dans l exécution du contrat et ne pourront donc pas faire l objet d une proposition de modification. Le prestataire de services ne pourra refuser une proposition de modification émise par le SPF Finances si la modification en question entraîne une réduction des coûts ou des volumes. Tant qu une proposition de modification n est pas entérinée de manière formelle par les parties (ainsi que par le comité de pilotage) et sauf si les parties ont conclu un autre accord par écrit, le prestataire de services continuera à exécuter le contrat comme s il n existait pas de proposition de modification. Le prestataire de services sera seul responsable pour toute avarie ou perte résultant de l exécution d une modification pour laquelle le SPF Finances n avait pas donné son aval préalable par écrit. II Modalités Le prestataire de services assure qu il disposera toujours des moyens humains et matériels nécessaires à l exécution de modifications. Une modification ne peut donner lieu à une adaptation de prix que si elle implique un surcoût matériel avéré dans le chef du prestataire de services. Le prestataire de services ne facturera aucun coût additionnel pour l étude ou la préparation d un rapport sur une proposition de modification. 32

33 II Procédure Sous réserve des articles 7 et 8 de l arrêté royal du 26 septembre 1996 fixant les règles générales d exécution des marchés publics, une modification de contrat ne sera contraignante que si elle a été proposée, traitée et entérinée conformément à la présente disposition. Si une des parties désire apporter des modifications au contrat, elle devra transmettre les détails de cette modification à l autre partie par écrit. Si le SPF Finances propose une modification, le prestataire de services devra transmettre au SPF Finances, dans un délai raisonnable et sans surcoût, une estimation du temps nécessaire prévu pour la mise en œuvre de la modification et de l effet attendu de ladite modification au niveau du contrat. Si le SPF Finances décide de ne pas appliquer cette modification, aucune modification ne sera apportée au contrat. Si le SPF Finances désire appliquer cette modification et si les deux parties acceptent la proposition de modification, elles définiront conjointement la modification ainsi que les conséquences de cette modification au niveau des modalités d acceptation dans une «annexe au contrat» qu elles signeront. Le prestataire de services exécutera immédiatement la modification convenue conformément aux stipulations de cette annexe. Si le prestataire de services demande une modification, la SPF Finances ne devra pas refuser ou différer son autorisation de manière inconsidérée. Si les deux parties acceptent la proposition de modification, elles définiront conjointement la modification ainsi que les conséquences de cette modification au niveau des modalités d acceptation dans une «annexe au contrat» qu elles signeront. Le prestataire de services exécutera immédiatement la modification convenue conformément aux stipulations de cette annexe. II.6.12 Engagements particuliers concernant les informations reçues Tous les résultats et rapports produits par l adjudicataire pendant l'exécution de ce marché, constituent la propriété du pouvoir adjudicateur et ne peuvent être publiés ou communiqués à des tiers, sauf accord écrit préalable de la part du pouvoir adjudicateur. L'exécutant des services et ses collaborateurs sont tenus au secret professionnel quant aux informations qu'il aurait pu obtenir lors de l'exécution de ce marché. Ces informations ne pourront en aucun cas être communiquées à des tiers sans accord écrit de la part du pouvoir adjudicateur. L adjudicataire est autorisé à mentionner le présent marché dans ses références. Tous les renseignements dont le personnel de l adjudicataire sera amené à prendre connaissance dans le cadre de sa mission, tous les documents qui lui sont confiés et toutes les réunions auxquelles il participe sont considérés comme strictement confidentiels. Les informations dot il s agit: peuvent être enregistrées sur n'importe quel type de support d'information, comme le papier, un film, une bande magnétique, un disque, une disquette, un montage intégré, etc. ; peuvent être communiquées à l adjudicataire oralement, par une démonstration et/ou par la transmission d'un support d'information qui contient l'information considérée ou peuvent venir à la connaissance de l adjudicataire à l'occasion de l'exécution du présent marché ou d'une mission confiée par le SPF Finances dans le cadre du présent marché ; peuvent, dans leur totalité ou en partie, consister en, par exemple, études, modes d'emploi, plans de conception, plans de fabrication, descriptions techniques, plans de détail, spécifications fonctionnelles, procédures, programmes d'ordinateur, codes exécutables, calculs, etc. 33

34 L adjudicataire s engage à garder secrètes, tant pendant qu après l exécution du marché, toutes ces informations confidentielles, de quelque ordre que ce soit, qui lui seront communiquées ou dont il aura eu connaissance au cours de sa mission. L adjudicataire se porte garant du respect de la confidentialité de ces informations par son personnel et ses sous-traitants. Il s engage à ne pas les divulguer à des tiers, en ce compris les filiales et autres entreprises liées à l adjudicataire. Il ne communiquera à son personnel et à celui de ses sous-traitants directement impliqués au marché, uniquement les données nécessaires à l'exécution de leur tâche, dans le cadre du présent marché. Les obligations énoncées ci-dessus ne sont pas applicables aux informations du SPF Finances : dont l adjudicataire peut démontrer par un moyen acceptable par le SPF Finances qu'elles étaient déjà en sa possession au moment où elles lui ont été communiquées pour la première fois par le SPF Finances ; qui, au moment où elles ont été connues par le SPF Finances, étaient déjà publiques ; qui, après qu'elles aient été connues par le SPF Finances, ont été rendues publiques autrement que par le fait de l adjudicataire ; ou que l adjudicataire a obtenues d'un tiers qui disposait de bonne foi des informations du SPF Finances et qui était autorisé à les communiquer à l adjudicataire. L adjudicataire s'engage : à ne pas copier tout ou partie de l'information du SPF Finances, si celle-ci se trouve sur un support mis à disposition par le SPF Finances ; à, d'autre part, ne pas saisir tout ou partie de l'information du SPF Finances sur un support quelconque, sauf pour l'exécution des missions qui lui sont confiées par le SPF Finances, et ce uniquement si cela s avère nécessaire. Toute l'information mise à la disposition de l adjudicataire par le SPF Finances et tout support d'information, contenant de l'information du SPF Finances, mis à la disposition de l adjudicataire par le SPF Finances reste l'entière propriété du SPF Finances. Même si l adjudicataire a copié ou consigné ces informations ou une partie de celles-ci, elles demeurent la propriété intégrale du SPF Finances. Le SPF Finances a le droit, à tout moment, de demander à l adjudicataire de lui remettre tout ou partie des supports d information sur lesquels l adjudicataire aura stocké de l information du SPF Finances. L adjudicataire s engage à remettre immédiatement les supports réclamés sans les copier. L adjudicataire s engage à remettre au SPF Finances, à l issue de l exécution du marché et sans délai, tous les supports d information qui contiennent de l information du SPF Finances et qui ont été mis à la disposition de l adjudicataire pour l exécution du marché, pour autant que ces supports d information n aient pas déjà été remis au SPF Finances. Toute information du SPF Finances restera la propriété du SPF Finances. Par la mise à disposition d informations du SPF Finances, celui-ci ne concède à l adjudicataire, ni explicitement ni implicitement, aucun droit à licence sur les droits de brevet, droits d auteur ou autres droits intellectuels. L adjudicataire s'engage à ne pas appliquer industriellement l'information du SPF Finances et à ne pas l'utiliser pour d'autres fins que l'exécution du présent marché ou d'une mission à lui confiée par le SPF Finances dans le cadre du présent marché. L adjudicataire est responsable de tout dommage dont le SPF Finances serait victime du fait du non-respect par lui-même ou par les membres de son personnel d obligations qui lui incombent en vertu du présent article. 34

35 II.6.13 Responsabilités Le fournisseur est responsable de ses fournitures jusqu'au moment où les opérations de vérification de la livraison sont effectuées, sauf si les pertes ou avaries survenant dans les dépôts du destinataire sont dues à des faits ou circonstances visés à l'article 16 du Cahier Général des Charges. Le prestataire de services assume la pleine responsabilité des fautes et des omissions constatées dans les services fournis, spécialement dans les études, les calculs, les plans ou toute autre pièce qu il fournit dans le cadre de l exécution du marché. En outre, le prestataire de services garantit le pouvoir adjudicateur contre toute action en dommages et intérêts intentée par des tiers en raison de son retard ou de sa défaillance. Le prestataire de services garantit que tous les services qui devront être exécutés dans le cadre du contrat seront exécutés conformément aux meilleures normes professionnelles, par un personnel suffisamment formé et compétent, en respectant les délais prévus. Le prestataire de services est responsable du niveau de qualité des prestations exécutées et s engage à mettre tout en œuvre afin de réaliser les objectifs de la mission qui lui est assignée dans le cadre de l exécution du marché. Sur la base de l article 1384 du Code civil, le prestataire de services est en tous cas responsable de tout fait ayant un rapport avec les activités exercées pour le compte du SPF Finances commis par des membres de son personnel. II.7 Suivi des services prestés et contrôles par des tiers II.7.1 Suivi de la bonne exécution du marché Le SPF Finances a le droit de maintenir une surveillance permanente sur les livraisons et les services qui sont exécutés par l équipe impliquée dans l exécution du marché. L équipe d exécution doit fournir aux représentants du SPF Finances tous les renseignements et facilités afin de remplir cette tâche. Les plans, spécifications, dossiers, etc. sont établis, dans le cadre de ce marché, par le personnel de l adjudicataire. Ils doivent avoir été approuvés par le SPF Finances avant exécution. Le SPF Finances dispose d un délai 15 jours calendrier afin d approuver ces documents ou de formuler des remarques. En cas de remarques, les documents concernés doivent être corrigés avant l'exécution et sans que ces corrections n'aient comme conséquence une révision des délais d'exécution planifiés, à moins que les remarques ne proviennent de nouvelles exigences de la part du SPF Finances. Tout dépassement du terme planifié pour l acceptation d un document mène, à la demande de l adjudicataire concerné, à un prolongement du délai d exécution. Le fait qu'un retard puisse être imputé au SPF Finances ne dégage pas l'adjudicataire de son obligation de veiller à en réduire les conséquences. L adjudicataire ne peut pas faire appel au fait que cette surveillance a été exécutée dans le but de se soustraire à leur responsabilité au cas où les fournitures ou les prestations seraient refusées pour cause de manquements de quelque nature que ce soit et que dès lors des délais d exécution prolongés en découleraient. 35

36 II.7.2 Contrôles par des tiers Afin d'évaluer les services prestés et le suivi du projet, le pouvoir adjudicateur peut faire appel à un tiers. L'adjudicataire est tenu de collaborer avec la partie tierce et lui fournir toute l'information afin de permettre le bon déroulement de ces activités de contrôle. Dans ce cadre, le SFP Finances souhaite mettre l offre de l adjudicataire à la disposition des personnes internes et externes au SPF chargées de l'évaluation et du contrôle. Les soumissionnaires doivent dès lors indiquer clairement quelles sont les parties de leur offre qui ne peuvent être mises à la disposition de personnes externes au SPF et chargées de l'évaluation et du contrôle. Si le soumissionnaire ne prend aucune décision en la matière dans son offre, cela sera interprété comme une absence de limites de sa part dans le cadre du «contrôle par des tiers», l intégralité de son offre pouvant être mise à disposition des personnes externes chargées de l évaluation et du contrôle. II.8 Evaluation des services prestés et opérations de vérification Le SPF Finances procédera aux opérations de vérification complète des équipements constitutifs de chacune des étapes de réalisation telles qu elles sont définies dans le calendrier de réalisation du projet dans les 30 jours calendrier qui suivent la notification, par l adjudicataire, de leur achèvement. Ces opérations porteront sur l'adéquation et sur le bon fonctionnement des équipements. La vérification d aptitude a pour but de constater que les installations répondent aux quantités et spécifications imposées par le SPF Finances. Le contrôle du bon fonctionnement a pour but de constater que les équipements sont capables d assurer un fonctionnement correct dans des conditions normales d exploitation (en d autres termes que l installation satisfait aux niveaux de services pré-établis). Les activités de contrôle comprennent notamment : L établissement du fait que les livraisons et les services associés ont été effectués; Le contrôle que toutes les fonctionnalités sont opérationnelles et paramétrées; Le contrôle des capacités de prestation en termes de performance, de sécurité, de robustesse, de capacité de charges, etc. L installation éventuelle d outils de test afin de pouvoir exécuter les contrôles mentionnés plus haut Le contrôle de la livraison de la documentation. Si les équipements satisfont aux contrôles prévus à cette fin dans les délais fixés, ils seront considérés comme appropriés et fonctionnant bien. Le calendrier des activités de contrôle sera fixé de commun accord. Si lors des opérations de vérification, les performances et/ou des fonctionnalités requises dans le cahier spécial des charges et/ou annoncées dans l offre ainsi que dans ses documents complémentaires, ne sont pas rencontrées ou ne le sont que partiellement, l adjudicataire s engage à effectuer à ses frais les modifications ou compléments nécessaires ou à remplacer tout ou partie des fournitures logicielles par la livraison de fournitures conformes, ceci dans les 30 jours calendrier qui suivent la date du procès-verbal de constatation de l impossibilité de prononcer la réception provisoire. Au-delà de ce délai, le SPF se réserve le droit d appliquer les amendes pour retard. Dans cette hypothèse, après que l adjudicataire aura effectué les modifications, les compléments ou remplacements nécessaires, l ensemble des tests de réception devra être ré-exécuté. 36

37 Si les équipements sont jugés inappropriés et/ou ne fonctionnent pas bien dans les délais fixés, le SPF Finances peut : soit appliquer les mesures d office prévues à l article 66 du cahier général des charges annexé à l A.R. du 26 septembre 1996 établissant les règles générales d exécution des marchés publics et des concessions de travaux publics ; soit convenir avec l adjudicataire de dispositions particulières. Toutes les situations ne pouvant être évaluées lors des tests, la réception provisoire ne décharge pas l adjudicataire de sa responsabilité en ce qui concerne l adaptation du système en cas de constatation d insuffisances par rapport à la demande reprise dans le cahier spécial des charges ou la proposition reprise dans l offre (voir également point II.10 infra). II.9 Réception provisoire A l issue des opérations de vérification qui se sont déroulées avec succès, le SPF Finances dressera un procès-verbal de réception provisoire des équipements couverts par l'étape concernée. Le procès-verbal de livraison provisoire sera signé par les deux parties. Si les services qui font partie de ce marché se composent de prestations purement intellectuelles, telles que des études, analyses ou autres rapports de consultance, la réception provisoire sera considérée comme réception définitive. II.10 Garantie Dans cette section, le terme «élément» fait référence à toute méthodologie, équipement ou logiciel et, par extension, à tout ce qui relève de la période de garantie et/ou de maintenance et qui a été développé/livré par l adjudicataire et fait partie du présent marché. Le délai de garantie de chaque élément du marché est fixé à un an minimum à compter de la date de la réception provisoire. Si des éléments sont défectueux, si les fonctions et/ou les prestations et/ou le respect du SLA (Service Level Agreement accord sur le niveau des services), prescrits dans le cahier des charges ou annoncés dans l offre de l adjudicataire, ne sont pas satisfaisants ou ne le sont qu en partie, dans la mesure où les défauts ne sont pas la conséquence d une utilisation anormale des éléments, l adjudicataire s'engage à effectuer toutes les réparations ou corrections nécessaires à ses frais ou à remplacer, le cas échéant, les éléments défectueux dans les délais indiqués dans les spécifications du SLA. Le délai de garantie complet s applique aux éléments à remplacer. Pendant les périodes de garantie, les sanctions relatives au SLA s appliquent. En cas de non-disponibilité de la solution pendant la période de garantie, celle-ci sera prolongée d une durée équivalente à cette non-disponibilité. La garantie couvre notamment : la réparation ou le remplacement, sur site, des éléments défectueux ; la correction des paramètres ; le renforcement du système si celui-ci ne répond pas au SLA; la durée des travaux prestés ; les déplacements du personnel de l adjudicataire. 37

38 L adjudicataire doit veiller à mettre à jour les éléments pendant la période de garantie. Ces mises à jour se rapportent tant à d éventuelles corrections qu aux évolutions de l élément installé. II.11 Réception définitive La réception définitive sera prononcée à la demande de l adjudicataire, après l expiration du délai de garantie et au moins un an après la réception provisoire globale, pour autant que le SPF Finances n ait pas émis, pendant cette période, de plaintes quant au bon fonctionnement. Dans ce dernier cas, la livraison définitive sera remise jusqu'au moment où le système aura fonctionné de manière correcte pendant une période ininterrompue d'un an. La réception définitive sera enregistrée dans un procès-verbal signé par l adjudicataire et par le SPF Finances. Le SPF Finances dispose d'un délai de 15 jours calendrier, à compter de la demande, pour dresser le procès-verbal d'acceptation qui donne l'autorisation de réception. Aucun paiement n'est prévu à la réception définitive. II.12 Modalités et frais de réception Modalités de réception Les services seront suivis de près pendant leur exécution et ce, par un ou plusieurs représentants du pouvoir adjudicateur. L'identité de ce(s) représentant(s) sera communiquée à l adjudicataire au début de la prestation des services. Frais de réception Tous les frais se rapportant à la livraison et à la (aux) réception(s) provisoire(s) et/ou définitive(s) sont à charge de l adjudicataire. II.13 Propriété intellectuelle Propriété intellectuelle Les droits de propriété intellectuelle et industrielle relatifs notamment aux dessins, modèles, œuvres et/ou documents littéraires (enregistrés de manière durable ou en langage de machine), rapports, logiciels et bases de données, ainsi que les méthodes, le savoir-faire, les concepts et autres développements dont le SPF Finances est propriétaire ou détenteur de licence, continueront à appartenir au SPF Finances en tant que propriétaire ou détenteur de licence (ciaprès dénommé la «propriété intellectuelle de l Administration»). Tous les droits de propriété intellectuelle qui découlent d une modification ou d une adaptation de la propriété intellectuelle de l Administration reviennent automatiquement au SPF Finances. Le prestataire de services s engage à documenter de manière précise toute modification ou adaptation. Toute la documentation, sous quelque forme que ce soit, qui concerne ces modifications ou adaptations de la propriété intellectuelle de l Administration, est considérée comme en faisant partie intégrante. 38

39 Les droits de propriété intellectuelle et industrielle relatifs notamment aux dessins, modèles, œuvres et/ou documents littéraires (enregistrés de manière durable ou en langage de machine), rapports, logiciels et bases de données, ainsi que les méthodes, le savoir-faire, les concepts et autres développements, que le prestataire de services, et/ou le(s) sous-traitant(s) désigné(s) par le prestataire de services crée(nt) dans le cadre de l exécution du marché sont ci-après dénommés «développements spécifiques». Les droits de propriété intellectuelle et industrielle relatifs notamment aux dessins, modèles, œuvres et/ou documents littéraires (enregistrés de manière durable ou en langage de machine), rapports, logiciels et bases de données, ainsi que les méthodes, le savoir-faire, les concepts et autres développements, que le prestataire de services utilise dans le cadre de l exécution du marché et qui sont la propriété du prestataire de services et/ou du (des) sous-traitant(s) désigné(s) par le prestataire de services, ou qui sont la propriété de tiers, sont ci-après dénommés «Autres composants». Immédiatement après leur création, les «développements spécifiques» appartiennent au SPF Finances en propriété pleine et exclusive. Si nécessaire, afin de permettre au SPF Finances d utiliser, d adapter, de (faire) maintenir (par des tiers) et/ou de reproduire les développements spécifiques, le prestataire de services s engage et/ou se fait fort d octroyer au SPF Finances, en ce qui concerne les autres composants utilisés pendant et après l exécution du marché, une licence non exclusive, transmissible, universelle, irrévocable et susceptible de sous-licence, pour la durée de la protection légale des droits de propriété intellectuelle en vue de l utilisation, de la modification et de la reproduction des autres composants. Le prestataire de services renonce à utiliser les développements spécifiques de quelque manière que ce soit à d autres fins que l exécution du présent marché sans l accord préalable, écrit et exprès du SPF Finances ; il veillera à ce que ses employés, agents et sous-traitants soient également liés par cette obligation. Le prestataire de services s engage à mettre à la disposition du SPF Finances et à maintenir à jour en permanence pour lui, sans frais supplémentaires, la documentation (y compris toutes les spécifications techniques pertinentes) et, dans le cas de logiciels, aussi le code source des développements spécifiques sous forme d un environnement de développement et de production utilisable. Les indemnités que le SPF Finances paie pour la fourniture des services comprennent les indemnités pour le transfert ou le droit d utilisation de ces droits de propriété intellectuelle. Garanties Le prestataire de services s abstiendra d exiger, n importe où dans le monde, le droit de propriété intellectuelle des développements spécifiques ou de prétendre y avoir droit de quelle que manière que ce soit, de soumettre une demande de brevet ou de toute protection similaire. Il veillera à ce que ses travailleurs, agents et sous-traitants soient aussi liés par cette obligation. Le prestataire de services garantit qu il possède tous les droits et toutes les autorisations nécessaires pour transférer les droits de propriété intellectuelle décrits ci-dessus ou d en permettre une licence d utilisation. Le prestataire de services s engage à fournir au SPF Finances toute l assistance requise, à remplir les formalités qui s imposent et à entreprendre les démarches nécessaires afin d assurer et de prouver la validité de la cession des droits précités. Le prestataire de services s engage à et se fait fort de faire respecter cette obligation par ses employés, ses préposés et d éventuels sous-traitants. Le prestataire de services informera le SPF Finances de tous les autres composants utilisés lors de la fourniture des services. Le prestataire de services garantit que les droits conférés concernant les développements spécifiques et les autres composants ne porteront pas atteinte aux droits intellectuels et autres d un tiers. 39

40 Si une action est intentée par un tiers en raison d une prétendue violation du droit de propriété intellectuelle ou autre de ce tiers par n importe quelle personne à la suite de la fourniture ou de l utilisation des services, le prestataire de services fournira, à la première requête du SPF Finances, toutes les informations possibles, ainsi qu une aide et une assistance (notamment l intervention volontaire dans une procédure à la première requête du SPF Finances) pour permettre au SPF Finances d organiser sa défense de manière effective et efficace. Le prestataire de services supportera tous les frais découlant d une telle accusation (frais d avocat y compris). Si le SPF Finances doit, à la suite d une telle action, payer une amende et/ou des dommages et intérêts, le prestataire de services prendra ce paiement à sa charge. Si, à la suite d une telle action, les services ne peuvent plus être fournis avec succès ou si un service fourni ne peut plus continuer à exister avec succès, le prestataire de services, après concertation avec le SPF Finances et à ses frais, se chargera de les rétablir. Sans porter préjudice à l obligation du prestataire de services de garder secrètes les informations sur le présent marché et les informations confidentielles, le prestataire de services a le droit de réutiliser le savoir-faire ou l expérience qu il a acquis(e) dans le cadre de l exécution du marché à d autres fins que l exécution du marché. II.14 Dépôt chez un séquestre Dans le cadre de l exécution du présent marché et des mesures transitoires, le prestataire de services devra, au plus tard à la réception provisoire, déposer auprès d un séquestre le code source des développements spécifiques. Il en fera de même pour chaque modification ou mise à jour de ceux-ci et de la documentation technique (appelée «matériel déposé») y afférent, sous la forme d un environnement utilisable, à l intention du SPF Finances. Après signature du contrat, le prestataire de services informera le SPF Finances aussi rapidement que possible quant aux développements spécifiques provenant de tiers qui sont utilisés pour fournir les services. De commun accord avec le SPF Finances, il sera alors spécifié quelles règles devront être adoptées et quelles garanties complémentaires devront être demandées le cas échéant à ces tiers pour assurer la continuité du droit d utilisation de ces développements spécifiques en tant que part desdits services et ce, aussi bien pendant l'exécution de ce marché que dans la perspective d'une transition éventuelle. Pour autant que cela s avère raisonnablement nécessaire, le prestataire de services se fera fort d obtenir de ces tiers qu ils déposent chez un séquestre le code source des développements spécifiques utilisés pour la prestation des services et ce, sous les mêmes conditions spécifiées dans le présent article. Le prestataire de services est entièrement responsable de la consignation du matériel déposé. Le prestataire de services veillera à ce que la version du matériel déposé chez le séquestre soit toujours à jour et sous la forme d un environnement utilisable. Le SPF Finances a le droit de faire vérifier à tout moment le contenu du matériel déposé. L indemnité payée par l Administration publique pour la fourniture des services englobe les services du séquestre et les coûts liés à la création et à la consignation du matériel déposé. 40

41 II.15 Facturation, paiement et révision des prix II.15.1 Facturation et paiement Dans la mesure où le pouvoir adjudicateur est en possession d une facture régulièrement établie (avec mention de la TVA et du numéro du bon de commande correspondant), accompagnée du procès-verbal de réception provisoire, la procédure est la suivante : Pour les fournitures et services, tout le montant dû est facturé à la réception provisoire. Les acomptes ne sont pas possibles ; les paiements ne peuvent être effectués qu a posteriori, pour des fournitures ou services déjà livrés et acceptés. Les paiements périodiques relatifs à la maintenance seront facturés par échéances annuelles. Les droits de licence sont facturés chaque année au début du terme. Les frais relatifs aux services (complémentaires / auxiliaires) prestés après la réception provisoire peuvent être facturés dès leur achèvement et leur acceptation (procès-verbal de réception provisoire : time-sheet signé par le fonctionnaire responsable). La facture doit être établie en euros. L'adjudicataire envoie ses factures (en deux exemplaires) à l'adresse suivante : SPF Finances Service central de facturation Boulevard du Roi Albert II 33 bte Bruxelles Le paiement est effectué dans les 50 jours calendrier à dater de la réception de la facture. Les intérêts de retard seront calculés conformément à l'article 15, 4 du cahier général des charges. II.15.2 Révision des prix Pour les fournitures, aucune révision de prix n'est autorisée. La révision des prix des services est possible. Les règles de révision sont les suivantes : Les prix peuvent être revus annuellement. Chaque année, le prestataire demande la révision du prix par lettre recommandée adressée au Pouvoir Adjudicateur SPF Finances Service d'encadrement B&CG Division Engagements Boulevard du Roi Albert II, 33, bte Bruxelles La révision des prix entre en vigueur : o le jour anniversaire de l'avis d'attribution du marché si le prestataire a introduit sa demande de révision avant cette date. La révision des prix ne 41

42 o concerne que les services effectivement prestés après l'anniversaire de l'attribution du marché. le 1er jour du mois qui suit l'envoi de la lettre recommandée si le prestataire a laissé passer un ou plusieurs anniversaires. La révision des prix ne concerne que les services effectivement prestés après la date visée ci-dessus (attention : le prestataire de services doit introduire une nouvelle demande pour la révision des prix des services à prester après l'anniversaire suivant). La révision des prix se calcule suivant la formule : S P P * 0,8* S0 où : P = prix revu P 0 = prix initial S 0 = indice salarial AGORIA (seulement pour les prestataires belges ; les prestataires étrangers doivent proposer un indice analogue) - moyenne nationale, charges sociales comprises, pour les contrats à partir du 11/07/1981, valable le mois qui précède l'ouverture des offres. S = comme S 0 ci-dessus, mais valable le mois qui précède le jour anniversaire de la notification de l'attribution du marché. Pour les indices, voir : Le pouvoir adjudicateur se réserve le droit de revoir les prix en cas de baisse de l'indice. Dans ce cas, la révision suit les règles ci-dessus, sauf que la lettre recommandée émane du pouvoir adjudicateur. II.15.3 Clause du client le plus avantagé L adjudicataire considérera le SPF Finances comme étant le client le plus favorisé. Si le marché court sur plusieurs années, l adjudicataire adaptera chaque année, à partir de la deuxième année de l'exécution du contrat, les prix pour ce marché, en appliquant les prix les plus bas qu'il propose pour des prestations similaires aux autres clients en Belgique, pour autant que ces prix les plus bas soient inférieurs aux prix à l'unité valables au début du marché. Les déclarations faites à ce sujet par l adjudicataire, qui sont déterminantes pour le respect de cette obligation, pourront être vérifiées dans les livres de l adjudicataire par un auditeur, payé par le SPF Finances, pendant les heures de bureau et sans déplacement des documents pertinents. L'auditeur se limitera à certifier ou à ne pas certifier les données pertinentes. Si l'auditeur conclut à la non certification, l adjudicataire disposera de 30 jours civils pour adapter les prix. Cette adaptation des prix peut se faire une seule fois par an. II.16 Publicité - référencement Aucun avis, communiqué de presse, rapport informationnel de recherche, et/ou avis public semblable concernant ce projet ne peut être publié par l adjudicataire ou par ses sous-traitants sans approbation écrite préalable d'un représentant autorisé du SPF Finances. 42

43 II.17 Livraisons en retard L'adjudicataire peut se prévaloir des carences, lenteurs ou faits quelconques qu'il impute au pouvoir adjudicateur ou à ses agents et qui lui occasionnent un retard et/ou un préjudice, en vue d'obtenir la prolongation des délais d'exécution, la révision ou la résiliation du marché et/ou des dommages-intérêts. Le pouvoir adjudicateur peut se prévaloir des carences, lenteurs ou faits quelconques qu'il impute à l'adjudicataire ou à son personnel et qui lui occasionnent un retard et/ou un préjudice, en vue d'obtenir la révision ou la résiliation du marché et/ou des dommages-intérêts. Sous réserve des prescriptions concernant les mesures prévues d office aux articles 20, 66 et 75 du Cahier général des charges, et si la livraison d une phase déterminée n a pas eu lieu trois mois après la date d exécution convenue, et si l adjudicataire n a pas, dans l intervalle, obtenu une prolongation du délai de livraison, l Administration se réserve le droit de renoncer au marché (cf. article 9, A.R. du 26 septembre 1996). Dans ce contexte, la livraison doit être considérée comme une livraison de biens et de services. II.18 Moyens de défense de l administration - Litiges Les moyens d'actions du SPF Finances sont ceux prévus aux articles 20 et 75 du Cahier général des Charges (en annexe à l'arrêté royal du 26 septembre 1996). Le marché doit être élaboré, interprété et exécuté conformément au droit belge. Les parties s'engagent à respecter leurs obligations de bonne foi et à coopérer en vue de la réussite de l'opération. Les litiges relatifs aux obligations découlant des dispositions qui régissent le marché doivent être réglés en concertation. Les parties devront préalablement à tout autre recours, essayer de régler l'affaire à l'amiable. A cette fin, la partie la plus diligente notifiera à l'autre partie par simple lettre recommandée la mauvaise exécution du contrat. Un mode de solution sera, si possible, joint à la notification. L'autre partie disposera d'un délai de 15 jours de calendrier à compter de l'envoi de la lettre recommandée pour en accuser réception et donner son accord sur la solution proposée. A défaut d'accord et avant de faire valoir leurs droits en justice, les parties s'efforceront de trouver un compromis par la voie des négociations qui seront engagées dès qu'il est apparu que l'affaire ne peut être réglée à l'amiable. Les négociations se tiendront à l'adresse indiquée au point «fonctionnaire dirigeant» de la partie II en présence des personnes désignées à cette fin par les deux parties. Sauf accord contraire, les négociations ne pourront excéder une durée de 30 jours à dater de la première lettre recommandée. Tous les litiges relatifs à l exécution de ce marché sont exclusivement tranchés par les tribunaux compétents de l arrondissement judiciaire de Bruxelles. La langue véhiculaire est le français ou le néerlandais. Le pouvoir adjudicateur n'est en aucun cas responsable des dégâts aux personnes ou aux biens qui sont la conséquence directe ou indirecte des activités nécessaires à l'exécution du présent marché. L adjudicataire garantit le pouvoir adjudicateur contre toute action en dommages et intérêts par des tiers à cet égard. 43

44 III. Description des exigences techniques Le soumissionnaire est censé avoir pris connaissance des exigences en rapport avec les "standards ICT" du SPF Finances relatifs à la nouvelle structure informatique centralisée (les documentations sur cette nouvelle infrastructure et les standards y relatifs sont disponibles sur le site portail du SPF Finances à l adresse sous la rubrique «Fondements ICT». Le soumissionnaire s engagera expressément à respecter ces fondements actuels et futurs lors de l exécution du présent marché. Le non-respect de cette prescription essentielle du présent cahier spécial des charges constitue une cause de nullité absolue de son offre. III.1 Lot 1 : Plate-forme de sécurité. III.1.1 Préambule Les points suivants devront être considérés : Solution évolutive : la solution doit être évolutive. Cela ne signifie pas que les équipements proposés doivent supporter n importe quelle charge future, mais qu il doit être possible de les upgrader et/ou de les étendre. Le soumissionnaire précisera dans quelle mesure les systèmes proposés sont conformes aux recommandations «Common Criteria» - voir sur le site : Au niveau services, le soumissionnaire précisera ses niveaux de certification en termes de sécurité. De plus, une certification ISO 9001 (ou équivalent) est requise de la part du prestataire de services. En cas de recours à de la sous-traitance, le SPF Finances souhaite que les sous-traitants soient également certifiés ISO 9001 (ou équivalent). La migration de l ancienne solution vers la nouvelle infrastructure devra être complètement exécutée dans les 6 mois suivant le kick-off. (l ancienne infrastructure sera intégralement désactivée et débranchée) Le fournisseur s'engage à participer aux exercices annuels de reprise après sinistre, les scénarios de récupération technique doit être préparée comme indiqué par le SPF Finances et par ailleurs accepter le mécanisme de gestion des mots de passe utilisée en cas de sinistre. Gestion du projet et méthodologie (voir IV.8 ANNEXE VIII : Gestion du projet et méthodologie) III.1.2 Description du projet. III Introduction Le SPF Finances utilise un vaste réseau TCP/IP réparti sur tout le territoire national, comptant environ utilisateurs. Ce réseau est relié à divers autres réseaux : Fedman donne accès à l Internet et aux autres SPF et institutions publiques. Le WAN du SPF Finances, implémenté aujourd hui avec Bilan. Des lignes louées vers certains partenaires du SPF Finances, qu ils soient publics (Commission Européenne) ou privés (fournisseurs de services). 44

45 Figure 2 - Connexions réseau L accès au réseau du SPF Finances à partir du monde extérieur est protégé par une infrastructure de firewall. Le firewall a été mis en place en vue d un accès sécurisé à l Internet pour les besoins des services centraux du SPF Finances. Le SPF Finances souhaite aujourd hui une nouvelle infrastructure de protection suffisamment puissante pour couvrir les besoins des fonctionnaires, ainsi que l accès aux ressources du SPF Finances pour au moins usagers externes simultanés à partir d Internet. Il s agit ici d utilisateurs externes devant avoir accès au réseau interne du SPF Finances. Ce nombre doit par ailleurs pouvoir évoluer sensiblement. L adjudicataire sera responsable de fournir une infrastructure performante et un niveau de sécurité élevé en rapport avec les besoins du SPF Finances. L adjudicataire sera tenu d adapter l infrastructure et/ou sa manière de protéger le SPF Finances si des manquements sont constatés par les responsables SPF Finances. Le SPF Finances attend de l adjudicataire le résultat d un travail soigné effectué par des professionnels de la sécurité informatiques afin maitriser l infrastructure proposée en offrant une haute disponibilité des services et en parant à un maximum de menaces. Une représentation schématisée des différents réseaux est fournie à la figure ci-dessus. On y distingue : Le réseau LAN sur lequel les utilisateurs internes sont connectés (LAN/users) Le réseau WAN sur lequel les utilisateurs du SPF Finances sont connectés. Le réseau sur lequel sont connectés les serveurs du SPF Finances (subdivisions en plusieurs réseaux possible) Des réseaux internes spécifiques. Des zones DMZ à établir par l adjudicataire. Le réseau Internet, accessible via le réseau Fedman Des réseaux spécifiques vers certains partenaires. Le soumissionnaire proposera une architecture qui sera en mesure de protéger et isoler ces différents réseaux les uns des autres, idéalement par deux technologies différentes. La 45

46 performance de l infrastructure proposée sera en mesure de supporter le trafic généré sans impact au niveau du throughput et en minimisant la «latency». Trois volets font partie du lot 1 : achat et installation d une infrastructure de sécurité, migration depuis l environnement actuel, monitoring et maintenance de l infrastructure mise en place. Ces trois volets sont détaillés ci-dessous. Le cahier des charges concerne l achat et l installation d une infrastructure de sécurité, comprenant les firewalls et les équipements connexes capables de supporter le trafic généré par utilisateurs du SPF Finances. Ces utilisateurs sont soit des utilisateurs internes connectés sur le LAN des Finances, soit des utilisateurs externes connectés à travers le WAN des Finances... Aux utilisateurs du SPF Finances, s ajoutent les (au moins) utilisateurs externes simultanés mentionnés plus haut. Cette infrastructure ne contrôlera pas seulement le trafic de et vers l Internet, mais aussi les flux de et vers les autres liaisons, en particulier les liaisons de et vers les autres SPF et institutions publiques. L infrastructure doit aussi garantir la sécurité des serveurs des Finances et de leurs applications accessibles à partir de l internet. Enfin, l infrastructure comprend également un appareillage de services d analyse et de contrôle antivirus destiné aux serveurs internes. Le marché couvre également la migration de l environnement existant au nouveau. La migration doit être réalisée avec le strict minimum d interruption du service. Le marché comporte par ailleurs un important service d entretien de l installation, de tenue à jour pour préserver la capacité de sécurité, et de surveillance opérationnelle de l infrastructure de sécurité. Pour ce faire, le soumissionnaire proposera une solution de monitoring permanent à distance (depuis ses locaux), conjointement aux services sur site (SPF Finances) nécessaires. Remarque et précision : les services de l Internet Service Provider et la location des lignes ne seront pas compris dans l offre du soumissionnaire (sauf en ce qui concerne les lignes allouées à la surveillance et à la maintenance de l infrastructure de sécurité). Le soumissionnaire mentionnera tout recours à la sous-traitance avec indication de la part du marché qui est sous-traitée ainsi que le nom des sous-traitants. III Caractéristiques globales de la solution La solution doit être évolutive et autoriser une augmentation significative du trafic, du nombre d interfaces, de la vitesse de connexion des interfaces, et du nombre d utilisateurs internes et externes. La solution doit également s adapter aux nouveaux impératifs en terme de sécurité (nouvelles menaces, nouvelles technique de hacking ). Cet aspect fera l objet d une attention particulière dans l évaluation des offres. Le soumissionnaire doit expliquer clairement : comment son équipement fera face à ces extensions les équipements et logiciels supplémentaires qui seront nécessaires les composants éventuellement à remplacer qui ne pourront donc pas être réutilisés. L infrastructure de sécurité à mettre en place sera totalement redondante. Elle sera constituée de deux ensembles d équipements complets. Chaque ensemble devra être en mesure d assurer seul l ensemble des fonctions prévues dans le présent cahier spécial des charges, en cas de défaillance de l autre ensemble. Les deux ensembles seront installés dans deux sites distincts, l un dans le bâtiment du North Galaxy et l autre dans le site de backup du SPF Finances (South Galaxy, Anderlecht). Le soumissionnaire décrira clairement dans son offre l architecture globale proposée et le mode de fonctionnement : redondance locale (au sein d un ensemble) et redondance globale (les deux ensembles de sécurité entre eux). 46

47 III Flux d information L architecture proposée doit permettre un contrôle efficace du trafic entre les différents réseaux. Elle doit par ailleurs interdire entièrement ou partiellement le trafic entre les différents réseaux, suivant les vœux du SPF Finances. Les réseaux externes auxquels se connecte le SPF Finances sont : réseau Fedman, Internet (via Fedman), lignes louées avec des partenaires tels que des Institutions Publiques Internationales (Institutions Européennes) ou des fournisseurs de services, lignes PSTN éventuelles, réseau WAN du SPF Finances, différents réseaux internes dédiés à certains utilisateurs et certains serveurs. Les communautés d utilisateurs qui se connectent à travers ces différents moyens de connexion et dont le trafic doit être contrôlé sont identifiées ci-dessous. Les fonctionnalités auxquelles ils doivent avoir accès sont détaillées plus avant dans la suite du paragraphe. Les utilisateurs du SPF Finances connectés sur le LAN interne du SPF Finances. Les utilisateurs du SPF Finances connectés sur le WAN du SPF Finances. Les utilisateurs du SPF Finances connectés via Internet (homeworkers, partenaires, ) Le trafic SMTP entre le mail interne du SPF Finances et le mail externe (Internet ou autres institutions publiques nationales) Les utilisateurs externes, connectés sur l Internet ou via Fedman Les utilisateurs externes connectés via le réseau des partenaires Les serveurs de la DMZ (ou certains d entre eux) Le firewall doit permettre d interconnecter de façon redondante et contrôlée au moins les réseaux suivants: Réseaux internes : LAN, WAN, serveurs mail, serveur web Le soumissionnaire proposera une segmentation du réseau interne efficace en termes de sécurité. Réseaux externes :FedMan (y compris Internet) Partenaires : Communautés européennes et liaisons spécialisées vers partenaires Le SPF Finances dispose d un point d accès à chacun des réseaux externes sur chacun des deux sites d implantation. DMZ DMZ mail DMZ Web DMZ FTP DMZ VPN DMZ applicatives (au moins 10) Il convient de prévoir au moins deux interfaces pour chacun des réseaux par site. Les DMZ applicatives étant réparties dans différents locaux d un même Datacenter, il convient de mettre en place une solution permettant de limiter le câblage entre les locaux (routeurs locaux). De chaque interface avec l extérieur partiront une ou plusieurs liaisons vers les sites externes correspondants. Les interfaces physiques des firewalls doivent autoriser le trunking et la solution proposée pourra en faire usage. En cas de trunking au niveau des firewalls, il faut prévoir de façon redondante au moins quatre interfaces de 10 Gbps et quatre interfaces supplémentaires avec capacité de 1 Gbps. Si la solution proposée utilise le trunking, le soumissionnaire doit expliquer le mode de protection. 47

48 La solution doit autoriser minimum 20 zones démilitarisées (DMZ), correspondant à des directives de contrôle différentes. Chaque DMZ est une infrastructure répartie sur les deux sites d implantation. Il doit être possible de contrôler le trafic de et vers les zones démilitarisées, quelles qu en soient l origine et la destination. L équipement doit pouvoir assurer les fonctions de contrôle suivantes, illustrées à la figure cidessous. 48

49 Figure 3 - Flux d'information 49

50 Les utilisateurs du SPF Finances connectés sur le LAN interne du SPF Finances doivent avoir accès aux services suivants : Trafic HTTP, HTTPS, TELNET, FTP sortant (connexion initiée par l utilisateur) vers Fedman et Internet. Le trafic doit être contrôlé pour empêcher certains membres du personnel du SPF Finances de se rendre sur des sites web inopportuns. Le soumissionnaire proposera l architecture nécessaire à la protection du réseau SPF Finances en fonction des protocoles à supporter. Trafic HTTP, HTTPS, TELNET, FTP sortant (connexion initiée par l utilisateur) vers le réseau des partenaires pour certains fonctionnaires. Le soumissionnaire proposera l architecture nécessaire à la protection du réseau SPF Finances en fonction des protocoles à supporter Trafic HTTP, HTTPS et FTP sortant vers des serveurs situés dans la DMZ. Trafic nécessité par la gestion des serveurs situés dans la DMZ. Ce service est réservé à certains utilisateurs du SPF Finances. permettre le transfert de données entre ces serveurs et certains systèmes du réseau interne du SPF Trafic de et vers l Intranet du SPF Finances (toutes les applications). Les utilisateurs du SPF Finances connectés sur WAN du SPF Finances doivent avoir accès aux services suivants : Trafic HTTP, HTTPS, TELNET, FTP sortant (connexion initiée par l utilisateur) vers Fedman et Internet. Le trafic doit être contrôlé pour empêcher certains membres du personnel du SPF Finances de se rendre sur des sites web inopportuns. Le soumissionnaire proposera l architecture nécessaire à la protection du réseau SPF Finances en fonction des protocoles à supporter. Trafic HTTP (y compris newsgroup), HTTPS, TELNET, FTP sortant (connexion initiée par l utilisateur) vers le réseau des partenaires pour certains fonctionnaires. Le soumissionnaire proposera l architecture nécessaire à la protection du réseau SPF Finances en fonction des protocoles à supporter Trafic HTTP, HTTPS et FTP sortant vers des serveurs situés dans la DMZ. Trafic de et vers l Intranet du SPF Finances (toutes les applications). Un utilisateur du SPF Finances connecté via Internet (homeuser) doit avoir accès aux services suivants Si l utilisateur est autorisé, il doit avoir accès au trafic de et vers l Intranet du SPF Finances (toutes les applications). Le soumissionnaire proposera la solution la plus appropriée : l utilisateur doit être authentifié et la solution doit garantir la confidentialité et l intégrité du trafic. Le trafic SMTP entre le mail interne du SPF Finances et le mail externe (Internet ou autres institutions publiques nationales) doit être contrôlé et permettre la détection et l arrêt de spamming, phishing, malwares, etc. La prise en charge au niveau hardware du TLS/SSL complète est requise. Les utilisateurs externes, connectés sur l Internet ou via Fedman doivent avoir accès aux services suivants : Trafic http, HTTPS, FTP entrant (connexion initiée par l utilisateur externe) vers des serveurs publics gérés par le SPF Finances et localisés dans la DMZ. Certains utilisateurs connectés doivent avoir la possibilité d interroger les systèmes du SPF Finances (ports TCP UDP spécifiques). Les utilisateurs externes connectés via le réseau des partenaires doivent avoir accès aux services suivants : Trafic HTTP vers des serveurs publics gérés par le SPF Finances et localisés dans la DMZ. Certains utilisateurs connectés doivent avoir la possibilité d interroger les systèmes du SPF Finances (ports TCP UDP spécifiques). Les serveurs de la DMZ (ou certains d entre eux) doivent avoir accès aux services suivants : 50

51 Possibilité d accéder sur demande à des données abritées sur les serveurs internes du LAN SPF Finances selon des procédures sécurisées. Cette liste de fonctions décrit les principales utilisations prévues. Elle doit aider le soumissionnaire à déterminer les produits qui conviennent le mieux pour mettre en place de bonnes solutions aux problèmes posés. La liste peut évoluer en fonction de besoins nouveaux ; le soumissionnaire peut élargir la liste pour améliorer son offre. Afin d éviter le ralentissement de trafic que peut provoquer une inspection du trafic au niveau 7 («application inspection»), cette fonctionnalité devra pouvoir être activée par flux, de façon par exemple à ne pas en faire usage entre les utilisateurs connectés sur le LAN et les serveurs de l Intranet. Le soumissionnaire expliquera comment la solution proposée rencontre cette exigence. III Dimensionnement Pour le dimensionnement de l infrastructure qu il propose, le soumissionnaire se basera sur les chiffres suivants, qui donnent le trafic entre le monde extérieur et le réseau du SPF Finances. Ces chiffres ne tiennent pas compte du trafic à l intérieur du SPF Finances (entre utilisateurs sur le LAN ou WAN et l Intranet). Ce sont des mesures en chiffres absolus. Néanmoins, 75% des sessions sont des sessions inbound-outbound uniques dans la "state table" firewall. III Situation actuelle SMTP Connections/hour Mail avg size (kbyte) Inbound 24000,00 900,00 (included refused connections) Outbound 7000,00 360,00 HTTP Traffic (mbit/s) Connections actives 400, ,00 III Prévisions pour le futur (2016) SMTP Connections/hour Mail avg size (kbyte) Inbound , ,00 (included refused connections) Outbound 35000, ,00 HTTP Traffic (mbit/s) Connections actives 2000, ,00 III Dimensionnement du mail Nombre de connexions concurrentes "Unburdened throughput" messages/heure Possibilité de "Parallel queuing" (continuous mail delivery) 51

52 III Dimensionnement de la capacité Firewall Les sessions inbound / outbound ont un "over lap" d environ 75% (elles ne forment en fait qu'une seule session dans le firewall dans 75% des cas), ce qui permet de calculer la moyenne des sessions. L'interface Internet : Dual 10 Gigabit (coupling of interfaces) par site et dual 1 Gigabit (coupling of interfaces) par site sessions concurrentes, avec un build up rate (capacité de créer des sessions) minimal de nouvelles sessions par seconde, 10 Gbit de throughput en paquets larges et 5 Gbit de throughput en petits paquets. Interface DMZ = Dual Gigabit (coupling of interfaces) par site par serveur. Interface Interne = Dual 10 Gigabit (coupling of interfaces) par site et dual 1 Gigabit (coupling of interfaces) par site. III Dimensionnement de la capacité DMZ Interface Web servers = Chaque serveur doit pouvoir avoir du dual gigabit pour la redondance. En fonction du nombre de serveurs, il faut prévoir des switches avec un backplane de 300Gbit+ et capables d offrir 96+ ports. Le switch doit avoir un uplink vers les «applications loadbalancers» ou avoir un «loadbalancer» intégré. Le soumissionnaire devra prévoir les portes suffisantes en fonction de son architecture et des composants qu il propose. Interface Web Content Scanning = Dual 2 Gigabit Interface Mail Content Scanning = Dual Gigabit III.1.3 Infrastructure à proposer III Architecture globale L architecture de la solution sera basée sur une configuration de firewalls en deux couches (une couche externe et une couche interne), complétée par les dispositifs et équipements nécessaires à répondre aux différents besoins fonctionnels tels qu ils sont exposés dans le cadre de ce chapitre «Solution Technique». Dans sa réponse, le soumissionnaire élaborera une proposition d architecture globale qui implémente toutes les fonctionnalités requises : il s attachera plus particulièrement à décrire l intégration des différents composants proposés et la façon dont ses composants interagissent pour fournir le niveau de sécurité maximal. III Intégration de différentes technologies L'Administration est favorable à une architecture globale intégrant plusieurs technologies différentes, pour autant que ces différentes technologies coopèrent en vue de renforcer la sécurité de l'ensemble. Pour tout le trafic entrant ou sortant du SPF Finances, la préférence sera donnée à une solution combinant les produits d au moins trois technologies différentes. Les soumissionnaires justifieront dans leur réponse le choix des fournisseurs proposés ainsi que la complémentarité existant entre ceux-ci. Les techniques de contrôle mises en œuvre opèreront autant que possible à un niveau proche du niveau applicatif, ceci afin de réaliser un contrôle du trafic le plus complet possible. Le système de sécurité reposera sur un système d'exploitation fiable. Il peut s'agir d'un système standard soigneusement sécurisé ou d'un système spécialisé. Le soumissionnaire expliquera et justifiera son choix. 52

53 Les technologies proposées seront en mesure de supporter intégralement IPv4 et IPv6 de façon performante dans les 2 cas (pas de différence significative entre IPv4 et IPv6 support hardware des 2 protocoles, pas d émulation software). Le SPF Finances planifie l'implémentation d'une solution Network Access Control (NAC) basé sur le standard 802.1x. La solution firewall, vpn, proxies sera intégrable avec une solution NAC d'une manière standardisé. Une intégration des systèmes sera nécessaire afin de disposer d'une solution de control d'accès simple et centralisé : utilisation d'une seule base de données d'utilisateurs, échange de droits d'accès, la sortie vers internet pour les utilisateurs non-connu, l'intégration avec la solution VPN, etc. III Identification des utilisateurs L infrastructure proposée doit être entièrement conforme aux normes ouvertes qui permettent de supporter l intégration des composants de l offre (p.ex. fonctionnalité proxy accès internet/pas d accès internet) via l authentification des utilisateurs à partir d une «base de données utilisateurs» centrale. L on songe par exemple à l intégration avec le système d identification, d authentification et d autorisation du SPF Finances, LDAP/LDAPS,Active Directory (par login/password) eteid. Une telle fonction d authentification existera au minimum pour le trafic http, https, ftp, nntp et telnet. L'utilisateur sera identifié, et son identité sera contrôlée au minimum par une procédure de type "login + mot de passe". Le soumissionnaire précisera pour quel type d'application une telle procédure d'identification est applicable. Il précisera également quel autre type de contrôle est réalisable (badge, token, eid, certificat ). Si le système comprend plusieurs équipements utilisant ce type de contrôle, il est souhaitable de mettre en œuvre une solution de gestion unique des utilisateurs. Le soumissionnaire précisera comment ce contrôle s'intégrera dans une infrastructure centralisée d identification, d authentification et d autorisation du SPF Finances. Exigences techniques Le système visé possédera les fonctions suivantes : Le système s intégrera avec la fonction «Identity Management» du SPF Finances. Les droits des utilisateurs et l accès proviennent du système d identification, d authentification et d autorisation du SPF Finances. L identité des utilisateurs devra pouvoir électronique. être validée à l aide de la carte d identité Les utilisateurs doivent introduire le moins possible de «username/password» pour accéder aux applications en réseau. Pour permettre une estimation du coût d installation et de configuration - nous faisons les hypothèses suivantes : Le nombre de groupes : 1000 Le nombre de services à configurer pour chaque groupe, ainsi que les différentes possibilités de chaque connexion pour chaque groupe (un utilisateur pouvant avoir des droits différents selon qu il est connecté au bureau ou à la maison) : 30 services par groupe, chaque groupe pouvant se connecter de deux façons différentes. III Enregistrement des événements Le système de sécurité aura la capacité d'enregistrer les évènements et incidents caractérisant le flux des données, en vue d'analyser les incidents et de produire des rapports. Le soumissionnaire décrira la solution proposée en précisant les types d'évènements enregistrés, les possibilités de filtrage des évènements, les types de rapports pouvant être produits, et la capacité de produire 53

54 des statistiques. Le système de sécurité aura une capacité d'enregistrement permettant de conserver les événements enregistrés pendant un an. Les équipements nécessaires pour enregistrer et conserver ces événements font partie du présent marché. Les fichiers de logging seront conservés pendant une durée minimale de un an. Le soumissionnaire détaillera dans sa réponse les volumes prévisibles pour ces fichiers sur base du volume anticipé pour le trafic. Il précisera dans sa réponse la solution préconisée pour la conservation de ces fichiers. Le soumissionnaire précisera si le système prévoit des procédures d'alerte en cas d'incident constaté. Il expliquera en quoi consiste ces procédures d'alerte : production de rapport, signalisation à l'utilisateur, signalisation à une console de surveillance, génération de messages Le soumissionnaire doit être capable de répondre à des requêtes de recherche ou de statistiques, et notamment à des enquêtes de la police judiciaire à propos du comportement de certains utilisateurs, et cela dans le passé sur une durée minimale de 1 an. Ce système devra pouvoir s intégrer avec le système général en place ainsi que le système d audit du système d identification, d authentification et d autorisation du SPF Finances. Un échange d information devra être possible dans les deux sens, par exemple les événements de serveurs présents en DMZ pourraient envoyer des informations vers la plate-forme de sécurité via le système global d enregistrement d évènement du SPF Finances ainsi que les évènements des proxies pourraient être envoyé vers le système global d enregistrement d évènement du SPF Finances. L échange d informations entre les systèmes ne décharge pas le fournisseur d enregistrer la totalité des évènements. Les informations reçues des systèmes extérieurs devront être prises compte lors d analyse d évènements ou de production de rapport. III Priorisation du trafic La solution proposée permettra de réserver de la bande passante à un type d'application particulier ou pour un groupe de machine ou pour une destination (par exemple un site web), ou de lui accorder une priorité, en vue d'en garantir le fonctionnement. On pense en particulier aux applications de communication (Voice over IP par exemple). III Installation dans l environnement du SPF Finances Le matériel proposé et sa configuration d installation doivent être compatibles avec les caractéristiques techniques des locaux dans lesquels ils seront installés. Le soumissionnaire trouvera en annexe les informations techniques essentielles décrivant les salles ordinateurs du bâtiment North Galaxy et South Galaxy. Aucun équipement ne peut entrer dans ces salles s'il n'est pas compatible avec les contraintes techniques. Le soumissionnaire est tenu de joindre à son offre les informations démontrant que le matériel proposé satisfait à ces contraintes. Aucun aménagement autre que ceux prévus dans l'annexe ne sont tolérés. Le soumissionnaire a néanmoins le droit de proposer des aménagements à son équipement, pour autant qu'ils n'affectent pas la structure et l'organisation des salles ordinateurs. De tels aménagements seront réalisés par l'adjudicataire et aux frais de celui-ci. Le soumissionnaire fournira en outre les informations suivantes Le poids et les dimensions de chaque unité installée, l'espace nécessaire pour leur installation, les distances maximales entre les différents équipements Les caractéristiques d alimentation électrique de chaque unité installée Le dégagement thermique de chaque unité installée Une description des connexions et raccordements au système de câblage du réseau, à fournir par le SPF Finances. L'offre doit faire mention des conditions auxquelles doivent répondre l'aménagement des locaux, leur climatisation, l'alimentation électrique ainsi que tous les accessoires nécessaires pour l'utilisation et le bon fonctionnement de l'équipement proposé. A cet effet, elle reprendra 54

55 notamment les spécifications techniques permettant un raccordement correct du matériel proposé au réseau d'électricité de l'administration, ainsi que la consommation et le dégagement thermique. L'offre comprendra également la description précise des travaux : d'aménagement ; d'installation ; de raccordement devant être réalisés par l'administration lors de l'installation de l'équipement. (uniquement les raccords électriques et les connexions avec les différents réseaux du SPF Finances, les raccords internes doivent être compris dans l offre) La description doit contenir tous les éléments nécessaires afin de permettre à l'administration de déterminer avec précision tous les éléments, accessoires, câbles... qui doivent être commandés pour construire l'architecture souhaitée.le mobilier (ex : armoires rack) doit être compris dans l offre. Les armoires utilisées seront équipées d un système de détection d intrusion avec la possibilité de générer une alarme sur le système de monitoring de l adjudicataire. III Intégration dans l architecture réseaux existante Internet/FedMan Pour la connexion à l Internet, la connexion FedMan actuelle sera mise à la disposition de l adjudicataire. L accès FedMan sera organisé de façon redondante, sur les deux sites différents. La distance entre les sites peut monter jusqu à 100 km. Pour pouvoir répartir entre les deux connexions Internet le trafic à destination de l Internet, l on fera éventuellement appel au protocole BGP au niveau des border routers. Réseau interne Le back-end FW doit s interfacer avec le back-end réseau internet (pour le moment CISCO switch 6500). Si la solution proposée le nécessite, le soumissionnaire proposera les switches pour intégrer sa solution dans l architecture globale du SPF Finances. Les switches, à tolérance de panne et redondance (mode actif-passif), assurent la liaison entre les différents serveurs, hôtes et firewalls dans l infrastructure de sécurité. Dans ce contexte, ils remplissent les fonctions suivantes : Support des VLAN Gestion de bande passante Redirection Support des connexions fibres Support des protocoles de routage Support de load-balancing local et entre les deux sites. Support complet de l IPv4 et l'ipv6 L adjudicataire définira les performances des switches à mettre en place pour garantir le niveau de performances demandé. Le nombre d interfaces physiques au niveau des Firewalls sera supérieur ou égal à 16 (10 gigabits). Le soumissionnaire précisera le nombre d interfaces supportées. III Redondance Le nombre de VLAN sera supérieur à Le trunking de VLAN sera supporté. L infrastructure de sécurité à mettre en place sera totalement redondante. Elle sera constituée de deux ensembles d équipements situés sur les deux sites distincts (North Galaxy et site de DRP). La redondance sera double : globale et locale. Globalement, chaque ensemble devra être en mesure d assurer seul l ensemble des fonctions prévues dans le présent cahier spécial des charges (avec les performances exigées), en cas de défaillance de l autre ensemble. Le failover (basculement en cas de problème) global comme local devra être complètement automatique. 55

56 Localement, une défaillance d un équipement ne doit pas compromettre le fonctionnement de l ensemble local. De même, une défaillance d un équipement ne doit pas compromettre le fonctionnement de l ensemble de la solution (répartie sur les deux sites). En mode normal, le site de production est seul actif et le site de Disaster Recovery n intervient qu en cas de défaillance importante au niveau du site de production. Le soumissionnaire déterminera les composants critiques qui doivent être installés en mode redondant au niveau de chaque site, pour faire face aux impératifs de disponibilité, performance, évolutivité et possibilités de maintenance. Les deux sites sont reliés entre eux par des fibres optiques. La distance peut être au maximum 100 km. Ces lignes ne font pas partie du présent cahier des charges. Le soumissionnaire détaillera tout ce qui est nécessaire à la séparation des deux sites, en tenant compte de l infrastructure disponible en Belgique. Le site principal est constitué de six locaux reliés par des fibres optiques. Les fibres sont installées par l Administration. Le site secondaire est constitué d un seul local. Pour toutes les fonctions requises, la solution proposée doit être entièrement redondante. III Performance La perte de paquets doit être inférieure à 0,00001%, sauf éventuellement dans les cas suivants : En cas de surcharge d une ligne de communication vers l extérieur En cas de re-routing En cas de maintenance planifiée Si la charge à supporter par le firewall est supérieure aux spécifications figurant dans le CSC et la réponse du soumissionnaire. Le temps de latence des communications IP sera inférieur à 50 millisecondes. Le soumissionnaire décrira dans quelles circonstances ces valeurs pourraient ne pas être respectées. III Gestion du système Le système de sécurité sera doté des accessoires nécessaires pour en assurer la gestion et l'exploitation dans de bonnes conditions. En particulier, il y a lieu de prévoir les accessoires permettant de sauvegarder et de restaurer les configurations des différents équipements constituant le système, ainsi que toutes les données enregistrées relatives aux évènements, aux incidents et aux mesures de performance et de fiabilité. Le soumissionnaire décrira brièvement les procédures de sauvegardes et précisera s'il en résulte un risque d'interruption de service. Le soumissionnaire décrira les principales procédures de gestion du système et en particulier, la prise des copies de sauvegardes, la mise à jour régulière des logiciels, systèmes anti-virus, ainsi que l'adaptation des règles de contrôle d'accès. Il précisera en particulier l'incidence de ces procédures sur l'exploitation du système, et en particulier la durée d'exécution et le risque d'interruption de service. III Certification Le soumissionnaire décrira, pour chacun des produits proposés, le niveau de certification Evaluation Assurance Level (EAL) ou équivalent. 56

57 III Mise en place d une«security Policy» Le projet doit commencer par la mise en place d une «security policy» de réseau, à définir en concertation entre l adjudicataire et le SPF Finances sur base de la Security Policy existante. Cette tâche doit être accomplie dans les deux mois suivant la passation du marché. La policy doit aussi décrire la collaboration avec les composants utilisés par le SPF Finances, par exemple LDAP, fonction «Identity Management» du SPF Finances, carte d identité électronique (eid), La «security policy» inclura la mise au point de: recommandations à prendre en compte dans le développement d applications d un point de vue «sécurité» recommandations à prendre en compte pour le déploiement de serveurs dans la DMZ et sur le réseau interne une approche pour la sensibilisation des utilisateurs (voir le paragraphe «formation». Un rapport détaillé et concret regroupera les recommandations à mettre en œuvre dans le cadre du marché. L adjudicataire expliquera en détails comment il compte procéder à la réalisation de cette étude. Il fournira également les informations nécessaires à l évaluation des différents délivrables proposés. III Les différentes fonctionnalités III Introduction Les différentes fonctionnalités à implémenter sont décrites en termes fonctionnels et en termes d exigences particulières. Dans sa réponse, le soumissionnaire décrira: La solution proposée et comment celle-ci répond à la fonctionnalité demandée. L adéquation aux exigences techniques émises. Comment il va intégrer ces fonctionnalités dans son infrastructure de sécurité L approche qu il propose pour réaliser la migration de la situation actuelle à la nouvelle Les possibilités pour rendre cette fonctionnalité évolutive (scalable). Les avantages/inconvénients du produit/de la solution proposée Ses connaissances et son expérience de la technologie et des produits utilisés dans cette fonctionnalité Sa réponse aux exigences spécifiques éventuelles décrites pour chaque fonctionnalité. III Fonctionnalité «Double couche redondante de firewall» Description de la fonctionnalité Comme expliqué ci-dessus, l architecture de la solution sera basée sur une configuration de firewalls en deux couches. La fonctionnalité «Double couche redondante de firewall» comprend la partie centrale de l accès internet sécurisé, c est-à-dire les routeurs, firewalls et switches (layer 4/7). Tout accès en provenance de l Internet ou de FedMan et en provenance du réseau interne sera à tolérance de panne, redondant et en mode «actif-passif», avec statefull fail-over (firewall pool). Les deux pools devront émaner de constructeurs différents. A l intérieur de chaque pool, seuls des firewalls parfaitement identiques seront acceptés. Les Firewalls proposés permettront de faire face à l évolution du trafic et des fonctionnalités supportées. Cette capacité d évolution se caractérise par : Possibilité d ajouter des interfaces 57

58 Possibilité de faire face à une demande croissante : augmentation de la RAM, de l espace disque,. Indépendance par rapport à la plate-forme hardware supportant le FW. Le soumissionnaire détaillera comment la solution proposée rencontrera ces demandes. Les principales fonctions nécessaires au niveau FW sont : Access control «Network address translation» : traduction dynamique des adresses IP non-officielles (NAT dynamique), traduction statique des adresses IP non-officielles (NAT statique). «Statefull inspection» et «Connection control» : les techniques de contrôle mises en œuvre opéreront autant que possible à un niveau proche du niveau applicatif, ceci afin de réaliser un contrôle le plus complet possible. Une technologie de type «statefull inspection» est considérée comme un minimum. Auditing/logging/Status/ Version control du software installé «Content security» : l objectif de ces firewalls sera d analyser intelligemment le trafic IP en tenant à jour les informations d état de la communication et des applications Le système de sécurité possèdera des fonctions permettant la détection et éventuellement l'élimination des codes potentiellement dangereux (ex : Applets Java, composants ActiveX, scripts Java, scripts Visual Basic.). Le système de sécurité possèdera des fonctions de filtrage sur le contenu. Le soumissionnaire expliquera dans sa description du système le type de filtrage que son système permet. VPN et encryption. Comme tout le reste de l infrastructure le support IPv4 et IPv6 est requis, la performance de IPv4 et IPv6 doit être similaire (pas d émulation software de l IPv6 par exemple). Exigences techniques Les Firewalls proposés seront dimensionnés pour supporter la charge telle que décrite au paragraphe «III Dimensionnement» Les firewalls proposés seront en mesure de supporter la virtualisation. Le soumissionnaire expliquera le nombre de firewalls supportés sur chaque équipement ainsi que le nombre de firewalls virtuels proposés. Il expliquera comment il compte mettre en œuvre ce concept dans le cadre de l architecture proposée ainsi que les implications financières de la solution. III Fonctionnalité «Définition et protection des DMZ» Description de la fonctionnalité La fonctionnalité «Définition et protection des DMZ» englobe tous les composants supplémentaires nécessaires pour pouvoir définir les différentes DMZ en sécurité et les isoler. Les DMZ suivantes doivent être définies : Web server DMZ (Reverse Proxy) Application server DMZ (nombre à définir : minimum 14) Mail relay DMZ DNS DMZ Web relay DMZ Remote Access DMZ DMZ FTP 58

59 L architecture des réseaux des DMZ doit être redondante. Une panne d un équipement ne doit pas empêcher un système applicatif de trouver un point de connexion fonctionnel dans son local. Exigences techniques Pour des raisons de performances, il doit être possible de configurer les serveurs des différentes DMZ en «load balancing» avec des paramètres différents et suivant différentes méthodes de répartition des requêtes. L infrastructure doit aussi pouvoir supporter les systèmes de «load balancing» mis en place du côté des serveurs internes à la DMZ. La solution doit pouvoir : interpréter les informations des backend servers d'une manière pro-active. Réduire les trafics similaires en utilisant le cache Conserver la persistance pour les connexions du même client Compresser les paquets entres les 2 sites Le matériel nécessaire à la construction physique des DMZ sera fourni par l adjudicataire Les systèmes applicatifs installés dans la DMZ seront localisés physiquement dans différents locaux. Dans chaque local, l Administration doit disposer d un point de connexion (avec redondance) comprenant au moins 24 ports effectivement disponibles pour connecter les systèmes applicatifs de l Administration. Le nombre de ports disponibles devra pouvoir être étendu ultérieurement. Le throughput de la solution de load balancing ne peut en aucun cas constituer une limitation en termes de bande passante offerte par la solution globale. Les DMZ sont des réseaux qui s étendent sur les deux sites et sur l ensemble des locaux. III Fonctionnalité «Intégrité trafic web» Description de la fonctionnalité La fonctionnalité «Intégrité trafic web» doit veiller à ce que tout le trafic web en provenance de l Internet, entrant dans le réseau interne du SPF Finances, soit exempt de tous types de «malware» (virus, spyware, worms, trojan, etc). Exigences techniques Les mécanismes d inspection suivants doivent être possibles : Proxy pour trafic web sortant Reverse Proxy pour trafic web entrant Antivirus sur trafic http/https/ftp entrant Anti-Spyware sur trafic http/https/ftp entrant Detection et protection contre Phishing, malicious codeware, key loggers, back doors and P2P, TCP tunneling, Web , Instant messaging La solution doit être redondante et très évolutive. Exigences spécifiques Le soumissionnaire doit expliquer comment il est possible d implémenter Le contrôle du trafic Instant messaging La protection contre le téléchargement illégal (et notamment l utilisation interne par les agents du SPF Finances de logiciels peer to peer). 59

60 La protection contre le proxy-avoidance III Fonctionnalité «Limitation des sites web indésirables» Description de la fonctionnalité Le soumissionnaire doit prévoir la possibilité d empêcher les utilisateurs internes du SPF Finances de visiter les sites internet dits indésirables. Il s agit principalement ici des sites pornographiques et sites de jeux, téléchargement de musique, de films, de video, les réseaux sociaux, les pages personnelles. Cette fonction ne doit demander qu un entretien simple de la part du SPF Finances (fonctionnement par catégories prédéfinies). Celui-ci, en d autres termes, ne sera pas obligé de dresser et d actualiser la liste des sites concernés : le service fera partie de l offre du soumissionnaire. De plus, le soumissionnaire doit prévoir la possibilité de limiter au niveau horaire l utilisation de l accès à l Internet ou à certaines catégories par les utilisateurs internes. Au minimum, cette limitation doit reposer sur une durée mensuelle maximale et sur des grilles horaires autorisées (par exemple avant 9 heures, entre 12 et 14 heures et après 16h30). Le système doit être en mesure de : Exigences techniques travailler sur base de «white list» et de «black list». travailler sur base de rôles définis dans un LDAP et/ou LDAPS. travailler sur base de catégories de sites pré-définies (mise à jour automatique). travailler sur base de quotas. réguler le trafic sur base de la largeur de bande utilisée. bloquer par type de fichier. définir des policies de contrôle par protocole. L interdiction de visiter les sites indésirables doit pouvoir être inactivée par le gestionnaire DMZ du système de sécurité du SPF Finances, pour certaines personnes individuellement, via le système d identification, d authentification et d autorisation du SPF Finances. Ces personnes doivent en effet avoir accès aux sites en question pour les besoins de leur mission. Les tentatives d accès aux sites indésirables seront conservées pendant une période minimale d un an. III Fonctionnalité Site-to-site VPN Les partenaires du SPF Finances avec lesquels une connexion permanente est nécessaire sont connectés au SPF Finances via un tunnel VPN sécurisé et encrypté par différentes méthodes. Ces tunnels s arrêtent au niveau de l infrastructure de sécurité. III Fonctionnalité «Remote Access pour agents, administrateurs IT et partenaires» Description de la fonctionnalité Les utilisateurs externes (remote users) doivent pouvoir accéder de façon sécurisée aux réseaux internes du SPF Finances, via l infrastructure de sécurité. TLS/SSL-VPN (fonctionnalités indispensables : de type network connect (connectivité réseau complete) + rewriting http/https + Remote Desktop Access + type :Windows 60

61 Secure Access Manager (client exécutable intermédiaire exécuté sur le serveur/appliance)) Le SPF Finances a estimé la volumétrie suivante: Minimum connexions simultanées L adjudicataire fournira un mécanisme pour garantir que les fichiers échangés en TLS/SSL-VPN sont exempts de virus. Il fournira aussi un mécanisme de contrôle optionnel de l état de l ordinateur distant (présence d un antivirus actif et mis à jour, des updates critiques de l OS, etc ). Les utilisateurs de ces différentes fonctionnalités doivent être identifiés et leur activité contrôlée. L utilisateur sera identifié par une procédure d identification forte : nom d utilisateur + mot de passe + moyen d identification complémentaire assurant un haut niveau de sécurité. Le système devra supporter le contrôle d identification par carte d identité électronique pour les utilisateurs belges et par token (digipass) pour les utilisateurs étrangers (compatibilité Vasco nécessaire pour assurer la continuité de l utilisation des digipass déjà distribués) Le système devra fonctionner avec le système d identification et d autorisation interne du SPF Finances (Identity & Access Management, Ldap, Active Directory). L infrastructure VPN offrira à l utilisateur, dûment identifié, le moyen d accéder à certaines ressources du réseau interne. Chaque utilisateur n aura accès qu aux ressources pour lesquelles il bénéficie d une autorisation d accès. L infrastructure VPN aura la capacité de gérer et de contrôler ces autorisations d accès, sur la base d un profil d utilisateur (individuel et par groupes). Le soumissionnaire expliquera le type de licensing du produit proposé (par utilisateurs concurrents, par utilisateurs autorisés, selon le trafic traité, ou autre). Exigences techniques une terminaison VPN TLS/SSL. L ordinateur des utilisateurs doit être protégé contre les attaques externes lorsqu ils sont connectés au réseau du SPF Finances. La validité des certificats doit être vérifiée par rapport à une CRL ou via OCSP (idéalement OCSP avec CRL comme fallback). Si le certificat ne peut être validé, le système doit établir une session TLS/SSL qui est redirigée vers une page Web qui affiche le message d erreur approprié. Les CRL doivent être mises à jour régulièrement (idéalement 3 heures). En cas d utilisation de OCSP pour la validation, l URL OCSP doit être dérivé de l information figurant dans le certificat. Une partie de l information retrouvée dans le certificat sera nécessaire pour l accès à une application web. Le front-end TLS/SSL doit être capable de communiquer l information du certificat vers le serveur web. Idéalement l administrateur du front-end SSL doit pouvoir choisir les informations transférées. Le soumissionnaire expliquera les possibilités de la solution qu il propose. La fonctionnalité «installation automatique» des différents modules applicatifs à installer sur la machine distante sera pris en charge par système VPN de manière transparente (pas d installation manuelle requise) Différentes services seront disponibles : connectivité réseau, terminaison ssh (ssh by web), terminaison telnet (telnet by web), url rewirting, remote destop (RDP windows). L utilisation du système doit être compatible avec les systèmes d exploitation windows, Mac et unix like (linux, ) antérieurs (encore actif) et les systèmes d exploitation récents, les appareils mobiles tel que blackberry, iphone, android, windows phone (6.5 et 7) seront également supportés. 61

62 III Fonctionnalité «Intrusion Detection and Prevention» Description de la fonctionnalité La fonctionnalité «Intrusion Detection and Prevention» est un des moyens qui seront utilisés pour protéger les réseaux internes et les réseaux DMZ du SPF Finances contre les attaques visant les réseaux, les systèmes et les applications. Ces outils surveillent en permanence les réseaux et les hôtes pour déceler toute activité ou logiciel suspect, le comparer à la corporate policy, le signaler et si possible le bloquer et/ou le supprimer. Exigences techniques La fonctionnalité doit répondre aux exigences techniques suivantes : Ces outils proactifs utilisent des probes disposées «in line» dans l infrastructure de sécurité. La possibilité de mettre en place des fonctionnalités de type «honeypot» pour anticiper et arrêter les attaques potentielles contre les serveurs web. La possibilité de mettre en place des configurations fail-open (tout peut passer en cas de défaillance de serveur/appliance) et fail-close (tout est arrêté en cas de défaillance de serveur/appliance). Le système Intrusion Detection and Prevention ne doit en aucun cas constituer un «bottleneck» dans l infrastructure de sécurité. Il doit donc pouvoir filtrer les intrusions selon la capacité supportée par le réseau. L adjudicataire doit expliquer : Exigences spécifiques Comment il va analyser les logs en temps réel et périodiquement. Quels rapports il va générer pour le technicien de sécurité et la direction du maître d ouvrage. III Fonctionnalité «Host based Security» Description de la fonctionnalité En plus de la détection antivirus qui est basée sur des signatures sur les serveurs critiques, le soumissionnaire proposera une solution de détection et de prévention des intrusions sur les serveurs «host» d'une manière pro-active. La solution contrôlera l accès à la configuration des systèmes et au système de fichiers, l utilisation de hardware «removable» et tout comportement anormal par des utilisateurs et programmes non autorisés. Exigences techniques La fonctionnalité doit répondre aux exigences techniques suivantes : Les policies de détection et prévention seront configurables indépendamment l une de l autre. Les mécanismes de détection et de prévention seront configurables de façon modulaire. Le soumissionnaire explicitera les possibilités du produit proposé. Tous les services (IP) seront inspectés : le système utilisera un mécanisme de type «self-learning» pour détecter les services utilisés dans l architecture du SPF Finances. Le soumissionnaire décrira l impact de la solution proposée sur la performance du système hôte. 62

63 Actuellement les serveurs supportés seront : 20 X Windows serveur : (le = light edition) A. Windows le serveur 2003 (Enterprise Edition, Standard Edition). B. Windows le serveur 2003 x64 (Enterprise Edition, Standard Edition). C. Windows le serveur 2008 (Enterprise Edition, Standard Edition). D. Windows le serveur 2008 R2 (Enterprise Edition, Standard Edition). E. Windows le serveur 2008 R2 le serveur Core (Standard Edition, Enterprise Edition). 30 X Sun Solaris (10) on Sun SPARC platform. 5 X Debian. 5 X IBM AIX 5.3 on Power 5 platform. 5 X IBM AIX 7.x on Power 7 platform. 5 X HP-UX on PA-RISC platform. Les versions futures devront également être supportées. III Fonctionnalité «Intégrité du trafic mail» Description de la fonctionnalité La couche «Intégrité trafic mail» veillera à ce que tout le trafic mail entrant et sortant, en provenance de l internet et arrivant dans le réseau du SPF Finances, soit exempt de tous types de «malware» (virus, spyware, worms, trojan, etc). Tous les messages SMTP et leurs pièces jointes transitant devront être contrôlés par un antivirus SMTP permettant : l analyse de toutes les pièces jointes susceptibles de véhiculer un virus : (.exe,.com,.sys,.drv,.dll, etc..) et documents contenant du code exécutable, l analyse des archives zip, rar, le rejet de types de pièces jointes, la mise en quarantaine des mails contenant des fichiers attachés interdits ou douteux. Exigences techniques Les contrôles de sécurité suivants (liste non-exhaustive) doivent en tout cas être possibles : Attaques et messages mal formés : vulnérabilités possibles dans SMTP, IMAP et POP 3. Pièces jointes indésirables ou dangereuses ; possibilité de filtrer sur base de l extension des fichiers attachés. Virus, troyens, vers, spyware pour trafic entrant et sortant. Les signatures doivent être régulièrement mises à jour, ainsi que les méthodes de détection heuristiques. Content filtering inbound et outbound. Mail relaying Possibilités de gestion policy-based avancées - Intégration avec le «Identity Management» du SPF Finances basé sur LDAP. Possibilité de définir des policies au niveau utilisateur et/ou groupe. Le mail doit être scanné dans les deux sens (inbound et outbound) 63

64 Le système possèdera une fonction de filtrage antirelay. La mise à jour des signatures antivirus devra être garantie (délais de mise à jour à préciser). Le mode de gestion des fichiers attachés protégés par mots de passe (zip, MS-Office, ) devra être précisé. Le soumissionnaire précisera l origine des technologies utilisées. La solution proposée doit être redondante et évolutive (comme toute l architecture proposée). III Fonctionnalité «Antispam» Description de la fonctionnalité La plateforme devra implémenter une solution d antispam qui évitera que des mails indésirables ne soient adressés aux fonctionnaires du SPF Finances. Exigences techniques (liste non-exhaustive) Antispam : le soumissionnaire donnera les caractéristiques du produit ou des produits proposés. Au moins 90% des spams doivent être arrêtés (marqués comme spam) et le nombre de «false positive» doit être inférieur à 1/ Les mails détectés comme «possible spam» doivent pouvoir être présentés à l utilisateur qui décidera s il veut ou non-recevoir ce mail. Le soumissionnaire précisera où sont stockés les mails détectés (quarantaine). L utilisateur aura la possibilité de constituer lui-même ses listes blanches - noires (white & black lists). Le soumissionnaire détaillera les technologies et méthodes de détection mises en œuvre pour la détection des messages de type SPAM ou HOAX (analyses lexicales, analyse de formats html, analyse des headers, analyse et filtrage d images, gestions de listes noires/listes blanches, notamment la réputation d IP ). Le soumissionnaire précisera les possibilités d administration de la solution (règles de scoring des spams, listes noires/liste blanches, règles de gestion/d action vis à vis de messages Spams ou Hoax, ). Dans le cas d utilisation de bases de données de détection, il est demandé aux soumissionnaires de préciser la fréquence des mises à jour. III Fonctionnalité «Système DNS sécurisé» Description de la fonctionnalité La fonctionnalité «Système DNS sécurisé» comprend tous les composants nécessaires pour mettre en place une infrastructure Domain Name Server performante et sûre. Il y a lieu de distinguer 2 niveaux de services DNS : DNS interne. Les fonctionnaires du SPF Finances ont recours à ce service pour localiser, par un nom, les serveurs internes du SPF Finances. Les serveurs internes sont regroupés dans un domaine DNS interne, inconnu d Internet. Le service DNS interne existe. Il ne fait pas partie du présent marché. DNS externe. Le service DNS externe doit permettre à un utilisateur externe d Internet de localiser, par un nom, les serveurs situés dans la DMZ et destinés à fournir un service au public. Ce service sera couplé au service DNS du Provider, en vue de la 64

65 distribution des adresses sur Internet. Ce service fera également la résolution DNS IP pour entre autre les serveurs présent en DMZ. Les équipements nécessaires à la mise en place de ce service font partie du présent marché. Les fonctionnaires du SPF Finances localisent, par un nom, les différents sites d Internet. Ce service est fourni par le Provider. Le DNS à fournir doit être configuré pour forwarder ces requêtes vers un DNS externe (fourni par le Provider). De même, les fonctionnaires du SPF Finances doivent pouvoir localiser par un nom, les serveurs situés dans la DMZ et destinés à fournir un service au public.. Exigences techniques Chaque niveau de service DNS sera constitué d au moins deux serveurs (primaire + secondaire(s)) synchronisés, effectivement disponibles pour l utilisateur. Les mesures de protection adéquates seront prévues. Les deux serveurs DNS travailleront en backup l un de l autre en mode statefull fail-over. Le service DNS sera construit sur la base de DNS-appliances robustes et présentant un haut niveau de sécurité. DNS et DNSSEC sera supporté complètement, les performances doivent être comparables et pouvoir faire face à la charge. Exigences spécifiques Le soumissionnaire expliquera comment il veillera à ce que sa solution soit facile à gérer, avec un minimum d entretien, mais sans compromis en termes de sécurité o Fonctionnalité «Contrôle de présence de programme malveillant à la demande dans des fichiers» Contexte Le SPF Finances échange de nombreux documents numériques avec le monde extérieur. Afin de garantir la sécurité des systèmes d information du SPF et de ses partenaires, il est nécessaire de s assurer que les documents échangés ne contiennent pas de programmes malveillants. A cet effet, les postes de travail individuels, le système de messagerie électronique et le serveur proxy du SPF sont équipés de logiciels antivirus. Cependant, ces antivirus ne traitent que les fichiers qui sont directement manipulés par les agents via leur poste de travail (fichiers téléchargés, pièces jointes aux s,...). Afin de compléter la protection du SPF Finances, il faut également s assurer de l innocuité des fichiers qui sont reçus ou envoyés par des applications et qui ne sont pas manipulés par des agents du SPF Finances. A l heure actuelle, il n existe pas de système installé au SPF permettant aux applications de contrôler facilement que les données qu elles manipulent ne contiennent pas de codes malveillants. Il est donc nécessaire de mettre en place un service qui peut être appelé par une application lorsqu elle désire contrôler l innocuité des données qu elle a reçues ou qu elle s apprête à transmettre. Outre des applications, ce service pourra aussi être utilisé par les serveurs FTP Définition des exigences Cette section décrit les exigences placées sur l antivirus du point de vue de l appelant Exigences fonctionnelles : 65

66 L antivirus devra pouvoir détecter tous les types de données et programmes malveillants (virus, malwares, faille PDF, faille Flash,...) ; Cette détection devra pouvoir se faire y compris à l intérieur de fichiers archivés et/ou compressés (.zip,.tar.gz, et autres formats). Si l archive (ou un de ses composants) est protégée par un mot de passe, elle devra être rejetée ; La plupart des données et programmes malveillants ciblent les systèmes Windows. L antivirus devra donc au minimum pouvoir détecter ces menaces mais il serait idéal qu il puisse également détecter les données et programmes malveillants pour les systèmes Mac, Linux ou Solaris ; L antivirus devra permettre d identifier clairement la cause de rejet d un fichier et donner le nom du malware éventuellement détecté : nom du fichier infecté (y compris au sein d une archive), nom du malware, description, etc. ; Le rapport de l antivirus devra pouvoir être facilement traité par l appelant pour être intégré dans une page web ou dans des logs. Le rapport peut être cependant structuré de manière à faciliter son parsing ou son traitement automatisé. Dans ce cas, la structure du rapport devra être correctement documentée ; L antivirus devra pouvoir être appelé par au moins une des interfaces suivantes, par ordre de préférence : o Protocole ICAP - interface générique vers des solutions de filtrage (requis) o Protocole FTP (avec des codes d erreurs personnalisés) (facultatif) o API JAVA (facultatif) o Web service (facultatif) L antivirus devra pouvoir être appelé par plusieurs clients en même temps (support de plusieurs «sessions» en parallèle), y compris via plusieurs interfaces d accès (plusieurs clients connectés, par exemple, via API Java, ICAP, FTP,...); La mise à jour de l antivirus devra se faire de façon automatique et transparente ; (Optionnel) Pour les fichiers volumineux, l antivirus devra fournir un moyen d estimer le temps de traitement ou un moyen permettant de connaître l avancement du traitement. Exigences non-fonctionnelles : L antivirus devra être disponible 24h/24, 7j/7, y compris durant sa mise à jour; Comme le reste de l infrastructure de sécurité, le système doit être redondant au niveau local (alimentation électrique et réseau au minimum) et sur site (système identique sur le site de secours distant); Au minimum deux services distincts devront être disponibles : un pour l environnement de production, l autre pour les autres environnements ; L antivirus devra se trouver dans une zone réseau accessible depuis le framework CCFF et éventuellement depuis d autres applications ; Le temps de réponse devra être acceptable et prévisible L architecture devra être «scalable». On devra pouvoir augmenter les performances en ajoutant, par exemple, des machines supplémentaires ou en migrant les services sur des machines plus puissantes. Respect des standards et des bonnes pratiques du SPF Finances : D une manière générale, l antivirus devra s intégrer harmonieusement dans l infrastructure du SPF Finances. Son déploiement et sa maintenance se feront en accord avec les parties concernées (principalement, l équipe Firewall, ICT Operations et ICT Réseaux). Il respectera les standards et bonnes pratiques du SPF. En particulier : La mise à jour devra pouvoir s effectuer en respectant les contraintes liées aux bonnes pratiques et aux politiques de sécurité du réseau du SPF (par exemple, dans certaines zones, la connexion directe à Internet n est pas permise; le passage par un serveur mandataire filtrant proxy- est obligatoire). 66

67 III Fonctionnalité «Out-Of-Band Management» Description de la fonctionnalité Pour pouvoir surveiller et gérer les différents systèmes de réseau et de sécurité, un segment séparé «Out-of-Band management» est nécessaire. Il sera relié à tous ces composants par une interface dédiée. Tous les systèmes de gestion nécessaires se trouveront sur ce segment. Le ou les réseaux out-of-band network management doivent eux aussi être protégés par une technologie de firewall à base de statefull inspection. Le monitoring et la maintenance à distance effectués par l adjudicataire doivent reposer sur un système redondant (sur chaque site). Le système de sécurité doit pouvoir être géré à partir d une console du réseau interne du SPF Finances. Les procédures de gestion doivent être conviviales. La console de gestion peut être un poste de travail ordinaire ou une console spéciale. Le matériel et/ou logiciel spécial nécessaire à cet effet doit être compris dans l offre. Une console, à la disposition du gestionnaire du SPF Finances devrait être connectée à un réseau indépendant du réseau Finances (salle ordinateur ou local opérateur) et un système à distance sécurisé utilisables sur les ordinateurs des gestionnaires SPF Finances. La gestion doit également pouvoir être assurée depuis une console localisée chez le prestataire de service. Exigences techniques Ce poste englobe la livraison, l installation, la configuration (sécurisation comprise) d un système complet d out-of-band management, y compris les serveurs/appliance et les logiciels ainsi que leur intégration dans les réalisations d autres postes. Cela couvre : Out-Of-Band management firewall Out-Of-Band management LAN (switch) Les Out-Of-Band management servers nécessaires Les lignes nécessaires sur chaque site entre le soumissionnaire et le matériel Out-foband sont à charge du soumissionnaire. L adjudicataire doit définir lui-même les performances de ces systèmes. Exigences spécifiques Le expliquera les types de tâches qui seront possibles ou non via ce segment de management. III En option fonctionnalité «Web Application Firewall». Une solution "Web Application Firewall" est typiquement placée derrière le firewall traditionnel et devant les serveurs Web applicatifs pour protéger ces applications Internet des attaques en provenance d'internet. Les WAF fournissent de la protection jusqu'à la couche Application (L7). De nombreuses attaques utilisent des méthodes qui exploitent particulièrement les points faibles du software lui-même. De ce fait, elles ne sont pas toujours détectées d'une façon efficace par les systèmes de sécurité traditionnels comme les firewalls "réseau" et les systèmes IDS et IPS. Le soumissionnaire expliquera en quoi le système qu'il propose en option permet de compléter de façon efficace la sécurité, les performances et le monitoring des applications Web critiques. 67

68 Il décrira comment l'appareillage proposé protégera contre, par exemple, les attaques HTTP/S suivantes : DoS Le "Cross-site scripting" L'injection SQL Le débordement de tampon La manipulation de Cookie La manipulation de champs cachés La "Brute Force" Encoding attacks Les bombes XML En addition, il décrira les protections qu'apportera le WAF aux protocoles FTP and SMTP. Cet appareillage devra assurer le support complet IPV6 (sans émulation) et : Le support Vlan La virtualisation L'accélération SSL L'authentification du client via le système d identification, d authentification et d autorisation du SPF Finances et LDAP/RADIUS Actuellement l utilisation des reverse proxies est la suivante durant le mois le plus utilisé : 6000 GigaByte Visites Pages Fichiers Hits Les Web Application Firewall devront supporter la charge actuelle ainsi que la charge future. III En option fonctionnalité «Passerelle XML». Dans les environnements professionnels, les applications communiquent entre elles en utilisant des "web services". Spécialement avec l'avènement du Web 2.0, construire des architectures flexibles connectées sans limitations est devenue une pratique courante. Mais utiliser des "Web Services" amène des impératifs de sécurité qui ne peuvent pas toujours être atteints par des solutions traditionnelles comme les firewalls "réseau" et les systèmes IPS. L'authentification, la validation de messages, l'encodage et le décodage SSL et le routage base sur le contenu qui sont pris en charge par les passerelles XML. Cela permet de décharger les serveurs d'application et augmente les performances. En même temps, les polices de sécurité sont gérées centralement. Le soumissionnaire expliquera en quoi l'appareillage qu'il proposera répondra à cette attente. Il décrira également les types d'attaques qui sont pris en charge par le matériel. Les attaques DoS Les attaques XML Les attaques avec force brute SQL Injection Les virus dans les attaches SOAP Le materiel devra assurer le support complet de l'ipv6 (pas d'émulation) ainsi que : Support pour protocols multiples comme HTTP, REST, XML, FTP, SMTP and POP Support VLAN Virtualisation Accélération "Encryption/decryption" Support de l'authentication client via le système d identification, d authentification et d autorisation du SPF Finances et LDAP/RADIUS 68

69 III.1.4 Services à proposer III Introduction La nouvelle infrastructure proposée par le soumissionnaire et ses différentes interconnexions seront dans une large mesure à la base de l amélioration du service du SPF Finances et de ses partenaires. Cette infrastructure est cependant exposée aux bugs, hackers et autres virus. Le SPF Finances attachant une grande importance à la confidentialité, à l intégrité et à la disponibilité de ses données, 24 heures sur 24 et 7 jours sur 7, le SPF va sous-traiter tout ou partie des activités qui doivent y contribuer. C est pourquoi le SPF Finances envisage de confier à un prestataire de service un ensemble de services tenant compte des risques actuels et conformes à un facteur de risque acceptable pour le SPF Finances. Les services à prendre en charge par l adjudicataire sont classés comme suit : Services de mise en place de l infrastructure proposée et de migration à partir de l infrastructure existante. Services de maintenance et de gestion de l infrastructure proposée, afin d en garantir le fonctionnement selon des critères de performances, disponibilité et de protection de l environnement du SPF Finances. Pour ce faire, le soumissionnaire proposera une solution de gestion et monitoring à distance, couplée à des services sur site. La présence 5/5 jours ouvrables sur site d un ingénieur de la firme qui remplira les fonctions de consultant, conseiller technique, et Design Authority. Services de formation. Ces différents types de services sont décrits dans les paragraphes qui suivent. Le soumissionnaire devra spécifier clairement son approche quant aux points suivants : Evaluer certains risques de sécurité en fonction des activités du SPF, afin de pouvoir prendre des décisions fondées. Traduire les besoins fonctionnels en outils adéquats (matériel, logiciels et services) en fonction des risques de sécurité. Maintenir le niveau de sécurité convenu. Les autres points que le soumissionnaire jugera utiles. III Services de mise en place de l infrastructure et migration Le SPF Finances accorde la plus grande importance à la qualité de la mise en service et à la mise sur pied des processus opérationnels ITIL. Le prestataire de services prévoira dans son offre spécifiquement l assistance nécessaire pour le démarrage opérationnel de l installation, jusques et y compris les tests d acceptation. Dans le démarrage opérationnel de l installation est aussi comprise l utilisation d outils et de tests de performance que le prestataire de service doit prévoir dans son offre. Les tests d acceptation et de performance seront réalisés par rapport à une suite de test validée par le SPF Finances et en présence du SPF Finances avec les diverses parties. 69

70 III Installation et Assistance au démarrage L offre comprendra tous les services nécessaires à l installation, au paramétrage et à la mise en service du système. L adjudicataire doit assurer une assistance complète, en particulier en ce qui concerne l étude et le démarrage du système. Cette assistance doit absolument être suffisante en quantité et en qualité pour garantir un démarrage sans problème des systèmes proposés. Elle doit en particulier comprendre un ensemble de prestations d assistance répondant aux besoins des modifications jugées nécessaires pendant les six premiers mois de l exploitation. L importance de l assistance offerte doit figurer explicitement dans l offre. III Migration de l infrastructure existante Le SPF Finances exploite différentes liaisons avec l extérieur. Il dispose déjà d un firewall entre l internet et son réseau interne. Certaines liaisons avec d autres SPF ou institutions publiques sont contrôlées par des routeurs et par le recours à des access-lists ou fonctions NAT. Les services à migrer sont, notamment, les SSL-VPN, les VPN site à site, les mail-relays, les proxies, les antivirus, les firewalls, les DNS, les load-balancers, la détection d intrusions, le contrôle de sécurité des serveurs, ). Les fonctionnalités supportées par ces équipements doivent être reprises par la nouvelle infrastructure. L adjudicataire en assurera la migration en prenant toutes les dispositions pour limiter l interruption du service au strict minimum. Le réseau LAN devenant toujours plus important dans le cadre de la sécurité, le soumissionnaire expliquera clairement la voie de migration que le SPF Finances doit suivre pour protéger son réseau interne contre les attaques. III Monitoring à distance : alertes de sécurité, disponibilité et performances L adjudicataire disposera d une infrastructure lui permettant de surveiller en permanence et à distance l état de l infrastructure de sécurité du SPF Finances. Cette infrastructure de monitoring sera appelée NSOC (Network and Security Operating Center) dans la suite de ce document. Le SPF Finances laisse le choix de la localisation de l'infrastructure de monitoring (NSOC). Cependant afin de garantir le caractère hautement confidentiel des données traitées par le SPF Finances, la législation Belge en terme de protection des données et de la vie privée sera d'application ; l adjudicataire veillera donc à respecter strictement la législation Belge en terme de protection des données et de la vie privée en prenant toute les dispositions nécessaires pour y répondre. Le soumissionnaire expliquera les mesures prises pour faire face à une situation de type «Disaster» au sein de son NSOC. Le soumissionnaire expliquera comment sa propre infrastructure de surveillance est protégée contre les attaques (via le réseau et physiques). Il prouvera aussi que des mesures suffisantes sont prises pour empêcher les accès illégitimes à son propre NSOC. Le soumissionnaire communiquera les SLA qu il a conclus avec les autres Service Providers s ils concernent ou peuvent influencer le service au SPF Finances. 70

71 Le SPF Finances part du principe que les opérations principales de la surveillance et de la gestion de la sécurité nécessitent une approche 24/7, avec une priorité spéciale à l analyse «24/7 real time» et à la corrélation des incidents qui se produisent sur les différents systèmes (p.ex. FW, IDP, ). La tenue à jour des nouvelles vulnérabilités, dans un souci de protection proactive du réseau du SPF Finances, doit être comprise. Pour pouvoir également déceler les intrus «furtifs» (hacking à long terme), le soumissionnaire doit expliquer ses possibilités et son approche, avec une priorité spéciale à la corrélation entre les données des logs de l infrastructure de sécurité proposée et celles des autres logs (systèmes, bases de données et applications). Ces services peuvent être assurés hors ligne. Si un virus se manifeste néanmoins (p.ex. cause interne), le soumissionnaire expliquera comment il pourra aider le SPF Finances à débusquer les auteurs, à l aide de méthodes et outils officiellement agréés, pouvant être utilisés dans certaines procédures judiciaires. Les gestionnaires de la sécurité du service d encadrement ICT doivent pouvoir accéder en consultation au minimum à tout moment à tous les systèmes de la configuration, suivant les procédures de gestion définies conjointement et permettant de garantir les SLA. Cette infrastructure de monitoring sera un des moyens dont dispose l adjudicataire pour la prestation des «Services de gestion, maintenance et d assistance.» décrits au paragraphe III L interaction entre le NSOC et les services à prester est illustrée à titre d exemple ci-dessous : Toute anomalie détectée par le NSOC sera analysée et donnera lieu éventuellement à un incident. Le NSOC collectera les informations qui alimenteront les processus suivants : Service Level Management, Capacity Management, Availability Management. III Service Desk SPOC L adjudicataire mettra en place une ligne de support, accessible 24X7X365 en français et en néerlandais. Un support de deuxième ligne en français et en néerlandais est exigé, avec un point de contact fixe (central). Le soumissionnaire doit décrire ses niveaux/sa structure de support. Au même titre que le NSOC décrit ci-dessus, le Service Desk est un des moyens que l adjudicataire utilise pour la prestation des services décrits au paragraphe suivant. III Services de gestion, maintenance et d assistance. Le service demandé concerne la gestion des équipements et la gestion opérationnelle afin de garantir une disponibilité globale du service SECURITE. Par disponibilité (du hardware et du software), nous entendons la possibilité d avoir accès aux applications et services fournis par le souscripteur via tout système client correctement configuré et assurant correctement ses fonctions. Les services proposés couvriront les processus suivants (nomenclature ITIL) : Au niveau «Service Support» Incident Management Problem Management Change Management Configuration Management Release Management Au niveau «Service Delivery» Service Level Management 71

72 Capacity Management Availability Management IT Service Continuity Management Le SPF Finances décrit ci-dessous ses attentes relatives à ces processus. Le soumissionnaire décrira son approche à propos de chacun des processus ITIL listés ci-dessus. III Traitement des incidents et problèmes Dès que l administration constate un comportement anormal (défaut, temps de réponse excessif, menace sur la sécurité ), elle en informe l adjudicataire. Ce dernier prend les mesures organisationnelles adéquates pour être toujours accessible sans délai, 7 jours sur 7, pendant la journée comme de nuit. La procédure exacte sera définie en concertation. Un incident est notifié par téléphone, fax, SMS ou . Il convient cependant de tenir compte du fait qu en présence d un problème affectant le système de sécurité, l risque de ne pas être disponible. La procédure d appel doit être organisée de façon que l on puisse plus tard déterminer, et au besoin prouver, quel était l objet et le moment de l appel. Dès que le soumissionnaire constate un problème, il en avertit l administration par différents moyen de communication suivant la gravité de l incident (mail, sms, téléphone, ect) et prend les mesures nécessaires pour le résoudre. A noter que le système de monitoring doit gérer un maximum de possibilités d incidents. Il revient à l adjudicataire de mettre en place un système de détection d incidents aussi performant que possible afin de se rendre compte de la présence d un problème dès qu il se produit, sans qu il soit nécessaire que le SPF Finances le rapporte (détection d incidents système et service par exemple websites internet inaccessibles depuis un client via les proxies). Le terme Incident est généralement compris comme un dysfonctionnement signalé par un Utilisateur. Cependant, les deux extensions à cette définition exposées ci-dessous seront également assimilées à des Incidents car elles vont suivre le même processus de traitement que les dysfonctionnements proprement dits: Les demandes pour un nouveau service (ou l extension d un service existant) sont considérées comme des Demandes de Changement (RFCS) mais dans la pratique assimilées à des Incidents (traitement identique) et traitées dans le cadre de la Gestion des Incidents Les Remontées d alertes automatiques : elles sont souvent considérées comme faisant partie de l exploitation courante. Ces événements, générés par le système seront traités dans le cadre de la Gestion des Incidents. Les différents types d incidents sont classés par catégories, suivant le tableau ci-dessous : Gravité du incident Définition de la gravité Exemples Level 1 Fonctions principales du système de sécurité inopérantes Menace directe sur la sécurité du réseau interne Level 2 Défaillance d une fonction nonessentielle Level 3 Rétablissement d un soussystème par la prise de relais temporaire d un système de remplacement Interruption du flux d information Temps de réponse insatisfaisants Chute anormale de la bande passante disponible Détection d une attaque sur le système de sécurité ou sur un serveur sécurisé En concertation avec l administration, le soumissionnaire peut détailler ces catégories. Dans le processus, les activités de la Gestion des Incidents sont les suivantes : 72

73 La détection et l'enregistrement des Incidents. Le support initial et la classification. L'investigation et le diagnostic. Le suivi global des Incidents. La résolution et le rétablissement En cas de défaut récurrent, entraînant le remplacement ou l extension du matériel, l adjudicataire est tenu de livrer à ses frais le matériel, logiciel système ou application nécessaires, de les installer et de les paramétrer pour pouvoir se tenir au performances promises. La clôture des Incidents L adjudicataire informe l administration chaque fois qu un incident est résolu. Les incidents non résolus à ce stade sont considérés comme des incidents isolés, qui existent à partir du moment où ils sont signalés pour la première fois. Un incident est considéré comme résolu à partir du moment où il est déclaré tel par l adjudicataire, à condition que l administration ait pu constater qu il en va bien ainsi. La définition ITIL de l'objectif de la Gestion des Problèmes est la suivante : Minimiser l impact négatif sur les activités de l entreprise des incidents et problèmes causés par des erreurs dans l infrastructure informatique Prévenir la réapparition des Incidents induits par ces erreurs Pour cela, la Gestion des Problèmes recherche la cause première des Incidents et initie des actions pour améliorer ou corriger la situation. Aspect réactif (ou curatif): il s'agit de la résolution des problèmes en réponse à un ou plusieurs Incidents déjà déclarés. Aspect proactif (ou préventif): identification et résolution des problèmes et erreurs connues avant que l Incident ne survienne. Le soumissionnaire décrira quels services d entretien et de maintenance il propose dans le cadre de ce cahier des charges. Il est essentiel que les réparations soient rapides. Pendant la durée du contrat, le SPF Finances souhaite pouvoir vérifier la disponibilité du matériel de réserve. La possibilité d échange entre les systèmes de gestion des changements et incident du fournisseur et du SPF Finances devra être possible. III Gestion des Configurations (Configuration Management) Le processus fournit un modèle logique de l infrastructure en identifiant, contrôlant, maintenant et vérifiant les différents éléments au cours de leur durée de vie Les objectifs pratiques qui en découlent sont les suivants : Rendre compte à l organisation de tous les biens et configurations de la Production Informatique Fournir de l information pertinente sur les configurations pour supporter les autres processus Fournir des bases solides pour la Gestion des Incidents, des Problèmes, des Changements et des Nouvelles Versions Comparer l information stockée à l infrastructure et corriger les différences 73

74 Périmètre Le périmètre de la Gestion des Configurations est l'identification, enregistrement et restitution de l information sur tous les composants de l infrastructure incluant : Leurs versions Les sous-composants d un composant Leurs inter-relations Cela intègre : Les matériels Les logiciels et applications Les documentations associées Activités de base Planification : planification et définition du processus, de l organisation et des techniques. Il est nécessaire de définir et valider : Les objectifs du processus L analyse de la situation actuelle des immobilisations et configurations Le contexte organisationnel et technique dans lequel s inscrit le processus La politique des processus associés Les activités du processus Identification Le but est de sélectionner, d'identifier et d'étiqueter les Eléments de Configuration (CLS ou Configuration Items) avec leurs «propriétaires», leurs relations et leurs documentations pour les intégrer dans la CMDB (Configuration Management database) La Gestion des Configurations permet une Gestion des Changements efficace par la connaissance rapide de l impact d un Changement sur l'infrastructure. Contrôle : s assurer que les composants sont modifiés avec les autorisations nécessaires (Demande de Changement). Le contrôle concerne l'ajout, la modification et la suppression d un Elément. Conservation de l historique : traçabilité de l évolution d un composant (développement, test, production ou en stock) Vérification et audit : vérification de l existence physique des Eléments de Configuration et validation des informations stockées dans la CMDB et les librairies validées. Ceci inclut la validation des documentations livrées avec une nouvelle version et les documentations de configuration avant mise en production. III Gestion des Changements (Change management). La définition ITIL de l'objectif de la Gestion des Changements est la suivante : S assurer que des méthodes et procédures standard sont utilisées pour une prise en main efficace et rapide de tous les Changements dans le but de minimiser l impact des Incidents consécutifs à l implémentation de ces Changements et, par conséquent, d améliorer l exploitation quotidienne. Lorsqu'un Changement est rendu nécessaire, il faut évaluer les risques de sa mise en œuvre et la continuité de l activité métier pendant et après cette mise en œuvre. Dans le cadre de la procédure de change management, chaque changement effectué par le client ou l entrepreneur doit en principe être soumis à la validation préalable de l autre partie dans les 8 heures ouvrables, sauf convention différente dans le manuel de procédures à rédiger. Tout changement non-validé effectué par le client décharge l adjudicataire de ses obligations de SLA 74

75 (voir plus bas) par rapport à ce changement spécifique. L adjudicataire est cependant tenu de signaler dès que possible, par GSM et par , les éventuelles anomalies de fonctionnement dues au changement. III Gestion des versions (Release Management) La définition ITIL de l'objectif de la Gestion des Versions est la suivante : Protéger l environnement de production et ses services par l utilisation de procédures formelles et par des vérifications lors de l implémentation des Changements Objectifs détaillés Planifier et superviser le Déploiement d un logiciel et du matériel associé Elaborer et implémenter les outils de distribution et d installation des Changements S assurer que les matériels et logiciels changés sont traçables, sûrs et que seules les versions correctes, autorisées et testées sont installées Communiquer et gérer les attentes des Clients pendant la planification et le déroulement des déploiements Valider le contenu exact d une Distribution et le scénario de Déploiement en liaison avec la Gestion des Changements Installer les nouvelles versions logicielles et les matériels en production en respectant les procédures de la Gestion des Changements et des Configurations De s assurer que les distributions d origine de tous les logiciels sont stockées et sécurisées dans la Bibliothèque des Versions Logicielles Définitives (Definitive Software Library ou DSL) et que la CMDB est mise à jour Périmètre Planification, conception, élaboration, configuration et homologation des matériels et logiciels pour créer un ensemble de composants destiné à être déployé en production (kit d installation ou de déploiement) Planification et préparation du Déploiement d un Changement à un ensemble d Utilisateurs et de sites Communication, préparation et formation à un Changement Audits matériels et logiciels avant et après l implémentation d un Changement Déploiements des Changements Mise à jour de la CMDB et de la DSL III Mesures de disponibilité et de performances La mesure de la disponibilité et de la performance sera réalisée sur la base d un ensemble d indicateurs axés sur la disponibilité des services (par exemple : un indicateur de disponibilité du service «proxy» n est pas suffisant, un indicateur de disponibilité de l accès à internet via les proxy nous renseigne si le service est effectivement disponible) Le soumissionnaire proposera des indicateurs dont la mesure sera prise en compte pour l évaluation du SLA et l application éventuelle des pénalités prévues. Le soumissionnaire décrira également les moyens techniques et les méthodes mises en œuvre pour mesurer la disponibilité et la performance. L adjudicataire fournira au SPF Finances les outils et procédures (techniques) nécessaires pour constater et contrôler la disponibilité et les performances du système. Les instruments de mesure utilisés doivent être décrits en détail. Chaque mois, le SPF recevra de l adjudicataire un rapport des résultats de mesure, qui sera discuté lors de la réunion SLM (Service Level Management) mensuelle. Le SPF aura aussi accès, au moins en lecture seule, aux instruments de mesure utilisés par l adjudicataire. 75

76 Les informations de logging utilisées pour mesurer la disponibilité et les performances doivent être conservées au moins 1 an. Elles doivent aussi faire l objet de back-ups réguliers. Cette responsabilité incombe à l adjudicataire. Le soumissionnaire doit décrire en détail les moyens utilisés et intégrés dans le système de logging pour empêcher toute forme de falsification des données de mesure de performances par une des parties. Le système de sécurité intègrera des dispositifs permettant de mesurer le trafic, les temps de réponse et toute information utile pour en vérifier le bon fonctionnement. Ces données seront enregistrées en vue d'analyser les incidents et de produire des rapports. Le soumissionnaire décrira la solution proposée en précisant les types de mesures effectuées et enregistrées, les possibilités de filtrage des évènements, les types de rapports pouvant être produits, et la capacité de produire des statistiques. Le système de sécurité aura une capacité d'enregistrement permettant de conserver ces informations pendant un an. Les équipements nécessaires pour mesurer, enregistrer et conserver ces informations font partie du présent marché. III Gestion de la Capacité (Capacity Management) La Gestion de la Capacité a la responsabilité d assurer que la Capacité de l infrastructure en Niveaux de Services ( Service Level :SLs) est en adéquation avec les demandes croissantes de l organisation (coût et performance). Le processus comprend : Le suivi des performances des Services et des composants de l infrastructure Les activités d optimisation (tuning) sur l utilisation des ressources existantes La compréhension des demandes en termes de ressources et la production de prévisions pour les futures demandes La production d un Plan de Capacité pour assurer la qualité des Services fournis Surveillance (monitoring) Suivre l utilisation de chaque ressource et Service pour que les Niveaux de Service signés puissent être atteints et que les volumes métiers soient traités comme prévus. Activités Mettre en place des outils de mesure : des informations de Capacité : taux d utilisation de ressources, débits réseaux, etc. des informations de performances : temps de réponse disponibilité des services depuis et vers les différentes zones (FedMan/Internet, les zones DMZ, les zones internes, ect...) Définir des seuils et des situations de référence : Seuils de sur-utilisation des ressources ou seuils définis en deçà des valeurs des SLAs Alarmer en cas de dépassement des seuils et produire des rapports sur les anomalies Analyse Les informations collectées sont à analyser pour identifier les tendances et établir des situations de référence (baseline). Par mesure régulière et par comparaison avec ces situations de référence, des conditions de dépassement d utilisation des ressources et des Services. Comparaison aussi avec les prévisions d évolution. Détections potentielles de situations problématiques 76

77 Amélioration des performances (tuning) L analyse des données collectées peut faire ressortir des domaines où il faut modifier la configuration pour mieux utiliser une ressource système ou améliorer la performance d un Service particulier. III SLA III Généralités La solution offerte doit être supportée par un Service Level Agreement (SLA). Le SLA décrira le niveau de service que le SPF attend et auquel l adjudicataire s engage. Le SLA porte sur : La disponibilité globale du système à remplir sa fonction selon le niveau de qualité attendu: ce paramètre consolide les caractéristiques suivantes : La disponibilité du système : le système fonctionne-t-il ou non? Le niveau de performances du système : celui-ci sera réputé non disponible si le niveau de performances attendu n est pas atteint Le niveau de sécurité offert par le système : celui-ci sera réputé non disponible si des failles de sécurité sont observées. La résolution des problèmes. Si le niveau de service défini dans le SLA n est pas atteint, des amendes seront appliquées. Les amendes représentent un pourcentage du coût global mensuel de l entretien. Il faut entendre par là les frais liés à l entretien et au maintien en état de l équipement, au maintien de sa capacité de protection du système et au suivi du système. Les amendes sont déduites des frais de support et de maintenance payés à l échéance du terme. Le SLA s applique à partir de la migration du premier service vers la nouvelle infrastructure. Les éventuelles amendes sont dues sur les contrats d entretien et de service en cours. Le montant des amendes est fixé d après les principes suivants : une amende est liée à la non-disponibilité ou à un manque de sécurité du système, par rapport à la disponibilité de la période considérée une amende est liée à des incidents non-résolus pendant un délai raisonnable ; cette amende est due pour chaque incident séparément. Les différentes amendes sont cumulatives. L adjudicataire s engage à obtenir le résultat décrit ci-dessous. Les chiffres, mesures et amendes, ainsi que les clauses correspondantes, ne peuvent en aucun cas être modifiées. Un «best effort» n est jamais accepté comme un résultat. L adjudicataire ne peut en principe pas toucher au résultat : il peut en revanche proposer des modalités et procédures pour arriver au résultat. Plus tard, après passation du marché, les procédures et modalités devront être discutées, adaptées en concertation et éventuellement complétées si le SPF Finances le juge nécessaire. De même, les principes de base exposés dans le présent cahier des charges spécial et dans l offre de l adjudicataire devront être respectés. La qualité du service sera évaluée en tenant compte d une part du bon fonctionnement de l infrastructure technique du système de sécurité, et d autre part du niveau de sécurité réellement atteint. 77

78 Pour permettre l évaluation correcte du fonctionnement du système, le soumissionnaire spécifiera dans son offre le débit de données nominal qu il s engage à réaliser dans le système, en tenant compte de l ensemble des contrôles et opérations portant sur le flux d information, ainsi que du délai de propagation nominal. III Disponibilité globale. La solution offerte doit pouvoir fonctionner correctement au moins 99,80% sur base mensuelle. L on considère que le fonctionnement correct n est pas assuré si : le flux d information est interrompu (disponibilité) le délai de propagation est supérieur à la normale (performances) la sécurité du flux d information n est plus garantie, (security level) ou des données sont régulièrement perdues (performances). La disponibilité globale sera évaluée suivant une disponibilité moyenne par interface utilisé et par type de trafic, pondérée par rapport au trafic moyen ressortant des statistiques de mesure du système. A défaut de statistiques exploitables, les débits nominaux seront utilisés. Une défaillance de l interface interne correspond à une indisponibilité de 100% pour le type de trafic concerné, quel que soit l état des autres interfaces. Définition des «périodes de service» Le service opérationnel SECURITE fournira ses services sans interruption 365 jours sur 365, 24 heures sur 24 Les heures de service quotidiennes pendant la période de service sont définies comme suit : de 06h00 à 24h00: Peak-Hours service de 24h00 à 06h00: Off-peak hours service Maintenance La maintenance planifiée peut causer l indisponibilité du service SECURITE ou avoir un impact sur la performance du service. L infrastructure de sécurité doit comprendre au moins deux ensembles d équipements correspondant à deux chemins d accès. La maintenance sera organisée de manière à n interrompre qu un seul chemin à la fois. Fenêtre de maintenance Des périodes de maintenance pourra être prévue en accord avec le SPF Finances. Cette maintenance planifiée aura lieu moyennant un accord préalable du SPF Finances et sera communiquée par le fournisseur suffisament logntemps avant son entrée en vigueur (suivant le type d intervention le délais sera adapter par le SPF Finances). Pendant cette période de maintenance, des mises à jour majeures de logiciel ou des changements de topologie, de configuration, des demandes de changement ou des changements mineurs qui pourraient éventuellement impacter le service, l installation des patches software ou des changements mineurs de configuration sans impact sur le service seront permis. S il s avère que ces changements ont un impact sur les services, ils doivent être communiqués. Quand il est possible qu il y ait un impact sur les services, le temps dévolu à la maintenance ne sera pas inclus dans le calcul du taux de disponibilité. La période necessaire à la maintenance avec impact possible sera préalablement définie par l adjudicataire en accord avec le SPF Finances pour chaque intervention (Le SPF Finances décide seul en cas de désacord). 78

79 Fenêtre de maintenance critique En raison de la position proactive que le SPF Finances attend du fournisseur, des fenêtres de maintenance critique pourraient être exigées après accord mutuel entre le SPF Finances et le fournisseur. Une «fenêtre de maintenance critique» est définie comme «toute action corrective suite à un problème majeur de sécurité qui risque de compromettre la confidentialité, l'intégrité ou la disponibilité du service». Le temps dévolu à la maintenance critique est inclus dans le calcul des KPI. Si, pour une raison ou une autre, la maintenance doit s effectuer pendant une période «peak» et que des systèmes doivent être arrêtés, le temps dévolu à cette maintenance sera considéré comme période d indisponibilité et inclus dans le calcul des KPI, à moins qu'une approbation formelle du SPF Finances ait été reçue au préalable. Quoi qu il en soit, toutes ces fenêtres de maintenance seront déterminées en concertation entre l adjudicataire et les responsables du SPF Finances, la description ci-dessus est indicative. Les arrêts programmés ne sont pas compris dans la période de mesure. La mesure est effectuée tous les mois, sans tenir compte des arrêts programmés. L amende est de x% du coût global des services par mois, suivant le tableau ci-dessous : Disponibilité par rapport à la période (base Amende % (SLA) mensuelle) de «service - disponibilité» 99,80% 0 99,70% 1 99,60% 2 99,50 % 3 99,40 % 4 99,30 % 5 99,20 % 6 99,10 % 7 99,00 % 8 Par 0,5 % en plus en dessous de 99 % 2,5 % en plus des 8 % ci-dessus, avec un maximum absolu de 100 % L évaluation de la disponibilité ne tiendra pas compte des périodes d indisponibilité dues à : un débit de données sensiblement supérieur au débit annoncé un défaut d un matériel étranger au système de sécurité (p.ex. une ligne défectueuse) une intervention erronée de la part d un membre du personnel de l administration, pourvu que ce changement n ait pas été validé par l entrepreneur suivant la procédure de change management convenue dans les 8 heures ouvrables suivant l intervention toute cause incontestablement non-imputable à l adjudicataire et aux équipements, logiciels ou prestations fournis par lui (les prestations d un sous-traitant engagé par l adjudicataire dans le cadre de ce marché font parties des prestations de l adjudicataire). Security level La fonction principale du système de sécurisation du réseau est de le protéger contre les actes malveillants, les actes dommageables même sans intention de nuire (p.ex. transfert d un message contenant un virus) ou le trafic anormal ayant des effets comparables. Il convient de prendre en compte différents types d attaque : perturbation temporaire du fonctionnement d un système informatique à protéger (p.ex. attaques du type «denial of service») dégradation permanente du fonctionnement d un système informatique à protéger (p.ex. par une contamination virale) 79

80 consultation non-autorisée de données sur un système informatique à protéger destruction ou modification de données sur un système informatique à protéger Dès qu une lacune est observée dans la sécurité d un flux de données, ce flux est réputé interrompu, et les amendes correspondantes s appliquent. L incident ne sera cependant pas pris en compte dans le calcul de l indisponibilité si : il est établi que l incident a été causé ou favorisé par une intervention erronée d un membre du personnel de l administration il est établi que l incident a été causé ou favorisé par une ouverture imprudente des voies d accès à la demande expresse de l administration, cependant l adjudicataire est responsable de mettre en garde le SPF Finances. En cas de constations d une lacune du système de l adjudicataire entrainant la destruction, la modification, ou la consultation non autorisée de données par une personne malveillante, une amende par intrusion sera de 10% du coût global des services par mois pour des données réputées moins sensibles (par exemple : des données sur une station de travail ne rentrant pas dans la catégorie données sensibles) et l amende par intrusion sera de 20% du coût global des services par mois pour des données sensibles (par exemple : données sur les personnes physiques et données sur les sociétés), Ces amendes s additionnent aux autres mécanismes d amendes. Selon les circonstances, il est possible de déterminer le début et la fin d un incident : par constatation directe d un membre du personnel de l administration dans le cadre d un contrôle de la sécurité du réseau à partir de traces écrites ou enregistrées (p.ex. logfiles) sous réserve que le SPF Finances constate le problème résolu également. par constatation directe de l adjudicataire sous réserve que le SPF Finances effectue la même constatation. Dès que l administration constate un incident, elle le signale à l adjudicataire. Dès que l adjudicataire constate un incident, il le signale à l administration. Si le début et la fin de l incident peuvent être déterminés avec précision à l aide des informations enregistrées concernant le fonctionnement des systèmes de sécurité, l on se basera sur ces données. Si l incident compromet le bon fonctionnement d un système informatique important à protéger dans le réseau (système à usage collectif ou système individuel à usage spécifique important), le fonctionnement du système de sécurité est censé rétabli dès que l incident de sécurité est résolu et que le système endommagé est réparé, dans un délai normal. Si l incident ne cause pas de dommages immédiatement observables et mesurables (p.ex. consultation de données sans autorisation), le fonctionnement du système de sécurité est réputé interrompu entre le moment où l incident est constaté et celui où une solution est offerte. Si l incident est constaté par le personnel du soumissionnaire et qu il ne cause pas de dommages immédiatement observables et mesurables, il ne sera pas pris en compte dans le calcul de l indisponibilité du système pendant une période correspondant au délai d intervention normal pour un incident unique (voir le point «Traitement des incidents problèmes»). Performances 80

81 A partir de Points de Contrôle et d Observation, qui seront installés dans les limites de l infrastructure, le fournisseur devra être en mesure de fournir des indicateurs afin de vérifier le niveau de performance. Si, lors des opérations de vérification, les performances et/ou des fonctionnalités demandées dans le cahier des charges et/ou annoncées dans l offre ainsi que dans ses documents complémentaires, ne sont pas rencontrées ou ne le sont que partiellement, le fournisseur s engage à effectuer à ses frais les modifications ou compléments nécessaires ou à remplacer tout ou partie des fournitures logicielles par la livraison d une fourniture conforme. Dans cette hypothèse, après que le fournisseur aura effectué les modifications, les compléments ou remplacements nécessaires, l ensemble des tests de réception devra être ré-exécuté. Les indicateurs de performance seront sujets à discussion lors de la phase de négociation avec les fournisseurs durant l établissement du SLA. Le soumissionnaire décrira dans son offre les indicateurs de performance qu il propose d utiliser ainsi que les moyens techniques mis en œuvre pour les mesurer, qu il s agisse de moyens intégrés dans l infrastructure fournie, ou de moyens de mesures dont dispose le prestataire de service. Il précisera également comment il compte les utiliser. La modalité de la mise en œuvre réelle de ces indicateurs de performances sera sujette à discussion lors de la phase de négociation avec le fournisseur durant l établissement du SLA. III Traitement des incidents et problèmes Pour chaque catégorie d incident, un délai maximum est fixé : Gravité de l incident Incidents uniques : 100% des appels résolus Incidents multiples : 80% des appels résolus Incidents multiples : 100% des appels résolus Level 1 5 heures 8 heures Level 2 1 jour ouvrable 2 jours ouvrables Level 3 5 jours ouvrables 10 jours ouvrables En cas d incident unique, la solution doit intervenir dans les délais de la deuxième colonne. En cas d incidents multiples et simultanés, ce sont les délais de la deuxième et de la troisième colonne qui s appliquent. Si un incident génère des incidents supplémentaires, la gravité de l incident global (et donc le délai d intervention imposé) sera celle de l incident le plus grave. Tout incident doit être traité et résolu dans un délai maximum qui dépend de sa nature et de sa gravité. Tout incident non résolu dans le délai maximal donne lieu à une amende de 3% du coût global mensuel de l entretien. L amende est due mensuellement, pour chaque incident non résolu dans le délai imparti. Tout incident non résolu dans le mois x est automatiquement reporté au mois x+1 et donne lieu à une nouvelle amende s il n est pas résolu dans le délai. L amende s ajoute aux amendes pour disponibilité insuffisante visées au point précédent. 81

82 III Consultance permanente. La présence 5/5 jours ouvrables sur site d un ingénieur de la firme qui remplira les fonctions de consultant notamment dans les domaines : conseiller technique, administrateur système et design architecte orienté sécurité. Ces personnes (1 homme/jour) seront disponibles sur le site afin d assister les responsables SPF Finances. Ce poste devra être rempli par plusieurs personnes qui auront une bonne connaissance de notre infrastructure, chacune de ces personnes aura les compétences de consultant notamment dans les domaines : conseiller technique, administrateur système et design architecte orienté sécurité. Plusieurs personnes afin de couvrir l ensemble des jours ouvrables et de parer à l absence accidentelle d une de ces personnes (maladie). Lorsqu un nouveau consultant est intégré, l apprentissage de notre infrastructure doit être effectué avant d intégrer l équipe sans cout supplémentaire. Ce consultant ne réalise pas l ensemble des tâches à effectuer, il prépare les demandes pour quelle soient effectuée par ses collègues responsable du service de gestion, maintenance et d assistance. Il intervient rapidement sur le matériel à la demande du SPF Finances. III Consultance ponctuelle. A la demande du SPF Finances, l adjudicataire mettra à disposition du SPF Finances un spécialiste de la firme répondant à une demande spécifique. Le spécialiste proposé devra être sélectionné judicieusement en fonction du travail à réaliser. III Formation III Organisation des formations L adjudicataire devra dispenser les activités de formation en néerlandais et en français. L anglais pourra exceptionnellement être utilisé pour certaines formations particulières à la condition expresse que le SPF Finances marque son accord préalable. Le personnel chargé des activités de formation devra : Avoir une expérience reconnue dans la formation qu il dispense ; Maîtriser PARFAITEMENT la langue dans laquelle le cours est donné ; Disposer de qualités pédagogiques essentielles pour transmettre de façon structurée et systématique la connaissance aux participants aux cours ; Pouvoir manier les moyens pédagogiques et s en servir au moment opportun ; Tenir compte des remarques du pouvoir adjudicateur en ce qui concerne le contenu et la présentation de la formation. Le SPF Finances est favorable à ce que les formations proposées débouchent sur une certification. Le pouvoir adjudicateur se réserve le droit d exiger par téléphone, message télécopié ou par e- mail suivi d une confirmation par pli recommandé, le remplacement immédiat d un ou de plusieurs professeurs qui ne répondraient pas aux qualifications requises, par des professeurs disposant au minimum des capacités équivalentes à celles énoncées dans l offre. Ces activités de formation auront lieu soit dans les locaux du SPF Finances, soit dans les locaux de l adjudicataire. Suivant les circonstances, le SPF Finances décidera seul du lieu des formations. Toutefois, si la formation devait être donnée dans les locaux de l adjudicataire, l adjudicataire peut proposer des locaux en dehors de ses bâtiments, pour autant que ceux-ci soient situés dans la région de Bruxelles. Les locaux contiendront un PC par participant ainsi que les appareils didactiques requis. 82

83 Les supports de cours seront fournis à chaque participant dans sa langue. Il ne pourra être dérogé à cette exigence sans en avoir averti préalablement le SPF Finances et avoir obtenu son accord. L adjudicataire se chargera de mettre à disposition des participants des boissons et prendra en charge l organisation et la fourniture du repas de midi pour chacun des participants pendant la durée totale de la session de formation. Au besoin le SPF Finances demandera à l adjudicataire d organiser de nouvelles sessions de cours pendant toute la durée du marché (nouveaux participants, nouveaux matériels, nouveaux logiciels, etc ). III Formation des administrateurs Une formation en néerlandais et en français sera dispensée aux ingénieurs système (maximum 5 personnes). Elle portera sur tous les aspects des produits, services et logiciels. L offre spécifiera la teneur des cours. Pour les cours faisant l objet de certifications de la part des fournisseurs des logiciels, le matériel des formations certifiées doit être utilisé. Le formateur de chaque cours devra avoir pour langue maternelle la langue dans laquelle il devra donner le cours. 83

84 III Sensibilisation des utilisateurs Le soumissionnaire proposera dans ses services une approche pour la sensibilisation des utilisateurs. Cette approche sera définie dans la phase de définition de la «Security Policy». Le soumissionnaire proposera l approche qui lui semble la plus appropriée pour sensibiliser les utilisateurs aux types de dangers encourus ainsi qu aux moyens d y faire face. III Rapports L adjudicataire fournira sur une base mensuelle les rapports suivants sur les services fournis : Disponibilité de l infrastructure Performances Incidents Etat des Change Requests Top 500 des connexions denied, rejected Top 500 utilisation de la bande passante par serveurs (utilisateurs/serveurs internes) Top 500 utilisation de la bande passante par serveurs (utilisateurs/serveurs externes) Points ouverts/actions Etat des changements, upgrades, patches et autres opérations d entretien + planning des upgrades logiciels. Sur le plan de la sécurité, l adjudicataire doit pouvoir produire les rapports suivants (liste nonexhaustive) : Inbound Denies and Drops per Source IP. Denies and Drops per Firewall Rule. Number of Inbound HTTP or HTTPS Hits per Source IP. Number of Outbound Connections, per Port. Suspicious Inbound Denies and Drop per Port. Number of Inbound HTTP or HTTPS Hits per Source IP. Number of Inbound Events per Hour of the Day. Number of Outbound Events per Hour of the Day. Rules most Frequently Fired. Machines Connected to, Inbound, per Destination. Number of Outbound HTTP or HTTPS Hits per Destination IP. Suspicious Inbound Denies and Drops per Destination IP. Number of Outbound HTTP or HTTPS Hits per Source IP. Number of Inbound Connections, per Port. En termes de rapports concernant le réseau, l adjudicataire doit pouvoir produire les rapports suivants. Il spécifiera aussi les seuils (threshold) qu il prévoit pour chaque paramètre liste non exhaustive). 84

85 Level Report Elements reported Threshold Device Device Errors IP Discards In (%) IP Discards Out (%) IP No Route (%) Device Status SNMP Agent Restart Operstatus Check Availability (%) Round Trip Time (ms) Interface Errors Loss In (%) Loss Out (%) Errors In (packets/sec) Errors Out (packets/sec) Discards In (packets/sec) Unknown Protocols In (packets/sec) Multicast traffic Throughput in Unicast (packets/sec) Throughput out Unicast (packets/sec) Throughput in NonUnicast (packets/sec) Throughput out NonUnicast (packets/sec) Status Traffic Operstatus Check Availability (%) Throughput In (bytes/sec) Throughput Out (bytes/sec) Utilisation In (%) Utilisation Out (%) Le soumissionnaire indiquera comment il compte mesurer et rapporter la disponibilité des services DNS, SMTP et http. III Documentation technique L adjudicataire fournira à l administration toute la documentation technique nécessaire à l utilisation du système, et ce soit en Français et en Néerlandais, soit en Anglais en fonction de la langue dans laquelle elle est disponible. La documentation contiendra plus particulièrement les manuels techniques qui décrivent les caractéristiques et les règles d utilisation des équipements et logiciels faisant partie du projet, de même qu une description détaillée de l ensemble du système avec précisions sur les différents sous-systèmes et les connexions afférentes. L offre précisera le type de support sur lequel la documentation sera fournie (papier, cd-rom, ), les quantités standards et les conditions selon lesquelles des exemplaires supplémentaires pourront être commandés. L adjudicataire est obligé de fournir toutes les caractéristiques relatives à l utilisation des équipements fournis sur simple demande de l administration. 85

86 III Personnel et Sécurité Le personnel de l'entrepreneur devant opérer dans les locaux du SPF Finances devra se soumettre aux mesures de sécurité applicables en ces lieux. Ces mesures comprennent des mesures de contrôle d accès. Toute personne travaillant dans les locaux du SPF Finances devra être identifiée et devra être en possession d une pièce d identité. Le SPF Finances se réserve le droit de refuser l accès à ses locaux à une personne qui ne présente pas les garanties de sécurité requises. L'entrepreneur et son personnel sont tenus au secret professionnel pour toute information portée à leur connaissance, dans le cadre de ce marché, concernant l'organisation du SPF Finances ou les informations traitées par celui-ci. Ils sont également tenus au secret professionnel pour toute information portée à leur connaissance dans le cadre de ce marché, concernant l'architecture du réseau du SPF Finances et les moyens mis en œuvre pour le protéger. L'entrepreneur organisera ses travaux et interventions dans les locaux du SPF Finances, de manière à ne pas compromettre le fonctionnement des services de l'administration, à ne pas compromettre la sécurité du site, à ne pas compromettre la sécurité du personnel qui y travaille. 86

87 III.2 Lot 2 : Antivirus Stations de travail et serveurs. III.2.1 Préambule Ce lot concerne la protection contre les malwares des machines Windows (Stations de travail et serveurs) ainsi l analyse que le stockage de fichiers. Le fournisseur s'engage à participer aux exercices annuels de reprise après sinistre, les scénarios de récupération technique doit être préparée comme indiqué par le SPF Finances et par ailleurs accepter le mécanisme de gestion des mots de passe utilisée en cas de sinistre. La possibilité d échange entre les systèmes de gestion des changements et incident du fournisseur et du SPF Finances devra être possible. Le soumissionnaire mentionnera tout recours à la sous-traitance avec indication de la part du marché qui est sous-traitée ainsi que le nom des sous-traitants. Le soumissionnaire tiendra compte du point : IV.8 ANNEXE VIII : Gestion du projet et méthodologie. III.2.2 Antivirus Stations de travail : III Spécifications techniques de l architecture centrale de gestion et de distribution III Architecture Support OS: Le(s) serveur(s) demandé(s) doi(ven)t supporter les systèmes d exploitation suivants et être certifié(s) pour ces systèmes : Desktop : Windows 2000(terminé cette année), Windows XP, Windows 7 Server : Windows 2003, Windows 2003 R2, Windows 2008 Description Le soumissionnaire fournira une description détaillée des composants matériels et logiciels requis pour l architecture serveur. La proposition doit être suffisamment détaillée en termes techniques pour que, sur la base de la proposition du soumissionnaire, l Administration puisse juger des fonctionnalités. III Spécifications techniques du logiciel spécifique de gestion antivirus pour l architecture centrale de gestion et de distribution et du logiciel spécifique de gestion antivirus pour les stations de travail Windows. Le SPF Finances souhaite installer un système intégré permettant de gérer, à partir d une architecture centrale, le logiciel antivirus sur toutes les stations Windows. A partir de ce logiciel central, il doit être possible d installer à distance sur toutes les stations de travail Windows, un programme antivirus, ainsi que, de manière entièrement automatique, les mises à jour requises de ce programme. Le logiciel destiné au(x) serveur(s) central (centraux) doit donc être adapté au logiciel antivirus à installer sur les stations Windows. 87

88 La phase d installation couvre également, en plus de la mise en exploitation de l architecture centrale, l installation et la configuration de clients antivirus sur les stations Windows. Il doit également être possible de consulter à partir de chaque station Windows un statut détaillé du programme antivirus. Le système de gestion proposé par le soumissionnaire doit contenir les ressources nécessaires pour pouvoir surveiller l application du SLA. Le logiciel installé par l adjudicataire sur les stations Windows, doit être disponible en français, néerlandais, allemand et anglais. L adjudicataire doit veiller à ce que la langue du logiciel antivirus à installer sur les stations soit la même que celle du système d exploitation installé sur ces stations. Le logiciel doit pouvoir scanner la station on access' (au moment de l accès) et 'on demand' (à la demande). Le logiciel doit pouvoir scanner la station in memory (en mémoire) sur la base des processus, et interrompre des malicious processes (processus malicieux). Il doit être possible d activer le firewall (pare-feu) personnel sur chaque station via un outil d activation et de configuration central. La charge imposée au processeur qui exécute le logiciel antivirus sur les stations de travail doit pouvoir être surveillée et ajustée à partir d une console centrale. La charge imposée au réseau par les mises à jour du logiciel doit être la plus réduite possible. Les mises à jour se feront sur base incrémentielle. L outil de gestion doit être configuré de telle façon qu il soit possible d effectuer une répartition aussi bien au niveau de l organisation administrative que de la dispersion géographique des stations Windows. Il doit être possible d affecter des politiques (règles) différentes aux répartitions (groupes d utilisateurs) susmentionnées ou fonctionnalité équivalente Le logiciel doit offrir une possibilité de gérer les ports TCP sur toutes les stations Windows et le cas échéant, aussi, de les fermer. Ces opérations doivent pouvoir être menées à distance et de manière centralisée. Le logiciel doit pouvoir continuer à offrir la protection requise en cas de migration éventuelle. Le logiciel doit pouvoir être configuré selon une architecture basée sur l Active Directory. La solution proposée doit cependant être indépendante de cet environnement Active Directory et fonctionner en toute autonomie. La gestion centralisée du système revêt une importance particulière. La mise en place d un environnement de test doit être prévue par l adjudicataire; les mises à jour du logiciel antivirus doivent pouvoir être testées dans cet environnement avant leur distribution généralisée. Il doit également être possible de désinstaller, en cas de problème, des mises à jour déjà installées. L agent du logiciel antivirus ne doit pas pouvoir être désactivé par l utilisateur local (disposant de droits standard). Le soumissionnaire prévoit dans son offre en plus du support évoqué jusqu à présent la possibilité de disposer d un expert de la firme pour investiguer et résoudre des problèmes particuliers. III Rapports: Le reporting à l intention des administrateurs revêt une grande importance. Le soumissionnaire fournira un aperçu détaillé de tous les rapports («reporting») pouvant être générés ainsi que des possibilités de consignation dans un fichier journal (logging) et d envoi de messages d alerte (alerting). Les rapports doivent également pouvoir être présentés sous une forme graphique. Le logiciel doit offrir la possibilité d informer automatiquement les administrateurs en cas de problèmes spécifiques ( ticketting system ). 88

89 III Caractéristiques des stations de travail Windows : La notion de station de travail Windows désigne tous les PC, y compris les portables (soit au total unités) connectés au réseau. Consultez l ANNEXE II : Description du réseau interne. IV.2 pour une description du réseau. Le système d exploitation installé sur les stations Windows est Microsoft Windows 2000 (terminé cette année), Windows XP et Windows 7. Ce système est installé dans les langues suivantes : français, néerlandais, allemand. Le logiciel antivirus déjà présent sur les stations Windows est McAfee Enterprise version 8.8 et l agent d epolicy Orchestrator version 4.5 avec les serveurs pour la gestion d epolicy Orchestrator. La soumission tiendra compte du fait qu il ne peut y avoir qu un seul programme antivirus actif sur les stations Windows. L adjudicataire devra avoir une solution permettant de désinstaller le logiciel antivirus existant. Les stations Windows étant disséminées dans toute la Belgique, l installation du client antivirus sur ces stations doit pouvoir être effectuée à distance, de manière centralisée. L adjudicataire se chargera de l installation et de la configuration du logiciel antivirus sur les stations de travail. Ces stations Windows sont configurées et gérées centralement (Active Directory) et font partie d un domaine Windows (plusieurs domaines possibles). L installation et les mises à jour doivent pouvoir être effectuées : sans que l utilisateur ait des droits d administrateur local sur la machine ; sans intervention de la part de l utilisateur. Les mises à jour doivent en outre pouvoir être effectuées sans qu il soit nécessaire de redémarrer la station. III Formation L adjudicataire devra dispenser les activités de formation en néerlandais et en français. L anglais pourra exceptionnellement être utilisé pour certaines formations particulières à la condition expresse que le SPF Finances marque son accord préalable. Le personnel chargé des activités de formation devra : Avoir une expérience reconnue dans la formation qu il dispense ; Maîtriser PARFAITEMENT la langue dans laquelle le cours est donné ; Disposer de qualités pédagogiques essentielles pour transmettre de façon structurée et systématique la connaissance aux participants aux cours ; Pouvoir manier les moyens pédagogiques et s en servir au moment opportun ; Tenir compte des remarques du pouvoir adjudicateur en ce qui concerne le contenu et la présentation de la formation. Le SPF Finances est favorable à ce que les formations proposées débouchent sur une certification. Le pouvoir adjudicateur se réserve le droit d exiger par téléphone, message télécopié ou par e- mail suivi d une confirmation par pli recommandé, le remplacement immédiat d un ou de plusieurs professeurs qui ne répondraient pas aux qualifications requises, par des professeurs disposant au minimum des capacités équivalentes à celles énoncées dans l offre. Ces activités de formation auront lieu soit dans les locaux du SPF Finances, soit dans les locaux de l adjudicataire. Suivant les circonstances, le SPF Finances décidera seul du lieu des formations. Toutefois, si la formation devait être donnée dans les locaux de l adjudicataire, l adjudicataire peut proposer des locaux en dehors de ses bâtiments, pour autant que ceux-ci soient situés dans la région de Bruxelles. 89

90 Les locaux contiendront un PC par participant ainsi que les appareils didactiques requis. Les supports de cours seront fournis à chaque participant dans sa langue. Il ne pourra être dérogé à cette exigence sans en avoir averti préalablement le SPF Finances et avoir obtenu son accord. L adjudicataire se chargera de mettre à disposition des participants des boissons et prendra en charge l organisation et la fourniture du repas de midi pour chacun des participants pendant la durée totale de la session de formation. Au besoin le SPF Finances demandera à l adjudicataire d organiser de nouvelles sessions de cours pendant toute la durée du marché (nouveaux participants, nouveaux matériels, nouveaux logiciels, etc ). Des formations pour maximum 10 personnes du SPF Finances seront organisées et pris en charge par l adjudicataire. Ces cours devront être reconnus par le fournisseur du produit proposé et permettront de préférence l obtention d une certification pour les participants. L adjudicataire prendra également à sa charge le matériel de cours nécessaire ainsi que les repas aux participants. III Intervention S'il apparaît que par l'installation d'une mise à jour antivirus un ou plusieurs services et/ou stations de travail deviennent indisponibles pour les utilisateurs finaux, ou bien que cela a un impact sur les services des Finances, alors l adjudicataire doit prendre la responsabilité pour restaurer les services. Le SLA de ces services est la plus haute priorité. Le suivi de l'incident au niveau du logiciel antivirus chez le fournisseur est effectué par l adjudicataire. L adjudicataire informe le SPF Finances des progrès. L adjudicataire prévient les personnes de contact au SPF Finances lors de l'application de certains patches si des problèmes peuvent apparaître. III Support A la demande des responsables SPF Finances, l adjudicataire mettra du personnel qualifié à la disposition du SPF Finances dans le cadre, par exemple, de résolution de problème ou pour la réalisation de solution qui ne sont pas couverte par le présent marché. III.2.3 Antivirus Serveurs : III Spécifications techniques de l architecture centrale de gestion et de distribution III Architecture Support OS: Le(s) serveur(s) demandé(s) doi(ven)t supporter les systèmes d exploitation suivants et être certifié(s) pour ces systèmes : Windows XP Windows 7 Windows 2000 serveur Windows le serveur 2003 (Enterprise Edition, Standard Edition) Windows le serveur 2003 x64 (Enterprise Edition, Standard Edition) Windows le serveur 2008 (Enterprise Edition, Standard Edition) Windows le serveur 2008 R2 (Enterprise Edition, Standard Edition) Windows le serveur 2008 R2 le serveur Core (Standard Edition, Enterprise Edition) 90

91 Windows 2000 server peut être supporté mais ne fera pas l objet d une exclusion, le support des autres versions de Windows serveur (supérieur à Windows 2000) est requis. Description Le soumissionnaire fournira une description détaillée des composants matériels et logiciels requis pour l architecture serveur. Actuellement une centaine de Windows serveurs physiques et 660 machines virtuelles (150 Windows de type station de travail XP ou 7 et 510 Windows serveurs). Ces machines virtuelles tournent sur VMware 4.1 cluster au prorata d'environ 12 machines virtuelles par host. La proposition doit être suffisamment détaillée en termes techniques pour que, sur la base de la proposition du soumissionnaire, l Administration puisse juger des fonctionnalités. III Spécifications techniques du logiciel spécifique de gestion antivirus pour l architecture centrale de gestion et de distribution et du logiciel spécifique antivirus pour les serveurs Windows Le SPF Finances souhaite installer un système intégré permettant de gérer, à partir d une architecture centrale, le logiciel antivirus de tous les serveurs Windows. A partir de ce logiciel central, il doit être possible d installer à distance sur tous les serveurs Windows, un programme antivirus ou agent, ainsi que, de manière entièrement automatique, les mises à jour requises de ce programme. Le logiciel destiné au(x) serveur(s) central (centraux) doit donc être compatible avec le logiciel antivirus à installer sur les serveurs Windows. La phase d installation couvre également, en plus de la mise en exploitation de l architecture centrale, l installation et la configuration de clients antivirus (ou agents) sur les serveurs Windows. Il doit également être possible de consulter, à partir de chaque serveur Windows, un statut détaillé du programme antivirus ou agent. Le logiciel doit pouvoir scanner le serveur on access' (au moment de l accès) et 'on demand' (à la demande). Le logiciel doit pouvoir scanner le serveur in memory (en mémoire) et interrompre des malicious processes (processus malicieux). La charge imposée au réseau par les mises à jour du logiciel doit être la plus réduite possible. Les mises à jour se feront sur une base incrémentielle. Le logiciel doit offrir une possibilité de gérer les ports TCP sur tous les serveurs Windows et le cas échéant, aussi de les fermer. Ces opérations doivent pouvoir être menées à distance et de manière centralisée. Le logiciel doit pouvoir continuer à offrir la protection requise en cas de migration éventuelle. Le logiciel doit pouvoir être configuré selon une architecture basée sur l Active Directory. La solution proposée doit cependant être indépendante de cet environnement Active Directory et elle doit pouvoir fonctionner en toute autonomie La gestion centralisée du système revêt une importance particulière. La mise en place d un environnement de test doit être prévue et détaillée par le soumissionnaire; les mises à jour du logiciel antivirus doivent pouvoir être testées dans cet environnement avant leur distribution généralisée. En cas de problème, il doit être possible de désinstaller des mises à jour déjà installées. Le nombre de machines augmentera dépendamment du nombre de nouveaux projets qui arrivera sur x86 plate-forme. Nous prévoyons toutefois que le ratio du nombre de machines virtuelles par host physique augmente dû à l augmentation de la performance des machines physiques en place dans le courant de 2011 et les prochains hosts qui seront fournis. Le ratio estimé avec le lot suivant des serveurs se trouvera entre 30 et 45 machines virtuelles/host. Le nombre de serveurs virtuels devrait doubler ou tripler d ici 5 ans. Le SPF Finances met à jour son infrastructure régulièrement, les systèmes d'exploitation présents sur les machines physiques et sur les machines virtuelles ainsi que la couche de 91

92 virtualisation (actuellement VMware 4.1 cluster). L adjudicataire devra avec l accord du SPF Finances adapter sa solution si nécessaire afin d accompagner cette évolution de manière performante et offrant un niveau de sécurité au minimum équivalent. Toute nouvelle version de la solution devra être soumisse à la décision du SPF Finances. Il est à noter que certains serveurs Windows (physiques ou virtuels) seront placés en DMZ. Le soumissionnaire décrira comment il convient de gérer l installation, la gestion, les mises à jour, le tuning pour ces anti-virus présents dans des zones nécessitant d'être isolées du reste de l infrastructure serveurs. En sus, le soumissionnaire prendra en charge le tuning nécessaire pour les différents serveurs (tuning éventuellement différent suivant la version du SE et des applications du serveur, la nature des flux, la charge, le niveau de sécurité requis ). Les propositions de l adjudicataire seront exposées au SPF Finances pour approbation avant d être mise en place. Il appartient au soumissionnaire de proposer une solution tant pour les serveurs physiques que les serveurs virtuels adaptée en terme de sécurité mais aussi de performance. La solution peut être basée sur l utilisation de client anti-virus ou d agents mais aussi pour la partie virtuelle d une intégration avec la solution de virtualisation (actuellement VMWare 4.1). Il est à noter que les versions vont évoluer mais aussi que le prochain marché «virtualisation» ne garantit pas la réutilisation de la présente solution. Le soumissionnaire détaillera comment sa solution peut s adapter à un changement de plateforme de virtualisation. Une solution pouvant supporter plusieurs environnements de virtualisation (au minimum au niveau licence) étant l idéal pour faire face à ce genre de changement. La solution sera pilotée de manière centralisée par des serveurs redondants par site (failover) mis en place et entretenu par l adjudicataire, ces serveurs permettront l installation à distance, la mise à jour des softwares requis sur les clients ainsi que la mise à jour des fichiers de définitions et le paramétrage des clients (possibilité de paramétrer différemment des clients ou des groupes de clients). La possibilité d effectuer les mises à jour automatiquement (pas d intervention utilisateur/administrateur) des fichiers de définition de 2 manières minimum : premièrement en utilisant le serveur central installé au SPF Finances et deuxièmement, en cas d échec du premier essai, en direct vers internet. Ceci afin de solutionner la problématique des ordinateurs utilisés hors réseau SPF Finances. Ces serveurs de gestion devront être installés sur l environnement virtualisé ou pas de l architecture Wintel du SPF Finances. Le SPF Finances fournira les licences pour les systèmes d exploitation et la possibilité d utiliser une base de données sur l environnement de base de données consolidée. Dans tous les cas, la redondance automatique (pas d intervention humaine) par site doit être mise place par le fournisseur, les mécanismes en place au SPF Finances permettant la redondance peuvent être employés (machines virtuelles redondantes ). Avant l implémentation d une nouvelle solution antivirus, le SPF Finances prévoit de pouvoir tester le nouvel environnement dans une partie prévue à cet effet. Si le SPF Finances le requiert, l adjudicataire déploiera la nouvelle solution dans cet environnement afin d effectuer des tests (adjudicataire et SPF Finances). La majorité des partages de fichiers sont stockés sur une solution NAS (actuellement Celerra NS-G8). Les protocoles suivants sont utilisés : CIFS, NFS et FTP. La solution antivirus serveur devra permettre de scanner les fichiers sur ces serveurs afin de garantir que les fichiers présents sur le NAS et transférés aux utilisateurs soient exempts de tout malware. La solution ne dégradera pas le service offert aux utilisateurs, elle sera efficace et performante. Le soumissionnaire prévoit en plus du support évoqué jusqu à présent la possibilité de disposer d un expert de la firme pour investiguer et résoudre des problèmes particuliers. L adjudicataire devra fournir toute la documentation nécessaire afin que le système puisse être géré par les membres du personnel du SPF Finances. III Rapports : Le reporting à l intention des administrateurs revêt une grande importance. Le soumissionnaire fournira un aperçu détaillé de tous les rapports («reporting») pouvant être générés ainsi que des possibilités de consignation dans un fichier journal (logging) et d envoi de messages d alerte (alerting). Les rapports doivent également pouvoir être présentés sous une forme graphique. 92

93 Le logiciel doit offrir la possibilité d informer automatiquement les administrateurs en cas de problèmes spécifiques ( ticketting system ). Le système fournira des rapports réguliers concernant les incidents (logiciels malveillants détectés et effacés ou pas, nombre de fichiers scannés, nombre de fichiers qui n ont pas pu être scannés, environnement dont l antivirus est désactivé ou dont l antivirus ne fonctionne pas correctement, environnement sans antivirus, fichiers de définition périmés, ect ) toutes informations utiles pour faire le suivi. De plus pour des incidents particuliers définis par le SPF Finances (évolutif) avec l aide du fournisseur de service, par exemple la détection d un malware sans possibilité de suppression, le serveur central communiquera très rapidement le problème au service de suivi du SPF Finances (actuellement HP OpenView). La solution proposée s intégrera avec la solution actuelle et sera adaptée par le soumissionnaire en cas de changement de service de suivi. L utilisation de OpenView Operations Manager SPI est possible ainsi que le protocole SNMP adapté à la solution de suivi (actuellement HP OpenView Network Node Manager). III Caractéristiques des serveurs Windows : III Situation actuelle. Il existe une plate-forme alternative, basée sur une architecture x86 : 64 ou 32 bits. Tous les serveurs de l architecture Wintel sont de type Blade. Classe Type de Blade serveur Processeur RAM Disques A HP Proliant BL465c G1 2 x Amd Opteron GB 2*72 GB B HP Proliant BL685c G1 4 x Amd Opteron GB 2*72 GB C HP Proliant BL465c G1 2 x Amd Opteron GB 2*72 GB C HP Proliant BL465c G5 2 x Amd Opteron GB 2*72 GB ** D HP Proliant BL685c G1 4 x Amd Opteron GB 2*72 GB ** Au besoin, les serveurs peuvent être reliés au SAN corporate. III Evolution prévue : Le service ICT-Operations a fait l acquisition d une nouvelle configuration de serveurs. Le tableau ci-dessous reprend en résumé le détail de cette nouvelle plateforme C-Class Blades. Classe Type de Blade serveur Processeur RAM Disques A HP Proliant BL465c G7 2 x Amd Opteron GB 2*72 GB B HP Proliant BL685c G7 4 x Amd Opteron GB 2*72 GB ** ** Serveurs destinés à la virtualisation et aux bases de données SQL. III Plateforme de virtualisation VMWARE ESX 4.1 est le standard actuel pour la virtualisation. Pour les applications, la solution Disaster Recovery repose sur la réplication de données proposée par le service storage. Les machines virtuelles peuvent alors être redémarrées sur le site de disaster recovery via un script. Un maximum de serveurs Windows existants est consolidé dans cet environnement. Tous les nouveaux projets faisant appel à des serveurs Windows fonctionneront sur cette plateforme. Le SPF Finances s emploie à consolider et à utiliser la virtualisation au maximum. Actuellement une centaine de Windows serveurs physiques et 660 machines virtuelles (150 Windows de type station de travail XP ou 7 et 510 Windows serveurs). Ces machines virtuelles tournent sur VMware 4.1 cluster au prorata d'environ 12 machines virtuelles par host. Il existe 5 environnements : La production, l'acceptation, l'intégration, le développement et l'entraînement. La production peut être considérée comme l'unique environnement vers lequel un 93

94 utilisateur final peut se connecter. Cet environnement de production comprend les 100 serveurs physiques et 250 serveurs virtuels. III Formation L adjudicataire devra dispenser les activités de formation en néerlandais et en français. L anglais pourra exceptionnellement être utilisé pour certaines formations particulières à la condition expresse que le SPF Finances marque son accord préalable. Le personnel chargé des activités de formation devra : Avoir une expérience reconnue dans la formation qu il dispense ; Maîtriser PARFAITEMENT la langue dans laquelle le cours est donné ; Disposer de qualités pédagogiques essentielles pour transmettre de façon structurée et systématique la connaissance aux participants aux cours ; Pouvoir manier les moyens pédagogiques et s en servir au moment opportun ; Tenir compte des remarques du pouvoir adjudicateur en ce qui concerne le contenu et la présentation de la formation. Le SPF Finances est favorable à ce que les formations proposées débouchent sur une certification. Le pouvoir adjudicateur se réserve le droit d exiger par téléphone, message télécopié ou par e- mail suivi d une confirmation par pli recommandé, le remplacement immédiat d un ou de plusieurs professeurs qui ne répondraient pas aux qualifications requises, par des professeurs disposant au minimum des capacités équivalentes à celles énoncées dans l offre. Ces activités de formation auront lieu soit dans les locaux du SPF Finances, soit dans les locaux de l adjudicataire. Suivant les circonstances, le SPF Finances décidera seul du lieu des formations. Toutefois, si la formation devait être donnée dans les locaux de l adjudicataire, l adjudicataire peut proposer des locaux en dehors de ses bâtiments, pour autant que ceux-ci soient situés dans la région de Bruxelles. Les locaux contiendront un PC par participant ainsi que les appareils didactiques requis. Les supports de cours seront fournis à chaque participant dans sa langue. Il ne pourra être dérogé à cette exigence sans en avoir averti préalablement le SPF Finances et avoir obtenu son accord. L adjudicataire se chargera de mettre à disposition des participants des boissons et prendra en charge l organisation et la fourniture du repas de midi pour chacun des participants pendant la durée totale de la session de formation. Au besoin le SPF Finances demandera à l adjudicataire d organiser de nouvelles sessions de cours pendant toute la durée du marché (nouveaux participants, nouveaux matériels, nouveaux logiciels, etc ). Des formations pour maximum 10 personnes du SPF Finances seront organisées et pris en charge par l adjudicataire. Ces cours devront être reconnus par le fournisseur du produit proposé et permettront de préférence l obtention d une certification pour les participants. L adjudicataire prendra également à sa charge le matériel de cours nécessaire ainsi que les repas aux participants. III Intervention S'il apparaît que par l'installation d'une mise à jour antivirus un ou plusieurs services et/ou serveurs deviennent indisponibles pour les utilisateurs finaux, ou bien que cela a un impact sur les services des Finances, alors l adjudicataire doit prendre la responsabilité pour restaurer les services. Le SLA de ces services est la plus haute priorité. 94

95 Le suivi de l'incident au niveau du logiciel antivirus chez le fournisseur est effectué par l adjudicataire. L adjudicataire informe le SPF Finances des progrès. L adjudicataire prévient les personnes de contact au SPF Finances lors de l'application de certains patches si des problèmes peuvent apparaître. III Support A la demande des responsables SPF Finances, l adjudicataire mettra du personnel qualifié à la disposition du SPF Finances dans le cadre, par exemple, de résolution de problème ou pour la réalisation de solution qui ne sont pas couverte par le présent marché. III.2.4 Documentation technique L adjudicataire fournira à l administration toute la documentation technique nécessaire à l utilisation du système, et ce soit en Français et en Néerlandais, soit en Anglais en fonction de la langue dans laquelle elle est disponible. La documentation contiendra plus particulièrement les manuels techniques qui décrivent les caractéristiques et les règles d utilisation des équipements et logiciels faisant partie du projet, de même qu une description détaillée de l ensemble du système avec précisions sur les différents sous-systèmes et les connexions afférentes. L offre précisera le type de support sur lequel la documentation sera fournie (papier, cd-rom, ), les quantités standards et les conditions selon lesquelles des exemplaires supplémentaires pourront être commandés. L adjudicataire est obligé de fournir toutes les caractéristiques relatives à l utilisation des équipements fournis sur simple demande de l administration. III.2.5 SLA pour l architecture centrale et les clients Pour les serveurs de gestion et de distribution, un niveau de disponibilité de minimum 99% est exigé sur la base d une période de 1 mois. Le soumissionnaire proposera un SLA couvrant au minimum les points suivants : disponibilité du (des) serveur(s) centraux de gestion et de distribution. disponibilité de la fonctionnalité antivirus à jour sur les clients. Efficacité de la protection. délai d intervention en cas d incident; Dans son offre, le soumissionnaire spécifiera pour chaque partie du SLA o La description complète du SLA o Les pénalités applicables en cas de non-respect des conditions du SLA o Les instruments et procédures nécessaires pour la détermination et le contrôle du niveau du SLA La qualité du SLA et le niveau des pénalités seront pris en compte pour l attribution du présent marché. 95

96 IV. Annexes IV.1 ANNEXE I : Description des sites informatiques du SPF Finances Limitations relatives à l installation des machines Le soumissionnaire trouvera ici toutes les données techniques essentielles concernant les locaux informatiques du bâtiment North Galaxy et du site DRS d Anderlecht. Les équipements qui ne satisfont pas aux conditions techniques ne sont pas admis dans ces locaux. Le soumissionnaire doit joindre à son offre les données qui prouvent que le matériel proposé remplit les conditions. Les aménagements autres que ceux dont il est question dans l annexe ne sont pas admis. Le soumissionnaire a cependant le droit de proposer des aménagements pour son équipement, dans la mesure où ils n entament pas la structure et l organisation des locaux informatiques. Ces aménagements sont à la charge de l adjudicataire. Il est possible de déroger à certaines conditions, pourvu que cela fasse l objet d une étude de faisabilité préalable, approuvée par le responsable du centre informatique, et que cela soit expressément prévu dans le cahier des charges. Il est par ailleurs conseillé de prévoir un critère d évaluation qui tienne compte des limitations imposées au SPF Finances par les impératifs d'aménagement du soumissionnaire. Des dérogations peuvent être envisagées dans les domaines suivants : - Répartition des salles informatiques en allées. Les dérogations sont possibles pour les équipements dont les dimensions sont manifestement incompatibles avec la répartition standard des salles. - Câblage Le cas échéant, on peut prévoir des travaux de câblage supplémentaires, dans une salle ou entre deux salles. Ces câblages supplémentaires peuvent être nécessaires si : - Le volume des câbles standard nécessaires pour le projet est supérieur à celui des câbles disponibles dans la structure précâblée - Le projet utilise un type de câble qui n est pas disponible dans la structure en place. Les travaux de câblage seront réalisés par le SPF Finances ou par l adjudicataire, selon le cas. En tout état de cause, les travaux seront menés à bien suivant les prescriptions du responsable du centre informatique. Les conditions suivantes doivent être respectées : - Les câbles doivent être placés dans les gaines existantes ; - Les câbles doivent être correctement fixés aux chemins de câblage ; - Il n est pas permis de pratiquer des trous supplémentaires dans les murs des locaux ; - Si un câble doit traverser un mur, il doit emprunter les orifices existants ; - Les orifices doivent être comblés correctement afin de prévenir la propagation du feu. - Charge au sol Certains endroits du centre informatique offrent un peu plus de possibilités que celles décrites en annexe (en particulier sur le plan de la charge au sol). Ces endroits ne pourront cependant être utilisés que si l emplacement des équipements est connu avant la publication du cahier des charges. Dans ce cas, il est conseillé de préciser dans le cahier des charges les spécifications qui changent par rapport à l'annexe. Il n est pas permis de pratiquer des trous sans l accord du responsable du centre informatique. L adjudicataire ne peut pas percer les murs ou les sols sans l accord du responsable du centre informatique. Le soumissionnaire trouvera ici toutes les données techniques essentielles et la description des locaux informatiques du bâtiment North Galaxy et du site DRS d Anderlecht. Les équipements qui ne satisfont pas aux conditions techniques ne sont pas admis dans ces locaux. Le soumissionnaire doit joindre à son offre les données qui prouvent que le matériel proposé remplit les conditions. 96

97 IV.1.1 Caractéristiques techniques de la salle informatique North Galaxy IV Répartition des locaux du complexe Le complexe informatique comprend plusieurs salles informatiques (CI) ainsi que des locaux spéciaux pour les équipements centraux de transmission de données (Data). On y trouve aussi un local console, à un autre étage. Les consoles actuelles pour la gestion des applications sont installées dans ce local. IV Aménagement des salles Les machines sont installées en rangées de 90 cm de large, avec un dégagement de 1,5 m entre les rangées. Cet espace intermédiaire est limité à 90 cm dans les locaux 'data' (équipements réseau). Remarques : Les machines de plus de 90 cm de profondeur peuvent être installées dans les SI (avec une limite absolue de 1,2 m) pour autant que leur installation ne gêne pas le libre passage dans la salle. Ces dépassements ne sont pas autorisés dans les locaux data. Le système d alimentation électrique Canalis est monté au plafond. Le courant arrive aux machines par le haut. Les câbles de transmission de données se trouvent dans le faux plancher. Le long des rangées de machines, chaque dalle est munie d une ouverture avec un couvercle de 30 x 30 cm. Cette ouverture sert à : - raccordement des câbles de transmission de données; - alimentation en air de refroidissement. IV Charge au sol Charge minimale garantie partout : 4,7 kn/m² = 479 kg/m² Charges minimales garanties kn/m² kn/m² kg/m² kg/m² Centre Bord Centre Bord Salles informatiques (SI) 5,0 4, Locaux télécoms (Data) 4,7 4, Allées 4,7 479 Charge ponctuelle : maximum 500 kg IV Hauteur, largeur Salles informatiques (SI) : Hauteur nominale de la salle : 2,40 m (NB: Présence de lignes à 2,40 m en certains endroits) Hauteur garantie sans obstacles : 2,30 m Porte d accès marchandises : - hauteur : 2,40 m - largeur : 2 battants (1,66 m) Locaux télécoms (Data) : Hauteur nominale de la salle : 2,40 m (NB: Présence de lignes à 2,40 m en certains endroits) Hauteur garantie sans obstacles : 2,30 m Porte d accès marchandises : - hauteur utile : 2 m - largeur : 1 battant (1,03 m) Couloirs Hauteur nominale : 2,40 m (NB: Présence de lignes à 2,40 m en certains endroits) Hauteur garantie sans obstacles : 2,30 m Largeur minimale garantie : 1,40 m 97

98 Particularité : Couloir local télécoms Data 1 : Hauteur nominale : 2,40 m (NB: Présence de lignes à 2,40 m en certains endroits) Hauteur garantie sans obstacles : 2,30 m Hauteur porte d accès : 2,10 m Largeur minimale garantie : 1,20 m Portes d accès au site Avec ascenseur principal - hauteur : 2,30 m - largeur : 2 battants (1,66 m) Avec ascenseur secondaire - hauteur : 2 m - largeur : 2 battants (1,66 m) IV Accès au bâtiment Les équipements et les marchandises arrivent dans le bâtiment via le point de déchargement de la place Solvay. IV Ascenseur Ascenseur principal Charge utile : kg Longueur : 2,85 m Largeur porte : 1,30 m Hauteur porte : 2,40 m Ascenseur secondaire Charge utile : kg Longueur : 2,85 m Largeur : 1,30 m Hauteur : 2,09 m IV Alimentation électrique Alimentation électrique via Canalis : capacité standard : 40A (triphasé) (la consommation d une machine ne peut donc dépasser 40A monophasé ou triphasé). Le système Canalis est fixé au plafond. Les câbles d alimentation descendent donc du plafond. Il n y a pas de raccordements électriques dans le faux plancher. Par machinerie, on dénombre deux gaines Canalis. Les gaines Canalis sont alimentées via deux tableaux électriques distincts. Afin d éviter le branchement intempestif d un équipement inadapté, les raccordements 16A sont munis de fiches Wieland. Les câbles électriques sont alimentés par des UPS. À leur tour, les UPS sont alimentés par : - le réseau public, via un transformateur d alimentation général réservé au centre informatique ; - un générateur diesel. En cas de panne de l alimentation générale, les ordinateurs sont alimentés par les UPS. Ceux-ci sont répartis en deux batteries autonomes de deux ou trois modules UPS chacune. Les deux batteries sont synchronisées. IV Câbles réseau Les salles informatiques sont équipées d un câblage structuré. On trouve dans chaque salle informatique : - un réseau de câbles du type UTP catégorie 6 ; - un réseau de câbles en fibre optique(multimode OM3/50 µm) ; - des armoires de distribution. 98

99 Le long des machines, on trouve des tableaux de commutation à raison d un tableau par dalle. Chaque dalle correspond à : - 6 connexions RJ45-2 connexions optiques SC duplex (= 4 fils) La salle informatique est reliée à deux locaux data par un réseau en fibre optique (multimode 50/125 µm OM3). Chaque salle est reliée à chacun des deux locaux data. Les locaux data sont par ailleurs interconnectés. Un réseau de câbles UTP cat. 6 relie les salles informatiques avec les deux locaux data. Chaque salle est reliée à chacun des deux locaux data. Les locaux data sont par ailleurs interconnectés. Attention : les câbles peuvent dépasser 100 m en longueur. Tous les câbles se trouvent dans des gaines. Tous les câbles supplémentaires doivent également prendre place dans les gaines. IV Climatisation La climatisation produit un courant d air froid dans le faux plancher. L air froid est dirigé vers les machines via des ouvertures de 30 x 30 cm avec couvercle dans les dalles sous les machines. L utilisation de dalles perforées peut être envisagée mais n est pas standard. L air chaud est aspiré par des ouvertures au sommet des murs environnants. Il n existe pas de système de refroidissement par eau dans les salles informatiques et ce procédé n est pas souhaité. IV Divers Les salles sont munies d un système d extinction automatique au gaz FM200. Cette installation est complétée par des extincteurs au CO 2. L installation d extinction à eau se trouve dans les couloirs à l extérieur des salles. On ne prévoit pas et on ne souhaite pas de systèmes à eau dans les salles. IV Renseignements à fournir par le soumissionnaire Dans son offre, le soumissionnaire doit inclure les données qui montrent que l équipement proposé est compatible avec l environnement des salles informatiques. Il doit en particulier produire les deux notes de calcul suivantes : Calcul du poids Pour le calcul du poids, une unité installée correspond, selon le cas, à : - une machine occupant un seul emplacement ; - un ensemble de machines empilées ; - une armoire abritant plusieurs équipements. Pour chaque unité installée, le soumissionnaire doit spécifier les dimensions (largeur, profondeur, hauteur), le poids des éléments séparés et le poids total de l'unité. Calcul de l intensité électrique Pour chaque raccordement électrique au système Canalis, le soumissionnaire doit spécifier la consommation de courant par appareil et la consommation totale. La consommation électrique est calculée en fonctionnement et au démarrage. Câbles réseau nécessaires Dans son offre, le soumissionnaire doit spécifier les raccordements dont son système fera usage. Raccordements aux câbles réseau existants : - Nombre et nature des raccordements au réseau des Finances ; - Nombre et nature des raccordements directs entre machines éloignées situées dans la même salle ; - Nombre et nature des raccordements directs entre machines éloignées situées dans des salles différentes ; Raccordements spéciaux (seulement si prévus dans le cahier des charges) 99

100 - Nombre et nature des raccordements directs entre machines éloignées situées dans la même salle ; - Nombre et nature des raccordements directs entre machines éloignées situées dans des salles différentes. Aménagements spéciaux Dans son offre, le soumissionnaire doit expliquer les aménagements spéciaux qu il juge nécessaires au fonctionnement de son équipement. Ces aménagements peuvent concerner l emplacement où l équipement, selon le cas. Seuls les aménagements prévus dans cette annexe dans le cahier des charges sont autorisés. Les aménagements pour l équipement sont entièrement à la charge du soumissionnaire. IV Aménagements possibles Le SPF Finances se chargera lui-même des aménagements suivants : - Placement des armoires électriques pour le raccordement au système d alimentation Canalis ; Il s agit ici de : - armoires de raccordement - automates de puissance - câble d alimentation - boîte Wieland - Remplacement de certaines dalles dans le faux plancher par des dalles perforées. - Raccordements au câblage structuré. Raccordement des circuits de câbles au réseau du SPF Finances. Le raccordement des machines aux panneaux de commutation dans le faux plancher doit être exécuté par l adjudicataire avec la collaboration du SPF Finances. L adjudicataire se charge de fournir les câbles de raccordement de la bonne longueur. - Meubles Le SPF Finances fournit les tables et les chaises nécessaires à l installation de l équipement. Dans son offre, le soumissionnaire doit prévoir le mobilier spécifique qu il juge nécessaire à l installation de son équipement. Le SPF Finances se réserve cependant le droit de faire installer l équipement dans un meuble spécial fourni par lui. L adjudicataire doit annoncer ces aménagements suffisamment à l'avance. Dans des conditions normales, le préavis est de deux mois. Aucun autre aménagement du site ne sera autorisé s il n est pas expressément prévu dans le cahier des charges. IV.1.2 Caractéristiques techniques du site informatique DRS Anderlecht IV Organisation du site Le site DRS se compose d une grande salle informatique abritant les systèmes de plusieurs clients. Tous les systèmes du SPF Finances occupent la même salle. IV Organisation des salles Les machines sont installées en rangées de 90 cm de large, avec un dégagement de 1,5 m entre les rangées. Remarque : Des machines de plus de 90 cm de profondeur peuvent être installées dans la salle, avec une limite absolue de 1,2 m, pourvu que leur installation ne gêne pas le libre passage dans la salle. 100

101 IV Limites des salles Charge au sol : kg/m² de charge répartie 350 kg de charge ponctuelle Hauteur de la salle : 3 m Hauteur des voies d accès : 2,10 m IV Câblage réseau La salle informatique est équipée du câblage structuré suivant : - un réseau de câbles du type UTP catégorie 6 - un réseau en fibre optique (multimode OM3/50 µm) avec connecteurs LC - armoires de regroupement des câbles. Tous les câbles sont placés dans les gaines. Tous les nouveaux câbles doivent être posés en tenant compte des gaines existantes. 101

102 IV.2 ANNEXE II : Description du réseau interne. Le dernier document de référence est disponible sur la page : Fondements ICT du SPF Finances - Architectural Building Blocks Le texte qui suit dans l annexe 2 est communiqué à titre indicatif. IV.2.1 Services réseaux Les Services Réseaux offrent une vision commune de sémantique de transport de manière à supporter les services systèmes et applicatifs de plus haut niveau, de manière transparente et indépendante de la couche de transport réseau. Les services réseaux incluent 5 Services: Data Connectivity Services, IP Telephony Services, Diagnostic du flux de données, Extranet Connectivity, Time Synchronization, Le SPF Finances utilise un vaste réseau TCP/IP réparti sur tout le territoire national, comptant environ utilisateurs. Le WAN du SPF Finances est implémenté aujourd hui avec Bilan. Ce réseau est relié à divers autres réseaux : Fedman donne accès à l Internet et aux autres SPF et institutions publiques. Des lignes louées vers certains partenaires du SPF Finances, qu ils soient publics (Commission Européenne) ou privés (fournisseurs de services). L accès au réseau du SPF Finances à partir du monde extérieur est protégé par une infrastructure de Firewall. Le firewall a été mis en place en vue d un accès sécurisé à l Internet pour les besoins des services centraux du SPF Finances. 102

103 IV DATA connectivity Figure 4: aperçu du réseau o Description Le service Data Connectivity assure la disponibilité d accès réseau câblé au réseau interne du SPF Finances depuis un bâtiment du SPF Finances. Ce service repose sur les divers composants réseaux en place au sein du SPF Finances tels que connexions Ethernet. Caractéristiques Services principaux Standards importants Implémentation actuelle Description Connexion au réseau ethernet- et téléphonique. IEEE 802.3, TCP/IP Par utilisateur final, on prévoit en moyenne 1,5 connexion RJ45. Les PC et la téléphonie IP utilisent les mêmes câblages et ports-switch. o Evolution souhaitée Pour chaque utilisateur, installer au moins 1 port LAN pour le téléphone et le PC. Prévoir la capacité en fonction de la téléphonie, avec optimisation et redondance. Le maître-mot est l uniformité, qui doit se traduire par des commutateurs directement compatibles dans tous les LAN. 103

104 IV Téléphonie IP o Description Le service Téléphonie IP sert à la communication interne et externe via une infrastructure rénovée. Sur la base de cette infrastructure, les services suivants sont assurés : Messagerie (Voice Mail) Conférence téléphonique (Conference Call) Groupes Call et Hunt Secrétaire de direction (Management Assistant) Répertoire téléphonique électronique (Directory) Call centers Intégration fax Tous les utilisateurs internes sont connectés à cette infrastructure. Pour cela, chaque utilisateur dispose de son propre numéro, où qu il se trouve. Caractéristiques Services principaux Standards pertinents Description Service de messagerie (Voice Mail) Téléconférence (Conference Call) Groupes Call & Hunt Assistant de direction (Management-Assistant) Annuaire électronique (Directory) Call centers intégration fax trunking: SIP, H323, Interne : SCCP 104

105 Caractéristiques Implémentation actuelle Description L accès à l environnement de téléphonie IP est garanti par : Cisco IP Phone 7911/7912 Cisco IP Phone 7940/7941 Cisco Soft Phone L infrastructure supportant le service de téléphonie IP est redondante. Chaque jour, le serveur central (Call Manager) est sauvegardé dans le cadre des back-ups routiniers. En cas de calamité, le service sera rétabli le plus vite possible, avec un maximum de 24 heures de perte de données (sur la base des back-ups quotidiens). L infrastructure installée permet d acheminer 360 communications simultanées avec des interlocuteurs extérieurs (base : 12 PRA avec 30 canaux par PRA). La communication interne est illimitée. La solution de téléphonie IP utilisée repose sur les produits suivants : CallManager version Unity Connection version IPCC version Express 7.0.(1) SR 05 IP Communicator version Peter Connects 6.2.B1b RightFax versie 9.3 o Evolution souhaitée Des services de téléphonie convergents pour tous les collaborateurs. IV Diagnostics des flux de données o Description Examen des interruptions et défauts de performance des flux de données end-to-end. Caractéristiques Description Services principaux Analyse du trafic du réseau client/serveur existant. Standards pertinents Implémentation actuelle SNMP, Netflow, ICMP,... Sniffer, Fluke Optiview, Fluke SuperAgent Rapports (SLA/QoS) Belgacom 105

106 o Evolution souhaitée Etendre la panoplie d outils en tenant compte de l évolution des modèles de trafic (notamment P2P) et les protocoles. IV Connectivité Extranet o Description Ce service doit veiller à la disponibilité de l infrastructure nécessaire au travail à distance. Il met en place la connectivité entre les utilisateurs internes et les ressources externes, les utilisateurs mobiles et les ressources centrales, ainsi que les liaisons nécessaires pour les clients externes. Ce service comprend aussi la gestion utilisateurs VPN. La communication fait toujours usage de réseaux autres que ceux confiés à la gestion du département Networks. Caractéristiques Services principaux Standards pertinents Implémentation actuelle Description Travail à distance (Client VPN) Transmission de données entre le réseau interne et les organisations externes (site VPN) SSL, IPsec Authentification via e-id. * Les règles d accès à distance via Internet (Client VPN) sont énoncées dans «FinNet-VPN Policy & Procedure», disponible sur l intranet. * Les services relatifs à la mise en place et à la gestion du Site VPN sont toujours liés à des activités de projet. A ce titre, ils ne seront pas traités comme une modification standard. o Evolution souhaitée Aucun changement à court ou long terme n a été identifié au sujet de ce fondement. IV Synchronisation temporelle o Description Ce service assure la synchronisation des systèmes internes d enregistrement horaire avec une horloge atomique centrale. Caractéristiques Services principaux Standards pertinents Implementation actuelle Description IEEE-1588 NTP Stratum-1 Elproma o Evolution souhaitée En ce qui concerne ce fondement, on n identifie pas de changement à court ou à long terme. 106

107 IV Internet protocols o Description Les protocoles Internet reposent sur la technologie IP. Cela inclut Transmission Control Protocol/Internet Protocol (TCP/IP), Universal Datagram Protocol (UDP) et d autres protocoles. TCP/IP fait référence à une famille de protocoles de réseaux basés sur des standards, parmi lesquels TCP fournit la connexion host-to-host, et IP assure le routage des données d une source vers une destination. La couche TCP/IP inclut les protocoles File Transfert (FTP), Simple Mail Transfer Protocol (SMTP), News Transfer Protocol (NNTP), etc. Les protocoles TCP/IP permettent à différents réseaux de fonctionner comme une seule entité coordonnée. Les Intranets sont des réseaux utilisant la technologie Internet, mais où les accès sont contrôlés par une entité unique coordonnée. Le service principal est le service DHCP (Dynamic Host Configuration Protocol) aux plates-formes internes du SPF Finances. Ce service veille à l attribution dynamique des adresses IP à l ensemble des PC du réseau SPF FIN. Ce service est hébergé sur un cluster MS Windows 2008 actif/passif géographiquement splitté sur 2 sites avec exportation de la base de données 1 fois par jour. Caractéristiques Services principaux Standards pertinents Implementation actuelle Description DHCP DHCP RFC2131, RFC1918 (10.x.x.x) BOOTP Les Services IP sont implémentés par DHCP Les Services DHCP sont assurés par un cluster Ms Windows 2008 actif/passif géographiquement splitté sur les 2 sites. o Evolution souhaitée. Pour éviter toute perte d information, on vise un support technologique suffisant pour qu un deuxième centre informatique puisse être maintenu en permanence au même niveau que le centre primaire. A l avenir, on devra envisager une solution de Disaster Recovery à mettre au point avec le site DR d Anderlecht. L implémentation actuelle Cluster a déjà été testée durant les compagnes de Disaster Recovery et satisfaits pour le moment. IV Services WAN o Description Un réseau Wide Area Network (WAN) est un réseau qui fournit les services de communication ICT à une zone géographique plus large que celle servie par un LAN et qui peut faire usage de facilités de communication de type public proposées par des fournisseurs de réseaux externes à l entreprise. Les Services Wan sont actuellement supportés par le réseau BiLAN. Caractéristiques Services Principaux Standards pertinents Description Interconnectivité de réseaux LAN Netwerk: MPLS, BGP, Ipv4, Diffserv Fysiek: Ehternet, SDSL, Leased Lines 107

108 Caractéristiques Implémentation actuelle Description Le réseau qui interconnecte les bâtiments du département repose sur BiLAN. La bande passante est dimensionnée suivant les règles ci-dessous : Bande passante données : 10 kbps/utilisateur Bande passante voix : 15 kbps/utilisateur Autrement dit, un bâtiment abritant 75 utilisateurs qui se servent aussi de la téléphonie IP est raccordé avec une bande passante d au moins 2 Mbps (75 x (10+15) = 1875). La technologie de ligne peut être SDSL, ligne louée ou fibre optique. Gestion de bande passante (QoS, Infrastructuur) o Evolution souhaitée Connexions redondantes (notamment pour tél. IP). IV Connectivité mobile o Description Ce service couvre le raccordement sans fil au réseau interne des Finances FinNet, depuis l extérieur des bâtiments des Finances. Caractéristiques Services Principaux Standards pertinents Implementation actuelle Description Connexion sans fil à FinNet GPRS UMTS HSDPA Via : GSM-modem SmartPhone PDA Carte PCMCIA pour laptop Modem intégré dans les PC o Evolution souhaitée Connectivité réseau sans fil pour les applications mobiles. IV.2.2 Services Equipements Physiques Réseaux IV Description Les ABBs Equipements Physiques Réseaux comprennent le hardware qui supporte le réseau et inclut tous les composants des LANs, WANs, Wireless et réseaux locaux personnels, comprenant les câbles, routers, hubs, bridges, switches, cartes réseaux, controller, fibres, patch panel, transmitters, receivers, etc. Caractéristiques Services principaux Description 108

109 Caractéristiques Standards pertinents Implémentation actuelle Description Voir les spécifications du matériel. Le câblage horizontal est de type UTP Catégorie 6. Le câblage optique vertical est de type OM-3. Le matériel actif suivant est utilisé pour les réseaux locaux Ethernet: Catalyst PS-S PoE (nouvelle plate-forme) 109

110 IV.3 ANNEXE III : Modèle de soumission Aspects administratifs Objet de la soumission Cahier spécial des charges : PLATE-FORME DE SECURITE FIREWALL ET ANTIVIRUS STATIONS DE TRAVAIL SERVEURS Objet du marché : PLATE-FORME DE SECURITE FIREWALL ET ANTIVIRUS STATIONS DE TRAVAIL SERVEURS Identification du soumissionnaire Sociétés Raison sociale ou dénomination: Forme juridique : Nationalité : Siège social Rue : N : Boîte : Localité : Code postal : Pays : Numéro de téléphone : Numéro de fax : Numéro de TVA : Numéro ONSS : Numéro d Entreprise : Personne(s) à contacter et numéro(s) de téléphone : et pour laquelle Monsieur/Madame (nom) (fonction) domicilié(e) à l adresse : (rue) (code postal et commune) (pays) En cas d approbation de la présente offre, le cautionnement sera constitué dans les conditions et délais prescrits dans le cahier spécial des charges. L organisme de paiement du pouvoir adjudicateur payera les sommes dues par virement ou versement sur le compte n : (IBAN et BIC) Pour l interprétation du contrat, la langue française/néerlandaise est choisie. 110

111 Toutes correspondance concernant la passation et l exécution du marché doit être envoyée à l adresse suivante : Personne de contact : Téléphone : Fax : Adresse postale : Par la présente, j accepte/je n accepte pas (biffer la mention inutile) l utilisation des moyens de communication électronique ( ) pour la correspondance avec le pouvoir adjudicateur dans le cadre du présent marché. Durée de validité de la soumission La présente soumission reste valable jusqu au :. (minimum 240 jours) J autorise le pouvoir adjudicateur à prendre toutes informations utiles (par ex. de nature financière) sur mon entreprise, auprès d'autres instances. Je m engage à effectuer, conformément aux dispositions du présent cahier spécial des charges, les prestations/livraisons énumérées de manière détaillée dans les tableaux de prix joints à la présente soumission, et ce conformément aux tarifs y fixés. Fait : A Le Le soumissionnaire ou le fondé de pouvoirs : (nom) (fonction) 111

112 IV.4 ANNEXE IV : Modèles de tableaux de prix La proposition des prix mentionnés dans l offre doit, à peine de nullité absolue, être divisée selon les modèles ci-après. Ces tableaux de prix doivent être signés par le soumissionnaire ou son mandataire. Tout prix mentionné à un autre endroit ne sera pas pris en compte. En cas de divergence entre le présent inventaire et un inventaire détaillé du soumissionnaire, les prix de l inventaire repris en annexe du présent cahier spécial des charges seront seuls pris en compte. IV.4.1 Lot 1 : Plate-forme de sécurité. Sous peine de nullité, la présentation des prix cités dans l offre doit respecter la méthode décrite ci-après. Son emploi est obligatoire sous peine de nullité de l offre. Les tableaux de prix doivent être signés par le soumissionnaire ou son fondé de pouvoir. Il ne sera pas tenu compte des prix mentionnés ailleurs dans l offre : ceux-ci seront considérés comme inexistants avec toutes les conséquences possibles pour la conformité de l offre. Tous les éléments des tableaux de prix doivent être inscrits mécaniquement, c est-à-dire autrement qu à la main. L inventaire des prix doit donner au SPF Finances une vue d ensemble détaillée des différents prix. Tous les détails des prix doivent y figurer. Postes Hors TVA TVA incluse Hors TVA TVA incluse Matériels* Achat Achat Maintenance/an Maintenance/an Logiciels* Achat Achat Maintenance/an Maintenance/an Services** Achat Achat Services/an Services/an Consultance ponctuelle. /homme-jour /homme-jour III Formation. III /professeur-jour /professeur-jour Option web application firewall III Matériels Achat Achat Maintenance/an Maintenance/an Logiciels Achat Achat Maintenance/an Maintenance/an Services Services/an Services/an Option passerelle xml III Matériels Achat Achat Maintenance/an Maintenance/an Logiciels Achat Achat Maintenance/an Maintenance/an Services Services/an Services/an *Nécessaire pour réaliser l infrastructure à proposer au point III.1.3 et répondant à l ensemble des services à proposer III.1.4 à l exception des options web application firewall III et passerelle xml III **L ensemble des services III.1.4 doivent être comptabilisés à l exception de la Consultance ponctuelle. III ainsi que Formation. III ainsi que des services relatifs aux options web application firewall III et passerelle xml III L ensemble des informations concernant le Lot1 doit être pris en considération pour chaque point du tableau des prix. Il ne s agit pas, par exemple, d ignorer le point Description du projet. III.1.2 sous prétexte qu il n est pas cité ci-dessus. Tous les frais concernant ce lot doivent être présents dans ce tableau. Pour chaque poste dans le tableau ci-dessus un tableau détaillé doit être fourni (pour certains un canevas est fourni ci-dessous). Pour les tableaux détaillés le taux de TVA doit être affiché pour chacun des prix. La maintenance n est pas facturée pour la première année de garantie. 112

113 MATERIEL Le soumissionnaire complète le tableau des prix unitaires et des prix de maintenance/an, sur une ligne par entité, en mentionnant toujours l objet, le nombre, le prix unitaire et le prix total. La maintenance ne sera pas facturée pour la première année de garantie. Le prix de la maintenance sera le même pour les années 4 et 5 si elles sont demandées. Les totaux de ce tableau doivent correspondre aux montants indiqués dans le tableau précédent. Une entité peut être une «boîte», une armoire ou un câble de connexion. Entité Nombre Prix unitaire HTVA Prix Total HTVA Taux de TVA Maintenance/an Taux de TVA Switch A Router B Câble C Rack D Server E TOTAL LOGICIELS Le soumissionnaire doit spécifier le prix de tous les logiciels de l offre. Les prix seront spécifiés par logiciel distinct, avec licences pour utilisateurs internes et les licences nécessaire pour au moins 5000 utilisateurs externes simultanés. Le soumissionnaire précisera le prix pour les licences initiales et pour la maintenance annuelle. Le soumissionnaire doit ici encore joindre un tableau détaillé. SERVICES Le soumissionnaire doit ici encore joindre un tableau détaillé pour chaque service III.1.4. L inventaire des prix doit se terminer par ce qui suit : Fait à : Date : Nom : 113

114 IV.4.2 Lot 2 : Antivirus Stations de travail et serveurs. IV Antivirus Stations de travail Eléments de prix Prix HTVA Prix TVA incluse Taux de TVA Licences pour architecture centrale de gestion et distribution des logiciels par an ( stations de travail à gérer) Licence du logiciel antivirus par 100 stations de travail par an Implémentation de la partie serveur: ( stations de travail à gérer) Implémentation des clients antivirus sur les stations de travail ( stations de travail à gérer) Maintenance I et intervention III (par an) ( stations de travail à gérer) Assistance complémentaire ( /consultant-jour) III Documentation* III.2.4 Formations (Max 10 personnes à former, Ce prix n est pas un prix par personne ni par jour!)** III * Ce prix doit couvrir l ensemble de la documentation nécessaire pour tous les produits employés ainsi que pour l utilisation de l ensemble du système fourni (si un nouveau produit est utilisé en cours d exécution du marché, il nécessitera une documentation supplémentaire qui sera comprise dans ce prix) ** Ce prix doit couvrir l ensemble des formations nécessaires pour tous les produits employés ainsi que pour l utilisation de l ensemble du système fourni (si un nouveau produit est utilisé en cours d exécution du marché, il nécessitera une ou plusieurs nouvelles formations qui seront comprises dans ce prix) Ce tableau de prix doit être complété en tenant compte de la description de la demande au point III.2.1. Par exemple, il est question de donner un prix par an pour l antivirus installé sur une station de travail tout en sachant que le marché couvre un nombre de stations de travail. L ensemble des informations concernant ce lot doit être pris en considération pour chaque point du tableau des prix. Pour chaque poste dans le tableau ci-dessus un tableau détaillé doit être fourni. Fait à, le (date) 114

115 IV Antivirus et Firewall Serveurs Eléments de prix Prix HTVA Prix TVA incluse Taux de TVA Licences pour architecture centrale de gestion et distribution des logiciels par an (pour l ensemble des serveurs) Licence du logiciel antivirus pour 10 serveurs Windows par an Implémentation de la partie serveur (pour l ensemble des serveurs) Implémentation des clients antivirus sur les serveurs Windows (pour l ensemble des serveurs) Maintenance I et intervention III (par an) (pour l ensemble des serveurs) Assistance complémentaire ( /consultant-jour) III Documentation* III.2.4 Formations (max 10 personnes à former, ce prix n est pas un prix par personne ni par jour!)** III * Ce prix doit couvrir l ensemble de la documentation nécessaire pour tous les produits employés ainsi que pour l utilisation de l ensemble du système fourni (si un nouveau produit est utilisé en cours d exécution du marché, il nécessitera une documentation supplémentaire qui sera comprise dans ce prix) ** Ce prix doit couvrir l ensemble des formations nécessaires pour tous les produits employés ainsi que pour l utilisation de l ensemble du système fourni (si un nouveau produit est utilisé en cours d exécution du marché, il nécessitera une ou plusieurs nouvelles formations qui seront comprise dans ce prix) Ce tableau de prix doit être complété en tenant compte de la description de la demande au point III.2.3. Par exemple, il est question de donner un prix par an pour 10 serveurs tout en sachant que le marché couvre un nombre de 100 serveurs physique et 660 serveurs virtuels (il est à noter que l évolution prévue devrait doubler voire tripler le nombre de serveurs virtuels). L ensemble des informations concernant le Lot2 doit être pris en considération pour chaque point du tableau des prix. Pour chaque poste dans le tableau ci-dessus un tableau détaillé doit être fourni. Fait à, le (date) 115

116 IV.5 ANNEXE V : Modèle de référence. NB : l utilisation de ce formulaire est obligatoire 1. Nom du projet. 2. Nom de 3. Secteur d'activité l entreprise. 4. Nom du 5. Coordonnées contact. 6. Portée 7. Buts poursuivis du développement ou du projet. 8. Date de début 9. Date de fin (par phase) Budget (EUR) A. Matériel B. Logiciels C. Services 11. Résumé et brève description du rôle et de la part des éventuels A. Nom de la ou des entreprises B. Partie du marché C. Compétence sous-traitants 12. Complexité << Nombre d utilisateurs, nombre de systèmes IT hors PC (nombre de mainframes, minis et serveurs) / >> 13. Résumé et brève description des systèmes sources 14. Résumé et brève description des systèmes pour la réalisation du projet 15. Méthode de gestion de projet 16. Aperçu des profils affectés au projet ; (nombre (TOTAL) de personnes et hommes-jours pour le projet complet IV.6. A. Matériel B. Logiciels A. Matériel B. Logiciels Instrument/méthode. Profil 1 Profil 2 Profil 3 Profil 4 Profil 5 C. Environnement de développement C. Environnement de développement Profil 116

117 ANNEXE VI : Curriculum vitae. NB : L'utilisation de ce modèle est obligatoire. En complétant les CV, le soumissionnaire doit veiller à écrire le nom des personnes en toutes lettres. De même, il précisera clairement les diplômes et les établissements d'enseignement où ils ont été obtenus. Le pouvoir adjudicateur s'engage à traiter ces données avec une extrême discrétion et à ne les utiliser que pour les besoins de l'évaluation de l'offre. Le pouvoir adjudicateur se réserve le droit de considérer comme insuffisants les CV qui ne respecteront pas les règles ci-dessus et de ne pas les prendre en compte dans l'évaluation de l'offre. Si les diplômes mentionnés ne correspondent pas à la réalité, le pouvoir adjudicateur se réserve le droit d'exclure l'offre. Nom Fonction dans le projet : Description de la pertinence du profil pour le marché : Le soumissionnaire explique de la façon la plus détaillée possible pourquoi le profil en question est utile dans le projet. Formations : Humanités ou équivalent : Diplôme obtenu le (date) Enseignement supérieur non universitaire (répéter si nécessaire) : Titre Diplôme obtenu le (date) Institution Enseignement supérieur universitaire (répéter si nécessaire) : Titre Diplôme obtenu le (date) Institution Expérience professionnelle : Chez le soumissionnaire : Fonction actuelle o Titre o Description de fonction o Depuis le Fonction précédente (répéter si nécessaire) o Titre o Description de fonction Du... au... Participation aux projets suivants visés à l'annexe «modèle de référence» (projet et fonction) Participation à d'autres projets importants (nom, client et fonction assumée) 117

118 Dans trois autres entreprises au maximum : Fonction (répéter 3 fois maximum) Du... au... Compétences techniques : Matériel (hardware) Logiciels (software) - Systèmes d'exploitation - Bases de données - Langages de programmation - Applications bureautiques - Autres (préciser) Autres compétences : En management En consultance Autres (seulement si pertinent) Connaissance des langues : Français : compréhension - actif - passif (biffer les mentions inutiles) commentaires Néerlandais : compréhension - actif - passif (biffer les mentions inutiles) commentaires Anglais : compréhension - actif - passif (biffer les mentions inutiles) commentaires Autres (seulement si pertinent) 118

119 119

120 IV.7 ANNEXE VII : Formulaire de questions/réponses. Remarque : Si la question ne peut être liée à un paragraphe, indiquez "général" dans la première colonne. paragraphe n page de langue Question 120

121 IV.8 ANNEXE VIII : Gestion du projet et méthodologie IV.8.1 PMFin L'adjudicataire aura recours à PMFin, notre méthodologie et procédure de gestion des projets. PMFin est la méthodologie de projet unique et standard du SPF Finances. Elle repose sur la norme internationale Prince 2. La méthodologie est appuyée par l outil de projet ProjectMaster. 121