DEMANDE D INFORMATION RFI (Request for information)

Transcription

1 RFI Réf. : Banque de France - RFI Réseaux et Sécurité v2c Demande d information DIT - SERES Création d un Centre De Service d exploitation réseau & sécurité Page 1/25 DEMANDE D INFORMATION RFI (Request for information)

2 SOMMAIRE 1. INTRODUCTION OBJET DE LA DEMANDE D INFORMATION PÉRIMÈTRE DU CENTRE DE SERVICE OBJECTIFS ASSIGNÉS AU CENTRE DE SERVICE ATTENTES DE LA BANQUE DE FRANCE / RÉPONSE PLANNING DE LA DEMANDE D INFORMATION CONTENU DE LA DEMANDE D INFORMATION PROTECTION DES RÉPONSES RÉMUNÉRATION DES RÉPONSES 5 2. PÉRIMÈTRE EXISTANT ORGANISATION : LE SERES PÉRIMÈTRE FONCTIONNEL : MISSIONS DU CENTRE DE SERVICE PÉRIMÈTRE TECHNIQUE L environnement réseau Sécurité Outils utilisés (IM, PM, CM ) et processus appliqués La volumétrie DESCRIPTION DE LA DEMANDE PÉRIMÈTRE DE COUVERTURE HORS PÉRIMÈTRE DE LA DEMANDE COMPÉTENCES ATTENDUES Périmètre réseau Périmètre sécurité Outils PHASES DE LA PRESTATION DU CENTRE DE SERVICE PÉRIODE DE COUVERTURE DU SERVICE PÉRIMÈTRE GÉOGRAPHIQUE NIVEAUX DE SERVICE STRUCTURE DES RÉPONSES ATTENDUES CONSTITUTION DES DOSSIERS DE PRÉSENTATION REMISE DES QUESTIONS ET DE LA RÉPONSE CONTACTS CHEZ LE POUVOIR ADJUDICATEUR ANNEXES : FORMAT DE LA RÉPONSE VOLET 1 ASPECTS TECHNIQUES ET MÉTHODOLOGIQUES Plan de réponse : Focus sur les réponses essentielles que la Banque de France souhaite : VOLET 2 ASPECTS FINANCIERS Banque de France - RFI Réseaux et Sécurité v1.doc Page 2/25

3 La présente Demande d Information (DI) ne constitue ni une consultation, ni un appel d offres, ni un quelconque engagement de la Banque de France à lancer ultérieurement une opération sur le même objet. Réciproquement, les réponses à la DI ne constituent pas des engagements contractuels ou précontractuels de la part de leurs auteurs. Pour des raisons de compréhension, il est dénommé «la SOCIETE», ci-après dans la DI, les candidats y répondant. 1. Introduction La présente demande d information (DI) se place dans le cadre d analyses préliminaires conduites par la Banque de France en vue de créer un Centre De Service (CDS) chargé du support et du maintient en condition opérationnelle des infrastructures réseaux et sécurité. Pour une raison de Sécurité, le Centre De Service est situé obligatoirement en France métropolitaine ; il opère principalement au sein des locaux de la Banque de France Banque de France - RFI Réseaux et Sécurité v1.doc Page 3/ Objet de la Demande d Information La Banque de France a décidé d étudier la possibilité de créer un Centre De Service de support et d exploitation pour son réseau et sécurité, dans une optique de rationalisation et de variabilité des coûts, d industrialisation des méthodes et de mutualisation des ressources Périmètre du Centre De Service La Banque de France attend de la SOCIETE qu elle soit en mesure d assurer les principales tâches suivantes : Garantir un niveau de service opérationnel sur les périmètres techniques réseau et sécurité de la Banque de France Maintenir son réseau en conditions opérationnelles en garantissant en permanence et de façon pérenne les niveaux de service spécifiés ; Garantir la sécurité du réseau de la Banque de France; Être force de proposition tant sur les processus que sur les évolutions technologiques tout en réduisant les coûts, dans une optique d amélioration continue ; Accompagner efficacement les évolutions réseaux de la Banque de France en s assurant de la bonne qualification de ces évolutions et des mises à jour ; Garantir la maîtrise et la visibilité des coûts des services délivrés par le Centre De Services sur un périmètre potentiellement évolutif ; Délivrer un reporting de qualité, lisible et permettant le pilotage de la prestation Objectifs assignés au Centre De Service L objectif de la Banque de France serait de s attacher les services d une SOCIETE dotée d une organisation et de processus Confirmés et compétents dans la gestion des environnements réseaux et sécurité de production (selon le standard ITIL et les meilleures pratiques du marché) Aptes à mesurer et faire appliquer les SLA (convention de niveaux de service) et à proposer les bons indicateurs de pilotage et un plan de contrôle de la sécurité. Garants du respect des engagements financiers Engageants sur une obligation de résultat Assumant les clauses de sortie / réversibilité pour tout ou partie du périmètre concerné. En conséquence, les collaborateurs qui assurent la prestation au sein du CDS sont formés et/ou certifiés ad minima sur les équipements et domaines adressés.

4 À travers cette solution, la Banque de France attend de la SOCIETE qu elle ait un engagement de résultat sur les services produits Attentes de la Banque de France / réponse La SOCIETE doit proposer à la Banque de France la solution qu elle mettrait en place pour assurer les fonctions du CDS sur le périmètre et pour les niveaux de service tels que définis dans les chapitres suivants. Cette solution s appuie sur le savoir faire de la SOCIETE, sur les technologies mentionnées, sur sa capacité à travailler selon la méthodologie ITIL et les processus de la Banque de France. La SOCIETE détaillera notamment dans sa réponse l organisation, les compétences et moyens qu elle mettrait en place pour lui permettre d assurer la mission de Centre De Service Support Réseau et Sécurité avec une garantie de résultats. Parmi les éléments attendus, la SOCIETE mettra en avant son savoir-faire en matière de Centre De Service Support Réseau & Sécurité, exposera ses atouts et facteurs différentiant en ce métier, fera part de son expérience et de ses références dans des architectures similaires, au niveau national ou international, et notamment au bénéfice d autres banques ou administrations. La Banque de France souhaite connaitre, à travers les réponses fournies, les meilleures pratiques du marché, les avantages concurrentiels dont disposent certains acteurs sur des domaines laissés volontairement ouverts et ainsi être en mesure d émettre un Appel d Offre (s il en était décidé ainsi) retenant les éléments les plus intéressants et conforme à l état de l art correspondant à ses besoins. La SOCIETE explicitera notamment comment elle compte piloter de façon efficace le CDS. NOTA : les auteurs des réponses pourront être invités à présenter oralement leurs réponses. Remarque préliminaire : les volumétries données dans ce document le sont à titre indicatif dans une fourchette permettant à la SOCIETE d appréhender la charge de travail induite Planning de la demande d information Action Date Soumission de la DI 23/09/2010 Réception des questions 01/10/2010 Réponse de la Banque de France aux questions 06/10/2010 Réponse des sociétés à la Banque de France 15/10/ Banque de France - RFI Réseaux et Sécurité v1.doc Page 4/25

5 1.6. Contenu de la demande d information Le présent document est divisé en plusieurs chapitres. Le contenu de chaque chapitre est décrit cidessous. Chapitre 1 Chapitre 2 Chapitre 3 Chapitre 4 Chapitre 5 Vue d ensemble du projet, incluant le périmètre et les objectifs de la demande d information et le calendrier de réponse à la Banque de France Description de l existant : organisation, fonctionnel, environnement technique, niveaux de services et processus Description détaillée de la demande : périmètre de couverture, exigence des typologies de services et niveaux de services associés. Modalités de réponse pour la SOCIETE Format de la réponse attendue 1.7. Protection des réponses Il appartient à la SOCIETE questionnée de mentionner le cas échéant les informations contenues dans sa réponse devant être protégées par le secret commercial Rémunération des réponses La SOCIETE répondant à la DI ne peut prétendre à aucune rémunération pour les prestations réalisées pour l établissement de sa réponse Banque de France - RFI Réseaux et Sécurité v1.doc Page 5/25

6 RESEAU SECRURITE 2. Périmètre existant La présente demande d information concerne la gestion des réseaux (LAN, MAN et WAN) et de leur sécurité «périmétrique» comme représenté ci-dessous. Sécurité périmétrique : protection des accès externes et des échanges internes Infra : routeurs, switch, wifi, proxy, Reverse proxy, loadbalancers Liaisons opérateurs : MPLS, X25, LL, RNIS, Ethernet, Internet 2.1. Organisation : le SERES Le SERES (Service d Exploitation des RESeaux) est en relation avec d autres services de l OI (Organisation et Informatiques), et avec les Fournisseurs (maintenance, constructeurs, opérateurs télécoms ). Le SERES, au sein de la DIT (Direction de l Informatique et des Télécoms), comprend 3 sections opérationnelles : Le Bureau d Architectures Réseaux et Sécurité (BARS) est le point d entrée privilégié de toute demande relative à un nouveau besoin. Il assure une veille technologique par rapport aux technologies réseau et sécurité et étudie l opportunité de lancer des projets d'infrastructure dans ces domaines. Il a en charge la conduite des projets relatifs aux outils d administration et de supervision des réseaux de l'oi. En coordination principalement avec les autres architectes et experts techniques de la DIT, il conçoit et spécifie les architectures réseaux nécessaires aux applications et services à valeur ajoutée. Le Centre de Déploiement réalise la mise en œuvre des éléments du réseau, en configurant et installant les équipements de transport, de routage et de filtrage. En relation avec les équipes projets, il recette les nouvelles architectures et participe aux phases d'intégrations techniques et globales (RIT-RIG) des projets. Le Centre de Déploiement intervient directement sur le Siège parisien et ses annexes ainsi que sur les deux centres informatiques. Les interventions sur les sites distants sont réalisées sous son contrôle en collaboration avec les correspondants locaux. Le Centre de Support, au sein duquel la Banque de France souhaite créer un Centre De Service (CDS), objet de la présente DI. Les missions du Centre De Service sont détaillées ciaprès Banque de France - RFI Réseaux et Sécurité v1.doc Page 6/25

7 2.2. Périmètre fonctionnel : missions du Centre De Service Au sein du Centre de Support du SERES, le Centre De Service (CDS) a en charge la gestion de la disponibilité des infrastructures réseaux et sécurité. Pour cela, ses principales missions sont : La Gestion courante des incidents sur la production o Issus du Service Desk (CESI) o Également via les outils de supervision (détection proactive) o Jusqu au rétablissement du service en utilisant du matériel de secours en stock par exemple Les Contrôles récurrents des infrastructures : o Le contrôle des modifications effectuées par les autres équipes du SERES (SERES Production) o Le contrôle des tâches récurrentes pour assurer l exploitation (sauvegardes, monitoring) o Le contrôle des journaux d évènements des équipements (en particulier appliance de sécurité) o Le contrôle capacitaire des infrastructures La Qualification des équipements, afin d assurer le bon fonctionnement en production des nouvelles versions/ nouveaux équipements La Gestion de l état de parc, en particulier en assurant les upgrades nécessaires pour suivre les versions supportées par les fournisseurs La gestion de la continuité d activité (PRA) d un point de vue capacitaire notamment L utilisation des outils de supervision temps réel Et en parallèle, des petits travaux de câblage Périmètre technique L environnement réseau Les interconnexions L infrastructure des réseaux de la Banque de France comprend : Des réseaux locaux d interconnexion des équipements informatiques (LAN) Des réseaux d interconnexion de sites opérés (MAN et WAN) Les réseaux exploités par le SERES sont de natures différentes : Les réseaux privés de la Banque de France (LAN, MAN et WAN) Les réseaux publics (internet ) Les réseaux partenaires de confiance Les réseaux à valeur ajoutée (ex : Swift, Reuter ) Un réseau out of band pour tous les flux d administration et de supervision. L organisation des réseaux de la Banque de France est effectuée selon la typologie des sites, définissant ainsi le besoin en interconnexion. Les types de sites sont classifiés en 3 catégories : Les sites centraux avec le siège et les deux sites de production, comportent des réseaux locaux avec plusieurs niveaux de commutateurs (fédérateurs et de desserte), situés en Ile de France Banque de France - RFI Réseaux et Sécurité v1.doc Page 7/25

8 Les annexes parisiennes, interconnectés directement au siège. Les sites déportés (succursales ou sites spéciaux), souvent composés d un seul niveau de commutation. On en compte environ 140. Du fait de ces typologies de sites, la Banque de France s est dotée de 3 grands types d interconnexions : Le réseau d interconnexion des sites centraux, infrastructure CDWM fournie par 2 opérateurs différents (la Banque de France loue des longueurs d ondes pour créer une boucle avec ses 3 sites). Site cde Production Site cde Secours Réseau d interconnexion des sites centraux Cette infrastructure abrite 3 réseaux distincts : o un réseau IP de production Gigabit Ethernet entièrement chiffré o un SAN disposant de plusieurs longueurs d ondes dédiées o une infrastructure d interconnexion de LAN de niveau 2 entre les 3 sites Le réseau d interconnexion des succursales ou sites distants avec les sites centraux. Ce réseau est basé sur la technologie MPLS : chaque site à la possibilité de se connecter aux ressources centrales via un VPN dédié. Les sites centraux sont raccordés à ce réseau par des liens SDH, les autres sites se connectant le plus souvent en SDSL, avec ou sans redondance, selon les besoins. Le service est assuré par deux opérateurs distincts. Site de Production Site de Secours Banque de France - RFI Réseaux et Sécurité v1.doc Page 8/25 Réseau d interconnexion des succursales Les autres interconnexions : o Les huit annexes parisiennes sont connectées directement au siège (sur les 2 fédérateurs de ce dernier) par le biais de fibres noires o L interconnexion à Internet repose sur une infrastructure centralisée, sécurisée et connectée à plusieurs opérateurs. Elle est assurée sur les sites de Production et de Secours, avec une complète redondance et des mécanismes de partage de charge entre les différents liens/opérateurs o Les interconnexions partenaires se font directement par réseaux privés ou par le biais de l accès Internet. Bastion hautement sécurisé, ces interconnexions s appuient sur des technologies très variées dont X25, DWDM/SDH, Internet

9 o Plusieurs sites de repli sont connectés directement au réseau IP via différents offres opérateur (Interlan) Les équipements Sur le plan des équipements physiques, la Banque de France a homologué différentes technologies pour assurer ses interconnexions : Des équipements fédérateurs Des commutateurs de distribution Des équipements d équilibrage de charges et de gestion de flux La Banque de France dispose d une infrastructure WLAN qui s appuie sur des commutateurs et des bornes WIFI. Ces bornes sont dites légères car l authentification et le chiffrement des communications sont réalisées au niveau des commutateurs centraux, les bornes n assurant que la partie communication sans fil. Les Opérateurs Il y a environ 8 opérateurs différents, dont trois principaux. Les services L ensemble de ces réseaux véhiculent des services variés : Flux informatiques de production et Internet Téléphonie sur IP Visioconférence sur le poste de travail (pas généralisé) Service de surveillance vidéo analogique et en IP + enregistrement Exploitation : surveillance et alarmes Sécurité La sécurité du réseau est critique pour la Banque de France. Les principes de sécurisation des interconnexions réseaux sont basés sur la détection, le contrôle et la prévention. La gestion de la sécurité s effectue au niveau le plus fin flux par flux, port par port), impliquant une extrême complexité dans la gestion au quotidien (investigation sur incident, validation des changements ). Selon le type de réseau (Internet, tiers de confiance, réseau à valeur ajoutée), un dispositif plus ou moins complexe de sécurité est mis en œuvre sur la base de pare-feux, de sonde anti intrusion et de sondes d analyse de trafic Les pare-feux s appuient sur 2 technologies différentes essentiellement. L ensemble des flux transitant sur les réseaux publics sont chiffrés par des équipements actifs Outils utilisés (IM, PM, CM ) et processus appliqués Afin d assurer l exploitation des réseaux et de leur sécurité, un certain nombre d outils sont déployés au sein de la Banque de France et à disposition du Centre De Service : Banque de France - RFI Réseaux et Sécurité v1.doc Page 9/25 Outils utilisés pour le service desk, la gestion des incidents, des problèmes, des changements : ARS Remedy, Excel (configuration aujourd hui). (USVD de CA en cours de déploiement pour la gestion des processus incidents problèmes et changements). Les outils utilisés pour la gestion des éléments configurations (CMDB) sont divers et feront l objet d une consolidation d ici à fin L utilisation de Microsoft Excel est actuellement prépondérante (USVD en cible).

10 L outil utilisé pour gérer la connaissance et le partage d informations est Sharepoint. La Banque de France dispose d environnements d intégration lui permettant de valider les changements majeurs ou critiques. La Banque de France dispose d outils du marché pour l administration des pare-feux (outils constructeurs) et la gestion du réseau La volumétrie Les volumes suivants, fournis à titre indicatif, correspondent dans l ensemble au nombre d équipements et d incidents s y rapportant sur le périmètre existant. Remarque : ces valeurs s entendent avec une fourchette de +/- 15%. Catégorie Type (équipement ou incident) Volume Réseau switchs/routeurs fédérateurs 8 switchs de distributions serveurs (gros châssis) 25 switchs de distribution plateau informatiques 350 switchs de distribution (modules stackables) 900 Routeurs 50 CPE sous supervision par la Banque de France 260 (réseau MPLS) appliances réseaux (LB, GSLB, Reverse Proxy) 30 Sécurité Pare-feux (2 types différents) 500 Incidents Total du nombre d incident estimé sur 1 an, 1900 ainsi répartis : Critiques (5%) 100 Gênants (32%) 600 Mineurs (63%) Banque de France - RFI Réseaux et Sécurité v1.doc Page 10/25

11 3. Description de la demande Banque de France - RFI Réseaux et Sécurité v1.doc Page 11/ Périmètre de couverture Le CDS assume le maintien en conditions opérationnelles des réseaux et de la sécurité «périmétrique» de la Banque de France. Cela se traduit par neuf services rendus aux clients internes du SERES et détaillés dans le tableau ci-dessous. Dans sa réponse, la SOCIETE s attache à indiquer ad minima si elle est conforme avec les éléments cités dans ce tableau, expliciter ses méthodes, et alimenter, sur la base de son savoir faire, chaque service des tâches complémentaires et éléments de niveaux de service (SLA) sur lesquels elle sait s engager. # Libellé du service Description courte du service Niveaux de Service 1 Gérer la disponibilité du réseau et des éléments de sécurité Il s agit essentiellement de : Gérer les incidents transmis par le helpdesk (CESI) ou toute personne dument habilitée, Gérer les incidents détectés de façon proactive et les saisir dans l outil de ticketing, Assurer la supervision/le contrôle technique des composants du réseau (N1/N2), Prendre en charge les alarmes en provenance des outils de surveillance, Qualifier les incidents (nature / sévérité), identifier ceux à traiter par la SOCIETE et ceux à transmettre à des Tiers tout en assurant le suivi de ces derniers, Communiquer et documenter la résolution des incidents et le rétablissement du service, Documenter le processus de résolution, Escalader au niveau d expertise supérieur en cas de nécessité, Travailler avec la cellule qualité sur les incidents survenus. L objectif est d éviter une dégradation du service ; sinon assurer son rétablissement au plus tôt sur incident ; et garantir le retour au nominal théorique. NOTA : la criticité du service est définie par la Banque de France (critique/gênant/ mineur) ; la qualification de l incident est faite par défaut, la Banque de France se réserve un droit d ajustement. Enrichissement de la base de connaissances du support : La SOCIETE devra renseigner, dans l outil de gestion du support, la base de connaissance sur la résolution d erreurs connues. Ainsi que les différentes documentations spécifiées par la BdF. La SOCIETE devra alimenter la base de connaissance avec les solutions de contournement qui permettront une résolution d incident au niveau 1 dans le cadre Engagement de résultats (exemples) Pendant les horaires de présence : Délai de prise en charge des incidents : o Critique = 10 minutes (pendant les horaires de présence) o Autres = 30 minutes (pendant les horaires de présence) Temps de rétablissement du service en fonction de la criticité des incidents : o Critiques = 2 heures o Gênants = 4 heures o Faibles = 5 jours Engagement sur le traitement du backlog

12 2 Coordonner les opérateurs télécom et/ou fournisseurs pour les incidents 3 Maintenir le réseau en conditions opérationnelles 4 Contribuer à l amélioration continue du service délivré d un déclenchement utilisateur au niveau du helpdesk. La SOCIETE est aussi force de proposition sur ce processus et l outillage associé. Il s agit d un service essentiel en lien avec les incidents pour limiter la fragilité ou la dégradation du service offerts aux utilisateurs (internes et externes). Le SUPPORT du SERES a la responsabilité d ouvrir des tickets d incidents chez les fournisseurs (y.c. les opérateurs télécom lorsqu ils ne l ont pas été par le Pilotage du SERES) et de suivre leur résolution selon les contrats de services signés avec ceux-ci, La SOCIETE a en charge les relations avec les équipes internes en cas de problèmes d accès à des applications. Remarque : lorsque le Service Desk a ouvert un ticket chez un opérateur télécom cela ne dispense pas le CDS de son suivi. Nota : le SUPPORT n assure pas le pilotage contractuel des fournisseurs, il est cependant responsable face au Client du rétablissement définitif du service; il relancera donc le Tiers pour s assurer de la résolution la plus rapide possible de l incident. Le maintient en conditions opérationnelles consiste à : assurer une maintenance préventive par le maintien à jour de toutes les versions matérielles et logicielles, d appliquer les patchs recommandés, d anticiper sur les évolutions des fournisseurs, de s assurer par un contrôle périodique que tous les équipements de même type sont installés avec les mêmes versions et même niveaux de patchs, qualifier les nouvelles versions logicielles et matérielles (non régression incluse), contrôler les recettes des versions à installer (notamment les TNR), gérer/piloter/suivre les upgrades et les updates, vérifier l exploitabilité des prototypages, contrôler les changements effectués en production, gérer et contrôler la validité des sauvegardes des configurations des équipements (détailler la politique de sauvegarde, les processus et les outils préconisés), s assurer de la capacité à respecter la GTR en restauration d un élément de configuration réseau ou sécurité, contrôler notamment la non-collision des plannings d intervention. Il s agit du monitoring de l activité générale du Centre De Service (analyse «à froid» des incidents traités) en lien avec l équipe transverse Qualité ; ses résultats sont : L amélioration technique des infrastructures gérées, éventuellement via l ouverture d un problème, L amélioration des processus mis en œuvre (contrôles, capacité, incident ). Nota : la SOCIETE a un devoir de conseil à exercer, notamment sur la résolution des problèmes et des évolutions à apporter à l architecture de la Banque de France Banque de France - RFI Réseaux et Sécurité v1.doc Page 12/25 Engagement de résultats (exemples) Suivi des contrats Tiers : Contrôler les SLA et alerter en cas de non respect (selon les délais contractuels) => 100% des tickets Tiers escaladé s lors des dépassement de GTR. Assurer les relances Tiers selon un calendrier précis (100% des relances effectuées selon le calendrier) Mettre à jour l outil de Ticketing Préparer le reporting relatif aux responsabilités des incidents à échéance fixe. Engagement de résultats (exemples) Suivi de la performance : Taux de succès dans les mises à jour logicielles Disponibilité et caractère opérationnel des sauvegardes et restaurations (tests périodiques) Engagement de résultats (exemples) Taux de résolution des problèmes. Délai moyen de résolution de problèmes. Indicateur de mesure de l autonomie de la prestation vis-à-vis de la Banque de France.

13 5 Gérer la sécurité, l intégrité et la confidentialité sur les réseaux BdF 6 Assurer la continuité d activité (réseau et sécurité) La SOCIETE est amenée à travailler avec la cellule qualité de la Banque de France pour analyser les incidents et les solutions apportées, avec un reporting préparé selon un rythme quotidien (matin et soir), hebdomadaire et mensuel (donc «à chaud» le jour même et «à froid»). Remarque : la Banque de France opère dans un cadre ITIL. La SOCIETE devra mettre en œuvre les meilleures pratiques possibles pour fournir les services et à mettre en œuvre les processus ITIL correspondant à leur périmètre. Il s agit d un service essentiel en termes de surveillance (hors scope) et de support : Assurer la conformité des équipements, des outils et de leurs configurations aux standards définis par la Banque de France, par des contrôles réguliers, Détecter les vulnérabilités, par des scans périodiques des équipements considérés, et faire un rapport des résultats (Nota : la SOCIETE n est pas la seule à effectuer ce type de tests), Supporter la sécurité des accès et du transport d information (données, voix, image) ; y inclus le contrôle des matrices d accès flux, Assurer la disponibilité opérationnelle des éléments de sécurité destinés à garantir l intégrité et la confidentialité des données circulant sur les réseaux BdF, Assurer la confidentialité des données de configuration et de paramétrage du réseau BdF (par des processus sécurisée et la mise en place de patchs de sécurité notamment), Analyser les LOG et initialiser les analyses en cas d écart / nominal, Contrôler le décommissionnement des équipements, avec effacement et/ou destruction desdits équipements afin d éviter toute malveillance, Assurer la traçabilité de toutes les interventions et accès à tous les équipements. NOTA : l équipe Banque de France conserve la maîtrise de la Sécurité ; elle délègue simplement certaines activités d analyse récurrentes. Il s agit d assurer la continuité de l activité en cas de sinistre partiel ou total sur tout ou partie d infrastructures réseau et/ou sécurité de la Banque de France via : Des infrastructures construites en redondance, Une documentation et des processus adaptés. La SOCIETE devra assurer de façon périodique les taches suivantes : Basculer la production Mainframe ou d autres environnements d un site à l autre, Réaliser des tests de continuité réalisés par basculement de l activité sur le site secondaire, Un contrôle des résultats des 3 phases (basculement, opérationnel sur le site de secours et retour au nominal), Le contrôle des évolutions qui ne doit pas remettre en cause d une quelconque façon le niveau de service nominal. Le pilotage de ces opérations est réalisé par la Banque de France, sa mise en œuvre Banque de France - RFI Réseaux et Sécurité v1.doc Page 13/25 Pendant les horaires d astreinte : Délai de prise en charge d un appel : 10 minutes Délai d arrivée sur site : moins de 1h30 Au-delà de ces temps «initiaux», ce sont les engagements «présentiels» qui s appliquent Engagement de résultats (exemples) Indicateurs à proposer Engagement de résultats (exemples) Indicateur pouvant faire l objet d un suivi : Taux de succès des bascules Délai de bascule et retour au nominal Conduite des PCA selon le planning prévu et conformément au mode opératoire. Mesure par enquête de satisfaction de la Banque de France et mise en place de plan d amélioration.

14 7 Gérer le Capacity Planning suivre l activité et anticiper 8 Gérer les biens matériels et logiciels (+appliances) réseaux et sécurité opérationnelle l est par la SOCIETE. Nota : la continuité d activité repose aussi sur le service Capacity Planning (capacité à reconstruire des infrastructures sur un autre site, à connecter des équipements dans la GTR fixée). La gestion capacitaire comporte deux volets, l un statique basé sur le nombre de prises, de connexions et l autre dynamique fondé sur la mesure de l activité et des flux à des points stratégiques du réseau. Gestion des capacités statiques : o Il s agit d évaluer, par Local Technique, le nombre de prises réseaux, extensions cartes, disponibles, places libres dans les racks o à mettre en regard du nombre de connexions actives. o Nota : les capacités électriques et de climatisation sont à prendre en compte aussi. o En cas d insuffisance, une remontée d information (alerte) est transmise à l équipe Architecture (BARS). Gestion des capacités dynamiques (Ressources Planning) : o Il s agit de mesurer, à des endroits précis du réseau, l activité, les pointes sachant qu excepté certains moments peu nombreux et très limités en durée, les pics d activité restent toujours inférieurs à un seuil fixé, o En cas d insuffisance, une remontée d information (alerte) est transmise o à l équipe Architecture (BARS). Nota : un monitoring de l activité est mené en termes de consommation de ressources et d anticipation face à des seuils selon des tendances et/ou des probabilités. Nota : ce service est assuré en lien avec celui du maintien en conditions opérationnelles pour la «veille technologique». La SOCIETE sera conseil sur le positionnement et le type des outils de mesure dynamique. Il s agit essentiellement de la gestion des biens supportés, du point de vue de la CMDB; cela comprend : Le contrôle de la tenue à jour des inventaires réseaux et sécurité (matériels, logiciels, appliances), Le contrôle des la consistance des inventaires logiques (CMDB) et physiques (ce qui est sur le «terrain»), Le contrôle de la richesse des informations de la CMDB (liens entre éléments de configuration), La mise à jour de la CMDB dans le cadre des actions menées par le CDS dans le cadre du maintient en conditions opérationnelles (ex : les versions logicielles et matérielles, l information lorsqu il y a lieu de l application des patchs ). Engagement de résultats (exemples) Suivi de l évolution du réseau : Nombre d incident lié à un problème capacitaire Taux de disponibilité capacitaire (en nombre de port actif/passifs par exemple) Taux de disponibilité évolutifs (projection à 3 mois avec paliers par exemple) Publication d un rapport capacitif mensuel Engagement de résultats (exemples) Gestion du patrimoine : Mise à jour de la CMDB dans un délai fixé Contrôle documentaire et de la validité de la base Réconciliation logique/physique réalisée dans un délai fixé suite à l audit annuel Banque de France - RFI Réseaux et Sécurité v1.doc Page 14/25

15 9 Gérer les relations avec la DIT Communiquer et faire le reporting Nota : la SOCIETE réalise un inventaire physique par an (contrôle et alignement). Remarque : La Banque de France assure l approvisionnement en équipements. Il s agit des relations de type Client Fournisseur au sein de l OI, principalement avec six entités. La communication et le reporting au sein du SERES comprend les axes majeurs suivants : La communication «à chaud» sur un incident qui se produit / vient de se produire, pour informer de la prise en charge, de son instruction, des perspectives et de sa bonne fin / du rétablissement du service, La check-list du matin et celle du soir, en liaison avec le management du SERES et la cellule qualité de la BdF, La communication «à froid» permettant l analyse, la contribution à l amélioration continue sous forme de reporting périodique (hebdomadaire et mensuel), Le reporting lié au pilotage du Centre De Service (service management et facturation). La SOCIETE établit également le suivi d activité servant de base à la facturation. Engagement de résultats (exemples) Qualité et ponctualité du reporting : Exhaustivité des informations et lisibilité du rapport (bases de graphiques, de textes explicatifs et de commentaires appropriés) Ponctualité des livraisons hebdomadaire et mensuelle : livraison du reporting à date fixe chaque semaine/mois Publication sur le site Sharepoint Maintien à jour de la liste des contacts de publication Tickets valablement renseigné Périmètre de mesure des niveaux de service : Les niveaux de service et les performances de la SOCIETE sont appréciés sur les seules prestations qui lui incombent. Notamment, les délais et taux de satisfaction des délais demandés pour la résolution d un incident ne concernent que les incidents dont la résolution met en œuvre uniquement des prestations confiées à la SOCIETE. Pour les autres incidents, les délais et taux de satisfaction des délais sont appréciés, si possible, sur les seules prestations de la SOCIETE Hors périmètre de la demande Les activités suivantes sont hors du périmètre du Centre De Service : Câblage utilisateur et rocade Pilotage / supervision (N1) Configuration et installation nouveau matériel Gestion et choix d architecture Approvisionnement matériel et logiciel Maintenance des équipements Banque de France - RFI Réseaux et Sécurité v1.doc Page 15/25

16 3.3. Compétences attendues La SOCIETE détaille l organisation qu elle met en œuvre afin de couvrir le périmètre défini dans le chapitre 3. Nota : la Banque de France attachera une attention toute particulière à la façon dont le Centre De Service sera piloté par la SOCIETE (gestion des ressources, garantie de continuité d activité, formation à l environnement Banque de France, pilotage et coordination, maintient et transfert des compétences, facturation ). Dimensionnement de l équipe La SOCIETE dimensionne la taille et les profils requis pour assurer de façon nominale le service demandé par la Banque de France. La SOCIETE détermine également un seuil minimal de l équipe qu elle estime requise pour maintenir la compétence nécessaire afin d honorer ses engagements (engagements de résultats) Périmètre réseau Les équipements et services du périmètre réseau sont résumés ci-dessous. La SOCIETE devra préciser son niveau de compétences (notions/pratique/expert) et la proportion de ses employés certifiés sur les technologies mentionnées dans le tableau suivant. Type Load-balancing Switch Router Wifi Marque F5 BIG IP Bluecoat Cisco Cisco Huawei Juniper Extreme Networks Alcatel Nortel ECS Cisco Juniper Alcatel ARUBA Cisco Alcatel Niveau de compétences Nombre d employés certifiés Périmètre sécurité Le périmètre sécurité est détaillé ci-dessous. Les équipements et services du périmètre sécurité sont résumés ci-dessous. La SOCIETE devra préciser son niveau de compétences (notions/pratique/expert) et la proportion de ses employés certifiés sur les technologies mentionnées dans le tableau suivant. Firewalls Banque de France - RFI Réseaux et Sécurité v1.doc Page 16/25 Type Marque Juniper CheckPoint Palo Alto Netasq Fortinet Cisco Niveau de compétences Nombre d employés certifiés

17 Proxy / Reverse Proxy IPS F5 BlueCoat Apache Deny All Ironport CheckPoint Nortel Mac Afee Cisco Juniper Outils Les différents outils utilisés pour piloter l activité du réseau et de la sécurité de la Banque de France sont résumés ci-dessous. La SOCIETE devra préciser son niveau de compétences (notions/pratique/expert) et la proportion de ses employés certifiés sur les technologies mentionnées dans le tableau ci-après. Type Marque Niveau de compétences Nombre d employés certifiés Supervision HP OV HP NNM Patrol Business Object Cisco Works Ticketing ARS Remedy USVD HP Smartcenter Reporting et suivi du réseau Infovista CACTI Syslog APG (Watch4Net) Smartreport Tivoli 3.4. Phases de la prestation du Centre De Service La SOCIETE présente le phasage de la prestation du Centre De Service Support Réseau et Sécurité du SERES. Chaque phase est calée dans le temps avec son objectif, ses pré-requis, ses livrables et ses caractéristiques propres qui en garantissent le succès. En particulier, la SOCIETE met en avant les mesures prises pour garantir la qualité de service durant la phase de transition (sortie du fournisseur précédent avec transfert de connaissance et prise en main de la SOCIETE jusqu à sa phase «d autonomie»). Nota : ce sujet est un point d attention particulier pour la Banque de France Banque de France - RFI Réseaux et Sécurité v1.doc Page 17/25

18 3.5. Période de couverture du service Le tableau ci-après résume les différentes options possibles de niveau de service à assurer. La Banque de France se réserve la possibilité moyennant un délai de prévenance, d activer ou de désactiver des options, selon les engagements à couvrir. Service Jours de présence sur site Plage horaire Astreinte Nominal Du lundi au vendredi 6 h 22 h Non Option 1 Du lundi au vendredi 6 h 22 h 22h 2h Option 1 bis Du lundi au vendredi 6 h 22 h 22h 6h Option 2 Option 2 bis Option 3 Option 3 bis Du lundi au vendredi Et au maximum 26 samedis 1 par an (activable sur demande) Du lundi au vendredi Plus 26 samedi 1 par an Lun ven : 6h 22h Sam : plage d intervention Lun ven : 6h 22h Sam : 7h 19h 22h 2h 52 samedis par an : 7h 19h 22h 2h Les 26 autres (hors présence déjà effective au siège) samedis de l année : 7h 19h Du lundi au vendredi Lun ven : 6h 22h 22h 2h 52 samedis par an : 7h 19h (présence sur site en cas de déclenchement) Du lundi au vendredi Tous les samedis 1 Lun ven : 6h 22h Sam : 7h 19h Option 4 Du lundi au dimanche 24h/7 S/O 1 Localisation sur le siège ou production. 22h 2h S/O Les astreintes s entendent comme une disponibilité à distance avec capacité d intervention sur site (environ 1/2 heure du centre de Paris). Nota : les accès distants ne sont pas autorisés. Remarque : les équipes d astreinte et de surveillance sont localisées en France métropolitaine Périmètre géographique La SOCIETE devra assurer des interventions locales sur les sites de la Région Parisienne (Paris, Centre de secours en proche banlieue, centre de Production à Marne la Vallée). Une présence devra être assurée sur les sites suivants : Siège (39, rue Croix des Petits Champs, PARIS) : présence de 6h à 22h Marne la Vallée (2 avenue Pierre Mendès France, NOISIEL) : présence de 8h à 20h Des interventions locales sur incidents ou changements pourront avoir lieu sur les différentes annexes de la Banque de France et sur le site de secours. Les déplacements liés seront à la charge de la société. Les délais de transports depuis le Siège pour ces sites, est estimée à moins d une heure. Le périmètre couvre aussi les succursales, sites administratifs et industriels de la Banque de France, situés en dehors de la Région Parisienne. Les interventions locales seront effectuées par les fournisseurs (mainteneurs et opérateurs) pilotés par le FOURNISSEUR Banque de France - RFI Réseaux et Sécurité v1.doc Page 18/25

19 3.7. Niveaux de service La typologie des sites de la Banque de France implique un niveau de service spécifique pour chacun des sites. Le tableau ci-dessous indique les niveaux de service requis pour chaque site. Ils sont différents selon les périodes de la journée (couverture présentielle ou par astreinte). Les équipes du Centre De Service seront localisés au Siège et/ou sur un site. Localisation GTI (lors des horaires de présence sur site) GTI (astreinte) GTR Siège 30 min 2h00 2h00 ** / 4h00 Annexes du siège 1h00 2h00 4h00 Site de Production 30 min 2h00 2h00 ** / 4h00 Site de production secondaire * 1h00 2h00 4h00 Succursale «classiques» (sans caisse) Succursales «classiques» (avec caisse) 4h00 4h00 Succursale «spécialisée» 4h00 * Lorsque le site de production secondaire bascule en principal (en cas de problème majeur), les GTI/GTR deviennent celle du site de production. ** Pour certains équipements critiques, avec disponibilité de matériel de production secondaire sur les sites concernés et lors des horaires de présence sur ces mêmes sites de l équipe du Centre De Service Banque de France - RFI Réseaux et Sécurité v1.doc Page 19/25

20 4. Structure des réponses attendues 4.1. Constitution des dossiers de présentation Les dossiers de présentation doivent contenir : Une plaquette(s) de/des auteurs répondant à la Demande d Information (DI), présentant l activité principale et la dimension de l entreprise(s), ses partenaires et clients dans la mesure du possible ; Les volets de réponses au périmètre de l information (définis en Annexes) : o o Le VOLET 1 ASPECTS TECHNIQUES ET METHODOLOGIQUES : détail de la structure proposée pour assurer le rôle du Centre De Service tant sur sa mise en place que sur son fonctionnement Le VOLET 2 ASPECTS FINANCIERS : estimation financière la plus juste possible de la prestation de Centre De Service décrite dans le présent document La Banque de France accepte tout autre document qui pourrait présenter un intérêt pour la réalisation de la présente étude. La SOCIETE rédige sa réponse en langue française Remise des questions et de la réponse Toutes questions éventuelles seront soumises avant le 01 octobre 2010 à 14 heures. La Banque de France proposera une réponse à ces questions le 06 octobre 2010 à 19 heures au plus tard. La SOCIETE remettra sa réponse avant le 15 octobre 2010 à 14 heures. Les réponses, ainsi que toutes questions éventuelles, devront parvenir par courrier électronique adressé à la boîte achats_informatiques@banque-france.fr Contacts chez le pouvoir adjudicateur Pour toute information complémentaire à la présente DI veuillez contacter par courrier électronique : achats_informatiques@banque-france.fr Banque de France - RFI Réseaux et Sécurité v1.doc Page 20/25

21 5. Annexes : format de la réponse 5.1. VOLET 1 Aspects techniques et méthodologiques En réponse à cette demande d information, la SOCIETE s appliquera à expliquer les compétences qu elle mettra en œuvre, l organisation et la ou les méthodologies associées et les références qu elle jugera utiles. Il est demandé à la SOCIETE de respecter le plan de la présente demande d information Plan de réponse : 1. Généralités : a. Description succincte de la SOCIETE b. Références similaires en France c. Certifications et autres éléments pouvant intéresser la Banque de France dans le cadre de la présente DI 2. Méthodologies et organisation pour la fourniture des services (au sens défini dans le présent document en chapitre 3) a. Gestion de la disponibilité du réseau et des éléments de sécurité b. Coordination des opérateurs télécoms et divers fournisseurs pour la résolution des incidents c. Maintient en conditions opérationnelles du réseau et de ses éléments de sécurité d. Contribution à l amélioration continue du niveau de service délivré e. Gestion de la sécurité sur les réseaux de la Banque de France f. Assurer la continuité de l activité (réseau et sécurité) g. Gestion du capacity planning : suivre l activité et l anticiper h. Gestion des biens matériels et logiciels (y compris appliances) réseaux et sécurité i. Gestion des relations avec la Direction Informatique Gestion du Reporting 3. Niveaux de services a. Indicateurs et seuils associé (conformité à ceux proposés dans le présent document ou proposition complémentaires) b. Modèles d incentives / de pénalités associés. 4. Grille de compétences : a. Technologies (niveau d expertise, certifications) b. Certification des collaborateurs c. Pilotage (Tiers, équipes, management, communication) 5. Description de la mise en place et du fonctionnement du Centre De Service a. Phasage b. Pilotage c. Equipe d. Reporting 6. Facteurs différentiant de la SOCIETE 7. Autres aspects que la SOCIETE souhaite communiquer Banque de France - RFI Réseaux et Sécurité v1.doc Page 21/25

22 Focus sur les réponses essentielles que la Banque de France souhaite : # Domaine Questions 1 Service n 1 : gestion de la disponibilité et support / incidents 2 Service n 1 : gestion de la disponibilité et support / incidents 3 Service n 2 : pilotage de tiers 4 Service n 3 : maintient en conditions opérationnelles 5 Service n 3 : maintient en conditions opérationnelles 6 Service n 3 : maintient en conditions opérationnelles 7 Service n 3 : maintient en conditions opérationnelles 8 Service n 4 : amélioration continue 9 Service n 4 : amélioration continue Et service n 9 10 Service n 4 : amélioration continue Et Transverse 11 Service n 5 gestion de la sécurité 12 Service n 6 : continuité d activité Quelle est la méthode de gestion des incidents, comment la SOCIETE s assure du rétablissement du service et du retour au nominal théorique le plus rapide et le plus efficient possible? quel reporting, quels tableaux de bords, quel suivi des engagements de service? Comment la SOCIETE assure-t-elle l engagement de GTI (Ile de France)? GTR (France)? Quelles méthodes et quels outils éventuels la SOCIETE utiliset-elle pour piloter les fournisseurs en cas de délégation? quels bénéfices peut-on raisonnablement en attendre? Quelles sont les méthodes de qualification de version, de recette, de contrôles de recette usuellement employés par la SOCIETE sur un périmètre réseau et sécurité? comment la SOCIETE concilie-t-elle qualité et réactivité? Comment la SOCIETE s assure de l exploitabilité des solutions mises en place/mises à jour? Comment la SOCIETE assure-t-elle la gestion des sauvegardes de configuration, contrôle-t-elle le caractère opérationnel des sauvegardes (ex : restauration ), quels outils utilise-t-elle / préconise-t-elle habituellement? Comment la SOCIETE gère l arrivée d une nouvelle technologie, comment prend-elle en charge l éventuel degré de complexité, comment l intégrer sous forme d option à lever en cas de besoin (voir annexe n 2)? Comment la SOCIETE intervient en force de proposition / exerce son devoir de conseil sur les différentes activités qui lui sont confiées? Comment la SOCIETE gère habituellement l amélioration continue et les «plans de progrès»? comment la SOCIETE pilote sa performance? comment cela se traduit-il? Quels sont les principes et méthodes de gestion documentaire utilisés par la SOCIETE, dans un souci de qualité, d exploitabilité et de simplicité? Comment la SOCIETE peut-elle industrialiser les analyses de LOG? y a-t-il des outils que la SOCIETE utilise habituellement? Comment la SOCIETE assure-t-elle les procédures de sauvegarde et restauration? Dispose-t-elle d outils et/ou d expertise en propre? Comment la SOCIETE garantit la mise en œuvre de la continuité d activité au long des cycles de vie? quelle traçabilité met-elle en place? quel engagement est-elle à même de prendre là? Banque de France - RFI Réseaux et Sécurité v1.doc Page 22/25

23 13 Service n 7 : gestion de capacité (au sens ressources) Et Transverse (outils) 14 Service n 8 : gestion des biens 15 Service n 9 : Pilotage, Reporting 16 Service n 9 : Pilotage, Reporting 17 Transverse : volet organisation 18 Transverse : volet gouvernance 19 Transverse : volet méthodologie Comment la SOCIETE gère-t-elle la capacité au sens «ressource management», a-t-elle des outils et des templates préférentiels? Quelle est l expérience de la SOCIETE dans l exploitation, l utilisation le contrôle d une CMDB? Quel reporting la SOCIETE met-elle en œuvre usuellement, selon quels formats et quelle périodicité, quels sont les leviers de pilotage associés? Comment la SOCIETE mesure et gère sa performance opérationnelle? Quel tableau de bord propose la SOCIETE pour piloter le Centre De Service? Quelle organisation la SOCIETE compte mettre en place pour créer et gérer le Centre De Service et par là, délivrer le service de support réseau et sécurité attendu par la Banque de France, tel que décrit dans le présent document (avec les variantes par option demandée)? Quels dispositifs la SOCIETE met en œuvre pour piloter le Centre De Service? Quelle est la démarche utilisée par la SOCIETE pour reprendre par le Centre De Service l activité déjà confiée à un/des Tiers, afin de garantir le maintient et le développement de la Qualité de Service pendant la «phase transitoire»? 20 Transverse : volet équipe Comment la SOCIETE fait face à la nécessité présentielle pendant la plage fixé? en particulier, comment traite-t-elle le cas d une maladie, d une absence inopinée, d un accident? 21 Transverse : volet équipe Comment la SOCIETE s organise pour gérer, maintenir, développer les compétences de ses collaborateurs, comment le gère-t-elle dans la durée? comment la SOCIETE tient informée la Banque de France dans le souci d une collaboration en «bonne intelligence»? 22 Transverse : volet équipe Quel est le dimensionnement seuil de l équipe requise pour le Centre De Service (hypothèses de volumétrie fournie et à proposer sinon), quel est le dimensionnement «nominal» en régime de croisière? 23 Transverse : volet engagements La SOCIETE utilise-t-elle des modèles d incentive et de pénalité associés à son engagement de résultat? 24 Transverse : volet financier Quel modèle économique la SOCIETE propose pour gérer la prestation de façon transparente et efficace (voir également annexe n 2)? 25 Transverse : volet financier Quelle durée de contrat la SOCIETE recommande t elle : 3 ou 5 ans? Quels bénéfices pour les deux modèles contractuels (plan de progrès, amélioration )? Banque de France - RFI Réseaux et Sécurité v1.doc Page 23/25

24 5.2. VOLET 2 Aspects financiers L estimation financière sera réalisée sur la base d une durée de contrat de 3 ans. Ventilation des principaux postes de coûts Les informations demandées dans ce paragraphe sont destinées à permettre l'évaluation du coût global au travers d'une décomposition simple, par exemple : NOTA : par phase, la SOCIETE indique le seuil d activité / de staffing minimal permettant de garantir un fonctionnement en obligation de résultat comme indiqué. Remarque 1 : les frais de déplacement des collaborateurs du Centre De Service sont à la charge de la SOCIETE ; ils ne sont pas facturables à la Banque de France. Remarque 2 : les tarifs moyens journaliers en H.T. par profil peuvent compléter utilement le tableau (autre façon de valoriser les «services à l acte»). Modèle économique : Banque de France - RFI Réseaux et Sécurité v1.doc Page 24/25