CONTEXTE. DSI - Sécurité Opérationnelle. CCTP firewalls SUJET. référence SECOP01034V04V version 4.0 statut Validé

Transcription

1 CONTEXTE SUJET DSI - Sécurité Opérationnelle CCTP firewalls référence SECOP01034V04V version 4.0 statut Validé créé le 12 sept. 08 par Guillaume Stevens mis à jour le 13/02/2009 par Alain Haslé, Guillaume Stevens validé le 18/02/2009 par Guillaume Stevens, Alain Haslé, Vincent Archer, Patrick Lerouge, Julio Martins Péremption, archivage et restriction de diffusion Nature de la restriction : confidentiel, diffusion restreinte, diffusion interne, restriction annulée avertissement Afin de prévenir toute utilisation non intentionnelle de documents périmés, le lecteur est invité à vérifier que l'édition papier du document en sa possession constitue la dernière version en vigueur. Cette vérification peut être effectuée soit en consultant la zone documentaire adéquate du serveur de fichiers, soit en interrogeant l'auteur du document, soit, lorsqu'il existe, l'administrateur du système documentaire. La reprographie ou la rediffusion de ce document, par quelque moyen que ce soit, est strictement déconseillée sans information et autorisation préalable de son auteur ou, lorsqu'il existe, de l'administrateur du système documentaire.

2 Table des mises à jour du document version date objet de la mise à jour sept. 08 Création du document oct. 08 Prise en compte des diverses remarques oct. 08 Prise en compte des dernières corrections févr. 09 Prise en compte des diverses remarques Table des matières Introduction... 3 L INSERM... 3 Système d information de l INSERM... 3 Objet du marché... 4 Conditions Générales... 4 Mise à jour des configurations... 4 Garantie et support... 4 Rôle de conseil... 5 Livraisons... 5 Documentation et médias... 6 Normes... 6 Certification et qualité... 6 Description techniques... 7 Tranche ferme... 7 Options... 9 CCTP Firewall 2009 INSERM page 2/9

3 I. Introduction 1) L INSERM Le présent CCTP est émis par le Pôle Infrastructures du Département des Systèmes d Information (DSI) de l Institut National de la Santé et de la Recherche Médicale (INSERM). L INSERM est un Etablissement Public à caractère Scientifique et Technique (EPST) placé sous la double tutelle du Ministère de la Recherche et du Ministère de la Santé. Sa mission est d améliorer la compréhension des maladies et de raccourcir les délais pour faire bénéficier les patients, le monde médical et les partenaires nationaux et internationaux, des résultats de la recherche. Ses domaines d activité vont de la biologie fondamentale à la santé publique et son champ de compétence inclut toutes les dimensions fondamentales, médicales, cognitives, cliniques ou appliquées ayant trait à la recherche dans ces domaines. L INSERM est implanté en France sur 85 sites dont plus d une trentaine sous sa responsabilité pour ce qui concerne l administration des réseaux et des services associés. L INSERM compte 360 unités et équipes de recherche, dont 80% localisées dans les universités et les centres hospitalo-universitaires français. Ces 360 structures de recherche sont mixtes et y travaillent personnes. Les personnel est composé de 6500 salariés de l Institut, de chercheurs et d autres personnels d EPST (CNRS, INRA,...), d universitaires, de chercheurs étrangers, d étudiants et doctorants. L administration centrale dont le siège est située 101, rue de Tolbiac à Paris, est composée d une quinzaine de départements et services autour de la Direction Générale et du Secrétariat Général. Pour gérer ses 360 structures de recherche, l INSERM s est doté de 13 Administrations Déléguées Régionales (ADR). L ensemble du personnel administratif du siège et des ADR représente environ un millier de personnes. 2) Système d information de l INSERM Le système d information de l INSERM est géré par le Département du Système d Information (DSI). Ce dernier a notamment en charge l administration des réseaux sur les sites sous la responsabilité de l INSERM ; il assure, entre autres, l exploitation au quotidien des éléments actifs contribuant au bon fonctionnement de l ensemble des services réseaux disponibles sur les différents sites. Pour ce faire, le DSI s appuie sur les Délégations Régionales du Système d Information (DRSI) et sur l équipe des réseaux nationaux du pôle infrastructures. CCTP Firewall 2009 INSERM page 3/9

4 II. Objet du marché Le présent CCTP a pour objet le lancement d un MAPA (Marché A Procédures Adaptées) permettant l acquisition de boîtiers coupe-feu (firewall) qui devront renforcer la sécurité des réseaux (en entrée et sortie) sur les sites INSERM. Ces derniers sont divisés en quatre catégories correspondant aux nombres de personnes présentes : catégorie 1 : de 0 à 99 utilisateurs (14 sites); catégorie 2 : de 100 à 249 utilisateurs (4 sites); catégorie 3 : de 250 à 349 utilisateurs (5 sites); catégorie 4: supérieur à 350 utilisateurs (10 sites). Les sites les plus importants hébergent environ 1000 personnes. NB :Le bordereau de prix est joint au présent CCTP. Pour chaque catégorie, un modèle de boîtier coupe-feu, au minimum, devra être proposé. Pour chaque boîtier proposé, il est demandé de présenter les débits constatés en mode firewall, firewall applicatif, avec l IPS activé (si l option peut être souscrite), avec l anti-virus activé (si l option peut être souscrite) et avec l IPS et anti-virus activés. La durée de vie (fin de commercialisation, de support/maintenance) de chaque modèle devra être précisée. III. Conditions Générales 1) Mise à jour des configurations Il est demandé de répondre sur la base de configuration techniques en vigueur au moment où est diffusé le présent CCTP. 2) Garantie et support L ensemble des matériels faisant l objet de ce marché doit être garanti par le titulaire pour une durée d un an. Cette garantie devra pouvoir être prolongée d un an (à valoriser en option). Cette garantie inclura les pièces, la main d oeuvre et les déplacements. Elle doit permettre également l accès à un support technique téléphonique. Le coût de la communication téléphonique pour l accès à ce support doit être équivalent à celui d une communication locale sur tout le territoire de France métropolitaine et ne doit pas faire l objet d une communication surtaxée. La garantie de base proposée devra inclure au minimum les engagements suivants : période de prise en compte de demandes : 9h/18h-5j/7 ; délai de prise en compte d une demande : 4h ; délai d intervention sur site d une personne qualifiée : J+1 ; engagement en termes de moyens mis en oeuvre pour la reprise de service. CCTP Firewall 2009 INSERM page 4/9

5 Le titulaire s engage à préciser les services suivants énoncés dans sa proposition et concernant cette garantie de base : période de prise en compte des demandes ; délai de prise en compte d une demande ; délai d intervention sur site d une personne qualifiée ; possibilité d échange standard de l appliance (oui/non). Si oui, préciser les délais. La mise à jour des micro-codes (bios, firmwares,...) devra être comprise dans le support matériel et possible à tout moment pendant la période de garantie. Il en va de même pour la mise à jour des systèmes d exploitation des éléments actifs proposés. Le titulaire doit proposer un accès sécurisé en ligne pour le téléchargement des mises à jour OS et micro-codes. La garantie de base proposée devra en outre pouvoir être complétée en option pour obtenir une garantie étendue. Le titulaire s engage à préciser les services offerts par cette garantie étendue : période de prise en compte des demandes ; délai de prise en compte d une demande ; délai d intervention sur site d une personne qualifiée ; possibilité d échange standard de l appliance (oui/non). Si oui, préciser les délais. La notation tiendra compte des critères supplémentaires que le titulaire pourra proposer afin d améliorer cette garantie étendue. Concernant les garanties, il ne faudra pas confondre d une part la garantie étendue qui est une amélioration de la garantie initiale en termes de services rendus et doit donc avoir la même durée, et d autre part l extension de garantie demandée pour un an qui doit permettre de prolonger la garantie initiale ou étendue d une année supplémentaire. 3) Rôle de conseil Un rôle d information et de conseil est attendu de la part du titulaire. Un suivi continu pendant la durée de la garantie est indispensable sur les prévisions de fin de support des versions matérielles et logicielles, micro-codes compris. Les montées de version possibles ou obligatoires devront être communiquées dès publications officielles et rendus disponibles. 4) Livraisons Les commandes issues de ce marché pourront être livrées et installées sur toute la France métropolitaine. CCTP Firewall 2009 INSERM page 5/9

6 Les délais de livraisons ne pourront en aucun cas dépasser 30 jours ouvrés, soit six semaines, sous peine d application des pénalités prévues dans le cadre de la mise en place du marché. Le processus de gestion d une commande de la réception de celle-ci jusqu à la livraison devra être décrit avec précision. 5) Documentation et médias L ensemble des matériels et logiciels fournis dans le cadre de ce marché devra être livré (ou disponible via le web) avec la documentation d installation et d administration en français et en anglais ainsi qu avec les médias (CDROM ou DVDROM) d installation si nécessaire. 6) Normes Les matériels faisant l objet du présent CCTP doivent être conformes aux normes françaises et européennes homologuées dans le domaine de l informatique et en vigueur au moment de la livraison. Le titulaire s engage en matière de reprise du matériel vendu dans le cadre du marché, lorsque celui est obsolète. 7) Certification et qualité Le titulaire doit préciser son niveau de certification par rapport à l ensemble des configurations proposées. Il doit également expliciter sa démarche qualité et environnement. CCTP Firewall 2009 INSERM page 6/9

7 V. Description techniques Ce chapitre décrit les fonctionnalités attendues des boîtiers coupe-feu. Elles sont décomposées en deux parties : les caractéristiques obligatoires (tranche ferme du marché) et celles optionnelles. 1) Tranche ferme Les caractéristiques suivantes seront présentes sur tous les boîtiers coupe-feu de la gamme du constructeur. Matériel : Les firewall seront de type appliance et non une suite logicielle qui serait à installer sur un serveur généraliste à la charge de l INSERM. Système : Une présentation du système implémenté incluse dans la réponse serait un plus. Certification Le titulaire doit indiquer dans sa réponse les différentes certifications obtenues par le coupe-feu (exemple : certification «common criteria»), et sur quelles parties de l équipement elles s appliquent. Réseaux : Les équipements doivent permettre de pouvoir gérer au minimum quatre zones distinctes. Ils doivent pouvoir fonctionner aussi bien en mode routage qu en mode transparent (bridge). Ils supportent le NAT. Le comportement du boîtier en cas de panne doit être décrit, ainsi que les différentes possibilités de hautes disponibilités. Les protocoles de routage dynamique OSPF et BGP doivent être supportés. Le protocole 802.1q devra être supporté. Le nombre de VLANs configurables devra être indiqué dans la réponse pour chaque configuration proposée. Le matériel devra être compatible avec les actifs réseaux existants sur les sites, qui sont de marque Cisco. La configuration IPv6 sera réalisable sans surcoût durant la période de validité du marché. Filtrage : Différents types de filtrage sont demandés. Le filtrage de base (niveau 3 de la couche IP) sera statefull et pourra s appliquer sur les éléments suivants : - adresse IP source et/ou destination - port source et/ou destination - protocole - interface (virtuelle ou physique). CCTP Firewall 2009 INSERM page 7/9

8 Une action de logging peut être associée à un permit ou un deny. Il doit être possible de modifier les ports standards des protocoles. Un mécanisme permettant de contrôler la cohérence des règles doit être implémenté. Le filtrage applicatif de niveau 7 devra être assuré en standard pour les protocoles courant : http, dns, ftp, smtp, h323, ftp, SIP, Sql. Administration Les matériels des différentes gammes devront avoir la même ergonomie en terme d interface de pilotage. La configuration de base du boîtier doit pouvoir se faire par une GUI (Graphical User Interface). Néanmoins, une CLI (Command Line Interface) doit être accessible afin d effectuer certaines configurations avancées. Les connexions à cette interface doivent être sécurisées tout comme les connexions avec l appliance. Il doit être possible de déléguer tout ou partie de l administration des appliances. La surveillance du boîtier au travers de SNMP doit être disponible (fourniture des Mibs). Gestion des logs Deux types de logs sont à prendre en compte. Leur gestion sera différente et ne nécessite pas les mêmes outils : - Les logs concernant le firewall : connexion des administrateurs, administrateurs délégués, actions effectuées,... - Les logs concernant le trafic passant par le firewall : tentatives d accès non autorisé (deny d une règle),... REM : Les listes ci-dessus présente les éléments minimaux qui devront être loggés. L accès aux logs doit pouvoir être délégué, même si l option de l interface centralisée n a pas été prise. Les logs du pare-feu doivent pouvoir être émis via syslog directement depuis l appliance. Si l option de la console centralisée a été prise, cette dernière devra aussi pouvoir émettre les logs. Pour les logs concernant le trafic, ceux-ci devront être lisibles facilement au travers d une GUI. La réponse devra présenter cette interface avec notamment des captures d écrans et une description des différentes informations qui sont remontées. Des outils d analyse de logs seraient un plus. Sauvegarde La configuration du boîtier doit être sauvegardée de manière sécurisée (la méthode devra être décrite dans la réponse) sur un support externe. La restauration doit pouvoir être faite localement ou à distance (encore une fois, la méthode devra être décrite dans la réponse). Les règles de filtrage pourront être importées à partir d un fichier. De même, il est possible de les exporter. CCTP Firewall 2009 INSERM page 8/9

9 2) Options Matériel : Option n 0 : Garantie étendue Option n 1 : Extension de la garantie de base pour une année supplémentaire. Option n 2 : Redondance matérielle : une solution permettant la redondance des composants critiques doit-être proposés. La notation tiendra compte du surcoût potentiel induit par cette solution. Administration : Option n 3 : Une interface centralisée devra être proposée. Elle permettra d avoir accès à tous les firewalls. En cas d indisponibilité de celle-ci, les boîtiers coupe-feu doivent toujours pouvoir être configurés. Dans le cas d une application cliente, la compatibilité de cette dernière avec le maximum de systèmes d exploitations possibles (lister les OS) sera un plus pour la réponse. Option n 4 : Un administrateur principal pourra installer une configuration de base qui ne pourra pas être altérée par un administrateur délégué. Ce dernier pourra alors rajouter des règles supplémentaires à cette configuration. Option n 5 : L authentification devra pouvoir intéropérer avec les serveurs LDAP (et plus précisément OpenLdap) mis en place à l INSERM. Le schéma de l annuaire pourra être fourni à la demande (après signature d une clause de confidentialité). Gestion des logs Option n 6 : Possibilité de créer des rapports ayant des modèles pré-définis et/ou personnalisables. Sauvegarde Option n 7 : Un mécanisme de gestion de version (possibilité de retour arrière). Transfert de compétence Option n 8 : Transfert de compétences à un groupe de 4 à 6 personnes, qui pourront, à l issue de ce transfert, former le reste du personnel. La fourniture du matériel pédagogique (document, support de cours) doit être incluse. CCTP Firewall 2009 INSERM page 9/9