GPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - GPIH

Transcription

1 - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE rue Yves Le Coz Versailles Tél. : Fax : Dossier de consultation des entreprises Objet de la consultation : PRESTATION D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE Cahier des Clauses Techniques Particulières (C.C.T.P.) Version 1.0 Etat Auteur Frédéric LELLU Validé par Crée le 12/11/2008 Modifié le 14/11/2008 Page : 1-9

2 - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE SOMMAIRE 1 PRESENTATION GENERALE L OPIEVOY LE LE CADRE DU PROJET DESCRIPTIF DE L ENVIRONNEMENT DU PROJET L'ENVIRONNEMENT INFORMATIQUE... 5 Le réseau CADRE DE LA PRESTATION ATTENDUE L AUDIT D INTRUSION L AUDIT DE LA PLATEFORME DE SECURITE INTERNET RAPPORT D AUDIT LIEU, DUREE ET DELAI D EXECUTION DE LA MISSION CONTRAINTES CADRE DE LA REPONSE LES CRITERES DE CHOIX DU PRESTATAIRE METHODOLOGIE DE LECTURE ET DE NOTATION DES OFFRES REMARQUES PROPRIETE DES TRAVAUX CONFIDENTIALITE... 9 Page : 2-9

3 - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE 1 Présentation Générale 1.1 L OPIEVOY Implanté dans 170 communes, 8 départements en Ile de France, le groupe OPIEVOY dispose d un patrimoine global de plus de logements. Le groupe OPIEVOY propose des produits qui correspondent à un parcours résidentiel complet, allant de l hébergement temporaire, pour les plus démunis, à l accession sociale à la propriété. Le 28 février 2000, le Préfet des Yvelines signe l arrêté de transformation de l OPIEVOY en OPAC (Office Public d Aménagement et de Construction). En 2001, l OPIEVOY et ses filiales (Logement Pour Tous, Orly Parc, l association Logotel), deviennent le Groupe OPIEVOY. Les filiales ont conclu avec l OPIEVOY une «convention de prestations de services» ainsi qu une «convention de gestion de logements et d immeubles.» La certification ISO 9001 Version 2000 est obtenue en janvier 2003 et renouvelée en novembre 2005 Le Groupe Opievoy (OPAC et ses filiales) a engagé en 1995 un important projet de restructuration et de modernisation interne, visant notamment à renforcer la satisfaction des clients. Cela s'est traduit par une action de décentralisation vers 3 directions régionales couvrant 18 agences. 1.2 Le Le est un Groupement d Intérêts Economique (GIE) qui assure des prestations informatiques de qualité au moindre coût pour plusieurs organismes du logement social, dont le groupe OPIEVOY. Le est situé dans les mêmes locaux que le siège du groupe Opievoy et compte 20 collaborateurs. La certification ISO 9001 Version 2000 pour est obtenue en avril Page : 3-9

4 - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE 2 Le Cadre du projet. Soucieux d assurer dans les meilleures conditions la sécurité d accès pour lui-même et ses clients, souhaite faire procéder à un audit de sa plateforme de sécurité ainsi que de celle souscrite par le groupe OPIEVOY auprès d un opérateur. Cet audit comprendra deux phases : - La première consistera en un audit d intrusion et de vulnérabilité depuis l extérieur afin de vérifier la capacité de son réseau en termes de résistance à des intrusions et l efficacité de ses mesures actuelles de sécurisation de son Système d Information. - La deuxième consistera en un audit de la plateforme de sécurité depuis les locaux de pour validation des règles de sécurité mise en œuvre vers et depuis les accès extérieurs (principalement Internet). La mission se conclura par la remise d un rapport des Tests d Intrusion et d un rapport d Audit de la plateforme de sécurité. Page : 4-9

5 - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE 3 Descriptif de l environnement du projet. Au sein de, le Département micro et réseau assure en infogérance la gestion, l administration et la supervision des serveurs, des réseaux et des postes de travail de l OPIEVOY. 3.1 L'environnement informatique Le réseau Les données du réseau ne sont volontairement pas fournies afin de permettre au Prestataire de procéder à un audit dans les conditions d un «pirate», qui n aurait pas plus de connaissance du système audité (tests de vulnérabilité et d intrusion à l aveugle) Le réseau dont assure la gestion se décompose en deux sous parties. - Le réseau LAN et donc un accès autonome à internet au travers d une plateforme de sécurité (Firewall) propre à. - Le réseau (LAN WAN) et l accès à internet au travers d une plateforme sécurisée hébergée pour l OPIEVOY. Les deux réseaux sont interconnectés. Page : 5-9

6 - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE 4 Cadre de la prestation attendue 4.1 L audit d intrusion souhaite faire procéder à un audit de ce type pour valider le niveau de sécurité mis en place dans le cadre de sa propre plateforme mais également celui mis à disposition par l opérateur pour les accès OPIEVOY. Cet audit constituera la première étape de la prestation. Celle-ci se fera sans que ne fournisse d information (audit de type black box) susceptibles de faciliter les recherches afin d évaluer les risques réels d intrusion depuis l extérieur. Le prestataire retenu nous indiquera si des démarches d informations sont à faire, pour ce type d audit, auprès du ou des opérateurs en charge de la sécurité et sous quel délai. Cet audit donnera lieu à un rapport initial faisant état du résultat et des préconisations ou actions correctives à apporter à la sécurité du réseau en dissociant deux volets. - Les actions du ressort de l Opérateur extérieur. - Les actions à entreprendre sur la plateforme en interne. 4.2 L audit de la plateforme de sécurité internet A l issu de l audit d intrusion, le prestataire procédera à l audit interne de la plateforme de sécurité. prévoit, à ce niveau une réunion de lancement permettant de définir le contexte exact de l intervention et notamment d intégrer les éléments de l audit d intrusion et permettre également au prestataire la collecte d information qui n avait pas été rendue possible du fait de l étape 1. Lors de la réunion de lancement un intérêt particulier sera porté aux éléments ou règles n ayant pas fait l objet de préconisation à l issue de la première phase de l audit. Cette seconde étape doit permettre, en priorité de vérifier, les éléments du système qui n auraient pas été contrôlés afin d être le plus exhaustif possible. 4.3 Rapport d audit A l issu de ces 2 étapes, deux rapports seront à remettre. Le premier pour l audit d intrusion, et le second pour l audit de la plateforme de sécurité. Les deux rapports doivent contenir un exposé de l organisation actuelle des systèmes d information et d une manière détaillée : - les vulnérabilités, failles, risques et menaces découvertes, - l'impact qu'elles ont sur le système d'informations - les actions à mener pour combler ces failles, qu'il s'agisse de mises à jour et d amélioration de la plateforme (logiciels, ajustements de configuration) voire de la mise en place de nouveaux outils en complément de l existant, de modifications dans l'architecture réseau ou dans la politique de sécurité de l'organisation. Les rapports pourront être débattus lors de la présentation de ses conclusions. Les actions identifiées seront priorisées et seront mises en œuvre soit par les équipes soit par le prestataire en charge de la mise en œuvre et de l assistance opérationnelle de la plateforme de sécurité. Page : 6-9

7 - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE 4.4 Lieu, durée et délai d exécution de la mission La mission s effectuera dans les locaux de et depuis l extérieur La durée de la mission a été fixée à 5 jours maximum Le rapport concernant l audit d intrusion doit être présenté à la fin de l audit d intrusion. Le rapport final doit être communiqué et présenté à la fin de la mission 4.5 Contraintes La nécessité d une continuité de service du SI tout au long des tests impose de ne pas entraver le fonctionnement des systèmes d'information durant l audit. Le Prestataire s interdira par principe et respect déontologique les nuisances résultant, en cas de succès, d une prise de contrôle total, à distance, des systèmes vulnérables : - de falsifier ou corrompre des données, a fortiori des données confidentielles (courrier électronique, rapports, mots de passe, etc.) ; - d'installer des programmes destructeurs - de laisser des applications de types accès cachés (backdoors), installées et utilisées pendant les tests, persister à la fin des tests sur les machines auditées. - d'attaquer depuis ces machines des machines externes au système d'informations de l'organisation auditée et lui faire endosser ainsi la responsabilité de ces attaques ; Le prestataire n est pas tenu d informer le au fur et à mesure de l avancement de sa Mission de tests d Intrusion. Néanmoins toute faille critique détectée et présentant un risque grave sera portée à la connaissance de si sa divulgation ne peut être repoussée à la remise du rapport devant le danger imminent qu elle représente. Page : 7-9

8 - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE 5 CADRE DE LA REPONSE Les documents suivants sont à fournir par le soumissionnaire dans le cadre de sa réponse au présent CCTP : Note écrite reprenant la méthodologie pratiquée et les éléments et outils techniques pour la réalisation de la mission. Les CV des intervenants dans l audit, notamment leurs périmètres de compétences et le nombre d années d expériences dans des missions similaires. La proposition financière détaillée Tout autre document permettant d étayer la réponse au présent CCTP Une liste de références pour des prestations équivalentes Le candidat décrira toutes les spécifications techniques qu il jugera nécessaire à la clarté de son offre. 5.1 Les critères de choix du prestataire Valeur technique de la réponse (références et expertise dans le domaine de la sécurité informatique). (Coefficient 2) Le coût de la prestation globale (Coefficient 1) 5.2 Méthodologie de lecture et de notation des offres L appréciation des offres est faite en 2 temps : 1. Les offres sont évaluées séparément afin de valider l adéquation entre l offre du soumissionnaire et la demande de formulée dans le présent CCTP. 2. Les offres font l objet d une analyse comparative qui permet de classer un soumissionnaire par rapport à un autre et donc de sélectionner un titulaire. La notation est faite sur une échelle de 1 à 4. Les possibilités de notation (note 1, 2, 3 ou 4) obligent à trancher et ne pas rester dans une moyenne rendant ambiguë l explication du choix. Chaque note est ensuite multipliée par son coefficient de pondération. Une note totale est obtenue. La note la plus élevée est celle du titulaire. Page : 8-9

9 - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE 6 Remarques 6.1 Propriété des travaux Le Titulaire cède au l'ensemble des droits patrimoniaux (droit de reproduction, droit de représentation) portant sur les prestations réalisées pour tous supports présents ou futurs, pour la durée des droits d auteur et pour tous pays à compter du jour de la réception des prestations. 6.2 Confidentialité Le soumissionnaire a une obligation de confidentialité vis à vis des informations et des éléments recueillis. Il s engage à faire respecter cette obligation par ses collaborateurs et les personnes qui l assisteront dans sa mission. Les renseignements, documents ne peuvent être communiqués à d autres personnes que celles qui ont qualité pour en connaître, sans autorisation préalable de. Page : 9-9