APPEL D OFFRE RELATIF A LA MAINTENANCE DU SYSTEME DE TELEPHONIE ET DE COMMUNICATION CAHIER DES CLAUSES TECHNIQUES PARTICULIERES Préfecture de Paris et d Ile-de-France Cabinet / SIDSIC [MARS 2013]
Préfecture de Paris et d Ile-de-France / Cabinet / Service interministériel départemental des SIC Page 1 SOMMAIRE CAHIER DES CLAUSES TECHNIQUES PARTICULIERES... 0 [MARS 2013]... 1. Objet du marché... 2 2. Localisation... 2 3. Description de la solution Full IP existante... 2 4. Présentation des équipements... 4 4.1. Call Server... 5 4.1.1. Description des Call server... 5 4.1.2. Alimentation des Call server... 5 4.2. Media Gateway... 5 4.2.1. Description fonctionnelle de la Media Gateway... 5 4.2.2. Alimentation de la Média Gateway... 6 4.3. Passive Call Server (PCS)... 6 4.4. Module de télémaintenance RMA... 6 4.4.1. Description du Module RMA... 6 4.4.2. Alimentation électrique du module... 7 4.5. POPC - Standard Téléphonique... 7 4.6. Call Center Distribution (CCD)... 7 4.7. Serveur FAX 8450... 7 4.8. Enregistreur de communication Nice... 7 4.9. Serveur SVI TLM COM... 8 4.10. Serveur ServicePilote... 8 4.11. Taxation Sonde MBX300... 8 4.12. Serveur de messagerie vocale 4645... 8 4.13. Serveur 4760 / Serveur 4760 dupliqué... 9 4.14. Parc téléphonique... 9 5. Prestation de maintenance... 9 5.1. Conditions d'exécution de la maintenance... 10 5.1.1. Maintenance dans les baies opérateurs :... 10 5.1.2. Suivi logiciel :... 11 5.1.3. Fournitures et travaux hors marché.... 11 5.1.4. Entretien préventif... 11 6. Procédures d intervention... 12 6.1. Demandes d Intervention... 12 6.2. Période d intervention... 12 6.3. Compte rendu d intervention... 13 6.4. Délais d intervention Indisponibilité... 13 6.4.1. Réception des appels... 13 6.4.2. Délais d'intervention... 13 6.5. Services associés... 14 6.5.1. Service de télémaintenance / télégestion sur IP... 14 6.5.1.1. Eléments et flux mis en œuvre... 14 6.5.1.2. Aspects SSI... 16 a. Habilitation des intervenants.... 16 b. Procédure d'ouverture de la télémaintenance.... 16 c. Utilisation de comptes nominatifs.... 16 d. Sauvegarde des logs.... 16 e. Evolution de la télémaintenance... 17 f. Protection des informations sensibles... 17 6.5.2. Sécurité des services de télémaintenance et de télégestion... 17 6.5.3. Service d information technique... 17 7. Interlocuteur privilégié... 18 8. Garantie de sécurité... 18 9. Fourniture d articles et de prestations complémentaires... 19 ANNEXE 1... 20 ANNEXE 2... 23 ANNEXE 3... 24
Préfecture de Paris et d Ile-de-France / Cabinet / Service interministériel départemental des SIC Page 2 1. Objet du marché L objet du présent marché est l exécution d un service de maintenance et de suivi d évolution matérielle et logicielle du système de téléphonie Full IP Alcatel-Lucent OmniPCX Entreprise de la Préfecture de Paris et d Ile de France. 2. Localisation La préfecture se compose de 2 sites situés dans le département de Paris : - Site central du Ponant, 5 rue Leblanc Paris 75015 (toutes directions et services rapprochés sur le site) - Site distant Résidence du Préfet, Hôtel de Noirmoutier, 138 rue de Grenelle Paris 75007 Localisation Site central du Ponant Site distant Noirmoutier Type de site Préfecture de Paris et d Ile de France Annexe de la préfecture : résidence du Préfet Effectifs 800 30 Accès réseau public 4 accès T2 120 canaux mixtes 4 accès T0 8 canaux : 1mixte / 7 départs Le cœur du dispositif technique est installé au 1er étage du site central (Salle opérateurs du Ponant). 3. Description de la solution Full IP existante La solution déployée sur les sites de la préfecture est une solution de téléphonie centralisée sur IP. Les serveurs ToIP, ainsi que les serveurs d applications dédiés à la téléphonie, sont localisés sur le site du Ponant. Le site périphérique de Noirmoutier dispose d une passerelle ToIP reliée au site principal via le WAN du Ministère. L ensemble comprend : - Deux serveurs ToIP (Primaire et secondaire) - Un serveur de messagerie vocale 4645. - Environ 960 postes IP Phone, 50 postes numériques, 30 postes analogiques. - Un serveur de FAX 8450. - Un serveur Nice d enregistrement de conversation. - Un serveur d administration 4760. - Un serveur 4760 dupliqué (annuaire Ldap). - Un serveur de monitoring. - Un serveur vocal interactif - Trois clients 4760 - Six PO/PC Alcatel 4059 IP - Un CCD (Centre de distribution d appels) avec un PC de supervision et un baromètre. Schéma de principe de la solution :
Préfecture de Paris et d Ile-de-France / Cabinet / Service interministériel départemental des SIC Page 3 Les communications externes sont assurées par quatre MIC T2 de trente canaux chacun, connectés au Média Gateway et loués chez l opérateur Complétel. De plus, en sécurisation, le site distant de Noirmoutier dispose de quatre T0 de 8 canaux (1 mixte / 7 départs) connectés au Média Gateway du site. Tranches SDA : Le Ponant Complétel (tranche principale) NDI 01 82 52 4000 Tranche SDA de 01 82 52 4000 à 5119 soit 1200 numéros 3 T2-90 canaux mixtes Complétel (@accueil) NDI 01 77 45 45 45 Tranche SDA 01 77 45 45 40 à 49 soit 10 numéros 1 T2-30 canaux mixtes Noirmoutier Orange NDI 01 40 62 70 64 4 T0 1 mixte / 7 départs
Préfecture de Paris et d Ile-de-France / Cabinet / Service interministériel départemental des SIC Page 4 Le trafic arrivé de la préfecture est acheminé via la tranche SDA principale (NDI 01 82 52 4000). Le trafic sortant est acheminé pour les deux sites, en priorité via les T2 de la tranche SDA principale, et en débordement via celle du @accueil puis celle des T0 de Noirmoutier. Les trois T2 Complétel supportant la tranche SDA principale dispose d une double sécurisation : - Lien fibre optique sécurisé - Rattachement à deux cœurs de chaîne Complétel différent. Les échanges entre les différents éléments de la solution reposent sur une architecture logique (VLAN, DMZ). Une documentation décrivant cette architecture sera fournie au titulaire du marché. Elle comprendra : - Le plan d adressage IP - Les flux de données - Les flux voix - La positon physique de chacun des éléments. Un état contradictoire exhaustif de l ensemble des équipements et logiciels composant la solution ToIP sera établi par le titulaire et le responsable technique de la préfecture dès la notification du marché. Les fichiers OPS sont disponibles sur demande auprès du responsable du Service interministériel départemental des systèmes d'information et de communication de la Préfecture de Paris et d'ile-de-france. 4. Présentation des équipements Les équipements du cœur redondés du dispositif technique sont installés au 1er étage du site central (Salle opérateurs du Ponant). Le commutateur en place est un Alcatel-Lucent OmniPCX Entreprise Communication Serveur (version Linux) basé sur une infrastructure réseau Data IP. Les principaux éléments de l Alcatel-Lucent OmniPCX Enterprise CS sont : - Deux Call Server qui sont au centre de commandement du système - Trois Media Gateway supportant les équipements de téléphonie classiques. - Des terminaux : IP-Phones, Soft Phone, numériques et analogiques - Des applications externes : 1 serveur de gestion Omnivista 4760 1 serveur de gestion dupliqué Omnivista 4760 (annuaire Ldap) 3 consoles de gestion Omnivista 4760 1 serveur de FAX 8450, 1 serveur de monitoring ServicePilote 1 serveur de messagerie vocale 4645 1 serveur Nice d enregistrement de conversation. 6 POPC Alcatel 4059 IP 1 CCD avec 1 poste superviseur, 4 postes opérateurs et un bandeau de supervision 1 serveur vocal interactif (SVI TLM COM) Les équipements du cœur du dispositif sont installés avec leur alimentation de secours dans deux baies 19. Ils disposent tous d une alimentation et d une climatisation appropriée.
Préfecture de Paris et d Ile-de-France / Cabinet / Service interministériel départemental des SIC Page 5 4.1. Call Server 4.1.1. Description des Call server L architecture ToIP de la préfecture repose sur deux Appliance Serveur offrant un système redondant. Ces deux équipements sont situés dans deux baies différentes de la salle opérateur au 1 er étage du Ponant. Un mécanisme de redondance assure la duplication permanente de la base de données du serveur principal vers le serveur de secours. En cas de défaillance du serveur principal, le serveur Com de secours prend le relais et devient le serveur Com principal. Version logicielle : R9.1-i1.605-21-fr-c0 Référence des Appliance Serveur : HP DL 320G6 Remarque : Chaque interface des Appliance Serveur est connectée à une unité de commutation différente. 4.1.2. Alimentation des Call server Chacun des Appliance server est raccordé à l alimentation secteur à travers un onduleur. Onduleurs: MGE Eaton Evolution S 1250 RT2U Chacun de ces onduleurs dédiés est positionné dans la même baie que l Appliante server alimentée. L autonomie est d environ 4 heures 4.2. Media Gateway 4.2.1. Description fonctionnelle de la Media Gateway La Média Gateway est pris en charge par 3 coffrets MR3 disposant de 9 positions de carte chacun (2 au Ponant, 1 à Noirmoutier). Détail du Ponant : (MG2) - 1 carte GA-3-1 carte LANX16-2 - 1 carte GD-3-1 carte MIX4/4/8-1 carte UAI8-2 cartes PRA-T2 Détail du Ponant : (MG3) - 1 carte GA-3-1 carte UAI16_1-1 carte GD-3-1 carte SLI8-2 - 2 cartes PRA-T2-1 carte SLI16-2
Préfecture de Paris et d Ile-de-France / Cabinet / Service interministériel départemental des SIC Page 6 Détail de Noirmoutier : (MG4) - 1 carte UAI16_1-1 carte GD-3-1 carte UAI8-1 carte MIX4/8/4-1 carte SLI8-2 - 2 cartes PRA-T2-1 carte PCS-2 4.2.2. Alimentation de la Média Gateway Chaque coffret MR3 possède : Une alimentation 220V Un coffret avec 6 batteries de 12/7Ah, procurant une autonomie de 4 heures en cas de coupure secteur. Les coffrets MR3 des deux sites sont installés avec leur alimentation de secours dans une baie 19. Ils disposent tous les 3 d une alimentation et d une climatisation appropriée. 4.3. Passive Call Server (PCS) Le PCS positionné dans la Média Gateway de Noirmoutier, assure la continuité des services téléphoniques pour ce site, en cas de : Perte des deux Call Server situé au Ponant (principal et secondaire) Perte des liens IP entre le site distant de Noirmoutier et des Call Server du Ponant. Nota : Dès que le lien IP est rétabli entre le PCS du site distant et le call server du site principal, tous les équipements IP se réinitialisent et se rattachent au call server principal, ceci 30 secondes après le rétablissement du lien IP. 4.4. Module de télémaintenance RMA 4.4.1. Description du Module RMA Le système RMA (Remote Maintenance Access) n est utilisé que pour réaliser des opérations de maintenance local. Les opérations de maintenance à distance ne sont possibles qu à travers un accès sécurisé de type VPN IPSEC, fourni par le ministère (voir 6.5.1 et 6.5.2 et annexe). Pour les remontés d alarmes la préfecture dispose d un IP phone dédié, sur lequel sont renvoyées un certain nombre d alarmes générées par le call server : - Perte Coupleur - Perte Niveau 2 T2 - Switch Main - Perte de l'ancienne CPU principale - Perte d'une Media Gateway - La commande "Shutdown" a été exécutée - La MG a reçu une alarme de passage sur batterie - La MG n'est plus sur batterie
Préfecture de Paris et d Ile-de-France / Cabinet / Service interministériel départemental des SIC Page 7 4.4.2. Alimentation électrique du module Le module de télémaintenance RMA est alimenté en 48V continu. Cette alimentation est fournie par un rack chargeur de 4 batteries 12V / 7Ah, lui-même alimenté en 220V. 4.5. POPC - Standard Téléphonique La préfecture dispose de 6 postes PO/PC Alcatel 4059 IP. Il s agit de consoles opératrice sur PC associé à un clavier multimédias spécifique sur USB et connectée à l OmniPCX Entreprise via le réseau IP. En secours, le standard dispose de 4 postes numériques de type Advanced 4035. Ces terminaux sont raccordés sur les accès UA de l IP Média Gateway. L un des six postes PO/PC dispose de dispositif pour une personne mal voyante. Ce poste PO/PC est équipé en plus d un pupitre braille raccordé en USB et du logiciel JAWS permettant de vocaliser les éléments affichés sur l écran du PO/PC. 4.6. Call Center Distribution (CCD) La préfecture dispose d un CCD dédié aux appels du service @accueil. Le centre d appel est supervisé via une application (CCS Call Center Supervision). Cette application est disponible sur le PC situé dans le bureau des agents @accueil. De plus, un baromètre permet aux agents de visualiser en temps réel l état du système : - Nombre d appel en cours - Nombre d appel en attente - Nombre d agent en retrait - Temps d attente max en cours (MM :SS) - Nombre d appels dissuadé sur 1 mn (Clignote si >1) - Etat du Pilote : O=ouvert, RV=renvoi général, HS (pilote bloqué) 4.7. Serveur FAX 8450 Pour les agents du Ponant disposant d un accès au serveur de messagerie du ministère, un accès au serveur de FAX est mis en place sur leur client de messagerie. Pour les autres agents, des fax analogiques sont disponibles, raccordés sur les accès analogiques des Média Gateway. Référence du server : HP DL 380 G6 4.8. Enregistreur de communication Nice Afin d enregistrer les communications des 4 positions du CCD (@accueil), nous disposons d une solution d enregistrement des communications s appuyant sur un serveur Nice. Le système d enregistrement des communications, des 4 postes opérateurs, repose sur la capture passive des flux RTP (sniffing) des IP Phones.
Préfecture de Paris et d Ile-de-France / Cabinet / Service interministériel départemental des SIC Page 8 Fonctionnalités : - Enregistrement des communications - Interface de réécoute des communications, - Interface de gestion Référence du serveur : HP DL 370 G6 Nota : L interface de réécoute est exploitable via un PC client (Multimédias) situé dans la salle opérateur, connecté directement sur l enregistreur Nice. 4.9. Serveur SVI TLM COM La préfecture dispose d un serveur vocal interactif WelCom (SVI). Il permet de rediriger les appels suivant une arborescence redéfinissable. Il est utilisé actuellement pour la gestion des fermetures exceptionnelles du standard. Il dispose de 8 accès analogiques Le serveur est situé dans la salle opérateur. L application est exploitable via une interface Web 4.10. Serveur ServicePilote La préfecture dispose en complément, d une solution de gestion d infrastructure réseau et d un système qui collecte, consolide, et corrèle les informations issues de la DMZ ToIP (serveurs, services de ToIP et des applications critiques).il s agit du ServicePilot ISM. Il est installé sur un PC situé dans la salle Opérateur. 4.11. Taxation Sonde MBX300 En parallèle avec l application taxation du serveur 4760, la préfecture fournie l ensemble des tickets de taxation à la société MEMOBOX. Les Tickets archivés sur le serveur 4760 sont récupérés via FTP et acheminés à Mémobox grâce une sonde du type MBX300. 4.12. Serveur de messagerie vocale 4645 Messagerie vocale du type Alcatel Lucent 4645 intégrée sur un Appliance Server HP G6. Référence du serveur : HP DL 320G6 Disposant de : 16 accès simultanés / 20 messages max de 3mn max / sur 30 jours. La préfecture n utilise pas le service IMAP (écoute de ses messages via e-mail client) ni le service VPIM (mise en réseau de plusieurs messageries). L alimentation du serveur de messagerie vocale est connectée sur les prises 220V ondulées de la Baie 19. Le 220V ondulé est délivré par une installation centralisée du site du Ponant.
Préfecture de Paris et d Ile-de-France / Cabinet / Service interministériel départemental des SIC Page 9 4.13. Serveur 4760 / Serveur 4760 dupliqué Principal : opérateur. Dupliqué : IBM server xseries 386 MT-M 8837-01Y, positionné dans la baie n 1 de la salle IBM server xseries 386 MT-M 8837-01Y, positionné dans la baie S8 en salle serveur. Le serveur Omnivista 4760 principal comprend les modules d administration suivants : Gestion de la configuration Supervision et gestion des incidents Annuaire Taxations, Gestion des coûts Gestion des performances Topologie du réseau Le serveur Omnivista 4760 «dupliqué», positionné dans une zone de partage permet l accès à l annuaire Ldap dupliqué du serveur pour l ensemble des usagers de la préfecture. 4.14. Parc téléphonique Type terminaux Noirmoutier Le Ponant Analogique 5 17 4010 13 0 4020 1 0 4035T 8 2 4039 0 1 IPTouch 4008 0 20 IPTouch 4028 0 767 IPTouch 4038 0 141 IPTouch 4068 0 36 UA Virtual (4035) 0 31 Remote Extension 0 5 Les terminaux IP Touch sont télé-alimentés par les commutateurs (POE), sauf dans de rare cas ou un transformateur 220V est utilisé. 5. Prestation de maintenance Les prestations de maintenance portent sur l ensemble des composants et logiciels suivant : - Deux Appliance Server (call server Primaire et secondaire) - Un serveur de messagerie vocale 4645. - Un serveur de FAX 8450 (Alcatel-Lucent OmniTouch FAX server Application). - Un serveur Nice d enregistrement de conversation. - Trois coffrets MR3 (Media Gateway), comprenant les cartes listées au paragraphe 4-2-1, ainsi que toutes éventuelles extensions. - Un serveur vocal interactif (SVI- Wel Suite) - Un CCD avec un PC de supervision et un baromètre (hors PC).
Préfecture de Paris et d Ile-de-France / Cabinet / Service interministériel départemental des SIC Page 10 - Six PO/PC (hors PC) - Echange / remplacement 15 postes / ans (tous modèles Alcatel confondus) De plus, les prestations de maintenance porteront sur l ensemble des applications et systèmes suivants (hors matériel) : - Un serveur d administration Omnivista 4760. - Un serveur Omnivista 4760 dupliqué (annuaire Ldap). - Un serveur de monitoring (ServicePilote ISM). - Trois clients Omnivista 4760. Elles concernent également les dispositifs d'alimentation et de secours électriques, y compris les batteries. Le remplacement des batteries s effectuera de manière périodique en dehors de ce contrat de maintenance. Sont exclus des prestations de maintenance, les éléments de réseau : switchs, routeurs et firewalls des deux sites. 5.1. Conditions d'exécution de la maintenance Le service d'entretien comprend: Une visite de contrôle et de surveillance sur site au minimum tous les trimestres afin de maintenir le matériel, objet du marché, en parfait état de fonctionnement, et en particulier les dispositifs sécurisés ou de sécurisation (Call Server, PCS et alimentations) : maintenance préventive Un planning prévisionnel annuel détaillé sera remis par le titulaire et communiqué au responsable du service des systèmes information de la préfecture de Paris et d Ile de France, pour approbation. Les interventions curatives L'inscription sur le carnet d'entretien de l'installation de toutes les visites et interventions et la nature des travaux effectués. Ce carnet restera sur place à la disposition de l'administration pour contrôle si nécessaire de l'exécution du marché; La tenue à jour des documents techniques du système total ; Le titulaire devra répondre à toute demande de soutien ou de conseil à l exploitation courante des équipements faisant partie du cadre de la maintenance. Pour permettre l'exécution des clauses du marché, l'administration s'engage à laisser l accès aux installations par les agents du titulaire. Ceux-ci seront répertoriés sur une liste transmise au SIDSIC à la préfecture de Paris et d Ile de France. 5.1.1. Maintenance dans les baies opérateurs : La distribution du courant électrique est sous la responsabilité du titulaire depuis le point d'arrivée dans les baies opérateurs jusqu aux équipements, pour les différents usages qui concernent le fonctionnement des redresseurs, onduleurs, des Calls Servers et de ses périphériques. Toutes les pièces détachées, composants ou sous-ensembles dont l'usure résulte de l'usage normal seront remplacées aux frais du titulaire. Seuls les frais de remplacement des batteries sont exclus, son entretien étant cependant assuré.
Préfecture de Paris et d Ile-de-France / Cabinet / Service interministériel départemental des SIC Page 11 Le titulaire est autorisé à remplacer éventuellement les pièces défectueuses ou usées par des pièces différentes, à condition qu'elles soient plus perfectionnées et qu'elles s'adaptent parfaitement au service qu'on est en droit d'en attendre. Tout échange de pièce entraîne le transfert de propriété de la pièce retirée en faveur du titulaire, et de la pièce nouvelle en faveur de l'administration. Le titulaire est tenu au respect de la garantie légale des vices cachés. L accès à distance pour l exploitation du système, ne sera possible qu à travers un accès sécurisé ministère (VPN, voir 6.5.1 et 6.5.2 et annexe). 5.1.2. Suivi logiciel : Les prestations assurées par le titulaire au titre du suivi logiciel comprennent au minimum : - La correction, dans les plus brefs délais des anomalies, erreurs, défauts de fonctionnement découverts dans les programmes ou dans la documentation ; cette correction pourra intervenir tant, à la suite d un problème constaté et signalé par la préfecture, qu à l initiative spontanée du titulaire. Le titulaire pourra mettre en œuvre des procédures provisoires corrigeant ou inhibant les défauts constatés. Il fournira à la préfecture toutes les versions correctives de logiciels. - La mise à jour de la documentation technique ; - La récupération des données en cas de changement de version (sauvegarde de données) ; - Une assistance dans la remise en exploitation des logiciels et des fichiers après incident ; - Une formation à l utilisation de nouvelles applications. Ne sont pas prévues au titre du présent marché les prestations suivantes : - Les adaptations ou développements complémentaires rendus nécessaires par un changement de réglementation ou par une modification dans la configuration de la solution ToIP; - La fourniture de nouvelles versions du logiciel consistant dans l amélioration de ses performances d exécution ou dans de nouvelles fonctionnalités. 5.1.3. Fournitures et travaux hors marché. Dans l'hypothèse de travaux demandés par les utilisateurs ou de remplacement de matériels dégradés par suite de chute, événements atmosphériques ou autres causes ne pouvant être considérées comme conséquence d'usage normal, le titulaire adressera un devis de réparations et fournitures au Service des Systèmes d information de la préfecture de Paris et d Ile de France qui jugera de la suite à donner. Si les circonstances l'exigent, et si le fonctionnement général de l'installation en dépend, le SIDSIC de la préfecture de Paris et d Ile de France sera averti par téléphone des travaux d'urgence réalisés 5.1.4. Entretien préventif L'entretien préventif comprend: - L'inspection visuelle de l'ensemble des équipements; - La supervision du système (journal de bord) à l'aide des consoles d'exploitation : o Pour le serveur 4760 et 4760 dupliqué
Préfecture de Paris et d Ile-de-France / Cabinet / Service interministériel départemental des SIC Page 12 o Pour le serveur de fax 8450 o Pour la mévo 4645 o Pour l enregistreur de communications NICE o Pour le serveur vocal interactif o Pour le ServicePilote - La sauvegarde des bases de données; - La bonne synchronisation de la 4760 dupliquée - La vérification des ressources nécessaires au fonctionnement des différents systèmes. - Le contrôle et l'entretien des batteries et de leurs alimentations (redresseurs et onduleurs); - La vérification du fonctionnement des périphériques; - La vérification de la prise de terre (nota: le titulaire n'est pas tenu de remettre en état la prise de terre, mais il doit signaler à l'administration toute dégradation hors normes dans ses caractéristiques); - La vérification du bon fonctionnement de l ensemble de la solution ToIP. 6. Procédures d intervention 6.1. Demandes d Intervention Le titulaire sera seul, avec les intervenants techniques de la préfecture en charge de l exploitation, dont les noms figurent en annexe 2 du CCAP, à pouvoir intervenir sur la solution ToIP et devra convenir d un rendez-vous avec l un de ces intervenants pour les interventions de maintenance tant préventives que correctives. En cas d intervention sur les équipements ToIP effectuée par du personnel de la préfecture, celui-ci respectera les consignes d administration données par le titulaire. Les demandes d intervention de la préfecture se feront via un service de «hot line» accessible aux heures indiquées par le titulaire dans son offre, soit par téléphone, soit par courriel. Avant le début d exécution du marché, le titulaire communiquera aux intervenants techniques de la préfecture l adresse électronique et le numéro de téléphone dédiés à la «hot line». Ce service devra permettre aux intervenants techniques de la préfecture d obtenir en ligne un technicien qualifié capable d apporter dans les meilleurs délais toute l assistance nécessaire sur le fonctionnement de l Autocommutateur. Les demandes de la préfecture seront traitées, au choix du titulaire, soit à distance dans le cadre des services de télémaintenance et de télégestion visés aux 6.5.1 et 6.5.2 ci-après, soit par une intervention sur site. 6.2. Période d intervention La période d intervention, tant pour les interventions de maintenance préventive que pour les dépannages, s étend du lundi au vendredi inclus, hors jours fériés ou non-ouvrés de 7h à 20h. Tout en restant comprise dans la période définie ci-dessus, toute intervention pourra, à l initiative de la préfecture, être différée afin d éviter qu elle ait lieu à une date ou pendant une plage horaire gênante pour celui-ci. Cela pourra notamment être le cas pour les interventions provoquant ou risquant de provoquer une perturbation du service téléphonique, ou si la perturbation du service téléphonique à cette période est critique pour la préfecture. Le titulaire et la préfecture discuteront pour évaluer les risques de perturbation du service téléphonique dus à l intervention. Quand une intervention sera différée à la demande de la préfecture, le retard en résultant sera décompté des délais de remise en service décrits au 6.4 ci-après.
Préfecture de Paris et d Ile-de-France / Cabinet / Service interministériel départemental des SIC Page 13 Par ailleurs, toute intervention pourra, à l initiative du titulaire et en accord avec la préfecture, être commencée et/ou poursuivie en dehors de la période d intervention définie ci-dessus jusqu à la correction ou l élimination du problème. Dans ce cas, aucun supplément de prix ne pourra être facturé par le titulaire. Dans tous les cas, la préfecture assure la présence d un de ses agents auprès du technicien du titulaire pendant toute la durée de l intervention. 6.3. Compte rendu d intervention Toutes les interventions de maintenance (suivi logiciel comme maintenance des équipements) réalisées par le titulaire feront l objet d un rapport d intervention détaillé qui sera remis au responsable technique de la préfecture (Service interministériel départemental / BSEL / Chef du bureau support des équipements locaux). 6.4. Délais d intervention Indisponibilité 6.4.1. Réception des appels Les appels de demande d'intervention seront reçus 7 jours/ 7 et 24 heures sur 24. Tout appel téléphonique sera confirmé par mail à la préfecture de Paris et d Ile de France. 6.4.2. Délais d'intervention Les délais d'intervention demandés dépendent de la gravité de la panne. a) PANNES CRITIQUES : prise en charge du problème au téléphone 30mn, délai d intervention sur site en moins de 2 heures, et ce, 24 heures sur 24 et 7 jours sur 7. De plus, le titulaire du marché de maintenance devra s'engager sur une remise en état des équipements en panne sous 4 heures. Un incident critique est un incident empêchant l émission et/ou la réception d appels téléphoniques pour la totalité des utilisateurs. b) PANNES MAJEURES : délai d intervention sur site en moins de 2 heures, et ce, 24 heures sur 24 et 7 jours sur 7. De plus, le titulaire du marché de maintenance devra s'engager sur une remise en état des équipements en panne sous 6 heures. Entrent dans cette catégorie : - La non disponibilité pour plus de 50% des postes téléphoniques; - L impossibilité d exploiter le standard; la plateforme @accueil. - L impossibilité d exploiter un poste de Direction, d'autorité ou de leurs secrétariats; - L amputation de la moitié du nombre maximum de communications simultanément possibles avec le réseau de l opérateur. - Panne totale ou partielle du ou des redresseurs - Décharge des batteries à plus de 50% - Panne de la liaison inter sites (entre le site principal et l annexe) - Tout autre événement assimilé à une alarme majeure qui entraîne l'activation du poste d alarmes. c) DERANGEMENTS MINEURS : délai d intervention sur site en moins de 8 heures (jours ouvrés de 7H à 19 H). De plus, le titulaire du marché de maintenance devra s'engager sur une remise en état des équipements en panne sous 10 heures.
Préfecture de Paris et d Ile-de-France / Cabinet / Service interministériel départemental des SIC Page 14 Toutes les pannes n entrant pas dans le cadre de pannes critiques ou majeures seront considérées comme mineures. d) AUTRES INTERVENTIONS : d autres interventions pourront être demandées pour remédier à des situations moins pressantes qui en ce cas seront négociées sur rendez-vous. Toutefois le délai ne devra pas dépasser deux jours. 6.5. Services associés 6.5.1. Service de télémaintenance / télégestion sur IP L objectif de ce service est de réduire au maximum le temps d intervention en maintenance corrective, ainsi que le temps de remise en service. 6.5.1.1. Eléments et flux mis en œuvre La télémaintenance des équipements ToIP de la Préfecture ne se fera qu au travers d une connexion sécurisée de type VPN IPSEC, mise à disposition par le ministère de l intérieur. A cet effet, le titulaire devra mettre en place dans ses locaux, un pare-feu compatible avec cet accès sécurisé.
L'établissement de ce lien a pour l'heure été validé avec les pare-feux des constructeurs Arkoon et Netasq, ainsi qu'avec les clients VPN logiciels Arkoon smartconnect et TheGreenBow. Préfecture de Paris et d Ile-de-France / Cabinet / Service interministériel départemental des SIC Page 15
Préfecture de Paris et d Ile-de-France / Cabinet / Service interministériel départemental des SIC Page 16 6.5.1.2. Aspects SSI a. Habilitation des intervenants. Le Titulaire du contrat de maintenance, devra fournir la liste de l ensemble des personnelles susceptibles d'intervenir sur l'installation ToIP, que ce soit sur site ou par télémaintenance. Cette liste devra comporter : - Adresse courriel de l intervenant - Nom de la société - Nom du service de l intervenant - Numéro de téléphone où l intervenant peut être rappelé Ces personnes devront avoir fait l'objet d'une habilitation préalable de la part du service de sécurité compétent (RSSI de la préfecture). b. Procédure d'ouverture de la télémaintenance. Bien que le tunnel VPN entre le Centre d Exploitation Réseau du ministère de l intérieur (CER) et le titulaire du contrat de maintenance soit ouvert en permanence, la télémaintenance n'est accessible aux équipes de support du titulaire que lorsqu'elle est rendue nécessaire à la résolution d'un incident ou à la demande de la préfecture. Ce dernier, afin de s'assurer que le demandeur est bien habilité à accéder à la télémaintenance, procédera à un contre-appel. L intervention terminée, la préfecture demandera la fermeture du lien de télémaintenance au CER. La liaison de télémaintenance pourra aussi, être utilisée pour réaliser des opérations de télégestion, telle que: - La gestion de l affectation des terminaux, - La gestion de l outil de taxation et d observation de trafic, - La gestion de la messagerie vocale en création, modification et supervision d utilisation, - La gestion, l exploitation du serveur de fax, - La gestion, l exploitation du serveur vocal interactif c. Utilisation de comptes nominatifs. L'accès aux différents équipements de l'installation ToIP ne pourra se faire qu'à l'aide de comptes nominatifs gérés par l'administration, conformément aux recommandations de l'anssi. d. Sauvegarde des logs. Toutes les opérations réalisées sur l'ensemble des équipements de l'installation ToIP devront être sauvegardés dans des fichiers de logs.
e. Evolution de la télémaintenance Une nouvelle infrastructure de type «bastion», reposant notamment sur l'utilisation de clés personnelles pour l'établissement de tunnels SSH entre des utilisateurs distants et les équipements du SI du MI et la traçabilité de l'ensemble des opérations effectuées est actuellement en cours de définition et devrait être disponible à compter de l'automne 2012. Les processus décrits dans ce document devront être adaptés pour s'intégrer dans cette nouvelle infrastructure d'accès distant. f. Protection des informations sensibles Au même titre que les différents documents décrivant l'infrastructure technique mise en œuvre dans le cadre de la solution de ToIP, les informations disponibles via le lien de télémaintenance sont considérées comme «Diffusion Restreinte». Le titulaire du contrat de maintenance devra donc mettre en œuvre les dispositifs permettant de protéger leur accès conformément à l'annexe : Protection des informations sensibles. 6.5.2. Sécurité des services de télémaintenance et de télégestion Le titulaire prendra les mesures nécessaires pour garantir la sécurité de l accès au réseau du ministère, en particulier : - Il appliquera strictement les conditions de sécurité sur les équipements et réseaux du titulaire utilisés pour la télémaintenance et la télégestion conformément au rapport descriptif remis avec son offre. - Il informera immédiatement la préfecture par écrit de toute modification relative à ces conditions de sécurité, étant entendu qu une telle modification ne pourra avoir comme conséquence de garantir un niveau de sécurité inférieur à ce qui figurait dans l offre du titulaire. - Il signalera immédiatement à la préfecture tout incident de sécurité sur ses équipements et réseaux utilisés pour la télémaintenance et la télégestion et n utilisera plus ceux-ci dans le cadre de ces services jusqu à résolution complète de l incident. 6.5.3. Service d information technique Le titulaire s engage à fournir à la préfecture une information régulière concernant l état des équipements de la solution ToIP, ainsi que l état de la technologie dans le domaine. Le titulaire devra notamment : - Faire avec le responsable technique de la préfecture un point régulier (à l initiative du titulaire) sur les interventions (délais et bonnes résolutions) de maintenance corrective effectuées et les éventuelles modifications qu il conviendrait d apporter à la solution ToIP. Notamment, si l un des aspects de la téléphonie sous IP cesse d'être conforme à la législation ou réglementation en vigueur, le titulaire, dès qu'il en aura connaissance, devra le signaler par écrit à la préfecture qui accusera réception au titulaire des observations formulées en indiquant le délai envisagé par la préfecture pour effectuer la mise en conformité. - Informer la préfecture des évolutions technologiques en termes de matériel et de logiciels relatifs aux systèmes de téléphonie IP, - Accompagner la préfecture dans ses projets d évolution de téléphonie IP, Préfecture de Paris et d Ile-de-France / Cabinet / Service interministériel départemental des SIC Page 17
- Assurer l interface avec les autres prestataires pouvant être impliqués dans le fonctionnement de téléphonie IP, comme par exemple les opérateurs téléphoniques. 7. Interlocuteur privilégié Le titulaire dans le cadre du contrat de maintenance devra désigner un interlocuteur privilégié. Cet interlocuteur en relations avec les représentants de la préfecture aura pour rôle, de : a) Suivre l exploitation de la solution ToIP au travers de : - La planification du calendrier des actions de maintenance préventive. - Du suivi de la qualité de service, de la prestation de la maintenance préventive. - Du suivi et du bilan des demandes d interventions (respect des délais d intervention et traitement des demandes) et pourra être directement sollicité en cas de procédure d escalade ou de disfonctionnement grave des équipements de la préfecture. - De propositions si besoin, d améliorations correctives. - Du suivi et de la mise à jour des personnes habilitées à intervenir sur les équipements de la préfecture soit par télémaintenance ou sur site. Ces différents suivis et bilans seront retranscrits au travers de tableaux de bord et commentés, comprenant : - Les évènements marquants pour la période. - La liste des demandes en cours, fermés et récurrentes, avec les délais d intervention. - Les propositions d améliorations. Ils devront être fournis mensuellement à la Préfecture de Paris et d IdF, sur six mois glissants. b) Suivre ou anticiper les évolutions technologiques par : - La veille technologique, l évolution de la solution - La veille constructeur, changement de version, correction de bogues Le cas échéant, il assure un transfert de compétence des évolutions apportées à la solution, auprès des agents de la préfecture. c) Suivre le bon respect du contrat de maintenance - En accord avec le responsable de la préfecture, il planifie les réunions, au moins 3 fois par an et envoie les convocations avec un ordre du jour. - Il rédige un compte rendu envoyé par mail au responsable de la préfecture. 8. Garantie de sécurité Les intervenants techniques de la préfecture auront connaissance des procédures d accès (y compris notamment les mots de passe) nécessaires à l obtention des droits d administration de la solution ToIP. Toute modification par le titulaire de ces procédures d accès ou des mots de passe sera immédiatement communiquée par écrit par le titulaire aux intervenants techniques. Préfecture de Paris et d Ile-de-France / Cabinet / Service interministériel départemental des SIC Page 18
9. Fourniture d articles et de prestations complémentaires La liste des matériels, des logiciels et des prestations complémentaires qui pourront être fournis par le titulaire dans le cadre du présent marché est annexée à l acte d engagement (annexe 3) Le titulaire certifie que l ensemble des articles fournis au titre du présent marché est conforme aux normes françaises homologuées ou leurs équivalents reconnus en vertu d accords internationaux. 19 / 26
ANNEXE 1 Protection des informations sensibles Les informations sensibles sont marquées avec la mention «Diffusion Restreinte» conformément au modèle ci-dessous : DIFFUSION RESTREINTE Les informations techniques au format électronique, ne pouvant faire l objet d un marquage réglementaire comme indiqué ci-dessus (ex : journaux d évènements, fichiers de configuration, codes sources), sont de facto considérées comme «Diffusion Retreinte». Le titulaire appliquera les dispositions réglementaires qui s imposent pour la gestion de ces informations. A ce titre, sont considérées comme classifiés «Diffusion Restreinte» : Les plans d'adressage IP du ministère (ou une partie de ces plages, si cela permet de cartographier une partie du système d information) ; Les mots de passe ; Les fichiers de configuration ; Les codes sources des applications ; Les fiches d'expression rationnelle des objectifs de sécurité FEROS (Analyses de risques) ; Les dossiers d'architecture et d'installation ; Les données de Production. Les informations sensibles dont le titulaire a connaissance à l'occasion de l'exécution du marché ne peuvent en aucun cas être communiquées à un tiers (autre que les personnels de sa société préalablement autorisés par l'administration) sans accord préalable exprès et écrit de l Administration. La réalisation d'une copie sans autorisation est considérée par l Administration comme une violation des dispositions relatives au respect du secret dans l'exécution de la prestation. Le titulaire s engage à faire respecter l ensemble des obligations de la politique de sécurité de l'information par toutes les personnes ayant besoin d'en connaître dont il est responsable. 20 / 26
Dans les locaux du prestataire, les informations sensibles font l'objet d'une gestion spécifique. Le titulaire s'engage à ce que les informations sensibles, pendant tout leur cycle de vie, ne puissent être portées, même fortuitement, à la connaissance de personnes n'ayant pas le besoin d'en connaître. Pour les documents papier, la mention «Diffusion Restreinte» est portée en haut de toutes les pages du document. Le titulaire met en place un système de gestion qui permet d'identifier tous les documents comportant des informations sensibles, de connaître la liste des personnes destinataires, et la date de destruction du document ainsi que le nom de la personne ayant réalisée l'opération. La diffusion des documents papier se fait sous double enveloppe. L'enveloppe extérieure ne porte aucune mention particulière hormis le nom et l'adresse du destinataire. L'enveloppe interne porte le nom du destinataire et la mention «Diffusion Restreinte». Les personnes qui gèrent les arrivées courrier doivent être sensibilisées à l'usage de cette mention, ne pas ouvrir l'enveloppe et la distribuer au destinataire. La destruction des documents doit être réalisée par broyage ou incinération. Pour le traitement des informations sensibles de manière électronique, le titulaire doit s'engager à ce que celui-ci ne soit pas réalisé sur des moyens informatiques connectés à un réseau non maîtrisé. L'Administration estime qu'un réseau d'entreprise connecté à Internet et qu'un réseau d'entreprise qui ne permet pas de garantir le principe du besoin d'en connaître n'est pas maîtrisé. Le cas échéant, l'entreprise devra démontrer à l'administration son aptitude à protéger les informations sensibles qu'elle sera amenée à traiter, afin d'éviter toute compromission et fuite d'informations. Pour ce faire, les deux conditions suivantes devront être remplies : l isolation s'effectue soit de manière physique, soit par une interface logique de sécurité présentant des garanties suffisantes afin d'empêcher l'accès au réseau sensible par des tiers. Dans ce cas, les règles de gestion et les règles techniques de fonctionnement concourant à la sécurité de cette interface et du réseau sensible pourront faire l'objet d'un contrôle par l'administration (pare-feu, télé-maintenance, accès nomade, gestion des mises à jour, détection de code malveillant...). A cette fin, la documentation relative aux règles de gestion et aux règles techniques de sécurité de l'interface et du réseau sensible sera transmise. le besoin d'en connaître est respecté : seules les personnes ayant un rôle dans la prestation ont accès aux données nécessaires pour assurer ce rôle (authentification individuelle, gestion des droits et traçabilité des accès). Pour les échanges de fichiers comportant des informations sensibles, soit entre le titulaire et l'administration, soit entre personnels du titulaire, il est fait usage du logiciel de chiffrement ACID. Ce logiciel a été fourni au titulaire, sur support numérique de type CD-ROM, lorsqu il fut invité à retirer, en qualité de candidat, le dossier de consultation des entreprises (DCE). Les échanges électroniques sont exclusivement signés et chiffrés avec ACID. Le document relatif à l utilisation de ce logiciel, remis au titulaire lors du retrait du DCE, fait l objet d une diffusion auprès de ses personnels. Le correspondant sécurité du titulaire est initié par l Administration au fonctionnement et pratiques de sécurité concernant cette solution. A charge pour lui de sensibiliser les personnels du titulaire pour une stricte application des consignes d utilisation. A l issue du marché, le titulaire procède à la destruction de l ensemble des éléments sensibles (documents, CD-Rom du logiciel de chiffrement, clés de chiffrement, etc.) et des documents associés (mails, courriers, etc.). Cette destruction fait l objet d un compte rendu remis à l Administration. 21 / 26
Sécurité des locaux du titulaire Les informations sensibles qu'elles soient sous forme papier ou électronique (support externe, ordinateur personnel ) sont conservées, en dehors de leur utilisation dans des armoires fermant à clé, dont la clé est conservée par la seule personne responsable de leur utilisation. Si les informations sensibles électroniques sont conservées sur des serveurs, les données ne doivent être accessibles qu aux seules personnes ayant besoin d en connaître. Le titulaire précisera les mesures de sécurité mises en œuvre dans ses locaux. Dispositif de contrôle L Administration se réserve le droit de réaliser tout contrôle, après un préavis de vingt-quatre (24) heures, dans les locaux du titulaire pour vérifier que les préconisations sont bien respectées. La mise en œuvre de mesures de sécurité en adéquation avec le niveau de sensibilité des données traitées pourra se traduire par des travaux réalisés dans les locaux du titulaire à ses frais. Devoir d information Le titulaire a devoir d informer sans délai l Administration de toute difficulté dans l application de ses mesures, de fuite ou de suspicion de fuite d informations sensibles qu il rencontre ou constate. 22 / 26
ANNEXE 2 Liste d intervenant Préfecture Responsable du service interministériel des systèmes d information et de communication : Tel : 01 82 52 41 42 sidsic@paris-idf.gouv.fr Chef du bureau des équipements locaux : Tel: 01 82 52 41 46 philippe.pichon@paris-idf.gouv.fr sidsic-support@paris-idf.gouv.fr Techniciens SIC en charge de l installation: Tel: 01 82 52 41 54 gilles.bouvet@paris-idf.gouv.fr Tel : 01 82 52 41 56 marie-therese.perret@paris-idf.gouv.fr Service Hot-line de la prefecture: Tel 01 82 52 41 57 sidsic-support-hotline@paris-idf.gouv.fr 23 / 26
ANNEXE 3 Liste non exhaustive des matériels, logiciels et prestations complémentaires chez le prestataire disponible en moins de 4 heures en cas de maintenance curative sur site Le commutateur nécessaire à la maintenance comprend un Alcatel-Lucent OmniPCX Entreprise Communication Serveur (version Linux) basé sur une infrastructure réseau Data IP. Les principaux éléments de l Alcatel-Lucent OmniPCX Enterprise CS sont : - Deux Call Server qui sont au centre de commandement du système - Trois Media Gateway supportant les équipements de téléphonie classiques. - Applicatif de gestion pour : 1 serveur de gestion Omnivista 4760 1 serveur de gestion dupliqué Omnivista 4760 (annuaire Ldap) 3 consoles de gestion Omnivista 4760 1 serveur de FAX 8450, 1 serveur de monitoring ServicePilote 1 serveur de messagerie vocale 4645 1 serveur Nice d enregistrement de conversation. 6 POPC Alcatel 4059 IP 1 CCD avec 1 poste superviseur, 4 postes opérateurs et un bandeau de supervision 1 serveur vocal interactif (SVI TLM COM) La Média Gateway est pris en charge par 3 coffrets MR3 disposant de 9 positions de carte chacun (2 au Ponant, 1 à Noirmoutier). Détail du Ponant : (MG2) - 1 carte GA-3-1 carte LANX16-2 - 1 carte GD-3-1 carte MIX4/4/8-1 carte UAI8-2 cartes PRA-T2 Détail du Ponant : (MG3) - 1 carte GA-3 24 / 26
- 1 carte UAI16_1-1 carte GD-3-1 carte SLI8-2 - 2 cartes PRA-T2-1 carte SLI16-2 Détail de Noirmoutier : (MG4) - 1 carte UAI16_1-1 carte GD-3-1 carte UAI8-1 carte MIX4/8/4-1 carte SLI8-2 - 2 cartes PRA-T2-1 carte PCS-2 Chaque coffret MR3 possède : Une alimentation 220V Un coffret avec 6 batteries de 12/7Ah, procurant une autonomie de 4 heures en cas de coupure secteur. o Le module de télémaintenance RMA o Onduleurs: MGE Eaton Evolution S 1250 RT2U Terminaux IP-Phones : Echange / remplacement de maximum 15 postes / ans (tous modèles confondus) 25 / 26