CONTEXTE. DSI - Sécurité Opérationnelle. CCTP firewalls SUJET. référence SECOP01034V04V version 4.0 statut Validé



Documents pareils
CONTEXTE DRSI Paris V Site de Necker. CCTP portant sur l acquisition d une solution de stockage de type SAN sur le site de Necker SUJET

DSI - Pôle Infrastructures

CONTEXTE DSI - Pôle Infrastructures/ Multimédia

CAHIER DES CLAUSES TECHNIQUES

La gamme express UCOPIA.

I. Description de la solution cible

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

UCOPIA SOLUTION EXPRESS

LAB : Schéma. Compagnie C / /24 NETASQ

UCOPIA EXPRESS SOLUTION

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Spécialiste Systèmes et Réseaux

La solution ucopia advance La solution ucopia express

Projet Sécurité des SI

Les formations. Administrateur Systèmes et Réseaux. ENI Ecole Informatique

Programme formation pfsense Mars 2011 Cript Bretagne

FORMATION CN01a CITRIX NETSCALER

Gamme d appliances de sécurité gérées dans le cloud

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Mon Sommaire. INEO.VPdfdf. Sécurisations des accès nomades

Au sens Referens : Administrateur des systèmes informatiques, réseaux et télécommunications

Internet Information Services (versions 7 et 7.5) Installation, configuration et maintenance du serveur Web de Microsoft

Manuel d installation UCOPIA Advance

Fiche descriptive de module

Le rôle Serveur NPS et Protection d accès réseau

Critères d évaluation pour les pare-feu nouvelle génération

Aperçu technique Projet «Internet à l école» (SAI)

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

Cahier des Clauses Techniques Particulières. Convergence Voix - Données

Service Cloud Recherche

le nouveau EAGLEmGuard est arrivé. Dissuasion maximum pour tous les pirates informatiques:

Administration Réseau

Audits Sécurité. Des architectures complexes

CISCO, FIREWALL ASA, CONFIGURATION ET ADMIN.

Administration de systèmes

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ GUEBWILLER Cedex. Fax.: Tel.:

FABRICATION DE LA PUBLICATION INTERNE «SIGAL»

Contrôle d accès Centralisé Multi-sites

Documentation : Réseau

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

COTISATIONS VSNET 2015

DSI - Pôle Infrastructures / Multimédia CONTEXTE SUJET. Projet de Manuel d utilisation du Pont de Visioconférence et Téléconférence MLTD00141V02V 02 V

TERMES DE REFERENCE POUR L INSTALLATION D UN SYSTEME DE SECURITE INFORMATIQUE PARE-FEU AU SIEGE DE L OAPI

Pare-feu VPN sans fil N Cisco RV120W

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

Catalogue des formations 2015

MANUEL D INSTALLATION DE WATCHDOC 2011 (EVALUATION)

Guide sur la sécurité des échanges informatisés d informations médicales

z Fiche d identité produit

Nouvellement recruté au sein de l entreprise STEpuzzle, Vous êtes stagiaire administrateur réseau et système.

OneAccess 16xx EAD Ethernet Access Device / 1.0 / AH / Public

Les solutions centre de données virtuel et Infrastructure-service de Bell

ALOHA Load Balancer 2.5. Guide de démarrage rapide. EXCELIANCE ALOHA 2.5 Guide de démarrage rapide 30/01/2008 1/17

Cisco Certified Network Associate

Table des matières Nouveau Plan d adressage... 3

VPN. Réseau privé virtuel Usages :

ClaraExchange 2010 Description des services

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

Catalogue de services Inserm.fr

Mettre en place un accès sécurisé à travers Internet

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée Virtual Server de Microsoft

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

Master d'informatique 1ère année. Réseaux et protocoles. Architecture : les bases

Remplacement du système de contrôle d accès de l Enssat

Jean-Louis Cech descente des Princes des Baux Orange Orange : 20 juin 2014.

Prise en main d un poste de travail sous Windows sur le réseau du département MMI de l'upemlv. d après M. Berthet et G.Charpentier

DOSSIER DE PRESSE WANADOO PRO GROUPE. 11 septembre 2001

Devoir Surveillé de Sécurité des Réseaux

Sécurité des réseaux Firewalls

Mise en place d une politique de sécurité

Ce que nous rencontrons dans les établissements privés : 1-Le réseau basique :

11/04/2014 Document Technique des Services Disponibles. 16/04/2014. Document Technique des Services Disponibles.

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Référentiel ASUR. UE 1 : Enseignement général (132h) MCang = Anglais 30h Session 1 à 4 Anglais technique (en groupe de niveaux) TD 2h

Licence professionnelle Réseaux et Sécurité Projets tutorés

Cahier des Clauses Techniques Particulières

Livre blanc UCOPIA. La mobilité à la hauteur des exigences professionnelles

GUIDE D ADMINISTRATION

Installation et configuration du CWAS dans une architecture à 2 pare-feux

Série SuperMassive E10000

Phase 1 : Introduction 1 jour : 31/10/13

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Administration réseau Firewall

Architecture de serveurs virtualisés pour la communauté mathématique

CONFIGURATION FIREWALL

GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

Sécurisation du réseau

ALOHA Load Balancer Guide de démarrage

Manuel utilisateur. D-Link Corporation

Guide d installation

Transcription:

CONTEXTE SUJET DSI - Sécurité Opérationnelle CCTP firewalls référence SECOP01034V04V version 4.0 statut Validé créé le 12 sept. 08 par Guillaume Stevens mis à jour le 13/02/2009 par Alain Haslé, Guillaume Stevens validé le 18/02/2009 par Guillaume Stevens, Alain Haslé, Vincent Archer, Patrick Lerouge, Julio Martins Péremption, archivage et restriction de diffusion Nature de la restriction : confidentiel, diffusion restreinte, diffusion interne, restriction annulée avertissement Afin de prévenir toute utilisation non intentionnelle de documents périmés, le lecteur est invité à vérifier que l'édition papier du document en sa possession constitue la dernière version en vigueur. Cette vérification peut être effectuée soit en consultant la zone documentaire adéquate du serveur de fichiers, soit en interrogeant l'auteur du document, soit, lorsqu'il existe, l'administrateur du système documentaire. La reprographie ou la rediffusion de ce document, par quelque moyen que ce soit, est strictement déconseillée sans information et autorisation préalable de son auteur ou, lorsqu'il existe, de l'administrateur du système documentaire.

Table des mises à jour du document version date objet de la mise à jour 1.0 12 sept. 08 Création du document 2.0 17 oct. 08 Prise en compte des diverses remarques 3.0 21 oct. 08 Prise en compte des dernières corrections 4.0 13 févr. 09 Prise en compte des diverses remarques Table des matières Introduction... 3 L INSERM... 3 Système d information de l INSERM... 3 Objet du marché... 4 Conditions Générales... 4 Mise à jour des configurations... 4 Garantie et support... 4 Rôle de conseil... 5 Livraisons... 5 Documentation et médias... 6 Normes... 6 Certification et qualité... 6 Description techniques... 7 Tranche ferme... 7 Options... 9 CCTP Firewall 2009 INSERM page 2/9

I. Introduction 1) L INSERM Le présent CCTP est émis par le Pôle Infrastructures du Département des Systèmes d Information (DSI) de l Institut National de la Santé et de la Recherche Médicale (INSERM). L INSERM est un Etablissement Public à caractère Scientifique et Technique (EPST) placé sous la double tutelle du Ministère de la Recherche et du Ministère de la Santé. Sa mission est d améliorer la compréhension des maladies et de raccourcir les délais pour faire bénéficier les patients, le monde médical et les partenaires nationaux et internationaux, des résultats de la recherche. Ses domaines d activité vont de la biologie fondamentale à la santé publique et son champ de compétence inclut toutes les dimensions fondamentales, médicales, cognitives, cliniques ou appliquées ayant trait à la recherche dans ces domaines. L INSERM est implanté en France sur 85 sites dont plus d une trentaine sous sa responsabilité pour ce qui concerne l administration des réseaux et des services associés. L INSERM compte 360 unités et équipes de recherche, dont 80% localisées dans les universités et les centres hospitalo-universitaires français. Ces 360 structures de recherche sont mixtes et y travaillent 13 000 personnes. Les personnel est composé de 6500 salariés de l Institut, de chercheurs et d autres personnels d EPST (CNRS, INRA,...), d universitaires, de chercheurs étrangers, d étudiants et doctorants. L administration centrale dont le siège est située 101, rue de Tolbiac à Paris, est composée d une quinzaine de départements et services autour de la Direction Générale et du Secrétariat Général. Pour gérer ses 360 structures de recherche, l INSERM s est doté de 13 Administrations Déléguées Régionales (ADR). L ensemble du personnel administratif du siège et des ADR représente environ un millier de personnes. 2) Système d information de l INSERM Le système d information de l INSERM est géré par le Département du Système d Information (DSI). Ce dernier a notamment en charge l administration des réseaux sur les sites sous la responsabilité de l INSERM ; il assure, entre autres, l exploitation au quotidien des éléments actifs contribuant au bon fonctionnement de l ensemble des services réseaux disponibles sur les différents sites. Pour ce faire, le DSI s appuie sur les Délégations Régionales du Système d Information (DRSI) et sur l équipe des réseaux nationaux du pôle infrastructures. CCTP Firewall 2009 INSERM page 3/9

II. Objet du marché Le présent CCTP a pour objet le lancement d un MAPA (Marché A Procédures Adaptées) permettant l acquisition de boîtiers coupe-feu (firewall) qui devront renforcer la sécurité des réseaux (en entrée et sortie) sur les sites INSERM. Ces derniers sont divisés en quatre catégories correspondant aux nombres de personnes présentes : catégorie 1 : de 0 à 99 utilisateurs (14 sites); catégorie 2 : de 100 à 249 utilisateurs (4 sites); catégorie 3 : de 250 à 349 utilisateurs (5 sites); catégorie 4: supérieur à 350 utilisateurs (10 sites). Les sites les plus importants hébergent environ 1000 personnes. NB :Le bordereau de prix est joint au présent CCTP. Pour chaque catégorie, un modèle de boîtier coupe-feu, au minimum, devra être proposé. Pour chaque boîtier proposé, il est demandé de présenter les débits constatés en mode firewall, firewall applicatif, avec l IPS activé (si l option peut être souscrite), avec l anti-virus activé (si l option peut être souscrite) et avec l IPS et anti-virus activés. La durée de vie (fin de commercialisation, de support/maintenance) de chaque modèle devra être précisée. III. Conditions Générales 1) Mise à jour des configurations Il est demandé de répondre sur la base de configuration techniques en vigueur au moment où est diffusé le présent CCTP. 2) Garantie et support L ensemble des matériels faisant l objet de ce marché doit être garanti par le titulaire pour une durée d un an. Cette garantie devra pouvoir être prolongée d un an (à valoriser en option). Cette garantie inclura les pièces, la main d oeuvre et les déplacements. Elle doit permettre également l accès à un support technique téléphonique. Le coût de la communication téléphonique pour l accès à ce support doit être équivalent à celui d une communication locale sur tout le territoire de France métropolitaine et ne doit pas faire l objet d une communication surtaxée. La garantie de base proposée devra inclure au minimum les engagements suivants : période de prise en compte de demandes : 9h/18h-5j/7 ; délai de prise en compte d une demande : 4h ; délai d intervention sur site d une personne qualifiée : J+1 ; engagement en termes de moyens mis en oeuvre pour la reprise de service. CCTP Firewall 2009 INSERM page 4/9

Le titulaire s engage à préciser les services suivants énoncés dans sa proposition et concernant cette garantie de base : période de prise en compte des demandes ; délai de prise en compte d une demande ; délai d intervention sur site d une personne qualifiée ; possibilité d échange standard de l appliance (oui/non). Si oui, préciser les délais. La mise à jour des micro-codes (bios, firmwares,...) devra être comprise dans le support matériel et possible à tout moment pendant la période de garantie. Il en va de même pour la mise à jour des systèmes d exploitation des éléments actifs proposés. Le titulaire doit proposer un accès sécurisé en ligne pour le téléchargement des mises à jour OS et micro-codes. La garantie de base proposée devra en outre pouvoir être complétée en option pour obtenir une garantie étendue. Le titulaire s engage à préciser les services offerts par cette garantie étendue : période de prise en compte des demandes ; délai de prise en compte d une demande ; délai d intervention sur site d une personne qualifiée ; possibilité d échange standard de l appliance (oui/non). Si oui, préciser les délais. La notation tiendra compte des critères supplémentaires que le titulaire pourra proposer afin d améliorer cette garantie étendue. Concernant les garanties, il ne faudra pas confondre d une part la garantie étendue qui est une amélioration de la garantie initiale en termes de services rendus et doit donc avoir la même durée, et d autre part l extension de garantie demandée pour un an qui doit permettre de prolonger la garantie initiale ou étendue d une année supplémentaire. 3) Rôle de conseil Un rôle d information et de conseil est attendu de la part du titulaire. Un suivi continu pendant la durée de la garantie est indispensable sur les prévisions de fin de support des versions matérielles et logicielles, micro-codes compris. Les montées de version possibles ou obligatoires devront être communiquées dès publications officielles et rendus disponibles. 4) Livraisons Les commandes issues de ce marché pourront être livrées et installées sur toute la France métropolitaine. CCTP Firewall 2009 INSERM page 5/9

Les délais de livraisons ne pourront en aucun cas dépasser 30 jours ouvrés, soit six semaines, sous peine d application des pénalités prévues dans le cadre de la mise en place du marché. Le processus de gestion d une commande de la réception de celle-ci jusqu à la livraison devra être décrit avec précision. 5) Documentation et médias L ensemble des matériels et logiciels fournis dans le cadre de ce marché devra être livré (ou disponible via le web) avec la documentation d installation et d administration en français et en anglais ainsi qu avec les médias (CDROM ou DVDROM) d installation si nécessaire. 6) Normes Les matériels faisant l objet du présent CCTP doivent être conformes aux normes françaises et européennes homologuées dans le domaine de l informatique et en vigueur au moment de la livraison. Le titulaire s engage en matière de reprise du matériel vendu dans le cadre du marché, lorsque celui est obsolète. 7) Certification et qualité Le titulaire doit préciser son niveau de certification par rapport à l ensemble des configurations proposées. Il doit également expliciter sa démarche qualité et environnement. CCTP Firewall 2009 INSERM page 6/9

V. Description techniques Ce chapitre décrit les fonctionnalités attendues des boîtiers coupe-feu. Elles sont décomposées en deux parties : les caractéristiques obligatoires (tranche ferme du marché) et celles optionnelles. 1) Tranche ferme Les caractéristiques suivantes seront présentes sur tous les boîtiers coupe-feu de la gamme du constructeur. Matériel : Les firewall seront de type appliance et non une suite logicielle qui serait à installer sur un serveur généraliste à la charge de l INSERM. Système : Une présentation du système implémenté incluse dans la réponse serait un plus. Certification Le titulaire doit indiquer dans sa réponse les différentes certifications obtenues par le coupe-feu (exemple : certification «common criteria»), et sur quelles parties de l équipement elles s appliquent. Réseaux : Les équipements doivent permettre de pouvoir gérer au minimum quatre zones distinctes. Ils doivent pouvoir fonctionner aussi bien en mode routage qu en mode transparent (bridge). Ils supportent le NAT. Le comportement du boîtier en cas de panne doit être décrit, ainsi que les différentes possibilités de hautes disponibilités. Les protocoles de routage dynamique OSPF et BGP doivent être supportés. Le protocole 802.1q devra être supporté. Le nombre de VLANs configurables devra être indiqué dans la réponse pour chaque configuration proposée. Le matériel devra être compatible avec les actifs réseaux existants sur les sites, qui sont de marque Cisco. La configuration IPv6 sera réalisable sans surcoût durant la période de validité du marché. Filtrage : Différents types de filtrage sont demandés. Le filtrage de base (niveau 3 de la couche IP) sera statefull et pourra s appliquer sur les éléments suivants : - adresse IP source et/ou destination - port source et/ou destination - protocole - interface (virtuelle ou physique). CCTP Firewall 2009 INSERM page 7/9

Une action de logging peut être associée à un permit ou un deny. Il doit être possible de modifier les ports standards des protocoles. Un mécanisme permettant de contrôler la cohérence des règles doit être implémenté. Le filtrage applicatif de niveau 7 devra être assuré en standard pour les protocoles courant : http, dns, ftp, smtp, h323, ftp, SIP, Sql. Administration Les matériels des différentes gammes devront avoir la même ergonomie en terme d interface de pilotage. La configuration de base du boîtier doit pouvoir se faire par une GUI (Graphical User Interface). Néanmoins, une CLI (Command Line Interface) doit être accessible afin d effectuer certaines configurations avancées. Les connexions à cette interface doivent être sécurisées tout comme les connexions avec l appliance. Il doit être possible de déléguer tout ou partie de l administration des appliances. La surveillance du boîtier au travers de SNMP doit être disponible (fourniture des Mibs). Gestion des logs Deux types de logs sont à prendre en compte. Leur gestion sera différente et ne nécessite pas les mêmes outils : - Les logs concernant le firewall : connexion des administrateurs, administrateurs délégués, actions effectuées,... - Les logs concernant le trafic passant par le firewall : tentatives d accès non autorisé (deny d une règle),... REM : Les listes ci-dessus présente les éléments minimaux qui devront être loggés. L accès aux logs doit pouvoir être délégué, même si l option de l interface centralisée n a pas été prise. Les logs du pare-feu doivent pouvoir être émis via syslog directement depuis l appliance. Si l option de la console centralisée a été prise, cette dernière devra aussi pouvoir émettre les logs. Pour les logs concernant le trafic, ceux-ci devront être lisibles facilement au travers d une GUI. La réponse devra présenter cette interface avec notamment des captures d écrans et une description des différentes informations qui sont remontées. Des outils d analyse de logs seraient un plus. Sauvegarde La configuration du boîtier doit être sauvegardée de manière sécurisée (la méthode devra être décrite dans la réponse) sur un support externe. La restauration doit pouvoir être faite localement ou à distance (encore une fois, la méthode devra être décrite dans la réponse). Les règles de filtrage pourront être importées à partir d un fichier. De même, il est possible de les exporter. CCTP Firewall 2009 INSERM page 8/9

2) Options Matériel : Option n 0 : Garantie étendue Option n 1 : Extension de la garantie de base pour une année supplémentaire. Option n 2 : Redondance matérielle : une solution permettant la redondance des composants critiques doit-être proposés. La notation tiendra compte du surcoût potentiel induit par cette solution. Administration : Option n 3 : Une interface centralisée devra être proposée. Elle permettra d avoir accès à tous les firewalls. En cas d indisponibilité de celle-ci, les boîtiers coupe-feu doivent toujours pouvoir être configurés. Dans le cas d une application cliente, la compatibilité de cette dernière avec le maximum de systèmes d exploitations possibles (lister les OS) sera un plus pour la réponse. Option n 4 : Un administrateur principal pourra installer une configuration de base qui ne pourra pas être altérée par un administrateur délégué. Ce dernier pourra alors rajouter des règles supplémentaires à cette configuration. Option n 5 : L authentification devra pouvoir intéropérer avec les serveurs LDAP (et plus précisément OpenLdap) mis en place à l INSERM. Le schéma de l annuaire pourra être fourni à la demande (après signature d une clause de confidentialité). Gestion des logs Option n 6 : Possibilité de créer des rapports ayant des modèles pré-définis et/ou personnalisables. Sauvegarde Option n 7 : Un mécanisme de gestion de version (possibilité de retour arrière). Transfert de compétence Option n 8 : Transfert de compétences à un groupe de 4 à 6 personnes, qui pourront, à l issue de ce transfert, former le reste du personnel. La fourniture du matériel pédagogique (document, support de cours) doit être incluse. CCTP Firewall 2009 INSERM page 9/9

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back