TERMES DE REFERENCE Sélection d un Consultant chargé d accompagner le GIM-UEMOA dans le processus de mise en place d un Plan de Continuité de l Activité (PCA) TDR_Plan de Continuité de l Activité (PCA) Page : 1/10
1. PRESENTATION DU GIM-UEMOA L Union Economique et Monétaire Ouest Africaine (UEMOA) est une zone intégrée regroupant les Etats membres suivants : Bénin, Burkina Faso, Côte d Ivoire, Guinée Bissau, Mali, Niger, Sénégal et Togo. Elle présente les caractéristiques essentielles ci-après : environ 100 millions d habitants ; une centaine de banques, établissements financiers et postaux ; un Institut d émission commun aux huit Etats, la Banque Centrale des Etats de l Afrique de l Ouest (BCEAO) ; une monnaie unique, une même langue et une politique commune monétaire et de crédit. Ces spécificités constituent un atout considérable pour le développement de la monétique dans la région. La BCEAO a ainsi initié un important projet de modernisation des systèmes et moyens de paiement dont l un des volets principaux est la mise en place d un système interbancaire de paiement et de retrait par carte au sein des huit Etats membres. Dans le cadre de ce volet pour lequel la BCEAO joue un rôle fédérateur, la mise en place dudit système est assurée pour le compte des banques, établissements financiers et postaux et institutions de micro finance. Le GIM-UEMOA est la structure de gouvernance, de tutelle et de traitement de la monétique régionale. Il a été constitué en février 2003, sous forme de Groupement d'intérêt Economique doté d un capital et dénommée le Groupement Interbancaire Monétique de l Union Economique et Monétaire Ouest Africaine (GIM-UEMOA). Le GIM-UEMOA regroupe à ce jour 107 membres qui sont des banques, établissements financiers et postaux et de monnaie électronique et institutions de microfinance de l UEMOA. L objectif principal qui était visé par le projet monétique interbancaire régional est de faire de la carte bancaire GIM le premier instrument de paiement dans la zone UEMOA. Les banques, établissements financiers et postaux et institutions de micro finance de l UEMOA, membres du GIMUEMOA, parties prenantes au système interbancaire de paiement par carte ou tout autre moyen de paiement électronique au sein de l'union, visent à travers la mise en place de l interbancarité régionale à : développer de manière efficace des moyens modernes de paiement, afin d augmenter leur productivité interne, d apporter de nouveaux services à la clientèle, et de promouvoir l utilisation des moyens de paiement modernes ; mettre en commun les moyens nécessaires pour le traitement des opérations monétiques, et ainsi éviter la multiplication des investissements, aussi bien humains que matériels ; réaliser en commun ou partager la charge des investissements, particulièrement coûteux en monétique. En initiant le projet monétique interbancaire, les membres du GIM-UEMOA, promoteurs du projet, se sont fixés les missions ci-après : assurer de manière efficace et efficiente la gestion du système monétique interbancaire pour le compte et dans l intérêt des membres ; promouvoir les systèmes et moyens de paiement électroniques auprès des secteurs bancaires et financiers, des administrations et des populations de l UEMOA ; TDR_Plan de Continuité de l Activité (PCA) Page : 2/10
être le garant de l application des principes de gouvernance et de régulation de la monétique régionale ; assurer l interopérabilité, la compensation et la sécurité des transactions électroniques entre les acteurs ; assurer une veille technologique et réglementaire efficace et la conformité aux normes régionales et internationales. 2. DESCRIPTION DE LA PRESTATION DEMANDEE 2.1. Objet de la présente consultation Dans le cadre de la mise en œuvre de son système de management de la continuité de l activité, le Groupement Interbancaire Monétique de l UEMOA, lance une consultation en vue de s attacher les services d un Consultant, chargé de l accompagner dans la mise en œuvre de son projet de mise en place d un plan de continuité de son activité (PCA). 2.2. Lieu, périmètre de l intervention et étendue des travaux Les interventions du Consultant retenu se feront au niveau des sites du GIM-UEMOA (principal et secours). Les prestations attendues seront décomposées en plusieurs phases : a) Diagnostic de l existant Cette phase consiste d une part, à prendre connaissance des particularités de l environnement du GIM- UEMOA, et d autre part, sur la base de l analyse effectuée et la compréhension de l état actuel de la gestion de la continuité de l activité, indiquer la portée de l étude à réaliser en vue de la mise en œuvre d un Plan de Continuité de l Activité (PCA). Le prestataire devra proposer, suite à ce diagnostic : une synthèse de l état de l existant en matière de continuité d activité, de sécurisation des locaux, de reprise et de secours informatique avec des constats documentés et les recommandations préconisées, un rapport détaillant les bonnes pratiques selon la norme internationale ISO 22301 et relative à la continuité de l activité, incluant notamment : contexte et Gouvernance du Système de Management de la Continuité de l Activité (SMCA) du GIM-UEMOA, planification, assistance, exploitation, évaluation des performances, amélioration. analyse des écarts par rapport aux bonnes pratiques de la norme ISO 22301 en matière de continuité d activité, de sécurisation des locaux, de secours et de reprise informatiques, etc. TDR_Plan de Continuité de l Activité (PCA) Page : 3/10
Cette phase consiste à : analyser les écarts et formuler des recommandations, définir le plan d actions pour la mise en conformité avec la norme ISO 22301 y compris le guide pratique de mise en œuvre de sorte à avoir un SMCA complet pour le GIM-UEMOA. Le prestataire formulera suite à cette analyse, des recommandations et proposera la démarche de déploiement des actions définies (correction des écarts) ainsi qu un plan des actions d amélioration. b) Accompagnement dans la mise en œuvre du SMCA Après avoir défini les écarts, le prestataire assistera le GIM-UEMOA pour la mise en place des processus de mise en œuvre du SMCA. Il s agira principalement d accompagner le GIM-UEMOA jusqu à l aboutissement de la mise en œuvre des actions nécessaires à la conformité aux exigences de la norme ISO 22301 et à la démarche définie dans le rapport sur les écarts. Les prestations attendues de cet accompagnement sont décrites comme suit : mise en place du cadre de gouvernance de la continuité de l activité (rôles des acteurs, responsabilités, fiches de postes, etc.) ; proposition de quelques stratégies pertinentes de continuité de l activité ; définition de la politique de continuité et de reprise d activité ; analyse et évaluation des risques ; analyse et réalisation du «Business Impact Analysis (BIA)» conforme à la norme internationale ISO 22317. Cette phase doit faire ressortir les éléments suivants sans que la liste ne soit exhaustive : identification des risques d'indisponibilité et des actifs concernés : métiers, ressources et moyens, supports aux processus métier (Ressources Humaines, IT, Logistiques, Finances, Audit, Administration, Qualité,...),... analyse des scénarii, et évaluation des risques d'indisponibilité, identification des activités critiques en évaluant les impacts (conséquences) d'une indisponibilité pour le GIM-UEMOA, détermination des exigences métier en matière de continuité en préconisant une priorisation en fonction de la criticité, identification des dépendances (ressources et moyens) nécessaires aux activités critiques ; collecte des besoins métiers en termes de Recovery Time Objective (RTO) et Recovery Point Objective (RPO) ; définition de plan d actions chiffré (Budget SMCA) ; élaboration et mise en place des processus de gestion documentaire ; TDR_Plan de Continuité de l Activité (PCA) Page : 4/10
définition des Plans de continuité et de mise en œuvre concernant le périmètre concerné cité plus haut comprenant au minimum les volets ci-après : Plan de Continuité de Service (PCS), Plan de Reprise de l Activité (PRA), Plan de Gestion de Crise (PGC), Plan d alerte, Plan de Reprise d Urgence (PRU), Plan de Continuité Opérationnelle (PCO), Plan de Maîtrise du risque juridique et de l assurance, Procédures. proposition d un guide complet des meilleures pratiques en matière de gestion de continuité d activité au regard de l évolution des technologies de l information et de communication. Le guide devra contenir les recommandations en matière d organisation, de processus, de ressources et moyens de secours nécessaires pour satisfaire aux exigences de continuité métiers et garantir un niveau de résilience des infrastructures et systèmes d information répondant aux stratégies retenues. accompagnement du GIM-UEMOA dans la mise en œuvre des plans. proposition d un cadre de sensibilisation et de communication sur le projet et les réalisations ; exercices et tests : accompagner le GIM-UEMOA dans la réalisation d une à deux batteries de tests de basculement vers le site de secours et retour à la situation normale. Une batterie de tests comportera des tests partiels et un test complet, comme suit : - un test unitaire par plateforme, - un test d'intégration prenant en compte la synchronisation entre les plateformes (nominal et secours), - un test complet grandeur nature. Chaque test réel sera précédé d un exercice de préparation/répétition (à blanc). audit, évaluation et actions correctives post implémentation. Les prestations prévues doivent suivre les démarches indiquées ci-après sans que la liste ne soit exhaustive : s adapter aux guides et aux documents de référence du GIM-UEMOA, respecter le cadre (Framework) mis en place par le GIM et certifié PCI-DSS, impliquer systématiquement le management et veiller au cadrage si nécessaire, produire les comptes rendus et les reporting. TDR_Plan de Continuité de l Activité (PCA) Page : 5/10
c) Formation du personnel sur la continuité d activité Le prestataire réalisera des formations en se basant sur les documents de référence de la continuité d activité au sein du GIM-UEMOA. Les sessions de sensibilisation et de formation doivent être adaptées à chaque catégorie de participants, avec des supports de formation personnalisés. Les supports documentaires afférents à l action de formation doivent être élaborés par le prestataire en respectant les normes requises au plan de la forme et du fonds : bonne qualité d impression, lisibilité, etc... Le prestataire doit moduler la formation selon la catégorie de la population cible. 2.3. Diligences à mettre en œuvre et résultats attendus du consultant Le Consultant devra s assurer que ses travaux sont menés suivant les recommandations de la norme ISO 22301. Le Consultant retenu devra également procéder à un transfert de compétences à l endroit du personnel concerné du GIM-UEMOA. Le Consultant qui sera retenu devra être un partenaire sûr, expérimenté et certifié, capable de déployer le PCA au niveau du GIM-UEMOA suivant les exigences de la norme ISO 22301. Les consultants sont invités à présenter une offre globale de services à même de leur permettre de mener à bien la prestation conformément aux exigences du standard ISO 22301. 2.4. Prise en compte des changements et des évolutions Le prestataire devra adapter sa mission pour la prise en charge des évolutions et des changements suivants pouvant impacter les aspects ci-après sans que la liste ne soit exhaustive : l environnement du GIM-UEMOA (normes PCI DSS, EMV, évolutions des produits et services, ). les moyens technologiques utilisés par le GIM-UEMOA (système de paiement et informatique). les évolutions et les nouvelles recommandations internationales sur le métier du GIM-UEMOA. 2.5. Durée de la Mission Le prestataire devra proposer une durée de mission permettant la mise en place complète du PCA au sein du GIM-UEMOA avec un planning clair et précis. 2.6. Profil du soumissionnaire Pour la présente consultation, il est fait appel à des consultants dûment certifiés ISO 22301, ayant une expérience avérée (attestations de bonne exécution pour chacune des missions réalisées), de la mise en œuvre du PCA au niveau des entreprises similaires au GIM-UEMOA. La langue de travail du GIM-UEMOA est le français. Tout soumissionnaire doit s y conformer. TDR_Plan de Continuité de l Activité (PCA) Page : 6/10
2.7. Certificat PCA Le fournisseur retenu doit nous fournir un certificat ISO 22301 ou équivalent en cours de validité. 2.8. Profil des intervenants Pour chacun des membres de l'équipe du consultant retenu, il s agira de décrire les attributions dans la mission et fournir le niveau de participation. De plus, pour chacun des intervenants, il faudra, en plus de son CV, présenter un résumé succinct de son expérience et de ses qualifications (formation, détails de son expérience dans son domaine de compétence, incluant ses expériences dans des missions similaires). 2.9. Tests du PCA Le prestataire doit prouver son expérience avérée des tests PCA réalisés antérieurement. 2.10. LIVRABLES ATTENDUS DU PRESTATAIRE Les livrables doivent être établis obligatoirement en langue Française. Le prestataire retenu devra fournir à l issue de ses interventions au GIM-UEMOA, en plus des livrables pour chaque phase cités ici-bas ((liste non exhaustive à compléter éventuellement par le soumissionnaire), tous les documents, rapports et certificats, tel que l exige la norme ISO 22301. a) Diagnostic de l existant rapport détaillé sur la conformité et l état des lieux, description des écarts par rapport aux exigences de la norme, document de la stratégie de déploiement du SMCA. b) Accompagnement dans la mise en œuvre du SMCA rapports Risque Management rapports BIA, note d organisation, rapport de stratégie de continuité, plan d actions chiffré (Budget SMCA), rapport composé de recommandations en matière d organisation, de processus, de ressources et moyens de secours nécessaires pour satisfaire aux exigences de continuité métiers et garantir un niveau de résilience des infrastructures et systèmes d information répondant aux stratégies retenues. plans de continuité et leur mise en œuvre (PCS, PRA, PGC, PRU, PCO, Plan d alerte, Maîtrise du risque juridique, procédures, etc.). TDR_Plan de Continuité de l Activité (PCA) Page : 7/10
processus, politiques, procédures et plans de continuité et de reprise d activité, document décrivant le processus de gestion documentaire, plans de sensibilisation, communication et formation, rapports relatifs aux exercices et tests, tout livrable exigé pour la conception du SMCA. c) Formation & actions de sensibilisation supports de formation et de communication. 3. PREPARATION ET PRESENTATION 3.1. Préparation de la soumission Pour la préparation de sa soumission et pour toutes informations complémentaires, le Consultant peut s'adresser au GIM-UEMOA joignable aux contacts ci-après : Groupement Interbancaire Monétique de l'uemoa (GIM-UEMOA) Adresse : Lot P10, Ouest Foire, Route de l'aéroport Face Cité BCEAO Boîte Postale : 8853 Dakar Yoff (Sénégal) Tél. (221) 33 869 48 98 - (221) 33 820 54 64 - Fax (221) 33 820 54 65 E-mail : gim-uemoa@gim-uemoa.org ; Site internet : www.gim-uemoa.org 3.2. Présentation de la soumission Le soumissionnaire fournira dans deux enveloppes séparées une offre technique et une offre financière : - L offre technique comprendra une note de compréhension des termes de référence, la méthodologie et planning proposés, le certificat PCA en cours de validité du fournisseur, la qualification du personnel chargé de la mission et les références du soumissionnaire. Elle doit être sur support papier en cinq exemplaires et sur clé USB au format PDF. L enveloppe portera la mention «Offre technique». - L offre financière donnera le coût total de la prestation libellé en FCFA en HT et TTC. Elle doit être sur support papier en cinq exemplaires et sur clé USB en format PDF. L enveloppe portera la mention «Offre financière». - Un avant-projet de contrat. Le soumissionnaire proposera un prototype de contrat de service ou de partenariat qu il a coutume de passer avec ses clients. TDR_Plan de Continuité de l Activité (PCA) Page : 8/10
[Il est porté à la connaissance des soumissionnaires relativement audit contrat, que le règlement des litiges sera soumis à la chambre de conciliation et d arbitrage de Dakar à défaut d un accord amiable. Le contrat est de ce fait régi par la loi sénégalaise. Aucune dérogation ne sera admise.] Les deux enveloppes seront insérées dans une grande enveloppe portant les mentions suivantes : [Offre pour «Sélection d un consultant chargé d accompagner le GIM-UEMOA à la mise en place d un Plan de Continuité de l Activité (PCA)» - A n ouvrir qu en séance d Ouverture de plis] Et adressée à : Monsieur le Directeur Général du GIM-UEMOA Lot P10, Ouest Foire, Route de l'aéroport Face Cité BCEAO Boîte Postale : 8853 Dakar Yoff (Sénégal) Cette grande enveloppe ne devra comporter aucun marquage extérieur permettant de reconnaître le soumissionnaire. 3.3. Validité des offres Le soumissionnaire reste engagé par son offre pendant une durée de soixante (60) jours. 3.4. Conditions de paiement Les conditions de paiement seront discutées d accord parties. 3.5. Délai et lieu de dépôt Les offres devront être déposées au GIM-UEMOA ou envoyées à : Monsieur le Directeur Général du GIM-UEMOA Lot P10, Ouest Foire, Route de l'aéroport Face Cité BCEAO Boîte Postale : 8853 Dakar Yoff (Sénégal) La date limite de dépôt des offres est fixée au 28/08/2015 à 12 heures TU. Toute offre parvenue après la date limite et l heure indiquées sera considérée comme irrecevable. 4. MODALITES DE SELECTION Le consultant sera choisi par une commission composée de représentants des différentes directions du GIM- UEMOA. La grille de notation qui sera appliquée pour évaluer les offres est la suivante : TDR_Plan de Continuité de l Activité (PCA) Page : 9/10
1. Offre Technique 70 Expérience générale dans le domaine et certification PCA valide 30 Qualifications et compétences 15 Références 15 Méthodologie 10 2. Offre Financière 30 Total 100 FIN DU DOCUMENT TDR_Plan de Continuité de l Activité (PCA) Page : 10/10