LA REALISATION D UN AUDIT GLOBAL DE SECURITE DU SYSTEME D INFORMATION DU MINISTERE DE LA FONCTION PUBLIQUE ET DE LA MODERNISATION DE L ADMINISTRATION

APPEL D'OFFRES OUVERTSUR OFFRE DE PRIX N 16/2014/MFPMA Cahier des prescriptions spéciales LA REALISATION D UN AUDIT GLOBAL DE SECURITE DU SYSTEME D INFORMATION DU MINISTERE DE LA FONCTION PUBLIQUE ET DE LA MODERNISATION DE L ADMINISTRATION Appel d offres n 16/2014/MFPMA Page 1

PREAMBULE DU CAHIER DES PRESCRIPTIONS SPECIALES Marché passé par appel d offres ouvert sur offres de prix en application des dispositions de l'alinéa 2 du paragraphe 1 de l article 16, paragraphe 1 de l article 17, l'alinéa 3 du paragraphe 3 de l'article 17 du décret n 2-12-349 du 08 Joumada I 1934 (20 mars 2013) relatif aux marchés publics. Entre Le Ministère de la Fonction Publique et de la Modernisation de l Administration, représenté par Monsieur le Ministre délégué auprès du Chef du Gouvernement, chargé de la Fonction Publique et de la Modernisation de l Administration ou son délégué. Désigné ci-après par le terme «maître d ouvrage», D UNE PART ET M...qualité... Agissant au nom et pour le compte de... en vertu des pouvoirs qui lui sont conférés Au capital social... Patente n... Registre de commerce de... Sous le n... Identifiant fiscal... Affilié à la CNSS sous n... Faisant élection de domicile au... Compte bancaire n (RIB sur 24 positions)......ouvert auprès de... Désigné ci-après par le terme «prestataire». D AUTRE PART IL A ETE ARRETE ET CONVENU CE QUI SUIT : Appel d offres n 16/2014/MFPMA Page 2

SOMMAIRE CHAPITRE I : CLAUSES ADMINISTRATIVES ET FINANCIERES ARTICLE 1. OBJET DU MARCHE... 4 ARTICLE 2. CONSISTANCE DES PRESTATIONS... 4 ARTICLE 3. PIECES CONSTITUTIVES DU MARCHE... 4 ARTICLE 4. REFERENCE AUX TEXTES GENEREAUX ET SPECIAUX APPLICABLES AU MARCHE... 4 ARTICLE 5. VALIDITE ET DATE DE NOTIFICATION DE L APPROBATION DU MARCHE... 5 ARTICLE 6. PIECES MISES A LA DISPOSITION DU PRESTATAIRE... 5 ARTICLE 7. ELECTION DU DOMICILE DU PRESTATAIRE... 5 ARTICLE 8. NANTISSEMENT... 5 ARTICLE 9. SOUS-TRAITANCE... 6 ARTICLE 10. DELAI D EXECUTION... 6 ARTICLE 11. NATURE DES PRIX... 6 ARTICLE 12. CARACTERE DES PRIX... 6 ARTICLE 13. CAUTIONNEMENT PROVISOIRE, CAUTIONNEMENT DEFINITIF ET RETENUE DE GARANTIE... 6 ARTICLE 14. COMITE DE SUIVI... 7 ARTICLE 15. RECEPTION PROVISOIRE ET DEFINITIVE... 7 ARTICLE 16. ARRET DE L ETUDE... 7 ARTICLE 17. ASSURANCES - RESPONSABILITE... 7 ARTICLE 18. MODALITES DE REGLEMENT... 7 ARTICLE 19. PENALITES POUR RETARD... 7 ARTICLE 20. DROITS DE TIMBRE ET D ENREGISTREMENT... 8 ARTICLE 21. LUTTE CONTRE LA FRAUDE ET LA CORRUPTION... 8 ARTICLE 22. RESILIATION DU MARCHE... 8 ARTICLE 23. DROIT DE PROPRIETE... 8 ARTICLE 24. REGLEMENT DES DIFFERENDS ET LITIGES... 8 ARTICLE 25. AVANCES... 8 ARTICLE 26. CAS DE FORCE MAJEURE..9 ARTICLE 27. SECRET PROFESSIONNEL..9 ARTICLE 28. MESURES DE SECURITE...10 ARTICLE 29. VALIDATION DES LIVRABLES...11 ARTICLE 30. MOYENS A METTRE EN ŒUVRE...11 Chapitre II : cachier des prescriptions techniques... 11 ARTICLE 1. INTRODUCTION... 11 ARTICLE 2. DESCRIPTION DU SYSTEME D INFORMATION ACTUEL... 11 ARTICLE 3. OBJECTIFS DE LA MISSION... 12 ARTICLE 4. SPECIFICATIONS TECHNIQUES... 13 ARTICLE 5. LIVRABLES ATTENDUS... 20 Appel d offres n 16/2014/MFPMA Page 3

CHAPITRE PREMIER : CLAUSES ADMINISTRATIVES ET FINANCIERES ARTICLE 1. OBJET DU MARCHE Le présent marché a pour objet la réalisation d un audit global de sécurité du système d information du Ministère de la Fonction Publique et de la Modernisation de l Administration, à Rabat. ARTICLE 2. CONSISTANCE DES PRESTATIONS Les prestations demandées au titre du marché font l objet d un lot unique et seront réalisées selon les phases suivantes: Phase. I Evaluation globale de la sécurité du Système d Information ; Phase. II Elaboration des recommandations et du plan d actions ; Phase. III Elaboration des procédures de sécurité du Système d Information ; ARTICLE 3. PIECES CONSTITUTIVES DU MARCHE Les documents constitutifs du présent marché sont ceux énumérés ci-après : 1. L acte d engagement. 2. Le présent cahier des prescriptions spéciales. 3. L offre technique. 4. Le Bordereau du prix global. 5. La décomposition du montant global. 6. Le cahier des clauses administratives générales applicables aux marchés des études et maîtrise d œuvre. ARTICLE 4. REFERENCE AUX TEXTES GENEREAUX ET SPECIAUX APPLICABLES AU MARCHE Le titulaire du marché est soumis aux textes généraux suivants : Le Dahir n 1-03-194 du 14 rajeb 1424 (11 septembre 2003) portant promulgation de la loi n 65-99 relative au code du travail. Le Dahir du 28 août 1948 relatif au Nantissement tel qu il a été modifié et complété. Le décret Royal n 330/66 du 21 avril 1967 portant règlement général de comptabilité publique tel qu il a été modifié et complété. Le décret n 2-12-349 du 08 joumada I 1434 (20 mars 2013) relatif aux marchés publics. Décret n 2-07-1235 du 05 kaâda 1429 (04 novembre 2008) relatif au contrôle des dépenses de l Etat. Le décret n 2-01-2332 du 22 rabii I 1423 (4 juin 2002) approuvant le cahier des clauses administratives générales applicables aux marchés de services portant sur les prestations d études et de maîtrise d œuvre passés pour le compte de l Etat. Le décret n 2-03-703 du 18 Ramadan 1424 (13 Novembre 2003) relatif aux délais de paiement et aux intérêts moratoires en matière de marchés de l Etat. Le décret n 2.14.272 du 14 mai 2014 relatif aux avances dans les marchés publics ; Circulaire n 72/CAB du 26 novembre 1992 d application du Dahir n 1-56-211 Appel d offres n 16/2014/MFPMA Page 4

du 11 décembre 1956 relative aux garanties pécuniaires des soumissionnaires et adjudicataires de marchés publics. Dahir n 1-56-211 du 11 décembre 1956 relatif aux garanties pécuniaires des soumissionnaires et adjudicataires des marchés publics. Tous les textes réglementaires ayant trait aux marchés de l Etat rendus applicables à la date d ouverture des plis. Le prestataire devra se procurer ces documents s il ne les possède pas et ne pourra en aucun cas exciper de l ignorance de ceux-ci et se dérober aux obligations qui y sont contenues. ARTICLE 5. VALIDITE ET DATE DE NOTIFICATION DE L APPROBATION DU MARCHE Le marché ne sera valable, définitif et exécutoire qu après son approbation par l autorité compétente. L approbation du marché doit être notifiée à l attributaire dans un délai maximum de soixantequinze (75) jours, à compter de la date fixée pour l ouverture des plis. Les conditions de prorogation de ce délai sont fixées par les dispositions de l article 153 du décret n 2.12-349 du 08 joumada I 1434 (20 mars 2013) relatives aux marchés publics. ARTICLE 6. PIECES MISES A LA DISPOSITION DU PRESTATAIRE Aussitôt après la notification de l approbation du marché, le maître d ouvrage remet gratuitement au prestataire, contre décharge de ce dernier, un exemplaire vérifié et certifié conforme des documents constitutifs du marché en l occurrence les pièces expressément désignées à l article 3 du présent CPS à l exception du cahier des clauses administratives générales applicable au CCAG EMO. Le maître d ouvrage ne peut délivrer ces documents qu après constitution du cautionnement définitif. ARTICLE 7. ELECTION DU DOMICILE DU PRESTATAIRE Toutes les correspondances relatives au présent marché sont valablement adressées au domicile du prestataire indiqué dans son acte d engagement et rappelé au préambule du marché. Le titulaire du marché doit se conformer à l article 17 du CCAG-EMO. En cas de changement de domicile, le prestataire est tenu d'en aviser le maître d'ouvrage dans un délai de quinze (15) jours suivant ce changement. ARTICLE 8. NANTISSEMENT Dans l éventualité d une affectation en nantissement du marché, il est précisé que : La liquidation des sommes dues par l Administration, le Ministère de la de la Fonction Publique et de la Modernisation de l Administration, maître d ouvrage, en exécution du marché sera opérée par la Direction des Ressources Humaines et Financières. Le fonctionnaire chargé de fournir au titulaire du marché ainsi qu aux bénéficiaires des nantissements ou subrogations les renseignements et état prévus à l article 7 du Dahir du 28 août 1948 est le chef de la Division de la Programmation et des Ressources Financières. Les paiements prévus au marché seront effectués par le Trésorier Ministériel auprès du Ministère de l énergie, de des Mines, de l Eau et de l Environnement, seul qualifié pour recevoir les significations des créanciers du titulaire du marché. Appel d offres n 16/2014/MFPMA Page 5

En cas de nantissement du marché, le maître d ouvrage délivre, sans frais, au prestataire, sur sa demande et contre récépissé, l exemplaire spécial du marché portant la mention «exemplaire unique» et destiner à former titre conformément aux dispositions du Dahir du 28 choual 1367 (28 Août 1948) relatif au nantissement des marchés publics. Les frais de timbre et d enregistrement de l original du marché et de l exemplaire unique remis au prestataire sont à la charge de ce dernier. ARTICLE 9. SOUS-TRAITANCE Le titulaire du marché doit se conformer aux dispositions de l article 158 du décret n 2.12-349 du 08 Joumada I 1434 (20 mars 2013) relatives aux marchés publics. Le corps d état principal du projet est composé des prestations de la phase I. Pour des raisons de sécurité, la sous-traitance ne peut porter sur les prestations de la phase II. ARTICLE 10. DELAI D EXECUTION Le délai d exécution global du marché est fixé à six (6) mois, Il prendra effet à compter du lendemain du jour de la notification de l'ordre de service prescrivant le commencement de l exécution des prestations, selon le détail suivant : Phase. I : Deux mois (2). Phase. II : Deux mois (4). Phase. III : Un mois et demi (1,5). NB : Les trois phases de l étude feront l objet d un seul ordre de service. Les phases II et III peuvent être exécutées en parallèle. ARTICLE 11. NATURE DES PRIX Le présent marché est à prix globale. Les sommes dues au titulaire du marché sont calculées par application des prix forfaitaire portés à la décomposition du montant global joint au présent cahier des prescriptions spéciales, aux prestations réellement exécutées conformément au marché. Les prix du marché sont réputés comprendre toutes les dépenses résultant de la réalisation des prestations y compris tous les droits, impôts, taxes, frais généraux, faux frais et assurer au prestataire une marge pour bénéfice et risques et d'une façon générale toutes les dépenses qui sont la conséquence nécessaire et directe de la réalisation des prestations. ARTICLE 12. CARACTERE DES PRIX Les prix du marché sont fermes et non révisables. Toutefois, si le taux de la taxe sur la valeur ajoutée est modifié postérieurement à la date limite de remise des offres, le maître d ouvrage répercute cette modification sur le prix du règlement. ARTICLE 13. CAUTIONNEMENT PROVISOIRE, CAUTIONNEMENT DEFINITIF ET RETENUE DE GARANTIE Le montant du cautionnement provisoire est fixé à vingt mille (20.000,00) dirhams. Le montant du cautionnement définitif est fixé à trois pour cent (3 %) du montant initial du marché. La retenue de garantie n est pas prévue pour le présent marché. Appel d offres n 16/2014/MFPMA Page 6

ARTICLE 14. COMITE DE SUIVI Le maître d'ouvrage instituera un comité de suivi composé des membres relevant de la Direction des Systèmes d Information (DSI) et toute autre personne, expert ou technicien dont la présence est jugée utile. Ce comité sera chargé de l'examen des questions essentielles qui demanderaient éventuellement d'être tranchées pendant l'exécution du marché. Le comité de suivi aura également pour tâche l'approbation du planning détaillé faisant ressortir les différentes phases de réalisation du marché, la validation des livrables et la signature des procès-verbaux provisoires et définitifs. Les membres de ce comité apporteront au titulaire tout appui qui lui serait nécessaire pour l'exécution du marché. ARTICLE 15. RECEPTION PROVISOIRE ET DEFINITIVE Une réception provisoire partielle sera prononcée par l'administration après la validation de chaque phase du marché et donnera lieu à l établissement d un procès-verbal de réception provisoire partielle. La dernière réception provisoire partielle tiendra lieu de la réception provisoire du marché. La réception définitive des prestations sera prononcée en même temps que la réception provisoire du marché. ARTICLE 16. ARRET DE L ETUDE Conformément aux dispositions du paragraphe 1 de l article 28 du CCAG-EMO, le maître d ouvrage se réserve le droit d arrêter l exécution des prestations à l issue de chaque phase et après réception des prestations réalisées. Dans ce cas, le titulaire sera rémunéré sur la base des éléments de la décomposition du montant global, ne peut prétendre à aucune indemnité et le marché est automatiquement résilié. ARTICLE 17. ASSURANCES - RESPONSABILITE Le titulaire devra souscrire les assurances couvrant les risques inhérents à l exécution du marché, et ce conformément à l article 20 du CCAG-EMO tel qu il a été modifié et approuvé par le Décret n 02-05-1434 du 28 décembre 2005. ARTICLE 18. MODALITES DE REGLEMENT Le règlement des prestations effectuées sur la base d un décompte établi par le maître d ouvrage en application des prix indiqués sur la décomposition du montant globale aux quantités réellement exécutées, déduction faite de l application des pénalités de retard éventuelles, le cas échéant. Sur ordre du maître d ouvrage, les sommes dues au prestataire seront versées au compte ouvert au nom du titulaire indiqué dans son acte d'engagement et rappelé au préambule du marché. Le règlement des sommes dues au titulaire au titre du marché, se fera à 100% du montant de chaque phase à la réception provisoire partielle y afférente. ARTICLE 19. PENALITES POUR RETARD A défaut d'avoir terminé la réalisation des phases dans les délais prescrits, il sera appliqué au prestataire une pénalité par jour calendaire de retard de 1 (un pour mille) du montant initial du marché modifié ou complété éventuellement par les avenants. Appel d offres n 16/2014/MFPMA Page 7

Toutefois, le montant cumulé de ces pénalités est plafonné à 10 % du montant initial du marché modifié ou complété éventuellement par des avenants. ARTICLE 20. DROITS DE TIMBRE ET D ENREGISTREMENT Le titulaire doit acquitter les droits auxquels peuvent donner lieu le timbre et l enregistrement du marché, tels que ces droits résultent des lois et règlements en vigueur. ARTICLE 21. LUTTE CONTRE LA FRAUDE ET LA CORRUPTION conformément aux dispositions de l article 168 du décret n 2.12-349 du 08 joumada I 1434 (20 mars 2013) relatives aux marchés publics, le prestataire ne doit pas recourir par lui-même ou par personne interposée à des pratiques de fraude ou de corruption des personnes qui interviennent, à quelque titre que ce soit, dans les différentes procédures de passation, de gestion et d exécution du marché. Le prestataire ne doit pas faire, par lui-même ou par personne interposée, des promesses, des dons ou des présents en vue d'influer sur les différentes procédures de conclusion d'un marché et lors des étapes de son exécution. Les dispositions du présent article s appliquent à l ensemble des intervenants dans l exécution du marché. ARTICLE 22. RESILIATION DU MARCHE La résiliation du marché peut être prononcée conformément aux dispositions prévues par le décret n 2.12.339 du 20 mars 2013 relatif aux marchés publics et celles prévues par le CCAG- EMO. La résiliation du marché ne fera pas obstacle à la mise en œuvre de l action civile ou pénale qui pourrait être intentée au titulaire du marché en raison de ses fautes ou infractions. Si des actes frauduleux, des infractions réitérées aux conditions de travail ou des manquements graves aux engagements pris ont été relevés à la charge du prestataire, le ministre, sans préjudice des poursuites judiciaires et des sanctions dont le prestataire est passible, peut par décision motivée, prise après avis de la Commission des Marchés, l'exclure temporairement ou définitivement de la participation aux marchés de son administration. ARTICLE 23. DROIT DE PROPRIETE Le Maître d Ouvrage se réserve le droit exclusif de disposer des produits de toute nature, réalisés pour son compte, par le titulaire, dans le cadre du marché. Après livraison, lesdits produits deviennent propriété du Maître d Ouvrage qui pourra les utiliser sans aucune redevance ni restriction. Le titulaire n a le droit ni de les commercialiser ni de les utiliser à d autres fins sans l accord préalable du Maître d Ouvrage. ARTICLE 24. REGLEMENT DES DIFFERENDS ET LITIGES Si en cours de la réalisation du marché, des différends et litiges surviennent avec le prestataire, les parties s engagent à régler celles-ci dans le cadre des stipulations des articles 53 et 54 du CCAG EMO. Les litiges entre le maître d ouvrage et le prestataire sont soumis aux tribunaux compétents. ARTICLE 25. AVANCES Aucune avance n est prévue pour le présent marché. Appel d offres n 16/2014/MFPMA Page 8

ARTICLE 26 : CAS DE FORCE MAJEURE Les seuils des intempéries qui sont réputés constituer un événement de force majeure sont définis comme suit : La neige : 35 cm. La pluie : 100 mm. Le vent: 120 km/h. Le séisme : 6,5 degré sur l échelle de Richter. ARTICLE 27 : SECRET PROFESSIONNEL Le prestataire et son personnel sont tenus au secret professionnel pendant toute la durée du marché et après son achèvement sur les renseignements et documents recueillis ou portés à leur connaissance à l occasion de l exécution du marché. Sans autorisation préalable de l Administration, ils ne peuvent communiquer à des tiers la teneur de ces renseignements et documents. De plus, ils ne peuvent faire un usage préjudiciable à l Administration des renseignements qui leur sont fournis pour accomplir leur mission. ARTICLE 28 : MESURES DE SECURITE Le prestataire s engage à respecter les mesures de sécurité conformément aux dispositions de l article 24 du CCAG-EMO. Ces mesures se rapportent notamment : aux conditions de sécurité et de protection du personnel ; à la protection des serveurs et matériel informatique manipulé. ARTICLE 29 : DELAIS DE VALIDATION DES DOCUMENTS PAR LE MAITRE D OUVRAGE Le maître d ouvrage disposera d'un délai de quinze (15) jours pour valider les livrables de chaque phase. Chaque délai est décompté à partir de la date de la remise, par le titulaire, desdits livrables. Durant le délai susvisé, l'administration doit soit : accepter les documents et rapports sans réserve ; inviter le titulaire à procéder à des corrections ou améliorations pour rendre le document ou rapport conforme aux exigences du marché découlant de cet appel d offres et ce dans un délai d une semaine à compter de la date de notification par écrit des remarques soulevées par le Comité de suivi ; le cas échéant, prononcer un refus motivé du document ou rapport pour insuffisance grave dûment justifiée. En cas de refus, le titulaire est tenu de soumettre à l'administration un nouveau document ou rapport dans un délai de 15 jours. En cas de refus d un rapport, le titulaire est tenu de soumettre à l'administration, dans un délai de 15 jours, un nouveau rapport et la procédure décrite, ci- dessus, est réitérée seulement deux fois et ce sans préjudice de l application éventuelle des dispositions de l article 42 du CCAG-EMO. Dans tous les cas, les frais de reprise du document ou rapport sont entièrement à la charge du titulaire. En cas d'acceptation du document ou rapport, l'administration prononce son approbation et ordonne au titulaire, d exécuter les prestations suivantes. Appel d offres n 16/2014/MFPMA Page 9

Les délais que se réserve le maître d ouvrage pour approuver les documents ou rapports, et les délais de corrections ou améliorations ne sont pas compris dans le délai d exécution du marché. ARTICLE 30 : MOYENS A METTRE EN OEUVRE - CONSTITUTION DE L EQUIPE PROJET Le prestataire s'engage à affecter une équipe pluridisciplinaire de haut niveau, ayant une expérience confirmée dans des prestations similaires. L équipe projet doit être composée au moins de quatre (4) personnes ayant les profils suivants : Profil 1. Chef du projet d audit de la sécurité du Système d information. Profil 2. Consultant spécialiste en management de la sécurité du Système d information. Profil 3. Consultant spécialiste en sécurité informatique Profil 4. Expert juridique (justifiant de l expérience nécessaire en sécurité Système d information). Les membres de l équipe projet doivent avoir les certifications nécessaires pour assurer la mission objet du marché : ISO 27001, ISO 27002: Information Security Management, CISA, ITIL, COBIT, CISSP ou CEH, PRINCE 2/PMP, ISO 20000, Cloud Computing. Le chef de projet devra avoir conduit plusieurs projets de consistances similaires à la présente prestation. Il sera l interlocuteur du Ministère pour la conduite du projet. Le Ministère pourra demander, au prestataire, d'adjoindre à l'étude, le cas échéant, en remplacement ou en complément, des experts particulièrement qualifiés. Le prestataire s'engage à satisfaire ces demandes dans les limites des charges et des coûts prévus par le marché. - LES CONDITIONS DE SUBSTITUTION DES INTERVENANTS DE L EQUIPE PROJET Les experts agréés, par le Ministère, au moment de l analyse de l offre du prestataire ne peuvent être remplacés par de nouveaux experts qu après accord écrit de celui-ci. Si pour des raisons indépendantes de la volonté du prestataire, il s avère nécessaire de remplacer un des membres de l équipe projet, le prestataire fournira une personne de qualification égale ou supérieure qui doit recevoir l approbation du Ministère. Si le Ministère n est pas satisfait de la performance d un membre de l équipe projet, ou découvre qu un de ces membres s est rendu coupable d un manquement sérieux, ou est poursuivi pour crime ou délit, le prestataire devra, sur demande, fournir dans un délai de huit (8) jours au maximum, un remplaçant dont les qualifications et l expérience seront soumises à l approbation du Ministère. Le prestataire ne pourra soumettre des demandes de paiements au titre des coûts supplémentaires résultant du retrait ou remplacement du personnel. Appel d offres n 16/2014/MFPMA Page 10

CHAPITRE II : CACHIER DES PRESCRIPTIONS TECHNIQUES ARTICLE 1. INTRODUCTION Étant conscient de la nécessité de sécuriser son système d information, et afin d évaluer la mise en conformité des processus et de savoir si les enjeux stratégiques sont correctement déclinés à l'échelle du Système d Information, le Ministère de la Fonction Publique et de la Modernisation de l Administration lance le marché pour la réalisation d un audit de sécurité globale du Système d Information et identifier ses points de vulnérabilité. L audit de sécurité ne devra en aucun cas se limiter à un constat de l environnement, ni à un simple bilan des points forts et des points faibles. Il devra surtout faire apparaître les axes d amélioration et les actions à entreprendre en vue de mettre en place les bonnes pratiques de sécurité du Système d Information reconnues à l échelle internationale. ARTICLE 2. DESCRIPTION DU SYSTEME D INFORMATION ACTUEL La structure en charge de l informatique Le système d information du Ministère est géré par la Direction des Systèmes d Information (DSI). La Direction est composée d un centre d appels et de trois (3) divisions. La mission de support informatique du Ministère incombe à la Division des Systèmes d Information internes (DSII). L ensemble des plates-formes SI à auditer est situé au siège central du ministère, sis avenue Ahmed Charkaoui, Agdal. Description du parc informatique du ministère Le département dispose d'un parc informatique composé essentiellement de 18 serveurs (Windows et Linux), un pare-feu applicatif UTM, plus de 20 éléments actifs de réseau et plus de 230 utilisateurs. Les stations de travail assurent la plateforme de développement et de gestion des applications. Pour les PCs, en plus de l'exploitation des outils Bureautique, ils permettent l'exploitation de quelques applications informatiques telles que : Applications support Applications métiers Système de contrôle d accès et gestion du temps Système de la vidéosurveillance Accès à l Intranet et la messagerie Accès à l'internet Les serveurs assurent principalement les fonctionnalités suivantes : DNS, Messagerie, passerelle de messagerie, serveur d application métiers, serveurs de base de données, serveurs d antivirus et serveurs Web Le Ministère dispose aussi d une plate-forme de consolidation et de virtualisation de serveurs et un système de sauvegarde. Description du réseau du ministère Tous les équipements sont interconnectés via un réseau local, sur 9 répartiteurs d étage, 20 éléments actifs et un Switch fédérateur à la salle machines. Appel d offres n 16/2014/MFPMA Page 11

NB : 1- Une description détaillée du Système d information du Ministère sera présentée lors de la visite des lieux prévue à la date et l heure précisées sur l avis de cet appel d offres. 2- Tous les éléments du SI qui feront l objet de cette consultation, ne sont pas limitatifs. Le prestataire doit prendre en considération les éventuels changements et évolution du SI pouvant subvenir au cours d exécution de cet audit. ARTICLE 3. OBJECTIFS DE LA MISSION Cette mission d audit devra couvrir tous les enjeux de la sécurité des systèmes à savoir : Garantir la disponibilité du Système d Information. Empêcher la divulgation non autorisée des données. Empêcher la modification non autorisée des données. Empêcher les accès non autorisé aux ressources informatiques (infrastructure, réseaux, applications, données). Garantir la traçabilité et la non répudiation des transactions. Cet audit devra concerner les aspects organisationnels, environnemental et technique relatifs à la sécurité de l ensemble des entités et moyens (Outils logiciels, équipements de traitement, infrastructure réseaux, équipements de sécurité, structures, personnel). La mission d audit, objet de ce marché, devra aboutir à une évaluation précise des mécanismes et outils de sécurité implémentés dans les systèmes audités lors de cette prestation, elle devra indiquer clairement et sans équivoque toutes les failles de sécurité recensées à l issue de l audit et proposer des solutions et/ou des recommandations de sécurité tout en indiquant clairement les actions et les mesures à entreprendre en vue d assurer la sécurisation de l ensemble du système d information. En résumé, les principaux objectifs de cet audit sont déclinés comme suit : Disposer d une vision globale et objective du niveau de sécurité du Système d Information. Obtenir une liste détaillée des vulnérabilités et risques de sécurité présents. Etablir un plan d action d amélioration basé sur des recommandations pragmatiques détaillées et chiffrées classées en deux catégories : - Actions à mener à court terme. - Actions à mener à moyen terme. Etudier, élaborer un plan d action, pour la mise en conformité du Ministère de la Fonction Publique et de la Modernisation de l Administration à la loi n 09-08. Assurer des séminaires de formation et de sensibilisation au profit des responsables et des fonctionnaires du Ministère : six (06) groupes de trente (30) personnes pour une séance d une demi-journée par groupe. Appel d offres n 16/2014/MFPMA Page 12

Assurer des formations aux profils des cadres du Système d Information : Deux (02) groupes de dix (10) personnes pour une durée de six (06) jours. ARTICLE 4. SPECIFICATIONS TECHNIQUES Cette étude doit se référer à la norme de management de la sécurité du SI (ISO 27002) et respectera le référentiel COBIT dans sa version 4.1 (en terme de gouvernance de la sécurité des SI) et celui d ITIL V3 par rapport à la gestion des incidents liés à la sécurité SI. En plus, cette étude devra prendre en considération les recommandations de «LA DIRECTIVE NATIONALE DE LA SECURITE DES SYSTEMES D INFORAMTION», établie par la Direction Générale de la Sécurité des Systèmes d Information, datée du 13 décembre 2013. L étude se déroulera selon les phases suivantes : o Phase I: Evaluation globale de la sécurité du Système d Information. o Phase II : Elaboration des recommandations et du plan d actions. o Phase III : Elaboration des procédures de sécurité du Système d Information. Phase. I Evaluation globale de la sécurité du Système d Information Etape 1 : Cadrage Dans le cadre de cette mission, le titulaire du marché devra : Tenir des réunions (prise de contact et lancement du projet); Prendre connaissance du contexte organisationnel, technique et environnemental ; Présenter la méthodologie détaillée qui sera appliquée dans le cadre du marché ; Collecter la documentation technique, organisationnelle ainsi que les informations relatives à l audit et définir les autres documents à collecter au cours de l étude; Elaborer, fournir et présenter le plan de management de projet ; Elaborer, fournir et présenter le plan d assurance qualité ; Assurer une formation de transfert de compétence sur le management de la sécurité et l audit de la sécurité technique (normes : ISO 27002 et ISO 27001) pour deux (02) groupes de dix (10) personnes d une durée six (06) jours par groupe. Livrables de l étape 1 : Plan d assurance qualité ; Plan management de projet ; Planning de la mission ; Support de formation. Appel d offres n 16/2014/MFPMA Page 13

Etape 2 : Evaluation globale de la sécurité du Système d Information Il s agit de recueillir l existant (opérationnel et en cours de mise en place) des différentes composantes du système d information en matière de sécurité du Système d Information. Etape 2.1 : Audit organisationnel Cette étape consiste à établir un état des lieux complet et objectif du niveau actuel de la sécurité de l ensemble du système d information, sur les plans stratégique, organisationnel et technologique. Elle permettra, d'une part, de faire un bilan des différents dispositifs déjà mis en place en précisant aussi bien leurs points forts que leurs points faibles. Cette phase permettra, d'autre part, d évaluer tous les éléments (techniques, organisationnels, et opérationnels) nécessaires au renforcement du niveau de sécurité du système d information notamment en : Évaluant les aspects organisationnels de gestion de la sécurité relative à l'ensemble de l'activité, en traitant les axes suivants : Politique de sécurité de l'information Organisation de sécurité de l'information Gestion des actifs Sécurité liée aux ressources humaines Sécurités physiques et environnementales Exploitation et gestion des communications Acquisition, développement et maintenance des systèmes d'informations Gestion des incidents Gestion de la continuité d'activité. Appréciant l efficacité de l organisation des équipes de sécurité (périmètre de responsabilité, qui fait quoi). Aussi, le prestataire doit : Etablir une étude des faiblesses, vulnérabilités et failles du système d'informations du Ministère afin d'évaluer les risques potentiels du Système d Information en se basant sur la norme ISO 27005, et élaborer une cartographie des risques du Système d Information ; Evaluer le niveau de maturité de la sécurité du Système d Information du Ministère par rapport au référentiel Objectifs de contrôle de l Information et des Technologies Associées (COBIT). Evaluer le niveau de maturité de la sécurité du Système d Information du Ministère par rapport au référentiel Bibliothèque pour l infrastructure des Technologies de l Information (ITIL). Appel d offres n 16/2014/MFPMA Page 14

Etape 2.2 : Audit environnemental Cet audit permettra de faire une évaluation de l existant et de vérifier sa conformité par rapport à la politique générale de l organisation en respectant le planning d intervention proposé qui devra couvrir les points majeurs de la sécurité physique des installations, le mode d accès physique des ressources humaines et les visiteurs, les procédures d authentification, la santé et la sécurité du personnel. Cette conformité doit également cerner la protection du périmètre des équipements informatiques: La protection du périmètre des ressources informatique (protection de proximité) et celle des bâtiments (protection des environs). Sécurité des supports de sauvegarde des données et des applications (code source et programmes exécutables), et des archives ; Sécurité des coffres forts. La politique d accès aux locaux techniques (accès des personnes, limitation des accès) La conformité du Datacenter (salle machines) aux normes internationales de la sécurité environnementale. Plus précisément les volets suivants seront abordés : Sécurité des installations du local des serveurs contre les incendies, les dégâts des eaux, l interruption de l alimentation électrique, le vandalisme, le vol. Sécurité des locaux informatique (salle machines et répartiteurs informatiques) contre les incendies, la foudre, la pollution. Sécurité de l environnement contre les séismes, les inondations, la propagation d un incendie externe, la détérioration des machines sensibles aux bruits et vibrations, etc. Etape 2.3 : Audit technique de la sécurité Cette étape consiste à procéder à une analyse très fine de la sécurité du Système d Information, permettant de: Faire apparaître les failles et les risques conséquents d intrusions actives (tentatives de fraude, accès et manipulation illicites de données, interception de données critiques), ainsi que celles virales ou automatisées. Evaluer l herméticité des frontières du réseau, contre les tentatives d'exploitation des plates-formes de service par des attaquants externes (sites d amplification d attaques, relais de spam, indisponibilité de sites Web). Apprécier la robustesse de la sécurité des infrastructures internet et sa capacité à préserver les aspects de confidentialité, d intégrité, de disponibilité et d autorisation. Dégager les écarts entre les procédures techniques de sécurité supposées être appliquées et celles réellement mise en œuvre. Appel d offres n 16/2014/MFPMA Page 15

Pour assurer cet audit technique, le prestataire est tenu d adopter les deux scénarios suivants: Scénario «boite noire» : Le prestataire procédera dans cette option à des tests techniques à distance où il ne connaît rien de la structure de la plateforme, et il procédera à des tests et analyses pour rechercher les vulnérabilités en se basant sur son bon sens et ses expériences, comme s il était un pirate de haut niveau technique. Scénario «boite blanche» : Réaliser un audit intégral, en se déplaçant physiquement sur les lieux des structures à auditer. Le prestataire connaît parfaitement l architecture et l organisation de la plateforme. Le prestataire effectuera une intervention technique pour l évaluation de la sécurité du système d information. Celle-ci doit au moins se composer de : 1. Tests automatisés : il s agit de détecter les éventuelles failles de sécurité du système d information et de l infrastructure réseaux. Grâce à des scanners de vulnérabilités qui s appuient sur une base d attaques connues, le prestataire essaiera ces attaques sauf celles qui pourraient neutraliser les systèmes évalués. L idée est de détecter les failles connues régulièrement découvertes dans les serveurs WEB, DNS et autres applications. 2. Tests d intrusions : ces tests exigent l implication d un expert qui va tenter de pénétrer les systèmes à l aide de toutes les astuces, les informations et les outils dont il dispose. 3. Tests et détection des failles: Le prestataire procédera à une série de tests internes (simulant un utilisateur interne avec plus ou moins de privilèges et plus ou moins d expertise technique ou plus ou moins d outils spécifiques à sa disposition) et externes (simulant des attaques depuis Internet ou d autres réseaux partenaires) dans le système pour en évaluer la résistance. 4. Audit de vulnérabilité : L audit a pour objectif de faire un état des lieux des vulnérabilités du système d information, et des dispositifs de sécurité, en cohérence avec les pratiques et les exigences de la sécurité adoptées au sein du Ministère. Ces tests devraient être ciblés sur l infrastructure (attaque de l architecture réseau et des serveurs) et ciblés également sur des applications (attaque sur le service rendu et ou sur les informations manipulées). Livrables de l étape 2: Rapport d audit de la sécurité organisationnelle du Système d Information; Rapport d audit de la sécurité environnemental du Système d Information; Rapport d audit technique de la sécurité. Appel d offres n 16/2014/MFPMA Page 16

Phase. II Elaboration des recommandations et du plan d action Etape 1 : Elaboration des recommandations Le prestataire est invité à réaliser une synthèse permettant l établissement de la liste des failles (classées par ordre de gravité et d impact), ainsi qu une évaluation de leurs risques et une synthèse des recommandations conséquentes. Une évaluation du système permet de s assurer que les mesures mises en œuvre peuvent garantir une couverture suffisante des risques pesant sur le système. Cette évaluation permettra de préparer les éléments du plan d action qui doit proposer pour chaque vulnérabilité identifiée, une recommandation corrective et qui doit viser à mettre l organisation et le système en adéquation avec les objectifs identifiés. Les actions détaillées organisationnelles et techniques urgentes à mettre en œuvre dans l immédiat, pour parer aux défaillances les plus graves, ainsi que la proposition de la mise à jour : Architecture technique, Systèmes, Matériel, Locaux, etc. Les actions organisationnelles et techniques à mettre en œuvre sur le court terme englobant entre autres : Organisation liée à la sécurité du Système d Information Amélioration de la sécurité du Système d Information du Ministère par rapport aux bonnes pratiques du Système d Information (COBIT, ITIL) Outils et mécanismes de sécurité à mettre en œuvre, avec estimation de leurs coûts. Le prestataire devra proposer des priorités entre ces différents projets proposés dans le cadre du plan d action en tenant compte de leur impact sur la gravité des scénarios de risques auxquels ils répondent et de leur coût et contraintes éventuels de mise en place. A la fin de cette étape, une planification des différents projets retenus suite à l étude, sera réalisée avec une estimation des budgets et charges en jour homme. Le prestataire portera dans le cadre de cette phase l assistance nécessaire au maitre d ouvrage pour l élaboration des cahiers de charges des solutions retenues dans le cadre de l audit. Le prestataire doit aussi apporter le conseil et l assistance aux ressources humaines du Ministère pour la mise en œuvre des solutions retenues ; Appel d offres n 16/2014/MFPMA Page 17

Livrables de l étape : Rapport de recommandation et plan d action détaillé. Cahier de charges des solutions retenues Etape 2 : Elaboration d un plan d action pour la mise en conformité du Ministère de la Fonction Publique et de la Modernisation de l Administration à la loi 09-08 relative à la protection de données à caractère personnel : Dans le cadre de cette étape le titulaire devra élaborer un plan d action pour la mise en conformité du Ministère aux exigences de la loi n 09-08 relative à la protection de données à caractère personnel. La prestation objet de cette étape consiste en : La sensibilisation des ressources humaines traitant les données à caractère personnel aux enjeux liés à la mise en application de la loi 09-08. L étude de l'existant, l inventaire et la cartographie des données à caractère personnel. L identification et la classification des données et des informations à caractère personnel. La livraison des modèles des formulaires exigées par le Centre National de Documentation Pédagogique (CNDP). Le prestataire doit assurer l assistance nécessaire pour la préparation de ces documents. La priorisation des données en fonction du risque juridique, La mise en place d un Plan d'action détaillé, L élaboration de toutes les règles, dispositions et supports indispensables à la mise en œuvre et à l application des exigences de la loin 09-08. Livrables de l étape : L inventaire et la cartographie des traitements des données à caractère personnel. Plan d action et démarche pour la mise en conformité avec loi n 09-08. Formulaires bien remplis exigés par le Centre National de Documentation Pédagogique. Phase. III Elaboration des procédures de sécurité du Système d Information Le prestataire est tenu d élaborer les procédures de sécurité et des bonnes pratiques de gestion du Système d Information. Cette prestation doit en particulier comprendre: L élaboration d une politique sécurité du Système d Information. L élaboration d un guide de sécurité du Système d Information. L élaboration d une charte d utilisation des ressources informatiques. L élaboration d un manuel des procédures du Système d Information : Gestion des habilitations et droit d accès. Appel d offres n 16/2014/MFPMA Page 18

Gestion des incidentes sécurités du Système d Information. Politique de gestion des sauvegardes. Gestion d accès aux systèmes informatiques. Gestion d accès aux bases de données. Politique de gestion des mots de passe. Cinq (5) autres procédures à fixer en concertation avec le ministère selon les résultats de l audit. L élaboration d un plan de reprise d activité informatique : Plan de scenarios de reprise Procédure de gestion de crise Procédure de reprise du système d information et retour à la situation normale La proposition d une méthodologie de suivi opérationnel de la sécurité ainsi que les indicateurs et outils qu il jugera pertinents. Ceci devrait notamment aboutir à la mise en place d un tableau de bord de la sécurité du Système d Information du Ministère. Ce tableau de bord sera constitué à partir : Des objectifs de sécurité issus des normes internationales d analyse de risques; D étude de risques relative au Système d Information du ministère en se basant sur les normes ISO 27002 et ISO 27005 ; D actions de sécurité issues de mesures de sécurité et des contrôles définis. A la fin de cette phase le prestataire doit assurer des sessions de sensibilisation pour les ressources humaines du Ministère, sur l aspect sécurité. Ces sessions de sensibilisation doivent permettre : D expliquer les enjeux et les concepts liés à la sécurité; De mettre en relief le rôle du ressources humaines dans le système de management de la sécurité ; De sensibiliser les ressources humains aux menaces et aux risques qui guettent l activité et à la nécessité de minimiser leurs impacts ; D expliquer les meilleures pratiques dans le domaine de la sécurité. De communiquer autour de l optimisation de l utilisation des ressources du système d information ; De vulgariser la stratégie d action pour se prémunir contre les risques de sécurité. Les sessions seront organisées pour six (06) groupes de 30 personnes pour une durée d une demie- journée par groupe. Les frais d organisation des séminaires (logistique, salles, pauses) sont à la charge du Ministère. Appel d offres n 16/2014/MFPMA Page 19

Livrables de la phase : Politique sécurité du Système d Information. Guide de sécurité du Système d Information. Manuel des procédures Système d Information. Tableau de bord sécurité Système d Information. Charte d utilisation des ressources informatiques. Support de sensibilisation. ARTICLE 5. LIVRABLES ATTENDUS Indépendamment des différents documents intermédiaires qui doivent être produits, tels que les comptes rendus des réunions, les supports de présentation et de communication, les questionnaires le prestataire doit produire à la fin de chaque phase les livrables correspondants en format papier de cinq exemplaires (5) et en format numérique standard (Word, PDF). Tous les livrables seront rédigés en langue française à l exception du livrable de l élaboration de la charte d utilisation des ressources informatiques (phase III) qui sera rédigé en deux langues français et arabe. Le tableau ci-après récapitule les différentes phases, étapes, durée d exécution et livrables attendus. Appel d offres n 16/2014/MFPMA Page 20

Phases Durée Livrables attendus Plan d Assurance Qualité Etape 1 : Cadrage Plan de Management de Projet Planning de la mission Support de formation Phase I Evaluation globale de la sécurité du Système d information deux mois Etape 2 : Evaluation globale de la sécurité du Système d information Etape 2.1 : Audit organisationnel Etape 2.2 : Audit environnemental Etape 2.3 : Audit technique de la sécurité Rapport d audit de la sécurité organisationnelle du Système d information. Rapport d audit de la sécurité environnemental du Système d information. Rapport d audit technique de la sécurité. Etape 1 : Elaboration des recommandations. Rapport de recommandation Cahiers de charges des solutions retenus Phase II Elaboration des recommandations et du plan d action Quatre mois Etape 2 : Elaboration d un plan d action pour la mise en conformité du Ministère de la Fonction Publique et de la Modernisation de l Administration à la loi 09-08 relative à la protection de données à caractère personnel. L inventaire et la cartographie des traitements des données à caractère personnel. Plan d action et démarche pour la mise en conformité avec loi n 09-08. Formulaires bien remplis exigés par le Centre National de Documentation Pédagogique. Politique sécurité du Système d information. Phase III Elaboration des procédures de sécurité du Système d information Un mois et demi Guide de sécurité du Système d information. Manuel des procédures Système d information. Tableau de bord sécurité Système d information. Charte d utilisation des ressources informatiques. Support de sensibilisation Appel d offres n 16/2014/MFPMA Page 21

BORDEREAU DU PRIX GLOBAL N des prix DESIGNATION DE LA PRESTATION PRIX FORFAITAIRE 1 Réalisation d un audit global de sécurité du système d information Total hors TVA Taux TVA (20 %) Total TTC Fait à. le (Cachet et signature du concurrent) DECOMPOSITION DU MONTANT GLOBAL Appel d offres n 16/2014/MFPMA Page 22

N du poste DESIGNATION DE LA PRESTATION Quantités forfaitaires Prix forfaitaires hors TVA (En DH) Total hors TVA par poste 1 Phase I : Evaluation globale de la sécurité du Système d information 2 Phase II : Elaboration des recommandations et du plan d actions 3 Phase III : Elaboration des procédures de sécurité du Système d information F F F Total hors TVA Taux TVA (20 %) Total TTC Fait à. le (Cachet et signature du concurrent) Appel d offres n 16/2014/MFPMA Page 23

Ministère de la Fonction Publique et de la Modernisation de 1' Administration APPEL D'OFFRES OUVERT SUR OFFRE DE PRIX N 16/2014/MFPMA Objet : LA REALISATION D'UN AUDIT GLOBAL DE SECURITE DU SYSTEME D'INFORMATION DU MINISTERE DE LA FONCTION PUBLIQUE ET DE LA MODERNISATION DE L'ADMINISTRATION PREPARE PAR VERIFIE PAR 1 Fatna 1 ADMINISTRATION PRESTATAIRE (lu et accepté à la main) "", "'~"":in 1nFt:rias, ( 1 -..._ Ai t.h:;1k rr1( ;.\1 rii--i.ah Appel d'offres n 16/2014/MFPMA Page 24