C H A M B R E D E C O M M E R C E ET D INDUSTRIE DU LOT CAHIER DES CLAUSES TECHNIQUES PARTICULIERES REMPLACEMENT D EQUIPEMENTS PARE-FEU PROCEDURE ADAPTEE - ARTICLE 28 DU CODE DES MARCHES PUBLICS REF. : MPPA 2016/06-02 Chambre de Cmmerce et d Industrie du Lt (CCI du Lt) 107, quai Cavaignac - CS 10079-46002 CAHORS Cedex 9 Persnne représentant le Puvir Adjudicateur : M. Thmas CHARDARD, Président de la CCI du Lt
Ce dcument décrit les différentes furnitures et prestatins à mettre en œuvre dans le cadre du remplacement de la slutin de Pare-feu actuellement en place à la CCI de Lt. 1 - DESCRIPTION TECHNIQUE GENERALE Cette cnsultatin a pur bjet l acquisitin de 2 Pare-feu «Appliance» destinés à remplacer les équipements actuels arrivant en fin de maintenance cnstructeur. Ils divent assurer la sécurité du réseau, gérer leur accès Internet respectif, une liaisn VPN entre les 2 sites de la CCI du Lt et un accès VPN au réseau pur les pstes nmades et des prestataires. La répnse financière devra lister de façn détaillée l ensemble des matériels, prestatins et licences. La trame furnie en annexe 9, est à cmpléter pur la remise de l ffre et pur chacun des mdèles prpsés. La nn transmissin de la trame sus frmat Excel dument cmplétée est éliminatire. L ffre sera jugée sur les critères suivants : 50 % valeur technique 25 % prix 20% délai de livraisn 5 % cnfrmité de la trame Situatin actuelle La CCI du Lt dispse de deux sites : 1. 107 Quai Cavaignac 46000 CAHORS : La sécurité est assurée par un Pare-feu appliance Netasq U250, bjet de cette cnsultatin. 1 accès internet SDSL 8 M pur les services administratifs et le Pôle Frmatin, sit respectivement envirn 40 et 150 utilisateurs. Les différents réseaux snt segmentés par des VLANs gérés par des switchs Allied Telesyn. Les accès wifi pur les visiteurs et les étudiants utilisant leur rdinateur persnnel snt rutés par le Nestasq vers un serveur d authentificatin UCOPIA. Le filtrage internet est assuré par un prxy OLFEO. Les pstes nmades accèdent au réseau en VPN IPSec. Des cnnexins en VPN SSL snt également utilisées par des prestataires pur assurer la maintenance de lgiciels métiers. 2. ZA Quercypôle 46100 CAMBES : La sécurité est assurée par un Pare-feu appliance Netasq U70, bjet de cette cnsultatin. 1 accès SDSL 4 M pur le service administratif et des sessins de frmatin, sit respectivement envirn 3 et 15 utilisateurs. Les deux réseaux snt segmentés en VLANs gérés par le Netasq, il n y a pas de switch. Le Pare-feu gère également le filtrage internet, la cnservatin des lgs et le DHCP. Les deux sites snt reliés par un VPN IPSec entre le Netasq U250 et U70. 2 - LES PRESTATIONS 2-1 - Furniture des équipements Le candidat dit furnir, installer et cnfigurer les Pare-feux «Appliance» en adéquatin avec les besins de la CCI du Lt au vues des règles déjà mises en place. 2
2-2 - Cnfiguratin des équipements Cnfiguratin des Pare-feux «Appliance» seln le plan d'adressage et les règles de sécurité et de cnnexin existantes dans ntre entité, Reprise des règles et fnctinnalités paramétrées sur les équipements existants avec ptimisatin rendue pssible par les nuveaux équipements, Prpsitin d un mdèle de sécurité maximum en fnctin des dernières nrmes en vigueur. Le candidat furnira la dcumentatin reprenant la mise en œuvre et l ensemble des règles mises en place à l issue de l installatin. Les cnfigurateurs sernt cnviviaux et la cnfiguratin des équipements simple. 2-3 - Furniture d'un lgiciel de gestin du Pare-feu «Appliance» Les utils d administratin cmprendrnt : Lgiciel de Gestin, (Interface Graphique) Lgiciel de Surveillance et mnitring, (Interface Graphique) Lgiciel de Génératin autmatique de rapprts, (Interface Graphique) Lgiciel de gestin des cllectes des lgs Le lgiciel de gestin graphique permettant de cnfigurer, de mettre à jur et de superviser le Pare-feu dit être cnvivial, sn interface sera d'utilisatin simple et intuitive. Le lgiciel purra être utilisé pur cnfigurer le Pare-feu de n'imprte quel endrit (lcalement u à distance), en utilisant des cnnexins sécurisées. Des assistants de gestin permettrnt la surveillance, la détectin sécurité et les rapprts d incidents avec ntificatin par Email. Un util de mnitring permettra de visualiser l activité en temps réel et réaliser des tableaux de brd présentant de façn glbale l état de l équipement. Les différents types de lgs (alarme, vulnérabilité, cnnexins, sites web visités, actins de l antivirus,...) sernt mis à dispsitin. L adresse MAC des machines dit apparaître dans les lgs. L ensemble des utils d administratin sera en français et utilisera un prtcle de cmmunicatin sécurisé. 3 - SPECIFICATIONS TECHNIQUES DES PARE-FEUX " APPLIANCE" 3-1 - Descriptin du matériel Rack standard de 19 puces avec une hauteur de 1 à 3U 8 prts minimums Ethernet RJ45 10/100/1000 Prt cnsle Prt USB 3-2 - Fnctinnalités Applicatives des Pare-Feux pur Cahrs et Cambes 3-2-1 - Perfrmance Débit Garanti Firewall+IPS minimum : 7 Gb/s pur Cahrs, 800 Mb/s pur Cambes VPN IPSec minimum : 2,4 Gb/s pur Cahrs, 400 Mb/s pur Cambes 3-2-2 - Fnctinnalités Réseau Pssibilité de cnfigurer les interfaces en mde ruté, bridge u hybride Rutage par interface Gestin des VLANs Gestin du NAT - PAT 3
3-2 -3 - Plitique de sécurité Filtrage en fnctin de : adresse surce et destinatin, interface surce et destinatin, utilisateur, prt, prtcle Utilisatin d une base bjets : machine, réseau, plages d adresses, grupes (IP, utilisateurs, prt,...) Test de chérence des règles en temps réel Pssibilité de chisir le mde d analyse dans les règles de filtrage Activatin des fnctinnalités applicatives directement dans la plitique de sécurité 3-2-4 - Système de Préventin d'intrusin Préventin d'intrusin en temps réel Préventin des attaques dans les tunnels VPN 3-2-5 - Fnctinnalités VPN IPSec Besin de faire des tunnels site à site et nmades Fnctinnement avec clés pré partagées u certificats 3-2-6 - Fnctinnalités VPN SSL VPN SSL intégré à la slutin Client VPN SSL dispnible pur l ensemble des OS (Windws, Mac, Andrid, Iphne,...) 3-2-7 - Authentificatin Supprt de l'authentificatin unique SSO Authentificatin pssible pur l'ensemble des prtcles Pssibilité de s'intercnnecter avec un annuaire externe LDAP u AD Gestin de drit spécifique aux utilisateurs (drits d'administratin, drits VPN...) sans mdificatin du schéma de l'annuaire externe 3-2-8 - Fnctinnalités Antivirus Antivirus pur tus les prtcles (HTTP, FTP, SMTP, POP3 ) Analyse des fichiers cmpressés Pssibilité de refuser les fichiers chiffrés Mises à jur autmatiques des virus listes 3-2-9 - Fnctinnalités Antispyware Détectin et neutralisatin des lgiciels espins cnnus Mises à jur autmatiques des listes antispywares 3-2-10 - Maintenance La sauvegarde de la cnfiguratin dit être récupérable dans un fichier de façn simple avec les utils d'administratin graphique Le prduit prpsé dit psséder deux partitins, 1 système et 1 de securs. Cette dernière sera utile pur cnserver une cnfiguratin après mdificatin et/u pur permettre un retur en arrière en cas de mise à jur du prduit La mise à jur du firmware du prduit dit se faire par l'envi d'un fichier unique depuis l'interface graphique 3-3 - Fnctinnalités Applicatives cmplémentaires du Pare-feu pur Cambes 3-3-1 - Serveur DHCP Serveur DHCP pur le VLAN Frmatin 3-3-2 - Filtrage URLs Filtrage des URLs par catégrie Pssibilité d ajuter ses prpres catégries Le blcage des pages interdites dit être accmpagné de l affichage d une page d infrmatin persnnalisable 4 - CERTIFICATIONS Les prduits divent être certifiés u en curs de certificatin au niveau des critères cmmuns. Le prestataire précisera les certificatins ANSSI dans l annexe 9. 4
5 - DESCRIPTIF DE POSITION DU MATERIEL 5-1 - Pérennité des équipements prpsés Spécificatin de la durée d'utilisatin prévue pur cet équipement. Pendant cette péride la CCI du Lt bénéficiera des évlutins prévisibles des techniques et prtcles. Il sera accrdé la plus grande imprtance à la pérennité de l équipement prpsé et à la visin de leur avenir spécifiée par le sumissinnaire. Le candidat spécifiera dans sn ffre l'évlutin du système depuis sa naissance, la fréquence des mises à jur et les nuvelles fnctinnalités intrduites par les versins successives. 5-2 - Références Le candidat furnira une liste de sites de référence utilisant l équipement prpsé, u de la même gamme, avec une tplgie de réseau s'apprchant de la nôtre. 6 GARANTIE ET MAINTENANCE Les cnditins de garantie des équipements devrnt être explicitées en termes de cût, de durée et de périmètre pris en charge (matériel et lgiciels) Le cntrat de maintenance devra préciser cmment il s applique durant la phase de garantie et en dehrs. Il devra détailler l ensemble des prestatins téléphniques, déplacements, remplacement de matériels et applicatin des mises à jur pris en charge. 7 OPTIONS Le candidat prpsera en ptin : Supprt téléphnique pur assistance au paramétrage Prtail d authentificatin pur le site de Cambes Haute Dispnibilité Active / Passive pur les 2 sites 8 - LIEU ET DELAI DE LIVRAISON Le prestataire précisera ses délais de livraisn dans l annexe 9. La livraisn aura lieu à : Chambre de Cmmerce et d Industrie du Lt 107 Quai Cavaignac 46000 CAHORS 9 ANNEXE Trame des critères techniques et fnctinnels de la slutin. Fait à : le : Signature et tampn Faire figurer la mentin manuscrite «Bn pur accrd», 5