DOSSIER D'APPEL D'OFFRES N 2014/AO/AM/016 Refonte de l'architecture réseau des accès à l'internet de la BCEAO SEPTEMBRE 2014 Avenue Abdoulaye FADIGA BP 3108 Dakar - Sénégal Tel. (221) 33 839 05 00 / Fax. (221) 33 823 93 35 www.bceao.int
2 PREMIERE PARTIE : DISPOSITIONS GENERALES 1. Contexte La Banque Centrale des Etats de l'afrique de l'ouest (BCEAO) est l'institut d'émission commun aux huit (8) Etats membres de l'union Monétaire Ouest Africaine (UMOA) que sont le Bénin, le Burkina, la Côte-d'Ivoire, la Guinée Bissau, le Mali, le Niger, le Sénégal et le Togo. La BCEAO exerce ses activités à travers : le Siège et le Centre de Formation (COFEB) sis à Dakar; une Direction Nationale dans chacun des Etats membres comprenant une Agence Principale et une ou plusieurs Agences Auxiliaires ; le Secrétariat Général de la Commission Bancaire (SGCB) de l'umoa sis à Abidjan ; la Représentation auprès de la Commission de l'uemoa (RCUEMOA) sise à Ouagadougou ; la Représentation auprès des Institutions Européennes de Coopération (RIEC) sise à Paris. 2. Objet Dans le cadre du renforcement de l'intégration, de la sécurité et de la disponibilité de son système d'information, la BCEAO lance un appel d'offres pour la refonte de l'architecture réseau de ses accès à l'internet. Les objectifs de la consultation sont : l'acquisition de modules assurant les fonctions de pare-feu, de proxy-cache et de filtrage de contenu pour le remplacement des modules existants ; l'acquisition d'un module de répartition de charge pour la gestion dynamique des liaisons internet multiples au Siège ; la mise en œuvre de liaisons VPN site à site entre le Siège, les Agences Principales, le SGCB et la RIEC en configuration «Hub-Spoke» ; l'acquisition de plateformes centralisées d'administration et de supervision des systèmes de sécurité du réseau d'accès à l'internet ; l'intégration des systèmes et composants du réseau d'accès à l'internet. Le présent document définit les clauses administratives à respecter par les soumissionnaires ainsi que les spécifications techniques des travaux. 3. Allotissement La présente consultation comprend deux (2) lots. Les soumissionnaires sont invités à présenter une offre globale forfaitaire pour au moins un des lots ci-après : lot 1 : solution de sécurité des accès à l'internet et de contrôle des flux ; lot 2 : solution VPN. 4. Visite des lieux Il n'est pas prévu de visite des lieux. 5. Conformité Toute offre qui ne répondrait pas explicitement aux exigences du présent dossier d'appel d'offres sera rejetée pour non-conformité.
3 6. Période de validité des offres La validité des offres devra être d'au moins cent vingt (120) jours à compter de la date de dépôt. 7. Langue de soumission Les offres ainsi que toutes les correspondances et tous les documents concernant la soumission, échangés entre le soumissionnaire et la Banque Centrale, seront rédigés en langue française. 8. Monnaie de soumission et de paiement La monnaie utilisée est le Franc CFA. Toutefois, l'euro est accepté pour les fournisseurs établis hors de la zone CFA. 9. Présentation des offres Les offres, établies en trois (03) exemplaires (un original et deux copies), devront être présentées sous double enveloppe fermée, l'enveloppe externe portant la mention «Appel d'offres pour la Refonte de l'architecture réseau des accès à l'internet de la BCEAO». Les enveloppes intérieure et extérieure doivent être adressées à Monsieur le Directeur des Affaires Administratives. Les enveloppes intérieures comporteront en outre le nom et l adresse du soumissionnaire. Chaque exemplaire des offres sera présenté en trois parties distinctes comme suit : 1. présentation de la société ; 2. offre technique ; 3. offre financière. 9.1. Présentation de la société et/ou des sous-traitants La présentation de la société comprendra : une présentation générale succincte ; les références techniques similaires ; les personnes chargées du dossier (qualification et expérience). 9.2. Offre technique L'offre technique sera constituée : d'une composition détaillée de l'offre de base ; d'une composition des offres complémentaires optionnelles. L'offre technique comprendra : la description détaillée des équipements proposés. une présentation générale des caractéristiques des équipements ; avis et remarques ; compléments jugés utiles. 9.3. Offre financière 9.3.1 : Les prix doivent être établis en hors taxes et hors douane et comprendre tous les frais relatifs pour chaque lot. Les prix indiqués par le soumissionnaire seront fermes et non révisables.
4 Les prix prévus comprennent l'ensemble des dépenses, fourniture et livraison, y compris toutes les sujétions particulières découlant de la nature des prestations, des lieux de livraison et des circonstances locales telles que : les frais de livraisons ; tous frais nécessaires non explicitement cités. Ils comprennent aussi le bénéfice du fournisseur. L'utilisation éventuellement de moyens de livraison exceptionnels, même avec l accord d autorités administratives, ne saurait ouvrir au fournisseur un droit quelconque à supplément ou indemnité. Les dépenses susvisées étant réputées incluses dans le prix proposé. 9.3.2. Les offres devront faire ressortir pour chacun des deux lots le coût hors taxes et hors droits de douane (HT-HDD) de l'ensemble des équipements à fournir, livrés dans les locaux de la BCEAO répartis dans les huit Etats membres de l'umoa, ainsi que le coût des prestations associées. 10. Actualisation des offres techniques Compte tenu des évolutions technologiques du marché de matériels de réseau informatique, il sera demandé au soumissionnaire retenu de réviser son offre pour répercuter les évolutions technologiques éventuelles si un délai de six (6) mois s'écoule entre le lancement de l'appel d'offres et la signature du contrat de marché. 11. Frais de soumission Le soumissionnaire supportera tous les frais afférents à la préparation et à la présentation de son offre et la Banque Centrale n est en aucun cas responsable de ces frais ni tenue de les régler, quels que soient le déroulement et l issue de la procédure d appel d offres. 12. Régime fiscal En vertu des dispositions des articles 28 du Traité de l Union Monétaire Ouest Africaine (UMOA), en date du 20 janvier 2007, 7 des Statuts de la BCEAO, 10, paragraphe 10-1 du Protocole relatif aux privilèges et immunités de la BCEAO, annexés audit Traité et 8 de l'accord de Siège conclu le 21 mars 1977 entre le Gouvernement de la République du Sénégal et la BCEAO, la Banque Centrale bénéficie, dans le cadre du présent marché, du régime de l exonération de tous impôts, droits, taxes et prélèvements d'effet équivalent dus dans les Etats membres de l UMOA. A cet égard, les formalités d'obtention du titre d'exonération des droits de douane seront accomplies par la Banque Centrale. 13. Lettre type de soumission Le soumissionnaire présentera son offre en remplissant le formulaire joint en annexe (Formulaire de soumission). 14. Date et lieu de dépôt des offres Les offres devront être déposées au Siège de la BCEAO, à l'avenue Abdoulaye FADIGA BP 3108 DAKAR - Sénégal, au bureau 509 du 5 e étage de la Tour le vendredi 10 octobre 2014 à 17 heures au plus tard, délai de rigueur. En ce qui concerne les offres transmises par courrier, le cachet de l'expéditeur (Poste, DHL, CHRONOPOST, EMS...) indiqué sur le pli fera foi. 15. Ouverture de plis et évaluation des offres Une Commission des Marchés procédera à l'ouverture des plis, à la vérification de la conformité, à l'évaluation et au classement des offres reçues.
5 Il n'est pas exigé de garantie de soumission. Les pièces administratives et financières attestant de la régularité de l'entreprise soumissionnaire ainsi que de sa capacité financière pourraient être exigées avant la passation du marché. Si le candidat ayant présenté l offre évaluée la moins-disante n accepte pas les corrections apportées, le cas échéant, son offre sera écartée. L'évaluation des offres techniques des soumissionnaires reposera sur les critères principaux ci-après : 1. la cohérence des solutions proposées au regard des justifications des choix techniques présentés ; 2. la qualification et l'expérience des membres de l'équipe technique du soumissionnaire qui sera chargée de la mise en œuvre de la solution ; 3. le dimensionnement et les performances des équipements proposés ; 4. la réputation des constructeurs et éditeurs des solutions présentées ; 5. la pérennité et l'évolutivité des solutions, ainsi que le type de support offert ; 6. le planning de mise en œuvre et le diagramme des tâches. Pour l'évaluation des offres, la Banque Centrale prendra en compte les ajustements apportés au prix, le cas échéant, pour rectifier les erreurs arithmétiques. S il y a contradiction entre le prix indiqué en lettres et en chiffres, le montant en lettres fera foi. 16. Attribution du marché Le marché sera attribué pour chaque lot au soumissionnaire dont l offre financière aura été évaluée la moins-disante et l'offre technique jugée conforme au dossier d appel d offres. La BCEAO se réserve le droit d'accepter ou de rejeter toute offre, et d'annuler l'appel d'offres en rejetant toutes les offres, à tout moment, avant l'adjudication du marché. Aucune réclamation ne pourra être faite à la BCEAO quant à la justification de ses choix lors de l'adjudication. Par ailleurs, la Banque pourra exiger du fournisseur de prouver l'origine ainsi que l'état neuf des équipements à livrer. Chaque soumissionnaire dont l'offre n'a pas été retenue en sera informé par écrit. 17. Notification Le marché sera notifié au soumissionnaire retenu et un contrat de marché pourrait lui être soumis pour signature. La date de signature du contrat par les deux parties constitue le point de départ des délais contractuels d'exécution du marché. 18. Lieu de livraison Les équipements commandés doivent être livrés et installés dans les huit Directions Nationales, au Secrétariat Général de la Commission Bancaire de l'umoa, à la Représentation auprès des Institutions Européennes de Coopération et au Siège de la BCEAO selon la répartition indiquée aux points 4 (quantités et livrables du lot 1) et 5 (quantités et livrables du lot 2) de la deuxième partie du présent cahier des charges.
6 Les adresses de livraison se présentent comme ci-après : Pays Bénin Burkina Côte d'ivoire (Agence Principale d'abidjan) Guinée-Bissau Mali Niger Sénégal (Agence Principale de Dakar) Togo Sénégal (Siège) Côte d'ivoire (Secrétariat Général de la Commission Bancaire de l'umoa) France Adresse Direction Nationale de la BCEAO pour le Bénin, Cotonou, Avenue Jean-Paul II Direction Nationale de la BCEAO pour le Burkina, Ouagadougou, Avenue Gamal Abdel Nasser. Direction Nationale de la BCEAO pour la Côte d'ivoire, Abidjan, Angle Boulevard Roussel, Avenue Abdoulaye Fadiga Direction Nationale de la BCEAO pour la Guinée Bissau, Bissau, Avenue du 14 Novembre Direction Nationale de la BCEAO pour le Mali, Bamako, Boulevard du 22 Octobre 1946 Direction Nationale de la BCEAO pour le Niger, Niamey, rue de l'uranium Direction Nationale de la BCEAO pour le Sénégal, Dakar, Boulevard Général de Gaulle, Angle Triangle Sud Direction Nationale de la BCEAO pour le Togo, Lomé, rue Abdoulaye Fadiga Siège de la BCEAO à Dakar, Avenue Abdoulaye Fadiga Dakar Sénégal Secrétariat Général de la Commission Bancaire de l'umoa à Abidjan Avenue Boutreaux-Roussel, Abidjan Représentation de la BCEAO auprès des Institutions Européennes de Coopération, 29 Rue du Colisée 75008 Paris France 19. Délai de livraison 19.1. Le délai de livraison doit être indiqué dans la soumission et commencera à courir à compter de la date de signature du marché. 19.2. Ce délai doit être scrupuleusement respecté sous peine d'application d'une pénalité égale à 1/1000 du montant de la commande, par jour calendaire de retard. Toutefois, le montant de ces pénalités ne peut excéder trois pour cent (3%) du prix du marché. 20. Réception Dans le cadre de la réception du matériel, des tests pour la vérification de bon fonctionnement seront réalisés. La réception du matériel sera effectuée en deux temps selon la procédure ci-après : réception provisoire, constatant la conformité au descriptif de l'offre des équipements fournis ; réception définitive après la réception provisoire et la constatation du bon fonctionnement des équipements, sans que le délai puisse excéder douze (12) mois à compter de la livraison. La réception définitive interviendra sur demande du fournisseur. Chaque réception fera l objet d un procès-verbal signé par les deux parties.
7 21. Preuves et agréments Les soumissionnaires revendeurs doivent fournir dans leur soumission la preuve de l'agrément de(s) l'équipementier(s) dont les matériels sont fournis. 22. Démonstration et visite de site Dans le cadre de l'évaluation des offres, la Banque Centrale se réserve le droit de demander aux soumissionnaires d'effectuer une démonstration de leur solution. Par ailleurs, la Banque Centrale pourrait demander aux soumissionnaires d'organiser une visite d'expérience sur site, dans l'une des sociétés de référence où leur solution a été déployée. 23. Garantie, Maintenance et Appui Technique La durée minimale de la garantie devra être de un (1) an au moins pour tous les équipements et les logiciels livrés. Cette garantie s'entend pièces et main d'œuvre dans les locaux de la Banque Centrale au lieu de livraison des équipements. Tous les équipements doivent être livrés avec les dernières versions logicielles en date. 24. Assurances Les fournisseurs et/ou leurs sous-contractants devront, à leur charge, souscrire à des polices d'assurance valables pendant toute la durée du contrat et couvrant au moins les risques de transport, d'installation et de responsabilité de tiers. 25. Modalités de paiement 25.1 Le montant total du marché est réglé par virement bancaire après l'installation, attestée par un test de bon fonctionnement et sur présentation de la facture en trois (03) exemplaires originaux, accompagnée des pièces justificatives (bon de commande et bordereau de livraison ). 25.2 Toutefois, si le fournisseur le souhaite, les modalités de règlement suivantes pourront être appliquées : 30% d avance forfaitaire de démarrage, contre remise d'une lettre de garantie à première demande de montant équivalent, délivrée par une banque de premier ordre agréée par la BCEAO ; 50% après livraison totale et conforme du matériel, attestée par un bordereau de livraison signé des deux parties ; 15% après installation et constat du bon fonctionnement des équipements et formation, le cas échéant, attesté par un procès-verbal de réception provisoire signé des deux parties ; 5% de retenue de garantie libérable à la fin de la période de garantie. La garantie commence à la réception provisoire. 26. Litiges et contestations 26.1 Tout litige sera réglé à l'amiable. A défaut de règlement à l'amiable, tout différend sera, de convention expresse, soumis à l'arbitrage selon le Règlement d'arbitrage de la Cour Commune de Justice et d'arbitrage (CCJA) de l'organisation pour l'harmonisation en Afrique du Droit des Affaires (OHADA) et tranché par un (1) arbitre ad hoc désigné par la CCJA. 26.2 L'arbitrage se déroulera en langue française, à Dakar au Sénégal, et selon le droit sénégalais. 26.3 Les frais de l'arbitrage sont à la charge de la partie succombante.
8 27. Informations complémentaires 27.1 Pour toute demande d'éclaircissement, les soumissionnaires pourront prendre l'attache de la Direction des Affaires Administratives, par courriel au moins dix (10) jours avant la date limite de remise des offres à l'adresse : courrier.zdaad@bceao.int. Toute demande de renseignements parvenue au-delà du délai précité ne sera pas prise en compte. 27.2 Les questions formulées ainsi que les réponses apportées seront systématiquement mise en ligne sur le site internet de la BCEAO à l'adresse www.bceao.int. A ce titre, les candidats sont invités à visiter régulièrement le site.
9 DEUXIEME PARTIE : DESCRIPTION DES PRESTATIONS 1. Présentation de l'existant La BCEAO a souscrit des accès à l'internet pour son Siège à Dakar, ses huit (8) Agences Principales dans les pays de l'uemoa, sa Représentation auprès des Institutions Européennes de Coopération (RIEC) à Paris et le Secrétariat Général de la Commission Bancaire de l'umoa (SGCB) à Abidjan. 1.1. Accès à l'internet au Siège Au Siège, l'accès à l'internet est supporté par : dix (10) lignes ADSL au débit «inbound» garanti de 2 Mbps chacune et «outbound» de 256 kbps ; une liaison par satellite de débit «inbound» à 8 Mbps et «outbound» à 2 Mbps ; une liaison spécialisée par câble de 2Mbps. La liaison spécialisée supporte les services de messagerie externe et connexions VPN établies avec les Agences Principales, le SGCB et la RIEC. L'architecture des accès à l'internet au Siège est complétée par les composants ci-après : un pare-feu pour la sécurité et le contrôle/filtrage des flux ; un serveur de filtrage de contenu ; un serveur «proxy-cache» ; un serveur VPN. 1.2 Accès à l'internet en Agences Principales, au SGCB et à la RIEC Chaque Agence Principale, le SGCB disposent d'une liaison spécialisée de 2Mbps pour leur accès à l'internet. La RIEC dispose d'une liaison ADSL de 10 Mbps minimum pour son accès à l'internet. Ces liaisons supportent les connexions VPN de ces sites avec le Siège. L'architecture réseau des accès à l'internet est complétée au niveau de chaque site par un serveur unique assurant les fonctions suivantes : le pare-feu pour la sécurité et le contrôle/ filtrage des flux ; le filtrage de contenu ; le proxy-cache ; le client VPN pour les liaisons avec le Siège. 2. Lot 1 : Solution de sécurité des accès internet et contrôle des flux La présente section décrit les solutions techniques et équipements requis dans le cadre de la sécurité des accès internet et du contrôle des flux. 2.1. Spécifications techniques au Siège Il est attendu la fourniture des solutions ci-après : un module dédié de répartition de charges et des flux «load balancing» et «load sharing» ;
10 un module de filtrage de contenu, de filtrage URL et de proxy-cache ; un module pare-feu pour le filtrage et le contrôle des flux. Les systèmes proposés seront dimensionnés pour supporter une charge minimale de 2000 utilisateurs. Les équipements proposés devront être «rackables». 2.1.1. Solution de répartition de charges «Load Balancing/Sharing» La solution de répartition de charges devra assurer la distribution des flux de données sur les liaisons d'accès à l'internet au Siège en fonction de leur disponibilité et des taux de charge pour les débits entrants et sortants de chaque liaison. Le module fourni sera redondant et supportera les modes de fonctionnement «Actif/Actif» ou «Actif/Passif». La solution aura les spécifications minimales ci-après : la répartition de charge pour au moins 12 liaisons internet de débits 10 Mbps maximum ; la surveillance de l'état des liaisons internet ; la détection du dysfonctionnement d'une liaison ; le basculement automatique du flux d'une liaison hors-service vers les liaisons fonctionnelles ; la répartition dynamique des flux sur la base d'un seuil de charge paramétrable individuellement pour chaque liaison ; la possibilité d'appliquer une politique de qualité de service (QOS) sur les flux sortants ; la possibilité de dédier un flux à une liaison donnée sur la base de l'adresse IP source ou du type du flux; la fonctionnalité NAT pour la translation d adresse IP ; Interfaçage avec les serveurs d authentification de type LDAP, TACACS ou RADIUS ; support du routage dynamique OSPF; support de SNMP v2 ou v3. L'administration, le paramétrage et la configuration de la solution se feront au travers d'un navigateur par «https» ou à partir d'un client léger. Les accès logiques des comptes utilisateurs pour l'administration de la solution devront être paramétrables afin d'assurer une ségrégation des droits et une traçabilité des actions effectuées. L'interface de gestion devra permettre de générer et d'extraire des états statistiques au format tableur et/ou PDF pour les données relatives aux flux et performances de chaque liaison Internet. Les solutions qui permettent la génération d'alertes suite à une modification de la configuration seront privilégiées. Les soumissionnaires devront préciser dans leur offre la capacité de la solution proposée à supporter cette fonctionnalité.
11 2.1.2. Solution Pare-Feu Pour les pare-feu, les soumissionnaires noteront que la préférence sera accordée à des plateformes ne reposant pas sur des solutions CISCO. La solution pare-feu devra être redondante et supporter les modes de redondance «Actif/Actif» ou «Actif/Passif». Les spécifications minimales requises pour la solution de sécurité «pare-feu» sont présentées ci-après : support du mode de redondance «Active/Active» ou «Active/Passif» ; type IP «Statefull» avec décision de filtrage de flux entrants et sortants en fonction des états de toutes les connexions (TCP,UDP,etc) ; filtrage de tous type de flux entrants et sortants : SNMP, POP3, HTTP, H323, SIP, etc ; filtrage des applets Java et ActiveX ; détection et prévention des attaques en particulier de type dénis de service, IPSpoofing; support du protocole IPSEC ; support des algorithmes de cryptage AES, 3DES ; translation d'adresses statiques et dynamiques ; support du routage dynamique OSPF ; Interfaçage avec les serveurs d authentification de type LDAP, TACACS ou RADIUS ; support de SNMP v2 ou v3. Les solutions qui supportent la génération d'alertes suite à une modification de la configuration seront privilégiées. Les soumissionnaires devront préciser dans leur offre la capacité de la solution proposée à supporter cette fonctionnalité. 2.1.3. Solution Proxy et Filtrage de Contenu et URL La solution de filtrage de contenu devra supporter les fonctions suivantes : un filtrage de contenu exhaustif et ciblé s'appuyant sur une base de données comportementale fournie et maintenue par un éditeur réputé ; une gestion de la bande passante sur la base du type de fichiers téléchargés, protocoles et site web (diffusion multimédia, messagerie instantanée, réseaux sociaux ; etc...) ; un filtrage en fonction de l horaire d'accès ; la définition de politiques d'accès paramétrables en fonction des profils d'utilisateurs ou de groupes définis dans les annuaires LDAP ( Active Directory, OpenLDAP, Samba) ; la possibilité de personnaliser la page WEB de redirection en fonction de la politique de restriction ; la définition de règles de filtrage associées à des listes d'adresses URL personnalisées, aux sites autorisés et aux mots clés ; la possibilité de fonctionner en mode proxy transparent ;
12 le support de la fonctionnalité de cache ; la possibilité de classification des sites selon leur réputation ; la possibilité de filtrage des types MIME ; le contrôle des protocoles de messagerie instantanée ; le contrôle de bande passante pour la diffusion multimédia (voix et vidéo) ; la détection et le filtrage de code malveillant dans le contenu des sites autorisés ; la détection de flux malveillant encapsulé dans du protocole HTTP(HTTP Tunneling). Les solutions qui supportent la génération d'alertes suite à une modification de la configuration seront privilégiées. Les soumissionnaires devront préciser dans leur offre la capacité de la solution proposée à supporter cette fonctionnalité. 2.2. Spécifications techniques en Agences Principales, au SGCB et à la RIEC. Pour chaque Agence Principale, pour le SGCB et pour la RIEC, les solutions suivantes devront être fournies : un module de filtrage de contenu, filtrage URL et de proxy-cache ; un module pare-feu pour le filtrage et contrôle des flux ; Les spécifications des solutions à fournir sont identiques aux solutions requises pour le Siège. Pour le module pare-feu, la fonction de redondance devra être proposée en option. Les équipements proposés devront être «rackables». Le dimensionnement des solutions proposées devra se faire conformément à la charge minimale basée sur le nombre d'utilisateurs de chaque site, tel que précisé dans le tableau ciaprès. Agences Principales Nombre d'utilisateurs Abidjan 600 Dakar 300 Lomé 250 Ouagadougou 250 Cotonou 250 Bamako 250 Niamey 250 Bissau 200 SGCB 120 RIEC 15 2.3. Unités de rechange pour les Agences Principales Il sera livré au Siège deux (2) unités de rechange par modules fonctionnels conformes aux caractéristiques décrites à la section 2.2. Ces modules seront dimensionnés pour une charge minimale de 300 utilisateurs.
13 2.4. Plateforme centralisée d'administration Une plateforme centralisée supportera l'administration des solutions pare-feu, proxy-filtrage de contenu. L'accès à cette plateforme se fera de préférence au travers d'un navigateur web par «https». Un serveur «rackable» sera fourni avec le système d'exploitation (OS) requis pour la plateforme d'administration. La plateforme devra permettre : la configuration et le paramétrage des systèmes de sécurité ( pare-feu, proxy-filtrage de contenu ) ; une supervision en temps réel des systèmes ; la publication en temps réel des données métrologiques ; la génération d'états statistiques personnalisables au format tableur et/ou PDF pour les données issues des pare-feu et relatives aux connexions, attaques détectées et flux bloqués ; la génération d'états statistiques personnalisables au format tableur et/ou PDF pour les données issues des systèmes «proxy-filtrage de contenu» et relatives aux connexions, contenu filtrés, contenus malveillants, utilisation des ressources et tendance de navigation. Les accès logiques des comptes utilisateurs à la plateforme devront être paramétrables afin d'assurer une ségrégation des droits et une traçabilité des actions effectuées. La plateforme d'administration centralisée sera livrée au Siège de la BCEAO. 2.5. Prestations Les soumissionnaires devront proposer une architecture cohérente afin de livrer des systèmes conformes aux besoins exprimés. Pour une évaluation pertinente de leur offre, ils devront décrire succinctement l'architecture proposée et préciser les spécifications et performances des composants de cette architecture. Les prestations attendues sont : l'installation, le paramétrage et la mise en service des systèmes au Siège et à l'agence Principale de Dakar ; l'élaboration de la configuration initiale, des documents associés et des documents d'exploitation des modules déployés ; l'installation et le paramétrage des plateformes d'administration et de supervision ; la formation et le transfert de compétences. La formation sera dispensée sur site au Siège de la BCEAO à Dakar pour quatre participants et devra être certifiée par les constructeurs des systèmes. 3. Lot n 2 : Solution VPN 3.1. Solution VPN Site à site Les accès à l'internet supportent des liaisons VPN site à site en configuration «Hub-Spoke» entre le Siège qui est le site central, les Agences Principales, le SGCB-UEMOA et la RIEC.
14 Les solutions qui supportent la génération d'alertes suite à une modification de la configuration seront privilégiées. Il est attendu la fourniture de boîtiers VPN pour chaque site. 3.1.1. Spécifications techniques des équipements au Siège Pour le boîtier qui supportera les liaisons VPN avec les Agences Principales, le SGCB et la RIEC, les spécifications minimales attendues sont les suivantes : concentrateur VPN IPSEC ; support des algorithmes de cryptage robustes (AES, 3-DES) ; débit maximum de 70 Mbps supporté par les tunnels IPSEC ; capacité de 50 tunnels IPSEC. 3.1.2. Spécifications techniques des équipements des Agences Principales, du SGCB et de la RIEC Les spécifications minimales attendues pour les boîtiers VPN des sites distants sont les suivantes : passerelle VPN IPSEC ; support des dernières technologies de cryptage ; débits maximum de 20 Mbps supporté par les tunnels IPSEC ; capacité de 5 tunnels IPSEC. 3.2. Boîtier IPSEC/SSL VPN Par ailleurs, en prévision de l'extension des liaisons VPN pour la connexion de partenaires, il sera fourni un boîtier VPN avec les spécifications minimales suivantes : concentrateur VPN IPSEC/SSL VPN ; support des algorithmes de cryptage robustes (AES, 3-DES) ; débit maximum de 70 Mbps supporté par les tunnels IPSEC ; capacité minimale de 1500 tunnels IPSEC et de 5000 connexions SSL VPN. Unités de rechange pour les Agences Principales Il sera livré au Siège trois (3) unités de rechange conforme aux caractéristiques décrites à la section 3.1.2. 3.3. Plateforme centralisée d'administration Une plateforme centralisée supportera l'administration des boîtiers VPN. L'accès à cette plateforme se fera de préférence au travers d'un navigateur web par «https». Un serveur «rackable» sera fourni avec le système d'exploitation (OS) requis pour la plateforme d'administration. 3.4. La plateforme devra permettre : la configuration et le paramétrage des boîtiers VPN ; une supervision en temps réel des systèmes ;
15 la publication en temps réel des données métrologiques ; la génération d'états statistiques personnalisables au format tableur et/ou PDF pour les données relatives aux liaisons VPN ; Les accès logiques des comptes utilisateurs à la plateforme devront être paramétrables afin d'assurer une ségrégation des droits et une traçabilité des actions effectuées. La plateforme d'administration centralisée sera livrée au Siège de la BCEAO 3.5. Prestations Les soumissionnaires devront proposer une architecture cohérente afin de livrer des systèmes conformes aux besoins exprimés. Pour une évaluation pertinente de leur offre, ils devront décrire succinctement l'architecture proposée et préciser les spécifications et performances des composants de cette architecture. Les prestations attendues sont : l'installation, le paramétrage et la mise en service des systèmes au Siège et à l'agence Principale de Dakar ; l'élaboration de la configuration initiale, des documents associés et des documents d'exploitation des modules déployés ; l'installation et le paramétrage des plateformes d'administration et de supervision ; la formation et le transfert de compétences. La formation sera dispensée sur site, au Siège de la BCEAO à Dakar, pour quatre participants et devra être certifiée par les constructeurs des systèmes.
16 4. Quantités et livrables du lot n 1 Le tableau ci-après précise les livrables attendus et les quantités par sites pour le lot n 1. Sites Module Load Balancing/ sharing Proxy Cache /Filtrage de Contenu Proxy Cache/Filtrag e de contenu- Unité de Rechange Parefeu Pare-feu Unité de Rechange COTONOU 0 1 0 1 0 0 OUAGADOUGOU 0 1 0 1 0 0 ABIDJAN 0 1 0 1 0 0 BISSAU 0 1 0 1 0 0 BAMAKO 0 1 0 1 0 0 NIAMEY 0 1 0 1 0 0 DAKAR 0 1 0 1 0 0 LOMÉ 0 1 0 1 0 0 SGCB 0 1 0 1 0 0 RIEC 0 1 0 1 0 0 SIEGE 1 1 2 1 2 1 Plateforme d'administration centralisée Tous les équipements doivent être livrés avec une alimentation électrique 220-230V-50 Hz et cordons prise mâle type E/F (Norme CEE 7/7). Au siège, les quantités indiquées pour les solutions «Load Balance/Sharing» et «Pare-feu» désigne les modules en configuration redondante.
17 5. Quantités et Livrables du lot n 2 Le tableau ci-après précise les livrables attendus et les quantités par sites pour le lot n 1. Sites Boîtier VPN Boîtier VPN rechange Concentrateur VPN Concentrateur VPN Partenaires COTONOU 1 0 0 0 0 OUAGADOUGOU 1 0 0 0 0 ABIDJAN 1 0 0 0 0 BISSAU 1 0 0 0 0 BAMAKO 1 0 0 0 0 NIAMEY 1 0 0 0 0 DAKAR 1 0 0 0 0 LOMÉ 1 0 0 0 0 SGCB 1 0 0 0 0 RIEC 1 0 0 0 0 SIEGE 1 3 1 1 1 Plateforme d'administration centralisée
18 ANNEXE : Formulaire de soumission (indiquer le lieu et la date) A l' attention de : MONSIEUR LE DIRECTEUR DES AFFAIRES ADMINISTRATIVES BP 3108 DAKAR BCEAO/SIEGE Objet : Refonte de l'architecture réseau des accès à l'internet de la BCEAO Nous, soussignés...soumettons par la présente, une offre de prix pour la refonte de l'architecture réseau des accès à l'internet de la BCEAO selon les conditions suivantes : Lot n 1 : solution de sécurité des accès à l'internet et de contrôle des flux pour un montant de...fcfa HT/HD ; Lot n 2 : solution VPN pour un montant de...fcfa HT/HD. Nous déclarons par la présente que toutes les informations et affirmations faites dans cette offre sont authentiques et acceptons que toute déclaration erronée puisse conduire à notre disqualification. Notre proposition engage notre responsabilité et, sous réserve des modifications résultant des négociations du marché, nous nous engageons, si notre proposition est retenue, à commencer la prestation, au plus tard à la date convenue lors des négociations. Signataire mandaté Nom et titre du signataire