CAHIER SPÉCIAL DES CHARGES N o ICT/2015.05 APPEL D OFFRES OUVERT portant sur fourniture et la maintenance d une "PKI EAC" pour les passeports électroniques de Belgique pour le compte du SPF Affaires étrangères, Commerce extérieur et Coopération au Développement
page 2/49 TABLE DES MATIÈRES A. DISPOSITIONS GÉNÉRALES... 4 1. Objet et glossaire du marché... 4 1.1 Objet du marché... 4 1.2 Glossaire du marché... 5 2. Durée du contrat... 7 3. Pouvoir adjudicateur Informations complémentaires... 7 4. Session d information... 7 5. Droit d introduction et ouverture des offres... 8 5.1 Droit et mode d introduction des offres... 8 5.2. L ouverture des offres... 10 6. Service dirigeant fonctionnaire dirigeant... 10 7. Description des services à prester... 10 8. Documents régissant le marché... 11 8.1. Législation.... 11 8.2. Documents du marché.... 11 9. Offres... 11 9.1. Données à mentionner dans l offre.... 11 9.2. Durée de validité de l offre.... 12 9.3. Echantillons, documents et attestations à joindre à l offre.... 12 10. Prix... 12 10.1. Prix.... 12 10.2. Révision des prix.... 12 11. Garantie et service après-vente des fournitures et responsabilité en matière de services... 13 11.1. Garantie et service après-vente... 13 11.2. Responsabilité du prestataire de services... 13 12. La sélection Régularité des offres Critères d attribution... 14 12.1. La sélection... 14 12.2. Régularité des offres.... 18 12.3. Critères d attribution.... 19 13. Cautionnement... 20 14. Réceptions... 22 15. Exécution du marché... 22 15.1. Délais et clauses.... 22 15.2. Lieu où les prestations doivent être exécutées et formalités... 23 16. Facturation et paiement des fournitures et des services... 24 16.1. Facturation et paiement des fournitures... 24 16.2. Facturation et paiement des services (implémentation et formation).. 24 16.3. Facturation et paiement des services (maintenance)... 25 17. Avis de marché et rectificatifs... 25 18. Litiges... 26 19. Conflits d intérêts... 26 20. Engagements particuliers pour les prestations de services... 26 B. PRESCRIPTIONS TECHNIQUES... 27 1. Infrastructures PKI du SPF AE pour le passeport électronique belge... 27 1.1. PKI ICAO actuellement en place au SPF: le CSCA et N-PKD... 27 1.2. PKI EAC actuellement en place au SPF AE... 28 1.3. SPOC, IS et Autres Infrastructures PKI EAC en Belgique... 29 1.4. Responsabilités du SPF AE... 30 2. Besoins techniques... 30 2.1. Standards / Conformités... 30 2.2. Fonctionnalités... 31 2.3. Exigences d Implémentation... 35 3. Maintenance... 37
page 3/49 3.1. Moyens techniques... 37 3.2. Moyens physiques... 37 3.3. Moyens humains... 38 4. Gestion de projet... 39 4.1. Planning... 39 4.2. Tests... 39 4.3. Mise en production... 39 4.4. Documentation... 39 4.5. Formation... 40 C. ANNEXES... 41 FORMULAIRE D OFFRE... 43 TABLEAU DE JUSTIFICATION DES PRIX... 49
page 4/49 SPF Affaires étrangères, Commerce extérieur et Coopération au Développement Rue des Petits Carmes, 15 1000 BRUXELLES Direction d encadrement ICT Fax : 32 (0)2 501 88 95 e-mail : ICT.contracts-procurement@diplobel.fed.be CAHIER SPÉCIAL DES CHARGES n ICT/2015.05 APPEL D OFFRES OUVERT portant sur la fourniture et la maintenance d une "PKI EAC" pour les passeports électroniques de Belgique pour le compte du SPF Affaires étrangères, Commerce extérieur et Coopération au Développement A. DISPOSITIONS GÉNÉRALES 1. Objet et glossaire du marché 1.1 Objet du marché Le présent marché porte sur la fourniture et la maintenance d une infrastructure à clés publiques ("Public Key Infrastructure" ou PKI) pour le contrôle d accès étendu ("Extended Access Control" ou EAC) pour les passeports électroniques de Belgique pour le compte du SPF Affaires étrangères, Commerce extérieur et Coopération au Développement (SPF AE). Le SPF AE est en charge des passeports électroniques belges et des infrastructures nécessaires pour la production et la délivrance de ces documents de voyage. Les réglementations européennes ont rendu obligatoire l introduction des empreintes biométriques protégées par l EAC dans les puces des passeports en 2009. Le SPF AE s est donc doté en 2010 d une PKI EAC, pour la protection des empreintes digitales contenues dans le passeport biométrique belge 2 ème génération. Cette PKI EAC est présente dans les locaux du SPF AE, et est utilisée et administrée par les agents du SPF AE. Cette infrastructure PKI EAC doit être mise à jour, tant matériellement que du point de vue logiciel, et être couverte par un contrat de maintenance. L objet de ce marché est donc la fourniture d une nouvelle infrastructure PKI EAC au SPF AE ainsi que la maintenance de cette nouvelle infrastructure PKI EAC, pendant la durée actuelle du contrat de production des passeports électroniques. Pour information, la durée de validité des passeports belges est de 7 ans, et la Belgique émet des passeports SAC (Supplemental Access Control) depuis décembre 2014. Le projet de mise à disposition d une infrastructure PKI EAC au SPF AE inclut la fourniture et l installation au SPF AE des hardware, software et services nécessaires à la mise en production du système, l audit et la maintenance du système, ainsi que la formation du personnel du SPF AE.
page 5/49 La procédure choisie est celle de l appel d offres ouvert. Ce marché comporte un seul lot. Il s agit d un marché mixte (A.R. 15 juillet 2011, art. 2, 7 ). 1.2 Glossaire du marché PKI ICAO Public Key Infrastructure (Infrastructure à clé publique) d un pays consistant en la fourniture d un CSCA et d un DS, pour signer les données des documents de voyages selon l ICAO qui garantissent l authenticité de ces documents de voyage. PKI EAC Public Key Infrastructure d un pays consistant en la fourniture de CVCA, DV et IS pour autoriser l accès aux données sensibles contenues dans les documents de voyage issus du pays opérant le CVCA, telles que les empreintes biométriques et/ou l iris, et qui sont protégées par la fonction EAC. Inspection System Système regroupant plusieurs fonctionnalités : unité de lecture physique du document de voyage et notamment de sa data page communication sécurisée avec la puce de l emrtd unité ayant accès aux certificats CSCA des pays étrangers via le N-PKD vérification de l authenticité de l emrtd unité ayant elle-même des certificats EAC pour l autoriser à accéder aux données biométriques unité de communication vers DV/CVCA pour obtenir ses certificats EAC, et capable de gérer ses propres clés privées/publiques lecture des données biométriques si accès autorisé 1.2.1 Abréviations Abréviation BSI CRL CSCA (CS par abus de langage) CVCA DS DV DVCA (DV par abus de langage) EAC EAC PKI ECDSA Description / Terme également utilisé en français Bundesamt für Sicherheit in der Informationstechnik Bureau Fédéral pour la sécurité de l information (Allemagne) Certificate Revocation List Liste de révocation des certificats Country Signing Certification Authority Autorité de certification du pays signataire Country Verifying Certification Authority Autorité de certification du pays vérificateur Document Signer Signataire du document Document Verifier Vérificateur du document Document Verifier Certification Authority Autorité de certification du vérificateur du document Extended Access Control Contrôle d accès Etendu Public Key Infrastructure minimum for EAC Infrastructure à clé publique minimale pour le contrôle d accès étendu Elliptic Curve Digital Signature Algorithm Algorithme de signature digitale en courbes elliptiques
page 6/49 emrtd FIPS HSM HTTPS ICAO ICAO PKI IHM IS MRTD ML N-PKD OACI PKD PKI PP-SSCD RA RSA SAC SPF SPF AE SPOC Electronic Machine Readable Travel Document Document de voyage électronique lisible par machine Federal Information Processing Standards Standards développés par le gouvernement fédéral des Etats Unis pour l utilisation dans les systèmes informatiques Hardware Security Module Module de sécurité physique Hypertext Transfer Protocol Secure Protocole sécurisé pour le transfert d hyper texte International Civil Aviation Organization Organisation de l Aviation Civile Internationale (OACI) Public Key Infrastructure minimum for ICAO Infrastructure à clé publique minimale pour l Organisation de l Aviation Civile Internationale (OACI) Interface Homme-Machine Inspection System Système d inspection Machine Readable Travel Document- Document de voyage lisible par machine Master List Liste Maitre National Public Key Directory Répertoire national de clés publiques Organisation de l Aviation Civile Internationale (ICAO) Public Key Directory Répertoire de clés publiques Public Key Infrastructure Infrastructure à clé publique Protection Profile for Secure Signature Creation Device Profile de Protection pour les unités de création sécurisées de signature Registration Authority Autorité d enregistrement Rivest Shamir Adleman Algorithme utilisé dans les systèmes de cryptographie à clé publique, dont le nom est donné par les initiales des 3 personnes qui ont décrit cet algorithme en 1977 Supplemental Access Control Contrôle d accès supplémentaire Service Public Fédéral Service Public Fédéral Affaires étrangères Single Point of Contact Point de contact unique 1.2.2. Références et Standards Ref. Titre Version Date [1] ICAO Doc 9303 Part 1 Volume 2 6ème Edition 2006 [2] ICAO Doc 9303 Part 3 Volume 2 3ème Edition 2008 [3] ICAO Supplement to Doc 9303 Release 14 13/05/2014 [4] Guidance Document PKI for Machine Version 1.0 22/06/2011 Readable Travel Documents [5] Technical Report LDS and PKI Maintenance Version 2.0 21/05/2014 [6] TR-03110 Extended Access Control (EAC) Part Version 2.10 20/03/2012 1 and Part 3 [7] TR-03139 Common Certificate Policy for EAC Version 2.1 27/05/2013 infrastructure for Passports and Travel Documents issued by EU Member States [8] Technical Specification for SPOC - ČSN 36 9791 Edition A
page 7/49 [9] TR-SAC Supplemental Access Control for Version 1.01 11/11/2010 Machine Readable Travel Documents [10] Commission Decision C(2006) 2909 28/06/2006 [11] Commission Decision C(2009) 7476 05/10/2009 [12] Commission Decision C(2011) 5499 04/08/2011 [13] Commission Decision C(2013) 6191 30/09/2013 2. Durée du contrat Le marché prend cours le premier jour calendrier qui suit le jour où l adjudicataire a reçu la notification de la conclusion du marché et est conclu jusqu au 30/04/2021 ( = fin de la maintenance). Le pouvoir adjudicateur peut néanmoins mettre fin de manière anticipée au contrat à la date du 30/04/2019 ou à la date du 30/04/2020, à condition que la notification à l autre partie soit faite par lettre recommandée au moins 90 jours calendrier avant ces dates, selon le cas. Dans ce cas, l adjudicataire ne peut réclamer des dommages et intérêts à cet effet. L exécution des fournitures et des services prévus au présent cahier spécial des charges doit, dans tous les cas, être terminée dans le délai prévu, conformément au point 15.1. 3. Pouvoir adjudicateur Informations complémentaires Le pouvoir adjudicateur est l Etat belge, représenté par le SPF Affaires étrangères, Commerce extérieur et Coopération au Développement Rue des Petits Carmes 15 à 1000 Bruxelles. Des informations complémentaires relatives à la procédure peuvent être obtenues auprès de Monsieur Olivier Duré, Tél. : 32 (0)2 501 41 39 Fax : 32 (0)2 501 88 95 e-mail : ICT.contracts-procurement@diplobel.fed.be. Des informations complémentaires relatives au contenu du marché peuvent être obtenues auprès de Monsieur Daniel Ruttens, Tél. : 32 (0)2 501 32 72 Fax : 32 (0)2 501 89 06 e-mail : daniel.ruttens@diplobel.fed.be ou auprès de Monsieur Alexandre Kawanda, Tél. : 32 (0)2 501 80 19 Fax : 32 (0)2 501 89 06 e-mail : alexandre.kawanda@diplobel.fed.be 4. Session d information Vu la complexité du marché, le pouvoir adjudicateur a décidé d organiser une session d information à l intention des soumissionnaires potentiels. Ces derniers pourront poser des questions et assister à la session. Elle aura lieu entre la publication de l avis de marché et le jour de l ouverture des offres. Cette session d information se tiendra le 30 juin 2015 à 14h à l adresse suivante: SPF Affaires étrangères, Commerce extérieur et Coopération au Développement Salle DV01 Rue des Petits Carmes 15 à 1000 Bruxelles. Un court aperçu de l objet du marché sera fourni lors de cette session d information.
page 8/49 Afin de permettre un déroulement correct de la session d information, les soumissionnaires potentiels qui souhaitent y assister sont priés de faire parvenir leurs questions au pouvoir adjudicateur par e-mail ou par fax. L adresse e-mail est ICT.contracts-procurement@diplobel.fed.be. Le numéro de fax est 32 (0)2 501 88 95. Seules les questions qui seront parvenues au pouvoir adjudicateur au plus tard 5 jours ouvrés (de lundi à vendredi) avant la session d information seront traitées pendant cette session. A l entrée de la salle de réunion, il sera demandé aux présents de mentionner l identité ainsi que l adresse complète de l entreprise qu ils représentent sur une liste de présence. Le pouvoir adjudicateur fera, par la suite, parvenir un procès-verbal de la session d information à tous les présents. Les soumissionnaires potentiels qui n ont pu être présents à la session d information auront la possibilité d obtenir le procès-verbal auprès du pouvoir adjudicateur (par e-mail à l adresse ICT.contracts-procurement@diplobel.fed.be ou par fax au numéro 32 (0)2 501 88 95). 5. Droit d introduction et ouverture des offres 5.1 Droit et mode d introduction des offres Sans préjudice des variantes éventuelles, chacun des soumissionnaires ne peut remettre qu'une offre par marché. Chaque participant à un groupement sans personnalité juridique est considéré comme un soumissionnaire. En application de l article 52, 2, de l AR du 15 juillet 2011, le pouvoir adjudicateur accepte l utilisation de moyens électroniques pour l introduction des offres. Par conséquent, les offres peuvent être introduites comme suit: 1) ou bien électroniquement via l application e-tendering (voir ci-dessous pour plus d informations), 2) ou bien par lettre (une lettre recommandée est conseillée) envoyée au pouvoir adjudicateur, 3) ou bien personnellement déposées auprès du pouvoir adjudicateur. 5.1.1. Offres introduites par des moyens électroniques Lorsque des moyens électroniques sont utilisés pour l introduction de l offre, la signature électronique doit être conforme aux règles du droit européen et du droit national y correspondant relatives à la signature électronique avancée accompagnée d un certificat qualifié et valide, et réalisée au moyen d un dispositif sécurisé de création de signature (Article 52, 1, 1 de l AR du 15 juillet 2011). Les offres qui sont introduites par des moyens électroniques, peuvent être envoyées via le site internet e-tendering https://eten.publicprocurement.be/ qui garantit le respect des conditions de l article 52 de l AR du 15 juillet 2011. Vu que l envoi d une offre par e-mail ne correspond pas aux conditions de l article 52 de l AR du 15 juillet 2011, il n est pas admis d introduire une offre de cette manière. Si nécessaire, les attestations comme demandées dans les documents du marché, sont scannées en PDF, afin de les joindre à l offre. Certains documents à joindre qui ne peuvent pas être produits ou qui peuvent être difficilement produits par des moyens électroniques, peuvent être délivrés sur papier avant la date limite de réception.
page 9/49 En introduisant son offre entièrement ou partiellement via des moyens électroniques, le soumissionnaire accepte que les données qui résultent du fonctionnement du système de réception de son offre, soient enregistrées. Plus d'informations peuvent être obtenues sur le site : http://www.publicprocurement.be ou via le numéro de téléphone du helpdesk du service e-procurement : +32 (0)2 790 52 00. 5.1.2. Offres non introduites par des moyens électroniques Les offres qui sont introduites sur papier et les offres qui sont libellées par des moyens électroniques mais qui ne sont pas introduites par ces moyens, sont glissées dans une enveloppe fermée. Sur cette enveloppe, il y a lieu d indiquer les mentions suivantes: le numéro du cahier spécial des charges: ICT/2015.05; la date et l heure de la séance d ouverture des offres. Cette enveloppe est glissée dans une deuxième enveloppe portant les mentions suivantes: le mot «offre» dans le coin supérieur gauche; le numéro du cahier spécial des charges: ICT/2015.05; l adresse du destinataire comme indiqué ci-dessous. Les offres sont envoyées via un service postal à ou déposées personnellement auprès de: SPF Affaires étrangères, Commerce extérieur et Coopération au Développement Direction d encadrement ICT Rue des Petits Carmes 15 1000 Bruxelles Elles sont déposées en 1 exemplaire original et doivent être rédigées suivant le formulaire d offre joint au présent cahier spécial des charges. De préférence, une copie de l offre sera jointe en format électronique sur un CD-Rom ou un DVD-Rom. Au cas où les offres sont déposées personnellement, le soumissionnaire a le droit de demander un accusé de réception. 5.1.3. Modification ou retrait d une offre déjà introduite Lorsqu un soumissionnaire souhaite modifier ou retirer une offre déjà envoyée ou introduite, ceci doit se dérouler conformément aux dispositions de l article 91 de l arrêté royal du 15 juillet 2011. La modification ou le retrait d une offre déjà introduite est possible via des moyens électroniques qui satisfont au prescrit de l article 52, 1 de l AR du 15 juillet 2011 ou sur papier. Afin de modifier ou de retirer une offre déjà envoyée ou introduite, une déclaration écrite est exigée, correctement signée par le soumissionnaire ou par son mandataire. L objet et la portée des modifications doivent être mentionnés de façon précise. Le retrait doit être inconditionnel. Le retrait peut également être communiqué par téléfax, ou via un moyen électronique qui n est pas conforme à l article 52, 1 de l AR du 15 juillet 2011, pour autant que: 1 ce retrait parvienne au président de la séance d ouverture des offres avant qu il ouvre la séance,
page 10/49 2 et qu il soit confirmé par lettre recommandée déposée à la poste au plus tard le jour avant la séance d ouverture. Remarque: Pour des raisons techniques et organisationnelles, le pouvoir adjudicateur préfère que les offres soient introduites électroniquement. Le choix appartient bien entendu au soumissionnaire et en aucune façon ce choix n aura d influence sur l analyse et l évaluation de l offre. 5.2. L ouverture des offres La séance d ouverture des offres aura lieu au SPF Affaires étrangères, Commerce extérieur et Coopération au Développement Salle DV01 Rue des Petits Carmes 15 à 1000 Bruxelles le 28 juillet 2015 à 14h15. Chaque offre doit parvenir au président de la séance avant qu il déclare la séance ouverte. Seules les offres qui parviennent au président de la séance avant qu il déclare la séance ouverte, peuvent être acceptées. Toutefois, une offre tardive est acceptée pour autant que le pouvoir adjudicateur n ait pas encore conclu le marché et que l offre ait été envoyée sous pli recommandé au plus tard quatre jours calendrier avant la date de la séance d ouverture. 6. Service dirigeant fonctionnaire dirigeant Le service dirigeant est le pouvoir adjudicateur. Seul le pouvoir adjudicateur est compétent pour la surveillance du marché ainsi que pour son contrôle. Le fonctionnaire dirigeant (qui sera un fonctionnaire du pouvoir adjudicateur) sera désigné dans la notification de la conclusion du marché. Les limites de sa compétence y seront indiquées. 7. Description des services à prester Cf. Partie B : Prescriptions techniques
page 11/49 8. Documents régissant le marché 8.1. Législation. - La loi du 15 juin 2006 relative aux marchés publics et à certains marchés de travaux, de fournitures et de services - Loi du 17 juin 2013 relative à la motivation, à l information et aux voies de recours en matière de marchés publics et de certains marchés de travaux, de fournitures et de services - L arrêté royal du 15 juillet 2011 - arrêté royal relatif à la passation des marchés publics dans les secteurs classiques - L arrêté royal du 14 janvier 2013 - arrêté royal établissant les règles générales d'exécution des marchés publics et des concessions de travaux publics - Toutes les modifications à la loi et aux arrêtés précités, en vigueur au jour de la publication de l avis de marché au Bulletin des Adjudications. 8.2. Documents du marché. - Le présent cahier spécial des charges n ICT/2015.05 ainsi que le formulaire d offre y annexé. 9. Offres 9.1. Données à mentionner dans l offre. L attention des soumissionnaires est attirée sur l article 8 de la loi du 15 juin 2006 et sur l article 64 de l arrêté royal du 15 juillet 2011 relatif aux incompatibilités. Il est fortement recommandé au soumissionnaire d utiliser le formulaire d offre joint en annexe. Dans cette optique, l attention du soumissionnaire est attirée sur l article 80 de l arrêté royal du 15 juillet 2011, qui stipule: Lorsqu aux documents du marché est joint un formulaire destiné à établir l offre et à compléter le métré récapitulatif ou l inventaire, le soumissionnaire en fait usage. A défaut d utiliser ce formulaire, il supporte l entière responsabilité de la parfaite concordance entre les documents qu il a utilisés et le formulaire. L offre et les annexes jointes au formulaire d offre sont rédigées en français ou en néerlandais. Par le dépôt de son offre, le soumissionnaire renonce automatiquement à ses conditions générales ou particulières de vente, même si celles-ci sont mentionnées dans l une ou l autre annexe à son offre. Le soumissionnaire indique clairement dans son offre quelle information est confidentielle et/ou se rapporte à des secrets techniques ou commerciaux et ne peut donc pas être divulguée par le pouvoir adjudicateur. Les renseignements suivants seront mentionnés dans l offre: - le prix global et les prix unitaires forfaitaires en lettres et en chiffres (hors TVA) ; - le montant de la TVA en lettres et en chiffres ; - le montant total de l offre en lettres et en chiffres (hors TVA) ; - le montant total de l offre en lettres et en chiffres (TVA incluse) ; - la signature de la personne ou les personnes, selon le cas, ayant mandat pour signer l offre ; - la qualité de la personne ou des personnes, selon le cas, qui signe(nt) l offre ;
page 12/49 - la date à laquelle la personne ou les personnes précitée(s), selon le cas, a/ont signé l offre ; - le numéro d immatriculation complet du soumissionnaire auprès de la Banque Carrefour des Entreprises (pour les soumissionnaires belges) ; 9.2. Durée de validité de l offre. Les soumissionnaires restent liés par leur offre pendant un délai de 120 jours calendrier, à compter du jour qui suit celui de l ouverture des offres. 9.3. Echantillons, documents et attestations à joindre à l offre. Les soumissionnaires joignent à leur offre: - tous les documents demandés dans le cadre des critères de sélection et des critères d attribution (voir rubrique 12 ci-après); - les statuts ainsi que tout autre document utile prouvant le mandat du (des) signataire(s); - le tableau de justification des prix reprenant les différents éléments (prix et quantités) de la solution proposée pour la fourniture et l installation au SPF AE des hardware, software et services nécessaires à la mise en production du système et la formation du personnel du SPF AE (Annexe 2). 10. Prix 10.1. Prix. Tous les prix mentionnés dans le formulaire d offre doivent être obligatoirement libellés en EURO. Le présent marché est un marché mixte où la solution proposée (la fourniture et l installation au SPF AE des hardware, software et services nécessaires à la mise en production du système et la formation du personnel du SPF AE) est à prix global et où la maintenance annuelle et les audits annuels sont à bordereau de prix, ce qui signifie que seuls le prix global et les prix unitaires précisés ci-dessus sont forfaitaires. L adjudicataire est censé avoir inclus dans son prix global et dans ses prix unitaires tous les frais possibles grevant les fournitures et les services, à l exception de la TVA. 10.2. Révision des prix. Pour le présent marché, une révision des prix peut seulement être appliquée pour les fluctuations des salaires et des charges sociales des collaborateurs de l adjudicataire. Cette révision des prix est applicable tant en moins qu en plus et peut être appliquée à l initiative du pouvoir adjudicateur et de l adjudicataire. En cas de demande de révision des prix, cette dernière ne sera déclarée recevable que si les justificatifs du comité paritaire compétent de l adjudicataire ont été joints à la demande de révision des prix. Il ne peut être appliqué qu une révision des prix par an (lors de chaque anniversaire de la conclusion).
page 13/49 Pour le calcul de la révision des prix, la formule suivante est d application: P = Po x [(s x 0,80) + 0,20 (=F)] S Les lettres minuscules se rapportent aux données valables à la date d application de la révision des prix. Les lettres majuscules se rapportent aux données valables 10 jours avant l ouverture des offres. P = prix révisé; Po = prix de l offre; s et S = coûts salariaux (charges sociales incluses); F = partie non révisable comprenant les frais fixes et les bénéfices. La révision des prix ne peut être appliquée que si l augmentation ou la diminution du prix à exécuter à la suite de la demande ou si la demande de révision des prix atteint au moins 3% par rapport au prix mentionné dans l offre (pour la première révision des prix) ou par rapport au dernier prix révisé accepté ou imposé (à partir de la deuxième révision des prix). 11. Garantie et service après-vente des fournitures et responsabilité en matière de services 11.1. Garantie et service après-vente Dans un délai d un an à compter de la date de la réception provisoire au lieu de livraison, le pouvoir adjudicateur peut exiger que l adjudicataire remplace, à ses frais et dans le délai imposé, les produits présentant des défauts qui empêchent une utilisation conforme aux conditions du marché. Un nouveau délai de garantie équivalent s applique à tous les produits fournis en remplacement. Le délai de garantie est prolongé, le cas échéant, à concurrence du laps de temps pendant lequel le produit n'a pu être utilisé du fait d'avarie. Les soumissionnaires peuvent proposer dans leur offre un délai de garantie plus long. 11.2. Responsabilité du prestataire de services L adjudicataire assume la pleine responsabilité des fautes et manquements présentés dans les services fournis. Par ailleurs, l adjudicataire garantit le pouvoir adjudicateur des dommages et intérêts dont celui-ci est redevable à des tiers du fait du retard dans l exécution des services ou de la défaillance de l adjudicataire. L'adjudicataire contracte les assurances couvrant sa responsabilité en matière d'accidents de travail et sa responsabilité civile vis-à-vis des tiers lors de l'exécution du marché (art. 24, AR 14 janvier 2013).
page 14/49 12. La sélection Régularité des offres Critères d attribution 12.1. La sélection Les soumissionnaires sont évalués sur la base des critères de sélection repris ci-après. Seules les offres des soumissionnaires qui satisfont aux critères de sélection sont prises en considération pour participer à la comparaison des offres sur la base des critères d attribution repris au point 12.3 du présent cahier spécial des charges, dans la mesure où ces offres sont régulières sur le plan formel et matériel. 12.1.1. Le droit d accès Par le dépôt de son offre, le soumissionnaire atteste qu il ne se trouve pas dans un des cas d exclusion figurant ci-dessous. Le pouvoir adjudicateur vérifiera l exactitude de cette déclaration sur l honneur implicite dans le chef du soumissionnaire dont l offre est la mieux classée. Le pouvoir adjudicateur demandera lui-même les renseignements ou documents qu il peut obtenir gratuitement par des moyens électroniques auprès des services qui en sont gestionnaires. Critère d exclusion pour cause de constat d infraction à l interdiction du travail illégal Est exclu de l accès au marché, à quelque stade que ce soit de la procédure, tout candidat ou soumissionnaire pour lequel il est établi qu il a occupé, en tant qu employeur, des ressortissants de pays tiers en séjour illégal au sens de la loi du 11 février 2013 prévoyant des sanctions et des mesures à l encontre des employeurs de ressortissants de pays tiers en séjour illégal. Cette disposition s applique de la même manière à l égard de l entité à laquelle le candidat ou le soumissionnaire fait appel lorsque la capacité de cette entité est déterminante pour la sélection du candidat ou du soumissionnaire, selon le cas. L exclusion de la participation aux marchés publics vaut pour une durée pouvant aller jusqu à cinq ans. Premier critère d exclusion.1. Le soumissionnaire belge qui emploie du personnel assujetti à la loi du 27 juin 1969 révisant l arrêté-loi du 28 décembre 1944 concernant la sécurité sociale des travailleurs, doit être en ordre en ce qui concerne ses obligations vis-à-vis de l Office National de Sécurité Sociale. Il est considéré comme étant en ordre en ce qui concerne les obligations précitées, s il apparaît, qu au plus tard la veille de la date limite de réception des offres, il : 1 a transmis à l Office National de Sécurité Sociale toutes les déclarations requises jusque et y compris celles relatives à l avant-dernier trimestre civil écoulé par rapport à la date limite de réception des offres et 2 n a pas pour ces déclarations une dette en cotisations supérieure à 3.000 EURO, à moins qu il n ait obtenu pour cette dette des délais de paiement qu il respecte strictement. Toutefois, même si la dette en cotisations est supérieure à 3.000 euros, le soumissionnaire sera considéré comme étant en règle s il établit, avant la décision d attribuer le marché, qu il possède, à la fin du trimestre civil visé à l alinéa 2, à l égard d un pouvoir adjudicateur au sens de l article 2, 1, de la loi du 15 juin 2006 ou d une entreprise publique au sens de l article 2, 2, de la loi du 15 juin
page 15/49 2006, une ou des créances certaines, exigibles et libres de tout engagement à l égard de tiers pour un montant au moins égal, à 3.000 euros près, à celui pour lequel il est en retard de paiement de cotisations. 2. Le soumissionnaire étranger doit, au plus tard la veille de la date limite de réception des offres : 1 être en règle avec ses obligations relatives au paiement des cotisations de sécurité sociale selon les dispositions légales du pays où il est établi. 2 être en ordre avec les dispositions du 1er, s il emploie du personnel assujetti à la loi du 27 juin 1969 révisant l arrêté-loi du 28 décembre 1944 concernant la sécurité sociale des travailleurs..3. A quelque stade de la procédure que ce soit, le pouvoir adjudicateur peut s informer, par tous moyens qu il juge utiles, de la situation en matière de paiement des cotisations de sécurité sociale de tout soumissionnaire. Deuxième critère d exclusion Conformément à l article 20 de la loi du 15 juin 2006 et l article 61, 1 de l arrêté royal du 15 juillet 2011, est exclu de l accès au marché, à quelque stade que ce soit de la procédure, le soumissionnaire qui a fait l objet d une condamnation prononcée par une décision judiciaire ayant force de chose jugée dont le pouvoir adjudicateur a connaissance pour: 1 participation à une organisation criminelle telle que définie à l article 324bis du Code pénal; 2 corruption, telle que définie à l article 246 du Code pénal; 3 fraude au sens de l article 1er de la convention relative à la protection des intérêts financiers des communautés européennes, approuvée par la loi du 17 février 2002; 4 blanchiment de capitaux tel que défini à l article 3 de la loi du 11 janvier 1993 relative à la prévention de l utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme. En vue de l application du présent paragraphe, le pouvoir adjudicateur a le droit de demander aux soumissionnaires de fournir les renseignements ou documents nécessaires. Lorsqu il a des doutes sur la situation personnelle de ces candidats ou soumissionnaires, il peut s adresser aux autorités compétentes belges ou étrangères pour obtenir les informations qu il estime nécessaires à ce propos. Troisième critère d exclusion Conformément à l article 20 de la loi et à l article 61, 2, 1 et 2 de l arrêté royal du 15 juillet 2011, peut être exclu de l accès au marché, à quelque stade que ce soit de la procédure, le soumissionnaire: 1 qui est en état de faillite, de liquidation, de cessation d activités, de réorganisation judiciaire ou dans toute situation analogue résultant d une procédure de même nature existant dans d autres réglementations nationales;
page 16/49 2 qui a fait l aveu de sa faillite ou fait l objet d une procédure de liquidation, de réorganisation judiciaire ou de toute autre procédure de même nature existant dans d autres réglementations nationales. Quatrième critère d exclusion Sera exclu de la participation au marché public, le soumissionnaire qui a fait l objet d une condamnation prononcée par une décision judiciaire ayant force de chose jugée pour tout délit affectant sa moralité professionnelle. En vue de l application du présent paragraphe, le pouvoir adjudicateur a le droit de demander au soumissionnaire dont l offre est la mieux classée de fournir les renseignements ou documents nécessaires. Lorsqu il a des doutes sur la situation personnelle de ce soumissionnaire, il peut s adresser aux autorités compétentes belges ou étrangères pour obtenir les informations qu il estime nécessaires à ce propos. Cinquième critère d exclusion Le soumissionnaire ne peut pas, en matière professionnelle, avoir commis une faute grave, constatée par tout moyen dont le pouvoir adjudicateur pourra justifier. En outre, le soumissionnaire, par la signature de son offre, s engage à respecter les normes définies dans les conventions de base de l Organisation Internationale du Travail (OIT) et, en particulier: 1. L interdiction du travail forcé (conventions n 29 concernant le travail forcé ou obligatoire, 1930, et n 105 sur l abolition du travail forcé, 1957); 2. Le droit à la liberté syndicale (convention n 87 sur la liberté syndicale et la protection du droit syndical, 1948); 3. Le droit d organisation et de négociation collective (convention n 98 sur le droit d organisation et de négociation collective, 1949); 4. L interdiction de toute discrimination en matière de travail et de rémunération (conventions n 100 sur l égalité de rémunération, 1951 et n 111 concernant la discrimination (emploi et profession), 1958); 5. L âge minimum fixé pour le travail des enfants (convention n 138 sur l âge minimum, 1973), ainsi que l interdiction des pires formes du travail des enfants (convention n 182 sur les pires formes du travail des enfants, 1999). Le non-respect des conventions susmentionnées sera donc considéré comme faute grave en matière professionnelle au sens de l article 61, 2, 4 de l AR du 15 juillet 2006.Les dispositions qui précèdent s appliquent sans préjudice des autres dispositions reprises à l article 61 de l arrêté précité. Sixième critère d exclusion Le soumissionnaire doit être en règle avec ses obligations relatives au paiement de ses impôts et taxes selon la législation belge ou celle du pays dans lequel il est établi, conformément aux dispositions de l article 63 de l AR du 15 juillet 2011. Septième critère d exclusion Sera exclu de la participation au marché public, le soumissionnaire qui s est rendu gravement coupable de fausses déclarations en fournissant des renseignements exigibles en application du présent chapitre ou qui n a pas fourni ces renseignements.
page 17/49 12.1.2. La sélection qualitative Lorsque le soumissionnaire fait appel à la capacité d autres entités et que cette capacité est déterminante pour sa sélection, il mentionne obligatoirement pour quelle part du marché il fait appel à cette capacité et quelles autres entités il propose. 12.1.2.1. Critères de sélection relatifs aux moyens financiers du soumissionnaire Le soumissionnaire doit avoir réalisé au cours d un des trois derniers exercices un chiffre d affaires total au moins égal à 5.000.000,00 EURO. Il joindra à son offre une déclaration relative au chiffre d affaires total réalisé pendant les trois derniers exercices, à moins que le chiffre d affaires total soit mentionné dans les comptes annuels approuvés qui peuvent être consultés via le guichet électronique (il s agit des comptes annuels déposés auprès de la Banque Nationale de Belgique, libellés selon le schéma comptable complet, ou selon le schéma comptable raccourci dans laquelle la mention facultative du chiffre d affaires total réalisé, a été complétée). Le soumissionnaire doit également prouver sa solvabilité financière. Cette capacité financière sera jugée sur base des comptes annuels approuvés des trois dernières années déposés auprès de la Banque Nationale de Belgique. Les soumissionnaires qui ont déposé les comptes annuels approuvés auprès de la Banque Nationale de Belgique, ne sont pas tenus de les joindre à leur offre, étant donné que le pouvoir adjudicateur est à même de les consulter via le guichet électronique de l autorité fédérale. Les soumissionnaires qui n ont pas déposé les comptes annuels approuvés des trois dernières années comptables auprès de la Banque Nationale de Belgique, sont tenus de les joindre à leur offre. Cette obligation vaut également pour les comptes annuels approuvés récemment et qui n ont pas encore été déposés auprès de la Banque Nationale de Belgique, parce que le délai légal accordé pour le dépôt de ceux-ci n est pas encore échu. Pour les entreprises individuelles, il convient de faire rédiger un document reprenant tous les actifs et tous les passifs par un comptable IEC ou un réviseur d entreprise. Ce document doit être certifié conforme par un comptable IEC agréé ou par le réviseur d entreprise, selon le cas. Le document doit refléter une situation financière récente (datant de 6 mois au maximum, à compter de la date d ouverture des offres). Au cas où l entreprise n a pas encore publié de compte annuel, un bilan intermédiaire certifié conforme par le comptable IEC ou par le réviseur d entreprise suffit. Les entreprises étrangères doivent joindre également à leur offre les comptes annuels approuvés des trois dernières années ou un document reprenant tous les actifs et tous les passifs de l entreprise. Au cas où l entreprise n a pas encore publié de compte annuel, un bilan intermédiaire certifié conforme par le comptable ou par le réviseur d entreprise ou par la personne ou l organisme qui exerce ce type de fonction dans le pays concerné suffit. 12.1.2.2. Critères de sélection se rapportant à la compétence technique du soumissionnaire. Premier critère en matière de compétence technique des soumissionnaires. Le soumissionnaire doit disposer du personnel suffisamment compétent pour pouvoir exécuter le marché convenablement. Le soumissionnaire doit joindre à son offre le CV complet de 4 techniciens :
page 18/49 2 CV de développeurs informatiques avec minimum 3 ans d expérience chacun dans ce domaine et ayant des connaissances cryptographiques ; 2 CV de chefs de projet avec minimum 3 ans d expérience dans ce domaine. En outre, le soumissionnaire joint à son offre un relevé reprenant le personnel qui sera mis en œuvre lors de la réalisation du marché. Dans ce document, le soumissionnaire mentionne les diplômes dont ce personnel est titulaire, ainsi que les qualifications professionnelles et l expérience. Deuxième critère en matière de compétence technique des soumissionnaires. Le soumissionnaire doit disposer des références suivantes en matière de livraisons exécutées et qui ont été effectuées au cours des trois dernières années : 2 références en matière de fourniture de système PKI pour les documents d identité et/ou de voyage pour un coût global minimum de 100.000,00 EUR chacune. Le soumissionnaire joint à son offre une liste reprenant les livraisons les plus importantes qui ont été effectuées au cours des trois dernières années, avec mention du montant et de la date ainsi que les destinataires publics ou privés. Les livraisons sont prouvées par des attestations émises ou contresignées par l autorité compétente ou, lorsque le destinataire était un acheteur privé, par une attestation de l acheteur ou à défaut, par une simple déclaration du soumissionnaire. Troisième critère en matière de compétence technique des soumissionnaires. Le soumissionnaire doit être titulaire des certificats et/ou attestations suivants: les HSM doivent être certifiés FIPS 140-2 Level 3, PP-SSCD ou BSI Cryptographic Modules Security Level "Enhanced" Pour son entité de Recherche et Développement, le soumissionnaire doit en outre être titulaire du certificat suivant : Certification ISO 9001 Les certificats et/ou attestations doivent être délivrés par un organisme agréé pour délivrer de tels certificats et/ou attestations et doivent être valides au moment de l ouverture des offres. Il joint à son offre une photocopie des certificats et/ou attestations. Remarque importante: Le soumissionnaire doit indiquer dans son offre la part du marché qu il entend soustraiter ainsi que le ou les sous-traitants proposés. 12.2. Régularité des offres. Les offres des soumissionnaires sélectionnés seront examinées du point de vue de leur régularité. Les offres substantiellement irrégulières seront exclues. Seules les offres régulières seront prises en considération pour être confrontées aux critères d attribution.
page 19/49 12.3. Critères d attribution. Pour le choix de l offre la plus intéressante d un point de vue économique, les offres régulières des soumissionnaires sélectionnés seront confrontées à une série de critères d attribution. Ces critères seront pondérés afin d obtenir un classement final. 12.3.1. Liste des critères d attribution. Les critères d attribution, par ordre décroissant d importance, sont les suivants : 1. Prix (60%); 2. Qualité technique de l offre (40%) : a. Sécurité du système (10%) b. Ergonomie (10%) c. Formation (10%) d. Maintenance (10%) 12.3.2. Cotation finale. Les cotations pour les 2 critères d attribution seront additionnées. Le marché sera attribué au soumissionnaire qui obtient la cotation finale la plus élevée, après que le pouvoir adjudicateur aura vérifié, à l égard de ce soumissionnaire, l exactitude de la déclaration implicite sur l honneur et à condition que le contrôle ait démontré que la déclaration implicite sur l honneur correspond à la réalité. L évaluation des critères d attribution se fera comme suit : - le critère d attribution 1 sera évalué sur base de la formule suivante (Règle de 3) : PM = Prix de l offre la moins chère PO = Prix de l offre (PM/PO) x 60 Le prix de l offre pour la comparaison correspondra au prix global pour la solution proposée c.-à-d. la fourniture et l installation au SPF AE des hardware, software et services nécessaires à la mise en production du système et la formation du personnel du SPF AE ainsi qu à 5 années complètes de maintenance et à 5 audits. - le critère d attribution 2 sera évalué sur base de la comparaison des offres sur les bases suivantes : a. Sécurité du système (10%) : la qualité de l offre sur la sécurité sera jugée sur les informations fournies par le soumissionnaire pour expliquer comment son système est sécurisé, comment il minimise les attaques sécuritaires et intègre des contremesures ; le soumissionnaire pourra également expliquer comment il assure que son système est mis à jour concernant l intégration de nouvelles contre-mesures sécuritaires et comment le SPF AE sera informé des changements à apporter dans le système face à ces nouvelles attaques sécuritaires. Les informations fournies devront être claires et complètes.
page 20/49 b. Ergonomie (10%) : le soumissionnaire fera une démonstration "live" du fonctionnement de son système, en montrant comment le système implémente les fonctionnalités décrites dans le cahier des charges. Une démonstration sur la base de copies d écran et/ou de diapositives de présentation ne sera pas acceptée. La démonstration montrera que : les Interfaces Homme/Machine des différents logiciels sont similaires afin d en faciliter l utilisation ; l utilisation des logiciels est intuitive ; la navigation pour accéder aux fonctionnalités des logiciels est rapide et le nombre d actions de l utilisateur pour réaliser une fonction est réduit au minimum. Selon le calendrier, la démonstration aura lieu en août 2015 et se déroulera au SPF AE, rue des Petits Carmes 24A, 1000 Bruxelles. Les soumissionnaires sont invités à bloquer d ores et déjà cette période. L ordre de passage des différents soumissionnaires sera l ordre alphabétique des noms des firmes soumissionnaires. c. Formation (10%) : la qualité de l offre sur la formation sera jugée sur les informations fournies par le soumissionnaire concernant le contenu et le déroulement de la formation qui sera dispensée. Les informations fournies devront être claires et complètes. d. Maintenance (10%) : la qualité de l offre sur la maintenance sera jugée sur les informations fournies par le soumissionnaire concernant le SLA proposé (Service Level Agreement ou Accord sur les niveaux de service) avec notamment les temps d intervention et de résolution en cas de problème, ainsi que le type et la fréquence de maintenance préventive qui pourrait être proposée. Les informations fournies devront être claires et complètes. 13. Cautionnement Le cautionnement est fixé à 5 % du montant total, hors TVA, du marché. Le montant ainsi obtenu est arrondi à la dizaine d euro supérieure. Le cautionnement peut être constitué conformément aux dispositions légales et réglementaires, soit en numéraire, ou en fonds publics, soit sous forme de cautionnement collectif. Le cautionnement peut également être constitué par une garantie accordée par un établissement de crédit satisfaisant au prescrit de la législation relative au statut et au contrôle des établissements de crédit ou par une entreprise d'assurances satisfaisant au prescrit de la législation relative au contrôle des entreprises d'assurances et agréée pour la branche 15 (caution). L adjudicataire doit, dans les trente jours de calendrier suivant le jour de la conclusion du marché, justifier la constitution du cautionnement par lui-même ou par un tiers, de l une des façons suivantes : 1 lorsqu il s agit de numéraire, par le virement du montant au numéro de compte du Postchèque de la Caisse des Dépôts et Consignations [compte bpost banque n BE58 6792 0040 9979 (IBAN), PCHQBEBB (BIC)] ou d un organisme public remplissant une fonction similaire à celle de ladite Caisse, ci-après dénommé organisme public remplissant une fonction similaire ; 2 lorsqu il s agit de fonds publics, par le dépôt de ceux-ci entre les mains du caissier de l Etat au siège de la Banque nationale à Bruxelles ou dans l une de ses agences
page 21/49 en province, pour compte de la Caisse des Dépôts et Consignations, ou d un organisme public remplissant une fonction similaire ; 3 lorsqu il s agit d un cautionnement collectif, par le dépôt par une société exerçant légalement cette activité, d un acte de caution solidaire auprès de la Caisse des Dépôts et Consignations ou d un organisme public remplissant une fonction similaire ; 4 lorsqu il s agit d une garantie, par l acte d engagement de l établissement de crédit ou de l entreprise d assurances. Cette justification se donne, selon le cas, par la production au pouvoir adjudicateur : 1 soit du récépissé de dépôt de la Caisse des Dépôts et Consignations ou d un organisme public remplissant une fonction similaire ; 2 soit d un avis de débit remis par l établissement de crédit ou l entreprise d assurances ; 3 soit de la reconnaissance de dépôt délivrée par le caissier de l Etat ou par un organisme public remplissant une fonction similaire ; 4 soit de l original de l acte de caution solidaire visé par la Caisse des Dépôts et Consignations ou par un organisme public remplissant une fonction similaire ; 5 soit de l original de l acte d engagement établi par l établissement de crédit ou l entreprise d assurances accordant une garantie. Ces documents, signés par le déposant, indiquent au profit de qui le cautionnement est constitué, son affectation précise par l indication sommaire de l objet du marché et de la référence des documents du marché, ainsi que le nom, le prénom et l adresse complète de l adjudicataire et éventuellement, du tiers qui a effectué le dépôt pour compte, avec la mention bailleur de fonds ou mandataire, suivant le cas. Le délai de trente jours de calendrier visé ci-avant est suspendu pendant la période de fermeture de l entreprise de l adjudicataire pour les jours de vacances annuelles payées et les jours de repos compensatoire prévus par voie réglementaire ou dans une convention collective de travail rendue obligatoire. La preuve de la constitution du cautionnement doit être envoyée à l adresse qui sera mentionnée dans la notification de la conclusion du marché. La demande de l adjudicataire de procéder à la réception: 1 en cas de réception provisoire : tient lieu de demande de libération de la première moitié du cautionnement; 2 en cas de réception définitive : tient lieu de demande de libération de la seconde moitié du cautionnement, ou, si une réception provisoire n est pas prévue, de demande de libération de la totalité de celui-ci.
page 22/49 14. Réceptions Les fournitures et les services seront suivis attentivement par un délégué du pouvoir adjudicateur. L identité de ce délégué sera communiquée à l adjudicataire au moment où débutera l exécution du marché. Une réception provisoire du marché ne pourra être envisagée que postérieurement à la mise en production de la solution (Partie B, Point 4.3). La réception définitive du marché aura lieu au terme du marché c est-à-dire au moment où l adjudicataire ne sera plus lié par une obligation de maintenance de la solution. 15. Exécution du marché 15.1. Délais et clauses. 15.1.1 Délais La nouvelle PKI EAC doit être complètement opérationnelle à partir du 18/12/2015. La maintenance sera effectuée jusqu au 30/04/2021 (sauf application d une résiliation unilatérale conformément au point 2 du cahier spécial des charges). Le bon de commande est adressé à l adjudicataire soit par envoi recommandé soit par fax, soit par tout autre moyen permettant de déterminer la date d envoi de manière certaine. Les échanges de correspondance subséquents relatifs au bon de commande (et à l exécution des services) suivent les mêmes règles que celles prévues pour l envoi du bon de commande chaque fois qu une partie désire se ménager la preuve de son intervention. En cas de réception du bon de commande postérieure au délai de deux jours ouvrables, le délai de livraison peut-être prolongé au prorata du retard constaté pour la réception du bon de commande, à la demande écrite et justifiée de l adjudicataire. Si le service commandeur, après avoir examiné la demande écrite de l adjudicataire, l estime fondée ou partiellement fondée, il lui communique par écrit quelle prolongation de délai est acceptée. En cas de libellé manifestement incorrect ou incomplet du bon de commande empêchant toute exécution de la commande, l adjudicataire en avise immédiatement par écrit le service qui a fait la commande afin qu une solution soit trouvée pour permettre l exécution normale de la commande. Si nécessaire, l adjudicataire sollicite une prolongation du délai de l exécution des services dans les mêmes conditions que celles prévues en cas de réception tardive du bon de commande. En tout état de cause, les réclamations relatives au bon de commande ne sont plus recevables si elles ne sont pas introduites dans les 15 jours de calendrier à compter à partir du premier jour qui suit celui où l adjudicataire a reçu le bon de commande. 15.1.2. Clause d exécution Le soumissionnaire s engage, jusqu à la complète exécution du marché, à respecter les 8 conventions de base de l OIT, en particulier : 1. L interdiction du travail forcé (conventions n 29 concernant le travail forcé ou obligatoire, 1930, et n 105 sur l abolition du travail forcé, 1957) ;
page 23/49 2. Le droit à la liberté syndicale (convention n 87 sur la liberté syndicale et la protection du droit syndical, 1948) ; 3. Le droit d organisation et de négociation collective (convention n 98 sur le droit d organisation et de négociation collective, 1949) ; 4. L interdiction de toute discrimination en matière de travail et de rémunération (conventions n 100 sur l égalité de rémunération, 1951 et n 111 concernant la discrimination (emploi et profession), 1958) ; 5. L âge minimum fixé pour le travail des enfants (convention n 138 sur l âge minimum, 1973), ainsi que l interdiction des pires formes du travail des enfants (convention n 182 sur les pires formes du travail des enfants, 1999). En vertu de l article 44, 1, 1 de l arrêté royal du 14 janvier 2013, le non-respect de cet engagement sera considéré comme une non-exécution du marché suivant les prescriptions fixées dans les documents du marché, ce qui donnera lieu à la mise en demeure de l adjudicataire, et pourra, en vertu de l article 47, 2, 1 de l arrêté royal du 14 janvier 2013, donner lieu à l application des mesures d office, en particulier à la résiliation unilatérale du marché. 15.2. Lieu où les prestations doivent être exécutées et formalités 15.2.1. Lieu où les fournitures doivent être livrées Les fournitures seront livrées à l adresse suivante: SPF Affaires étrangères, Commerce extérieur et Coopération au Développement Rue des Petits Carmes 24A 1000 BRUXELLES 15.2.2. Lieu où les services doivent être exécutés Les services seront exécutés à l adresse suivante: SPF Affaires étrangères, Commerce extérieur et Coopération au Développement Rue des Petits Carmes 24A 1000 BRUXELLES 15.2.3. Evaluation des fournitures livrées Si pendant l exécution des fournitures, des anomalies sont constatées, ceci sera immédiatement notifié à l adjudicataire par un fax ou par un message e-mail, qui sera confirmé par la suite au moyen d une lettre recommandée. L adjudicataire est tenu de remplacer les fournitures exécutées de manière non conforme par des fournitures qui correspondent à celles décrites au cahier spécial des charges et dans l offre. L évaluation précitée ne couvre pas les vices cachés. 15.2.4. Evaluation des services exécutés Si pendant l exécution des services, des anomalies sont constatées, ceci sera immédiatement notifié à l adjudicataire par un fax ou par un message e-mail, qui sera confirmé par la suite au moyen d une lettre recommandée. L adjudicataire est tenu de recommencer les services exécutés de manière non conforme.
page 24/49 15.2.5. Evaluation du marché dans son ensemble (livraison et mise en production de la solution proposée) Etant donné qu il s agit d un marché mixte de fournitures et de services, le pouvoir adjudicateur dispose d un délai de vérification de trente jours à compter de la date de la mise en production de la solution, constatée conformément aux modalités fixées dans les documents du marché (Partie B, Point 4.3), pour procéder aux formalités de réception et en notifier le résultat à l adjudicataire. Ce délai prend cours pour autant que le pouvoir adjudicateur soit, en même temps, en possession de la liste des fournitures livrées, des services prestés ou de la facture. Si la mise en production est terminée avant ou après la date prévue, l adjudicataire en donne connaissance par envoi recommandé au fonctionnaire dirigeant et demande de procéder à la réception. Dans ce cas, le délai de vérification de trente jours prend cours à la date de réception de la demande de l adjudicataire. La réception visée ci-avant est provisoire. 16. Facturation et paiement des fournitures et des services 16.1. Facturation et paiement des fournitures L adjudicataire envoie les factures (en un seul exemplaire) et le procès-verbal de réception du marché (exemplaire original) à l adresse suivante: SPF Affaires étrangères, Commerce extérieur et Coopération au Développement Direction d encadrement B&B Rue des Petits Carmes 15 1000 Bruxelles La facture reprendra toutes les références mentionnées sur le bon de commande ainsi que le nom de la personne de contact. Seules les fournitures exécutées de manière correcte pourront être facturées. Le paiement du montant dû au fournisseur est effectué dans les trente jours à compter de l'échéance du délai de vérification prévu au point 15.2.5. ou à compter du lendemain du dernier jour du délai de vérification si ce délai est inférieur à 30 jours. Et pour autant que le pouvoir adjudicateur soit, en même temps, en possession de la facture régulièrement établie ainsi que des autres documents éventuellement exigés. La facture vaut déclaration de créance. La facture doit être libellée en EURO. 16.2. Facturation et paiement des services (implémentation et formation) L adjudicataire envoie les factures (en un seul exemplaire) et le procès-verbal de réception du marché (exemplaire original) à l adresse suivante: SPF Affaires étrangères, Commerce extérieur et Coopération au Développement Direction d encadrement B&B Rue des Petits Carmes 15 1000 Bruxelles
page 25/49 La facture reprendra toutes les références mentionnées sur le bon de commande ainsi que le nom de la personne de contact. Seuls les services exécutés de manière correcte pourront être facturés. Le paiement du montant dû au prestataire de services doit intervenir dans le délai de paiement de trente jours à compter de l'échéance du délai de vérification prévu au point 15.2.5. ou à compter du lendemain du dernier jour du délai de vérification si ce délai est inférieur à 30 jours. Et pour autant que le pouvoir adjudicateur soit, en même temps, en possession de la facture régulièrement ainsi que des autres documents éventuellement exigés. Lorsque les documents du marché ne prévoient pas une déclaration de créance séparée, la facture vaut déclaration de créance. La facture doit être libellée en EURO. 16.3. Facturation et paiement des services (maintenance) L adjudicataire envoie les factures (en un seul exemplaire) et le procès-verbal de réception du marché (exemplaire original) à l adresse suivante: SPF Affaires étrangères, Commerce extérieur et Coopération au Développement Direction d encadrement B&B Rue des Petits Carmes 15 1000 Bruxelles La facture reprendra toutes les références mentionnées sur le bon de commande ainsi que le nom de la personne de contact. Le montant de la maintenance est payable annuellement à l aide d acomptes, la première fois à partir de la date de réception provisoire de la solution et les années suivantes à la date anniversaire de la réception en question. Tenant compte du fait que le paiement est assuré annuellement, nous demandons aux soumissionnaires de mentionner le prix d une année de maintenance dans l annexe au formulaire d offre. En outre, la maintenance s achevant au plus tard le 30/04/2021 (Cf. point 2 "Durée du contrat"), la dernière année sera payée au prorata de la période à couvrir. Lorsque les documents du marché ne prévoient pas une déclaration de créance séparée, la facture vaut déclaration de créance. La facture doit être libellée en EURO. 17. Avis de marché et rectificatifs Les avis de marché et rectificatifs annoncés ou publiés au Bulletin des Adjudications ou au Journal Officiel de l Union européenne qui ont trait aux marchés en général, ainsi que les avis de marché et rectificatifs relatifs à ce marché, font partie intégrante du présent cahier spécial des charges. Le soumissionnaire est censé en avoir pris connaissance et en avoir tenu compte lors de l établissement de son offre.
page 26/49 18. Litiges Tous les litiges relatifs à l exécution de ce marché sont exclusivement tranchés par les tribunaux compétents de l arrondissement judiciaire de Bruxelles. La langue véhiculaire est le français ou le néerlandais. Le pouvoir adjudicateur n est en aucun cas responsable des dommages causés à des personnes ou à des biens qui sont la conséquence directe ou indirecte des activités nécessaires à l exécution de ce marché. L adjudicataire garantit le pouvoir adjudicateur contre toute action en dommages et intérêts par des tiers à cet égard. 19. Conflits d intérêts Dans le cadre de la lutte contre les conflits d intérêts, en particulier afin d éviter le mécanisme du tourniquet ( revolving doors ), tel que défini dans la loi du 8 mai 2007 portant assentiment à la Convention des Nations unies contre la corruption, faite à New York le 31 octobre 2003, le soumissionnaire s abstient de faire appel à un ou plusieurs anciens collaborateurs (internes ou externes) du SPF Affaires étrangères, Commerce extérieur et Coopération au Développement, dans les deux ans qui suivent son/leur démission, départ à la retraite ou tout autre type de départ du SPF Affaires étrangères, Commerce extérieur et Coopération au Développement, d une quelconque manière, directement ou indirectement, pour l élaboration et/ou l introduction de son offre ou toute autre intervention dans le cadre de la procédure de passation, ainsi que pour certaines tâches à réaliser dans le cadre de l exécution du présent marché. La disposition qui précède ne s applique toutefois que lorsqu un lien direct existe entre les précédentes activités prestées pour le pouvoir adjudicateur par la ou les personnes concernées et ses/leurs activités dans le cadre du présent marché. Toute infraction à cette mesure pouvant être de nature à fausser les conditions normales de la concurrence est passible d une sanction conformément aux dispositions de l article 9 de la loi du 15 juin 2006 relative aux marchés publics et à certains marchés de travaux, de fournitures et de services. Concrètement, cette sanction consiste, selon le cas, soit à écarter l offre, soit à résilier le marché. 20. Engagements particuliers pour les prestations de services L adjudicataire et ses collaborateurs sont liés par un devoir de réserve concernant les informations dont ils ont connaissance lors de l exécution de ce marché. Ces informations ne peuvent en aucun cas être communiquées à des tiers sans l autorisation écrite du pouvoir adjudicateur. L adjudicataire peut toutefois faire mention de ce marché en tant que référence. L adjudicataire s engage à faire exécuter le marché par les personnes indiquées dans l offre, sauf cas de force majeure. Les personnes mentionnées ou leurs remplaçants sont tous censés participer effectivement à la réalisation du marché. Les remplaçants doivent être agréés par le pouvoir adjudicateur.
page 27/49 B. PRESCRIPTIONS TECHNIQUES 1. Infrastructures PKI du SPF AE pour le passeport électronique belge La Belgique émet des passeports électroniques, c.-à-d. contenant une puce électronique dans sa couverture, depuis 2004. Son infrastructure PKI ICAO est donc fonctionnelle depuis 2004. Les réglementations Européennes ont rendu obligatoire l introduction des empreintes biométriques protégées par l EAC dans les puces des passeports en 2009. La Belgique a donc mis en place une infrastructure PKI EAC opérationnelle depuis janvier 2010. 1.1. PKI ICAO actuellement en place au SPF: le CSCA et N-PKD La Belgique sera bientôt dotée d une nouvelle version de sa PKI ICAO CSCA et d une infrastructure N-PKD. Le schéma général de l infrastructure belge concernant la PKI ICAO sera donc le suivant :
page 28/49 1.2. PKI EAC actuellement en place au SPF AE La PKI EAC actuelle, que nous appellerons PKI EAC V1, est disponible au SPF AE depuis Janvier 2010, et est administrée par le personnel du SPF AE. Elle consiste en la disponibilité d un CVCA pour les passeports belges, d un DV National et d un IS Quality Control ( Système d Inspection pour le contrôle qualité). Le logiciel et le matériel ont été fournis par Oberthur Technologies, logiciel développé par Keynectis/OpenTrust. Le schéma correspondant à cette infrastructure est le suivant : 1.2.1. Description Matérielle La plateforme EAC se compose de : - 1 serveur constituant la plateforme CVCA - 4 serveurs constituant la plateforme DVCA (2 serveurs DV - DV1 et DV2 - redondants pour assurer une haute disponibilité + un serveur spare pour chacun) - 1 serveur spare - 1 poste de cérémonies des clés (PC HP Compaq 6000 Pro + un écran HP LCD 19 ). Les 7 serveurs sont des serveurs HP ProLiant DL380. Les HSM utilisés sont des HSM Safenet: - Pour le CVCA et le poste de cérémonie des clés : HSM Luna CA4 avec authentification par PED. - Pour les DV : HSM Luna PCI 3000 avec authentification par PED. L ensemble est installé dans les locaux sécurisés du service IT du SPF AE, sur un rack 22U, disposant d une console KVM et d un switch 20 ports. 1.2.2. Description Fonctionnelle Les interfaces du CVCA et des DVCA sont accessibles en HTTPS avec authentification forte. Plusieurs rôles sont définis : Administrateur, Opérateur et Officier de sécurité. En fonction des manipulations à effectuer, pour des questions de sécurité d accès à l application de la plateforme EAC V1, 1, 2 ou 3 personnes sont nécessaires.
page 29/49 La PKI EAC V1 supporte les fonctionnalités définies dans les spécifications en référence [6] et [7], notamment : - Création/Renouvellement/Gestion du certificat CVCA et ses Linked Certificates (certificats liés) - Création/Renouvellement/Gestion (notamment activation / désactivation) des certificats DV Nationaux et DV Etrangers - Création/Renouvellement/Gestion (notamment activation / désactivation) des certificats IS - Export des certificats - Back-up / Restore - Edition des logs d audit. Aujourd hui, la PKI EAC V1 a été uniquement utilisée dans le cadre de l émission des passeports électroniques belges conformes aux réglementations européennes [10], [11], [12] et [13]. Elle ne communique pas de manière automatique vers l extérieur, et ne génère que des certificats DV Nationaux, de même cryptographie que le CVCA. Elle gère également un IS Contrôle Qualité. La cryptographie utilisée pour la PKI EAC est la cryptographie Courbes Elliptiques 256 bits Sha256 (ECDSA P-256 du FIPS 186-2). 1.3. SPOC, IS et Autres Infrastructures PKI EAC en Belgique Selon les réglementations européennes [10], [11], [12] et [13], les permis de séjour, les Passeports Electroniques et leurs infrastructures respectives doivent respecter les spécifications [1] à [9]. Le SPF Intérieur est en charge de l émission des Permis de séjour et s est doté, à ce titre, de sa propre infrastructure PKI EAC, indépendante de la PKI EAC du SPF AE. Le SPOC étant une infrastructure unique et commune, le SPF Intérieur est en charge de la fourniture et de la maintenance du SPOC Belge. Le SPOC ne fait pas partie de ce projet de fourniture d une nouvelle infrastructure PKI EAC pour les passeports électroniques belges. La PKI EAC Passeport est donc connectée au SPOC, via une communication sécurisée entre les 2 SPFs, et un système de partage de dossiers in/out. Les IS de vérification/lecture des passeports sont également de la responsabilité du SPF Intérieur (via la police aux frontières). Cependant, dans le cadre de l émission des passeports, le SPF AE souhaite gérer la chaine complète depuis l émission du passeport électronique jusqu à sa relecture (avec empreintes digitales) au moment de sa remise au porteur (dans les communes, les provinces, les postes diplomatiques). Le projet de fourniture d une nouvelle infrastructure PKI EAC pour les passeports électroniques belges doit donc inclure la fourniture d un IS National Central. Les unités de lecture physique (hardware) étant déjà disponibles au SPF AE, cet IS Central ne gérera que les questions de certificats et clés privées/publiques; cet IS National Central devra suivre les recommandations listées au chapitre 2.2.3.
page 30/49 1.4. Responsabilités du SPF AE Le SPF AE est responsable de l émission des passeports électroniques belges, de leur relecture avant remise au porteur, et de l autorisation aux IS Belges et IS Etrangers de lire ou non les empreintes digitales biométriques contenues dans les puces des passeports des citoyens belges. Le SPF AE n est pas en charge des demandes d autorisation auprès des pays étrangers pour que la Belgique puisse lire les empreintes digitales biométriques contenues dans les puces des passeports des citoyens de ces pays étrangers. Les pays étrangers devront s enregistrer auprès du SPOC Belge via le PKI Coordinator (Coordinateur PKI) avant que la PKI EAC traite une demande (Certificate Request - demande de certificat) de ces pays étrangers pour lire les empreintes digitales biométriques contenues dans les puces des passeports belges. Les IS Belges, dépendant du SPF Intérieur, enverront leur demande d autorisation après enregistrement (IS Certificate Request) au DV National du SPF AE sans passer par le SPOC. Les Inspections Systems (IS) ne font pas partie du marché, hormis la fourniture d un IS National Central au SPF Affaires Étrangères pour la lecture des passeports avant remise au porteur. Les unités de lecture physique (hardware) étant déjà disponibles au SPF AE, cet IS Central ne gérera que les questions de certificats et clés privées/publiques; cet IS National Central devra suivre les recommandations listées au chapitre 2.2.3. 2. Besoins techniques Ce chapitre exprime les fonctionnalités nécessaires à la future PKI EAC (PKI EAC V2) Belge du SPF AE, ainsi que les exigences spécifiques à la Belgique. La PKI EAC V2 doit se conformer aux standards listés également dans ce chapitre. 2.1. Standards / Conformités Les spécifications et standards sont listés dans le paragraphe 1.4 Références et Standards de ce cahier spécial des charges. Ils sont ici repris : Ref Titre Version Date [1] ICAO Doc 9303 Part 1 Volume 2 6ème Edition 2006 [2] ICAO Doc 9303 Part 3 Volume 2 3ème Edition 2008 [3] ICAO Supplement to Doc 9303 Release 14 13/05/2014 [4] Guidance Document PKI for Machine Version 1.0 22/06/2011 Readable Travel Documents [5] Technical Report LDS and PKI Maintenance Version 2.0 21/05/2014 [6] TR-03110 Extended Access Control (EAC) Part Version 2.10 20/03/2012 1 and Part 3 [7] TR-03139 Common Certificate Policy for EAC Version 2.1 27/05/2013 infrastructure for Passports and Travel Documents issued by EU Member States [8] Technical Specification for SPOC - ČSN 36 Edition A 9791 [9] TR-SAC Supplemental Access Control for Version 1.01 11/11/2010 Machine Readable Travel Documents [10] Commission Decision C(2006) 2909 28/06/2006
page 31/49 [11] Commission Decision C(2009) 7476 05/10/2009 [12] Commission Decision C(2011) 5499 04/08/2011 [13] Commission Decision C(2013) 6191 30/09/2013 2.2. Fonctionnalités 2.2.1. CVCA Le CVCA doit être conforme aux spécifications [6], [7] et [8]. Coté CVCA : génération de CVCA certificats et gestion des clés - Générer le certificat racine (Root Certificate) CVCA et les CVCA Linked Certificates : o La génération de ces certificats doit se faire pendant une cérémonie de clés, qui requiert la présence d au moins 2 personnes de confiance ; la présence de ces personnes doit donc être vérifiée/rendue obligatoire par le CVCA. - Stocker et Exporter les certificats CVCA : o Les certificats CVCA o CVCA Linked Certificates o Le CVCA doit pouvoir fournir les chaines de certificats (Certificate Chain) à ses DV autorisés, sur demande des DV. - Le CVCA doit stocker les chaines de certificats CVCA des pays étrangers, avec un minimum de 100 CVCAs Etrangers. - Générer, stocker et utiliser des paires de clés : o La génération des clés doit se faire pendant une cérémonie de clés, qui requiert la présence d au moins 2 personnes de confiance ; la présence de ces personnes doit donc être vérifiée/rendue obligatoire par le CVCA. o Les clés doivent être générées, utilisées et stockées de manière sécurisée dans un HSM certifié FIPS 140-2 Level 3, PP-SSCD ou BSI Cryptographic Modules Security Level Enhanced. o Le CVCA doit supporter les courbes elliptiques ECDSA 256 bits Sha256. o Il doit être possible de détruire les clés privées du CVCA (active deletion) ; cette action requiert la présence d au moins 2 personnes de confiance ; la présence de ces personnes doit donc être vérifiée/rendue obligatoire par le CVCA. - Gérer les statuts des CVCA et DV: o Suspended / Not Suspended (Suspendu / non-suspendu). - Back-up / restore : o Le CVCA doit avoir une fonction de back-up sécurisé des clés et certificats; cette action requiert la présence d au moins 2 personnes de confiance ; la présence de ces personnes doit donc être vérifiée/rendue obligatoire par le CVCA. - Alerte : 1 mois avant la date d expiration du certificat CVCA, le CVCA doit notifier les opérateurs du CVCA.
page 32/49 Coté DVCA génération de certificats DV et gestion des DVs - Fonction de Registration Authority (RA): o pour recevoir les Certificate Requests et outer signature requests o pour approuver les générations des certificats et outer signatures o pour distribuer les certificats o Cette RA fera les vérifications nécessaires sur les requêtes pour s assurer que ces demandes sont conformes et viennent de DV autorisés (initial request, subsequent request). o Cette RA gèrera la liste des CVCA et DV. o Cette RA gèrera les statuts des CVCA et DV (suspended/not suspended). o Cette RA doit suivre les spécifications [7] concernant les procédures d enregistrement. - Générer les certificats DV et les DV Certificate Request to Foreign CVCA with outer signature conformément aux spécifications [6], [7] et [8]: o Le CVCA doit supporter une liste de DV autorisés. o Le CVCA doit s assurer que la clé publique du DV contenue dans la DV Certificate Request n a pas déjà été utilisée précédemment. o Le CVCA doit s assurer que la cryptographie du DV demandeur est la même que la sienne. o Le CVCA décide de la période de validité des certificats DV, et des droits attribués au DV (accès aux empreintes digitales (DG3), accès à l iris (DG4), accès aux empreintes digitales et à l iris) ; ces droits peuvent être différents pour chaque DV. - Stocker et Exporter les certificats DVCA et les requêtes : o Les certificats DVCA o DVCA Certificate Request to foreign CVCA with outer signature. Connexion du CVCA avec les DV: - Une connexion automatique entre le CVCA et le DV National doit être fournie ; bien que les communications internes entre CVCA et DV national ne soient pas spécifiées, il serait souhaitable que ces communications suivent le même standard que les communications SPOC définies dans la spécification [8]. - Une connexion manuelle doit également être proposée entre le CVCA et le DV. - Le CVCA doit traiter toute demande de certificat dans une fenêtre de temps de 7 jours.
page 33/49 2.2.2. DVCA Le DVCA doit être conforme aux spécifications [6], [7] et [8]. Coté DVCA gestion des clés, gestion des chaines de certificats, génération de DVCA certificate requests - Générer les DV Certificate Requests (demandes de certificat DV): o La génération de ces demandes de certificats doit se faire en présence d au moins 2 personnes de confiance ; la présence de ces personnes doit donc être vérifiée/rendue obligatoire par le DVCA. - Générer les demandes vers son CVCA National de outer signature DV Certificate Request to foreign CVCA : - Générer, stocker et utiliser des paires de clés : o La génération des clés doit se faire en présence d au moins 2 personnes de confiance ; la présence de ces personnes doit donc être vérifiée/rendue obligatoire par le DVCA. o Les clés doivent être générées, utilisées et stockées de manière sécurisée dans un HSM certifié FIPS 140-2 Level 3, PP-SSCD ou BSI Cryptographic Modules Security Level Enhanced. o Le DVCA doit supporter tous les algorithmes de cryptographie spécifiés dans [6] ; conformément à la spécification [7], chaque DV doit pouvoir gérer une paire de clés pour chaque Etat Membre de l Union Européenne ; notamment les courbes elliptiques ECDSA 256 bits minimum Sha 256 (Brainpool curves, NIST curves et Unnamed ECDSA curves) et RSA 4096 bits minimum Sha 256. o Il doit être possible de détruire les clés privées du DVCA (active deletion) ; cette action requiert la présence d au moins 2 personnes de confiance ; la présence de ces personnes doit donc être vérifiée/rendue obligatoire par le DVCA. - Générer les demandes de chaines de certificats CVCA (de son propre CVCA Domestique ou de CVCAs étrangers). - Stocker les chaines de certificats de son CVCA Domestique et des pays étrangers, avec un minimum de 100 chaines de certificats. - Gérer les statuts des IS. - Stocker et Exporter les certificats DVCA et les demandes de certificat: o Le DVCA doit pouvoir fournir les chaines de certificats CVCA et les DVCA à ses IS autorisés, sur demande de ces IS. - Back-up / restore : o Le DVCA doit avoir une fonction de back-up sécurisé des clés et certificats; cette action requiert la présence d au moins 2 personnes de confiance ; la présence de ces personnes doit donc être vérifiée/rendue obligatoire par le CVCA. - Alerte : 7 jours avant la date d expiration des certificats DV, le DVCA doit notifier les opérateurs du DVCA. Coté IS génération des certificats IS et gestion des IS : - Intégrer une Registration Authority ( RA) : o pour recevoir les IS Certificate Requests o pour approuver la génération des certificats o pour distribuer les certificats
page 34/49 o Cette RA fera les vérifications nécessaires sur les requêtes pour s assurer que ces demandes sont conformes et viennent d IS autorisés (initial request, subsequent request). o Cette RA gèrera la liste des IS et leurs statuts (suspended / not suspended). o Cette RA fera suivre au CVCA toutes les informations d incident de sécurité du DVCA. o Cette RA doit suivre les spécifications [7] concernant les procédures de registrations. - Générer les certificats IS conformément aux spécifications [6], [7] et [8]: o Le DVCA doit supporter une liste d IS autorisés. o Le DVCA doit s assurer que la clé publique de l IS contenue dans l IS Certificate Request n a pas déjà été utilisée précédemment. o Le DVCA doit s assurer que la cryptographie de l IS demandeur doit être la même que la sienne. o Le DVCA décide de la période de validité des certificats IS, et des droits attribués à l IS (accès aux empreintes digitales (DG3), accès à l iris (DG4), accès aux empreintes digitales et à l iris) ; ces droits peuvent être différents pour chaque IS, mais ils sont au minimum hérités des droits du DV attribués par le CVCA, mais peuvent être plus restreints si souhaité. - Stocker et Exporter les certificats IS. - Le DVCA doit pouvoir fournir les chaines de certificats CVCA et les DVCA à ses IS autorisés, sur demande de ces IS. Connexion du DVCA avec les IS: - Une connexion automatique entre le DVCA et les IS doit être fournie ; bien que les communications internes entre le DV et ses IS ne soient pas spécifiées, il serait souhaitable que ces communications suivent le même standard que les communications SPOC définies dans la spécification [8]. - Une connexion manuelle doit également être proposée entre le DVCA et les IS. 2.2.3. IS La fourniture des IS de vérification des passeports aux frontières ne fait pas partie de ce projet. Cependant, pour assurer un contrôle qualité de notre chaîne de production de passeports biométriques jusqu à la délivrance du passeport au porteur, une chaîne CVCA/DV/IS Nationale doit être disponible et fournie dans ce projet. Un IS SPF AE doit donc être fourni, avec les caractéristiques suivantes : - Génération et stockage de paires de clés de même cryptographie que le CVCA National / DV National (c.-à-d. cryptographie Courbes Elliptiques 256 bits Sha256). - Enregistrement de cet IS dans la chaine nationale CVCA/DV. - Génération d une IS Certificate Request tous les 7j, avec des clés différentes à chaque fois. - Stocker et Exporter les certificats IS. - Back-up / restore. - Stockage de la chaîne de certificats nationale.
page 35/49 - L IS doit pouvoir envoyer une demande au DV pour avoir les chaînes de certificats CVCA et les DVCA. - Cet IS doit suivre les recommandations listées dans la Common Certificate Policy [7]. - Alerte : 1 jour avant la date d expiration des certificats IS, l IS doit notifier les opérateurs de l IS. Cet IS SPF AE doit être vu comme un IS Central ne gérant que les questions de certificats et clés privées/publiques pour permettre aux +/-700 administrations passeports (communes, provinces et postes diplomatiques et consulaires), alors équipés des lecteurs passeports, de pouvoir lire les empreintes digitales du porteur avant remise du passeport. 2.2.4. Communication avec le SPOC Le SPOC étant géré par un autre SPF, la connexion avec le SPOC sera manuelle (fichier in/out) et opérée par le personnel du SPF AE. 2.3. Exigences d Implémentation Le projet de fourniture de la PKI EAC au SPF AE de Belgique inclut la fourniture et l installation au SPF AE des hardware, software et services nécessaires à la mise en production du système, l audit, la maintenance ainsi que la formation du personnel du SPF AE. 2.3.1. Moyens techniques Les fonctionnalités doivent être accessibles via une IHM (Interface Homme-Machine) conviviale, intuitive et facile d utilisation. Les lignes de commande ne sont pas acceptées. Les OS Windows sont préconisés, mais pas obligatoires. Le système PKI EAC doit être dimensionné pour supporter au moins 100 chaînes de certificats Etrangers et 20 IS Nationaux. Le système PKI EAC doit être disponible 24h/24. En cas de problème de communication, une solution offline doit toujours être possible. Une fonction de back-up/restore est obligatoire pour l ensemble du système PKI EAC. L ensemble du système PKI EAC (CVCA/DV/IS) doit avoir un système de back-up dans un autre bâtiment. Conformément à la Common Certificate Policy [7], ce back-up doit être protégé au même niveau sécuritaire que les appareils opérationnels. Tous les accès au système PKI EAC doivent être tracés et un fichier d audit disponible. L ensemble du système PKI EAC doit suivre les recommandations sécuritaires spécifiées dans la Common Certificate Policy [7], Chapitre 5, sur : les contrôles d accès physiques, les contrôles des procédures, la gestion d accès au système, le concept de sécurité des IS, la gestion des incidents et la gestion de la terminaison des CVCA et DV. Un système de test doit être fourni pour les tests avant mise en production du système (tests d acceptation). Ce système de test doit rester disponible après la mise en production pour les besoins futurs de tests. Ce système de test doit faire partie de la maintenance également.
page 36/49 Un système d alerte pour informer les utilisateurs notamment des renouvellements à venir des certificats et / ou des demandes de certificats en attente doit être fourni. 2.3.2. Moyens physiques Les serveurs seront dans une salle sécurisée du service informatique ICT du SPF AE, sur un réseau sécurisé. L accès au serveur se fera à distance depuis le poste de l opérateur PKI du SPF AE. Une proposition d accès sécurisé à l application doit être faite. Le système back-up sera installé dans un autre bâtiment. 2.3.3. Moyens humains L adjudicataire sera en charge de l installation, de la configuration, de la mise en production du système. Il prendra en charge également la formation du personnel du SPF AE, ainsi que la maintenance technique. L adjudicataire sera également en charge de l audit annuel de conformité à la Common Certificate Policy [7]. A cet effet, l adjudicataire doit prévoir une intervention 1 fois par an pour faire le point sur les installations et leur fonctionnement, et rédiger un rapport d audit. Le SPF AE sera en charge de l administration non technique, de la gestion des utilisateurs du système, et de l opérationnel du système. Il désignera le personnel nécessaire à la bonne utilisation du système, de même qu un responsable de la sécurité informatique. La gestion des contacts et des échanges bilatéraux de données avec les pays étrangers sont de la responsabilité du SPF AE.
page 37/49 3. Maintenance Une offre de maintenance doit être proposée par le soumissionnaire. La maintenance doit être faite sur l ensemble du système PKI EAC du SPF AE, à savoir sur les hardware et software fournis par l adjudicataire au SPF AE. L offre de maintenance doit couvrir les services suivants : - Assistance technique auprès du personnel du SPF AE opérant le système PKI EAC en cas d incident de fonctionnement du système fourni (matériel et/ou fonctionnel). - En cas de problème avéré du système (matériel et/ou fonctionnel), proposition de résolution et de correction. - La durée du contrat étant au minimum jusqu au 30 avril 2019, et au maximum jusqu au 30 avril 2021, les logiciels et matériels évoluant relativement vite, ils peuvent nécessiter une mise à jour préventive pour éviter toute rupture de service des systèmes ; cette possibilité doit être incluse dans l offre de l adjudicataire pour la maintenance du système PKI EAC du SPF AE. - Un audit annuel du système PKI EAC selon ce qui est spécifié dans la spécification en référence [7], Chapitre 7. Toute maintenance évolutive suite à des changements de spécifications et/ou suite à une demande spécifique du SPF AE est exclue de cette offre. 3.1. Moyens techniques Les moyens de communication privilégiés par le SPF AE pour informer d une anomalie du système seront l email et/ou le téléphone. Tout problème bloquant qui empêche l utilisation du système dans un cadre normal doit être pris en compte (information reçue et analysée) au plus tard sous 24h, et une résolution ou une alternative doit être proposée sous 2 jours maximum (2 jours ouvrés, dans les heures normales de travail de Belgique (9h 17h) et selon les jours fériés belges). Toute résolution des incidents doit être parfaitement documentée afin que le personnel du SPF AE puisse implémenter les solutions proposées. Un audit et la rédaction du rapport d audit doivent être effectués annuellement dans le cadre de la maintenance. 3.2. Moyens physiques Si la résolution du problème nécessite l intervention du personnel de l adjudicataire sur le site du SPF AE, l accès aux systèmes sera garanti sous la surveillance d un officier de sécurité et du personnel en charge de l administration du système. Dans le cadre de l audit annuel du système, l accès aux systèmes par le personnel de l adjudicataire sera garanti sous la surveillance d un officier de sécurité et du personnel en charge de l administration du système.
page 38/49 3.3. Moyens humains L adjudicataire sera en charge de l analyse des incidents de fonctionnement émis par le personnel du SPF AE et mettra à disposition tout le personnel nécessaire à la résolution des incidents. Le personnel du SPF AE sera disponible afin de fournir toutes les informations (logs, copies d écran, ) permettant d approfondir le problème afin d en faciliter sa résolution. Le personnel du SPF AE sera également disponible pour implémenter les résolutions proposées par l adjudicataire. Si la résolution du problème nécessite l intervention du personnel de l adjudicataire sur le site du SPF AE, les frais de déplacement du personnel de l adjudicataire seront pris en charge par l adjudicataire. Un audit et la rédaction du rapport d audit doivent être effectués annuellement dans le cadre de la maintenance. Les frais de déplacement du personnel de l adjudicataire dans le cadre de cette intervention seront pris en charge par l adjudicataire.
page 39/49 4. Gestion de projet 4.1. Planning A compter de la date d attribution du projet, le soumissionnaire aura 3 mois pour déployer le système, le tester et le rendre complètement opérationnel. 4.2. Tests L adjudicataire proposera au SPF AE pour acceptation un plan de tests et une spécification de tests. Avant la mise en production, une session de tests (éventuellement couplée avec la formation du personnel du SPF AE) devra être effectuée, notamment sur le système de test qui devra rester disponible après la mise en production. Cette session de test inclura une production de passeports de tests contenant la nouvelle chaîne de certificats CVCA. Ces passeports seront lus sur l IS de test fourni par l adjudicataire, et sur les logiciels disponibles au SPF AE, et/ou à défaut sur les logiciels disponibles librement tels que GoldenReader et/ou l URT (Universal Reader Tool proposé par le Gixel). La mise en production se fera après approbation du SPF AE et sur présentation des résultats des tests. 4.3. Mise en production La mise en production du système sera faite après acceptation par le SPF AE des résultats de tests. Une présentation du déroulement de la cérémonie de clés devra être faite avant la mise en production du système (éventuellement couplée avec la session de tests), afin de s assurer que tout le personnel du SPF AE soit bien à l aise avec la cérémonie afin d en assurer le bon déroulement. La mise en production sera approuvée et validée après : - la production de passeports spécimens ; - tests OK de ces passeports spécimens sur l IS fourni par l adjudicataire; - documentation disponible (cf chapitre 5.4 de ce document) notamment la Politique de Certification (CP) qui doit être fournie à la Commission Européenne et aux Etats Membres ; - audit fait. 4.4. Documentation A titre de documentation minimale, les documents suivants devront être fournis : - Guide d utilisation du logiciel - Procédures de back-up et de restore - Procédure de remise en service en cas de panne de courant ou d arrêt non prévu des serveurs - Procédure de maintenance annuelle (ou check-up) si nécessaire - Documentation de cérémonie des clés (Key Ceremony)
page 40/49 - La Politique de Certification (CP) et La Déclaration des Pratiques de Certification (CPS) - Les Rapports d audit doivent être fournis annuellement. 4.5. Formation La formation du personnel du SPF AE est de la responsabilité du soumissionnaire, notamment la formation des opérateurs, administrateurs et responsable de la sécurité informatique. Elle doit avoir lieu avant la mise en production du système. Le personnel qui suivra la formation sera constitué d une dizaine de personnes, dont 7 administratifs et 3 techniciens informatiques.
page 41/49 C. ANNEXES - Annexe 1 - un formulaire d offre - Annexe 2 - Tableau de justification des prix APPROUVÉ: 1000 BRUXELLES Dirk ACHTEN Président du Comité de Direction
page 42/49 ANNEXE 1
page 43/49 FORMULAIRE D OFFRE SPF Affaires étrangères, Commerce extérieur et Coopération au Développement Direction d encadrement ICT Rue des Petits Carmes, 15 1000 BRUXELLES Fax : 32 (0)2 501 88 95 e-mail : ICT.contracts-procurement@diplobel.fed.be CAHIER SPÉCIAL DES CHARGES N ICT/2015.05 APPEL D OFFRES OUVERT portant sur la fourniture et la maintenance d une "PKI EAC" pour les passeports électroniques de Belgique pour le compte du SPF Affaires étrangères, Commerce extérieur et Coopération au Développement La firme dont l adresse est : immatriculée à la Banque Carrefour des Entreprises sous le numéro : (dénomination complète) (rue) (code postal et commune) (pays) et pour laquelle Monsieur/Madame (nom) (fonction) domicilié(e) à l adresse : (rue) (code postal et commune) (pays) agissant comme soumissionnaire ou fondé de pouvoirs, signe ci-dessous et s engage à exécuter conformément aux clauses et conditions du cahier spécial des charges n ICT/2015.05 les fournitures et les services détaillés ci-avant, formant le LOT UNIQUE de ce document, moyennant le prix global et les prix unitaires forfaitaires suivants:
page 44/49 a) prix global forfaitaire, hors T.V.A., pour la solution (la fourniture et l installation au SPF AE des hardware, software et services nécessaires à la mise en production du système et la formation du personnel du SPF AE) : [en lettres et en chiffres en EURO] auquel doit être ajoutée la T.V.A., soit un montant de : [en lettres et en chiffres en EURO] soit un prix unitaire forfaitaire, T.V.A. incluse, de : [en lettres et en chiffres en EURO] b) prix unitaire forfaitaire, hors T.V.A., pour 1 année de maintenance : [en lettres et en chiffres en EURO] auquel doit être ajoutée la T.V.A., soit un montant de : [en lettre et en chiffres en EURO] soit un prix unitaire forfaitaire, T.V.A. incluse, de : [en lettres et en chiffres en EURO]
page 45/49 c) prix unitaire forfaitaire, hors T.V.A., pour 1 audit : [en lettres et en chiffres en EURO] auquel doit être ajoutée la T.V.A., soit un montant de : [en lettres et en chiffres en EURO] soit un prix unitaire forfaitaire, T.V.A. incluse, de : [en lettres et en chiffres en EURO] Total pour la comparaison de l offre, hors T.V.A., pour les éléments suivants : a) x 1 b) x 5 années c) x 5 [en lettres et en chiffres en EURO] auquel doit être ajoutée la T.V.A., soit un montant de : [en lettres et en chiffres en EURO] soit un prix unitaire forfaitaire, T.V.A. incluse, de : [en lettres et en chiffres en EURO]
page 46/49 En cas d approbation de la présente offre, le cautionnement sera constitué dans les conditions et délais prescrits dans le cahier spécial des charges. L information confidentielle et/ou l information qui se rapporte à des secrets techniques ou commerciaux est clairement indiquée dans l offre. L organisme de paiement du pouvoir adjudicateur payera les sommes dues par virement ou versement sur le compte n : IBAN BIC La langue néerlandaise/française est choisie pour l interprétation du contrat. Toute correspondance concernant l exécution du marché doit être envoyée à l adresse suivante : (rue) (code postal et commune) (n de et de fax) (adresse e-mail) Fait : A Le 20 Le soumissionnaire ou le fondé de pouvoirs : (nom) (fonction) (signature) APPROUVÉ, 1000 BRUXELLES, Dirk ACHTEN Président du Comité de Direction
page 47/49 POUR MÉMOIRE : DOCUMENTS À JOINDRE OBLIGATOIREMENT À L OFFRE : - Tous les documents et renseignements demandés dans le cadre des critères de sélection et des critères d attribution ; - les statuts ainsi que tout autre document utile prouvant le mandat du (des) signataire(s) ; - le tableau de justification des prix reprenant les différents éléments (prix et quantités) de la solution proposée pour la fourniture et l installation au SPF AE des hardware, software et services nécessaires à la mise en production du système et la formation du personnel du SPF AE (Annexe 2). N oubliez pas de prévoir une numérotation continue et ininterrompue de toutes les pages de votre offre, de votre inventaire et des annexes.
page 48/49 ANNEXE 2
page 49/49 TABLEAU DE JUSTIFICATION DES PRIX Matériels Matériel nécessaire Prix unitaire hors TVA Quantité Prix total hors TVA Logiciels Logiciels et licences nécessaires Prix unitaire hors TVA Quantité Prix total hors TVA Services (installation, mise en production, formation, ) Services jusqu'a mise en production du systeme Prix unitaire hors TVA Quantité Prix total hors TVA