CAHIER DES CLAUSES TECHNIQUES

Documents pareils
Cahier des Clauses Techniques Particulières. Convergence Voix - Données

Contrôle d accès Centralisé Multi-sites

Pré-requis techniques

Cahier des Clauses Techniques Particulières

I. Description de la solution cible

TERMES DE REFERENCE POUR L INSTALLATION D UN SYSTEME DE SECURITE INFORMATIQUE PARE-FEU AU SIEGE DE L OAPI

Cahier des charges pour la mise en place de l infrastructure informatique

La gamme express UCOPIA.

LAB : Schéma. Compagnie C / /24 NETASQ

UCOPIA EXPRESS SOLUTION

Pré-requis techniques. Yourcegid Secteur Public On Demand Channel

UCOPIA COMMUNICATIONS

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N

PROJET DE MIGRATION EXCHANGE 2003 VERS EXCHANGE 2010

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

z Fiche d identité produit

Formations. «Produits & Applications»

Catalogue «Intégration de solutions»

Marché Public. Serveurs et Sauvegarde 2015

Mon Sommaire. INEO.VPdfdf. Sécurisations des accès nomades

PPE 01 BTS SIO - SISR. Dossier d étude : KOS INFORMATIQUE : ENTITE M2L : INTRODUCTION CLOUD COMPUTING

Guide de connexion à. RENAULT SA et PSA PEUGEOT CITROËN. via ENX

L état de l ART. Évolution récente des technologies. Denis Szalkowski Formateur Consultant

Ici se présente un petit récapitulatif de ce qu il se passe sur le réseau : les connexions bloquées, le matériel du boitier, les mises à jour, etc.

1 LE L S S ERV R EURS Si 5

Fiche d identité produit

Réseau Privé d entreprise

ACQUISITION DE MATERIEL INFORMATIQUE

Gamme d appliances de sécurité gérées dans le cloud

Aperçu technique Projet «Internet à l école» (SAI)

Cradlepoint AER 2100 Spécifications

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ GUEBWILLER Cedex. Fax.: Tel.:

Licence professionnelle Réseaux et Sécurité Projets tutorés

CONFIGURATION DE BASE

Projet Sécurité des SI

Configuration de base de Jana server2. Sommaire

Étendez les capacités de vos points de vente & sécurisez vos transactions.

VoIP : Introduction à la sécurité. VoIP : Introduction à la sécurité

Sécurité Moteur de sécurisation Stream Scanning sur les appliances ProSecure

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Sécurité Nouveau firmware & Nouvelles fonctionnalités

M A I T R E D O U V R A G E

RECTORATC / AC

11/04/2014 Document Technique des Services Disponibles. 16/04/2014. Document Technique des Services Disponibles.

MARCHE PUBLIC CAHIER DES CLAUSES TECHNIQUES PARTICULIERES

REFONTE DE L ARCHITECTURE INTERNET ET MESSAGERIE DE LA S.E.T.E. CAHIER DES CLAUSES TECHNIQUES PARTICULIERES

LETTRE DE CONSULTATION

Les appareils de sécurité gérés dans le cloud Cisco Meraki MX

Auditer une infrastructure Microsoft

UCOPIA SOLUTION EXPRESS

Windows Server 2012 R2 Administration

Les réseaux des EPLEFPA. Guide «PfSense»

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

ProCurve Access Control Server 745wl

CPE. Consultation Réseaux Etendus. Références: Exakis/D2011. Lyon, le 10 octobre Cahier des charges. Projet Télécom

NOS SOLUTIONS ENTREPRISES

Spécialiste Systèmes et Réseaux

Mettre en place un accès sécurisé à travers Internet

Fourniture et mise en œuvre d'une plate-forme de téléphonie IP MARCHÉ N Cahier des Clauses Techniques Particulières

DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...1 ARCHITECTURE PHYSIQUE...2

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Refonte des infrastructures du Système d Information Cahier des Charges pour l évolution du réseau d interconnexion du Centre Hélène Borel

IPS-Firewalls NETASQ SPNEGO

ADMINISTRATION, GESTION ET SECURISATION DES RESEAUX

TERMES DE REFERENCE POUR L INSTALLATION D UN SYSTEME DE VIDEO SURVEILLANCE ET DE CONTROLE D ACCES AU SIEGE DE L OAPI

Le catalogue TIC. Solutions. pour les. Professionnels

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session Sécurité du réseau

le nouveau EAGLEmGuard est arrivé. Dissuasion maximum pour tous les pirates informatiques:

Nouvellement recruté au sein de l entreprise STEpuzzle, Vous êtes stagiaire administrateur réseau et système.

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Cahier des charges "Formation à la téléphonie sur IP"

Les réseaux de campus. F. Nolot

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Prérequis techniques

INTÉGRATEUR RÉSEAU ET SÉCURITÉ. IT Services : «L engagement de résultat» CONSEIL AUDIT INTÉGRATION SUPPORT TECHNIQUE SERVICES MANAGÉS

CONFIGURATION DE BASE

CONFIGURATION DE BASE

PACK SKeeper Multi = 1 SKeeper et des SKubes

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

KX ROUTER M2M SILVER 3G

«Les documents référencés ci-dessus étant protégés par les droits d auteur et soumis à la déclaration au Centre Français d exploitation du droit de

Critères d évaluation pour les pare-feu nouvelle génération

Portfolio ADSL VDSL LTE

Dr.Web Les Fonctionnalités

Ingénierie des réseaux

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

WIFI (WIreless FIdelity)

MARCHES PUBLICS DE FOURNITURES COURANTES ET SERVICES CAHIER DES CLAUSES TECHNIQUES PARTICULIÈRES. Objet du marché :

GENERALITES. COURS TCP/IP Niveau 1

Fiche d identité produit

Cahier des Clauses Techniques Particulières

Ce que nous rencontrons dans les établissements privés : 1-Le réseau basique :

La solution ucopia advance La solution ucopia express

et dépannage de PC Configuration Sophie Lange Guide de formation avec exercices pratiques Préparation à la certification A+

CAHIER DES CHARGES ASSISTANCE UTILISATEUR ET MAINTENANCE INFORMATIQUE

Transcription:

CAHIER DES CLAUSES TECHNIQUES 1. Contexte Ce document décrit les différentes fournitures et prestations à mettre en œuvre dans le cadre du remplacement de la solution de proxy et firewall actuellement en place à la Mairie de Saint Martin de Crau. Le réseau de la mairie est composé d une vingtaine de sites connectés via un réseau MAN privé en fibre optique et cuivre. Seuls quelques sites ne sont pas raccordés au réseau. La sécurité de l ensemble est actuellement assurée par 2 serveurs Microsoft ISA ainsi qu une solution open source basée sur du freebsd. La solution est déployée sur 2 sites dans des salles informatiques qui hébergent, entre autre, nos cœurs de réseau (HP procurve 5412zl) ainsi que nos serveurs. Pour notre raccordement à internet, nous disposons d une liaison SDSL utilisée pour nos services métiers (DNS, publication www, messagerie ) et de 2 liens ADSL2+ qui sont dédiés à la navigation internet. L ensemble des accès internet des 2 sites sont interconnectés via un réseau indépendant composé de 2 switch HP Procurve 2510-24G (voir schéma ci-dessous). Les écoles ne sont pas raccordées, elles feront l objet d un raccordement direct ou VPN dans le cadre du projet. La collectivité dispose de plusieurs réseaux distincts segmentés grâce à des VLAN, on citera de façon non limitative : - le réseau mairie (plusieurs VLAN routés en cœur de réseau), - des réseaux publics (associations, DSP, intervenants externes, usagers ) Environ 200 personnes utilisent la solution, il faut y ajouter 100 utilisateurs pour les écoles non encore raccordées. Page 1

2. Objet du marché La présente consultation a pour objet la fourniture d une solution de sécurité intégrant - La fourniture de matériel, - la prestation de mise en œuvre documentée, - la formation et le transfert de compétences pour assurer un minimum d indépendance au service informatique dans l administration du système, - le support, les modifications de paramétrage et la maintenance sur 3 ans, - Les liens opérateurs ne seront pas modifiés pour l instant, nous souhaitons par contre le remplacement des 2 Livebox par des modems ADSL plus adaptés aux accès mutualisés. Le système mis en place devra pouvoir gérer une évolution vers des connexions opérateurs très hauts débits de type EFM ou autres. 3. Formalisation de la réponse Nous attendons un mémoire technique, celui-ci sera intégré dans l évaluation des réponses. Les critères qualitatifs retenus seront : la taille qui ne devra pas excéder 60 pages (inutile d y placer les informations commerciales), la clarté et la pertinence des informations qui doivent apporter une réponse à l ensemble des points ci-dessous. Attention le mémoire technique devra être entièrement en langue française. La réponse devra être décomposée suivant 3 lots techniques. Lot technique 1 (équipements du site central) : Le nombre d utilisateurs total sera d environ 300, il se répartira comme suit : 150 pour le réseau mairie, 90 pour les écoles, 30 pour les DSP et associations, 10 pour les intervenants et 20 pour les espaces publics. La solution devra pouvoir absorber une augmentation de 10% des utilisateurs chaque année soit un maximum de 400 utilisateurs sur 3 ans. Les produits mis en place devront être maintenus est mis à jour sur une période minimum de 5 ans. La protection du site central devra être prise en charge par deux boitiers de type UTM en mode actif-passif, ils seront déployés dans les 2 salles informatiques de la mairie et seront reliés entre eux via 2 liens redondants. Le premier lien, devra de préférence être direct, via 2 brins en fibre optique monomode (existants), il faudra prévoir dans ce cas 1 ports STP par boitier ainsi que 2 Gbic de type LX. Un deuxième lien redondant sera assuré en cuivre via les 2 switchs existants sur un VLAN dédié. Fonctionnalités attendues de la solution proposée : - 8 ports physiques minimum par boitier - Equipement compatible avec la mise en armoires au format 19 pouces - Certification ANSSI EAL3+ minimum - Fonction coupe-feu (firewall) - Connexion des différents réseaux, routage avec des règles établies et adaptées à chaque typologie d usage (privé, intervenants, public, écoles ) - Connexion des modems ou routeurs permettant l accès à internet - Possibilité de gérer plusieurs passerelles de sortie pour router les flux en fonction de leur type (SMTP, http, ), de plages d adresses IP ou de groupes d utilisateurs. Page 2

- Répartition de charge sur plusieurs accès internet - Gestion de la bande passante, un système de QoS devra permettre au minimum de véhiculer des flux de données de vidéo et de voix sur IP. - Détection d intrusion, sondes IDS/IPS - Passerelle antivirale intégré avec mise à jour automatique, préciser le produit utilisé et les éventuelles options gratuites et payantes. - Le relayage SMTP devra pouvoir être sécurisé à minima, précisez les fonctionnalités existantes pour l identification ou le filtrage des messages non sollicités (SPAM), détailler les options gratuites et payantes. - Accès sécurisé à internet depuis l ensemble des réseaux, filtrage d URL par catégories d utilisateurs (Groupes en lien avec notre annuaire AD ou un système centralisé) ou par réseau (IP). Les flux SSL devront pouvoir être analysés et traités si nécessaire. - Logs de navigation conformes à la législation, période de rétention 1 an minimum, préciser les outils d analyse existant inclus ou optionnels. Les flux ftp, http, https, l authentification, transparente pour les utilisateurs, feront partie des informations enregistrées. Les logs de navigation devront être centralisés en un point unique pour en faciliter l analyse. - DMZ pour la publication sécurisée de sites WEB ainsi que des services de messagerie OWA et ActiveSync. - Fonctionnalités de type portail captif pour certains accès public, précisez les fonctionnalités et en particulier la partie authentification. - Outils d analyses et de gestion de la solution déployée (via une interface graphique), o Analyse est conservation des logs de navigation, préciser les fonctions statistiques disponibles de façon détaillée, préciser l architecture de la solution (intégrée avec accès WEB, application externe, base de données ) o Analyse des logs pour les fonctions hors navigation, préciser la durée de rétention, les fonctions d analyses disponibles, préciser l architecture de la solution (intégrée avec accès WEB, application externe, base de données ) - Précisez s il existe des outils permettant le paramétrage des boitiers UTM centraux et distants de façon centralisée. Détailler les fonctionnalités et le coût des diverses solutions. - Si la solution offre la gestion des fonctionnalités non listées, celles-ci pourront être détaillées et chiffrées comme des fonctions optionnelles. Précisez les fonctions prises en charge par le boitier UTM et ceux qui peuvent être déportés sur des serveurs virtualisés. Les capacités de stockage et de volume de données traitées par seconde devront être précisées avec l ensemble des fonctions des boitiers activées (FW IPS, Filtrage, Antivirus, Anti Spam, 10 VPN Lan to Lan ). La réponse devra détailler la gestion du projet, l étude, la mise en œuvre des équipements, le paramétrage, les licences et les tests de validation. La réponse financière devra lister de façon détaillée l ensemble des matériels et prestations, devront figurer obligatoirement le prix public, le niveau de remise ainsi que le prix final pour les quantités correspondant à l équipement des 2 salles informatiques. Le bordereau de prix joint récapitule les principaux éléments, il n est pas exhaustif et il devra être complété. Les outils d analyse et paramétrage avancés qui peuvent être externes aux boitiers et soumis à licences devront être chiffrés séparément, leur mise en œuvre sera optionnelle. Page 3

Lot technique 2 (équipement des nomades et des sites distants) : Nous souhaitons pouvoir raccorder en VPN au site central quelques sites distants non raccordés au réseau MAN en fibre. Le nombre de sites raccordés sera de 3 à 9 en fonction de l évolution de notre réseau MAN. Les boitiers seront raccordés à internet via une livebox et devront être dimensionnés pour connecter des sites de 5 à 20 personnes, ils devront pouvoir fonctionner en 2 modes : 1- Routage de l ensemble des flux vers le site central via la VPN (filtrage et sécurité assurés par le site central) 2- Accès direct à internet et VPN uniquement pour les flux métiers, dans ce cas la sécurité et le filtrage devront être géré au niveau du boitier distant. Précisez si les logs de navigation peuvent être centralisés avec ceux du site central. Le mode de licence devra être détaillé pour les 2 options de fonctionnement, les boitiers distants devront être tous identiques pour faciliter la maintenance. La réponse financière devra lister de façon détaillée l ensemble des matériels et prestations, devront figurer obligatoirement le prix public, le niveau de remise ainsi que le prix final pour des quantités permettant de raccorder 1 site distant. Ce bordereau de prix nous permettra, en cas de besoin, de raccorder des sites supplémentaires durant la durée du marché. Si le mode de licence du site central et dépendant du nombre de VPN sites à sites ou nomades, ne pas oublier de chiffrer le surcoût. La solution devra pouvoir gérer jusqu à 20 tunnels pour tenir compte des évolutions futures. La connexion des personnes isolées devra être possible depuis l extérieur en VPN, nous souhaitons une connexion via un portail SSL, de plus, vous devez préciser si votre solution permet d avoir un VPN IPSEC via un logiciel installé sur le client et, dans ce dernier cas, s il permet de sécuriser le poste distant (blocage accès internet direct). N oubliez pas de détailler, si nécessaire, les licences nécessaires à l activation de ces fonctions. L authentification devra être possible via Active Directory, Radius ou une base locale. Précisez Les différentes méthodes d authentification disponibles, elles devront pouvoir être mise en œuvre par sous réseau, groupe d utilisateurs sans exclusions. Préciser s il existe un mécanisme d authentification forte par Token ou autres méthodes. Lot technique 3 (Garantie et maintenance) : Les conditions de garantie des équipements devront être explicitées en termes de coût, de durée et de périmètre pris en charge (matériel et logiciels). Le début de la garantie des équipements prendra effet à la date de la validation de service régulier (VSR) ce qui correspond à l acceptation de la solution. Le contrat de maintenance devra préciser comment il s applique durant la phase de garantie et en dehors. Le contrat devra détailler l ensemble des prestations téléphoniques, déplacements, remplacement de matériels, ainsi que l application des mises à jour majeures. Les modifications mineures comme l ajout de de personnes autorisées à accéder à une ressource seront prises en charge par le service informatique, les modifications de configuration plus importantes devront être réalisées par le prestataire et faire l objet d un minimum de test de validation. Cette Page 4

dernière partie pourra être intégrée dans le contrat de maintenance ou faire l objet d un contrat de service forfaitisé à l année ou facturée sur une base de coût horaire. Cette partie devra être bien détaillée dans le mémoire technique en termes de prestations et de coûts. Le contrat de maintenance devra prévoir : Pour le site central, des interventions ou remplacement à J+1 du lundi au vendredi pour le boitier actif, un contrat de niveau moins contraignant pour le boitier passif. Pour les sites distants, il faudra chiffrer la maintenance à J+1 du lundi au vendredi et une solution moins contraignante (équivalente au boitier passif du cluster), dans ce dernier cas nous envisagerons l achat d un boitier de rechange. 4. Prestation de mise en œuvre La mise en œuvre et le suivi devront être réalisés par du personnel certifié, vous devrez fournir les CVs des intervenants avec leur niveau de certification. Le projet devra être phasé, nous attendons le détail des jours nécessaires à sa mise en place ainsi que les réunions nécessaires au cadrage et suivi tout au long du processus de mise en place. La prestation devra comprendre au minimum les phases suivantes : - Phase d étude : o analyse détaillée des besoins, inventaire des réseaux et usages, contraintes, plan de test et planning de mise en œuvre. o Proposition d une architecture technique. - Phase d installation o Mise en place des équipements et intégration dans l architecture existante o Paramétrage et mise en œuvre des fonctions de base o Paramétrage des profils de sécurité o Paramétrage et mise en œuvre des VPN site à site o Paramétrage et mise en œuvre du VPN nomade de type portail SSL avec plusieurs profils d utilisateurs (élus, agents, intervenants,..) o Paramétrage et mise en œuvre d un VPN nomade de type IPSEC (1 poste) o Nous serons très attentifs à la validation de la configuration, le prestataire devra détailler le plan de test prévu ainsi que les tests réalisés à chaque changement de configuration ou mise à jour majeures. Celui-ci devra être mis en œuvre à chaque changement de configuration, il devra faire l objet d un PV signé. o Transfert de compétences o Documentation technique o Procédure de mise à jour de la solution (firmware, patch.) o Mise en production et validation d aptitude (VA) de la solution - Phase de d ajustement : o Ajustement du paramétrage en fonction des retours d expériences (Logs, évolution des besoins ) o Validation de service régulier (VSR) 4 semaines minimum après la validation d aptitude (VA). Démarrage de la phase de garantie. Page 5

Grille de lecture de l offre technique, pour information Fonctionnalités Remplacement livebox ADSL site central Boitier UTM - Support de 300 utilisateurs + 100 écoles - Evolution vers EFM fibre ou THD - Nombre de ports physiques >= 8 - slot SFP / Gbic Monomode - Mise en rack 19» - Certification ANSSI EAL3+ minimum - Multi-passerelles, répartition par flux, groupe - Gestion de la bande passante QOS - IPS et IDS - Antivirus - Sécurisation du protocole SMTP - Réponse au problème du SPAM - Filtrage d URL, nombre de catégories, certif éducation - Log de navigation : flux http, https, ftp durée de rétension >= 1an - Log de navigation : authentification transparente des utilisateurs - Flux SSL Traités - Enregistrement des logs (hors navigation) : durée de rétention, stockage interne ou VM (précisez la capacité de stockage) - flux https analysés - Logs centralisés de l ensemble des boitiers, - DMZ - Mise en place d un portail captif pour accès publics oui/ non Précisions ou commentaires Outils d'analyses optionnels - Analyse des logs hors navigation - Analyse des logs de navigation - Outil de paramétrage des boitiers centralisé Page 6

Fonctionnalités VPN Lan to Lan - Accès internet local ou central (O/N, impact coût) - Eventuelle licence sur le cluster lors de l'ajout de lien VPN - Même boitier pour 2 à 20 personnes oui/ non Précisions ou commentaires VPN nomade Ipsec - Programme client (coupure navigation locale) - Mode de licence, unitaire ou forfaitaire - Authentification AD - Authentification Radius - Authentification Base locale - Authentification forte (token,...) - VPN IPSEC mode de licence VPN SSL - VPN SSL mode de licence Page 7

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back