Pôle de cmpétitivité Aerspace Valley Cahier des charges Prestatins Cnsultants Cybersécurité Actin cllective «COLLECTIF 2015» CYBERSECURITE ET PROTECTION DU PATRIMOINE SCIENTIFIQUE ET TECHNIQUE DES ENTREPRISES Cahier des Charges n 17-ADMIN-CS-026-1 -
Objet : recherche de prestataires en cybersécurité dans le cadre de l actin cllective COLLECTIF 2015 prtée par le pôle de cmpétitivité Aerspace Valley Dans le cadre de sn rôle de sutien aux filières, Aerspace Valley recherche des prestataires capables d assurer des missins d accmpagnement des PME dans le dmaine de la cybersécurité. Le présent dcument a pur but de présenter le cntexte de l pératin, de préciser les missins, les bjectifs attendus, les mdalités d interventin et les exigences générales qui encadrernt l interventin des prestataires. Les prestatins fernt l bjet de cntrats passés directement par la PME au prestataire. 1. Cntexte général 1.1. Présentatin du pôle Aerspace Valley Le pôle de cmpétitivité Aerspace Valley a été labellisé, à l issue d une prcédure de mise en cncurrence, «pôle de cmpétitivité mndial» avec la missin de favriser l innvatin et de renfrcer la psitin d excellence des régins Aquitaine et Midi-Pyrénées dans les dmaines Aérnautique, Espace et Systèmes Embarqués. Le pôle, guidé par cette missin, a cnçu une rganisatin centrée sur l élabratin et le dévelppement de prjets, de recherche et structurants, assciant des partenaires issus des mndes de l Industrie, de la Frmatin et de la Recherche. Le pôle Aerspace Valley intervient dnc en faveur d un grupe d entreprises inscrites dans la même lgique de dévelppement par des mesures cllectives (actins cllabratives, partage d expérience, etc.). Le 18 juin 2013, Aerspace Valley a signé avec l Etat le nuveau cntrat de perfrmance pur la péride 2013-2018. S appuyant sur la nuvelle feuille de rute stratégique, ce cntrat a défini les 6 bjectifs suivants : - Objectif 1 : «Initier des innvatins dans les prduits, les services et les prcédés par la recherche en cpératin entre entreprises, labratires et établissements de frmatin. Sernt assciées dans ces prjets, si nécessaire, les nuvelles cmpétences de R&D issues du PIA.» - Objectif 2 : «Préparer l avenir des entreprises par le dévelppement des cmpétences, et en favrisant l émergence, la crissance et la cmpétitivité natinale et internatinale des PME.» - Objectif 3 : «Etre partenaire des puvirs publics pur le dévelppement des territires, de l écnmie et de l empli.» - 2 -
- Objectif 4 : «Animer les filières du pôle en cncertatin avec les autres pôles de l aérnautique et de l espace, les Cmités de filières, les grupements prfessinnels,» - Objectif 5 : «Instituer ntamment avec d autres pôles et clusters des partenariats techniques pur enrichir ns innvatins et des partenariats à même de diffuser les technlgies vers des nuveaux marchés.» - Objectif 6 : «Inscrire ns prjets et ns initiatives dans une apprche respnsable du dévelppement durable.» 1.2. L pératin COLLECTIF 2015 L pératin COLLECTIF 2015, cfinancée par les DIRECCTEs Nuvelle Aquitaine et Occitanie, entre dans le cadre de l atteinte des bjectifs fixés au cntrat de perfrmance du pôle Aerspace Valley et se décline en 5 axes : Prduits/services, Innvatin rganisatinnelle / Cengineering, Air supply, Étude de faisabilité Additive Manufacturing, Cybersécurité. Ce cahier des charges cncerne uniquement la dernière thématique citée, à savir la Cybersécurité. 1.3. L actin Cybersécurité Le secteur aérnautique / espace / défense est la cible de nmbreuses attaques infrmatiques, et les entreprises, en particulier les PME, prtègent parfis insuffisamment leur patrimine technlgique et leurs dnnées stratégiques d une manière générale. La cybersécurité est une thématique imprtante pur le pôle Aerspace Valley à plusieurs titres : Sauvegarde du patrimine scientifique et technique des entreprises, Sécurité des systèmes embarqués, Prtectin de la «Supply Chain», avec des entreprises de plus en plus «étendues», - 3 -
Sujet transverse à plusieurs DAS (Dmaine d Activité Stratégique) : systèmes embarqués et lgiciels, Usine du Futur, Maintenance,. Le pôle Aerspace Valley est aujurd hui prteur d une actin cllective cybersécurité, dnt le but est de sensibiliser et d évaluer le niveau de maturité des PME, pur les aider à renfrcer leur niveau de sécurité face aux menaces relevant de la cybersécurité. Cette actin s articule sur 3 vlets : Sensibiliser les PME à la cybersécurité En s appuyant sur les services de l état cmpétents Vlet 1 : Sensibilisatins cllectives, Vlet 2 : «Analyse de maturité», pur les entreprises qui en expriment le besin. Accmpagner les PME dans la mise en place de slutins de prtectin de leur patrimine scientifique et technique En s appuyant sur des prestataires externes Vlet 3 : audit, élabratin de cahier des charges, accmpagnement à la mise en place d utils,. Après la phase de sensibilisatin, (sensibilisatin cllective et/u premier diagnstic), réalisée par les services de l Etat cmpétents, il est prévu de faire intervenir des prestataires externes sur la phase d accmpagnement des PME. Cet accmpagnement bénéficie d un cfinancement par les DiRECCTE Occitanie et Nuvelle Aquitaine. Sus réserve que la cybersécurité et la prtectin du patrimine scientifique et technique sient adressés, il s agira, par exemple : d apprter un diagnstic technique avec une analyse de risques et des recmmandatins, d amener du supprt à la mise en œuvre de recmmandatins, à la rédactin de cahiers des charges, à la mise en place de prcess, d un util u de sn interface. Le cfinancement ne s applique pas à la furniture de matériels u de lgiciels. Ce cahier des charges vise à définir ce qui est attendu au niveau du vlet 3. - 4 -
2. MISE EN ŒUVRE DE L ACTION COLLECTIVE Aerspace Valley préside le cmité de piltage de l pératin COLLECTIF 2015 cmprenant Aerspace Valley et les DiRECCTE Nuvelle Aquitaine et Occitanie, afin d assurer la cnduite, le piltage technique de ce prgramme en crdnnant les différents acteurs et parties intervenantes. Dans le cadre de la thématique cybersécurité, le cmité de piltage est chargé ntamment de valider le chix des intervenants extérieurs et des prestatins qui sernt réalisées dans les PME. 2.1 Lieu de réalisatin Les prestatins sernt réalisées au sein des entreprises participantes. Ces entreprises snt situées dans le périmètre du pôle et plus largement celui gégraphique et administratif des deux régins Nuvelle Aquitaine et Occitanie. 2.2 Entreprises cibles Le prjet bénéficiera à des PME qui aurnt fait la demande d accmpagnement après ptentiellement une séance de sensibilisatin (vlet 1) et/u une analyse de maturité réalisée par les services de l état (vlet 2). 2.3 Tâches à réaliser Pur la thématique relative à la cybersécurité, l actin cllective a pur but d accmpagner les entreprises dans leur démarche de sécurisatin de leurs actifs. La taille et l état de maturité de chaque entreprise étant hétérgènes, l bjectif de cet appel d ffres est d avir une liste de prestatins aussi exhaustive que pssible afin de puvir répndre à différents niveaux de besins des entreprises : Analyse des risques SSI (dnt identificatins des activités stratégiques et des actifs à prtéger), Audit rganisatinnel, Audit sécurité physique, Audit technique dnt : Audit architecture du système d infrmatin, Audit de cnfiguratin, Tests d intrusin / de sécurité technique, Elabratin d un plan d actin détaillé et précnisatins techniques et rganisatinnelles sur les éléments de sécurité à amélirer u à crriger, Aide à la rédactin d'une plitique de sécurité des systèmes d infrmatin, Aide à la rédactin d'une charte utilisateurs / charte administrateurs, Aide à la rédactin d'une fiche de pste type «Respnsable de la SSI» - 5 -
Aide à la rédactin d un plan de reprise / de cntinuatin des activités Aide à la rédactin d un cahier des charges Accmpagnement à la mise en place des bnnes pratiques u d actins de sécurisatin, Accmpagnement à la nrmalisatin, Etat de la réglementatin applicable à l rganisatin de la PME (au sens SSI cmme sécurité physique), Frmalisatin d'un plan de sensibilisatin, Sensibilisatin des cllabrateurs : mise en place de sessins de sensibilisatin, d'une campagne de faux phishing, d'un serius game,... Pur chaque tâche, ci-dessus le prestataire précisera le détail du travail réalisé, la durée estimée et les livrables furnis. 2.4 Prpsitin attendue Nus suhaitns recevir une prpsitin mdulaire, avec un prix par mdule/prestatin, une PME puvant bénéficier d un u plusieurs mdules en fnctin de ses besins. Le prestataire dit décrire clairement : le cntenu de chaque prestatin prpsée, (tut u partie des tâches listées au 2.3), ainsi que tus les frais annexes tels que : déplacements, frais de missin,. Le détail des myens humains, techniques, méthdlgiques qui sernt mis en œuvre et, plus généralement tut élément permettant de juger de la qualité et de la chérence de l ffre, Tute infrmatin cncernant ses capacités à réaliser les prestatins, en particulier, en indiquant les missins de même type réalisées au curs des 3 dernières années et les persnnels qu il envisage d affecter sur les prestatins, Tut label u certificatin btenus par le prestataire à titre de persnnes mrale u btenus par ses cllabrateurs, En cmplément, le prestataire furnira le prix d une jurnée d interventin d un spécialiste en cybersécurité. - 6 -
3. Organisatin Le pôle retiendra plusieurs prestataires. Un cntrat cadre sera signé entre le pôle et chaque prestataire. Lrsqu une PME suhaitera être accmpagnée dans le cadre du vlet 3 de l actin cybersécurité, le pôle lui prpsera la liste des prestataires retenus. Un cntrat de prestatin sera directement cnclu par le prestataire avec chacune des PME. C est la PME qui chisira in fine le prestataire. Le prestataire désignera une persnne qui sera le crrespndant du pôle et de la PME pendant la durée de chaque prestatin et qui purra ntamment furnir au pôle des infrmatins quant au degré d avancement de la tâche, les difficultés rencntrées, etc. Préalablement à tute exécutin de prestatin, le prestataire furnira au pôle un livrable résumant la nature des prestatins à réaliser au sein de la PME. Ce prgramme d accmpagnement dit être signé par la PME. Les cfinancements publics sernt cnditinnés par la validatin préalable, dans le cadre du COPIL de l actin, du prgramme d accmpagnement établi entre la PME et le prestataire chisi. Les principaux éléments d appréciatin du COPIL sernt : - l adéquatin du besin justifié par la PME avec le prgramme d accmpagnement établi entre la PME et le prestataire. Le COPIL se réserve le drit de slliciter un diagnstic mené par les services cmpétents de l Etat s il le juge nécessaire (cf. vlet 2 de l actin), - le mntant du prgramme en regard des budgets dispnibles. 4. Calendrier prévisinnel L actin cllective «COLLECTIF 2015», qui cadre l actin cybersécurité, est prévue sur 3 ans. La date de fin de cette actin est prévue le 1 er aut 2018. Les prestatins purrnt démarrer dès avril 2017. - 7 -
5. Exigences générales Les exigences générales de répnse à ce cahier des charges snt les suivantes : Exigence E1 : Le prestataire démntrera qu il dispse d une rganisatin qualifiée capable d assurer le piltage des actins de cybersécurité définies ci-dessus dans le secteur industriel en respectant la cnfidentialité des acteurs. Il présentera les certificats dnt il dispse tels que CEH, LA27001, CISSP, Exigence E2 : Le prestataire pssédera sa prpre structure d experts recnnus. Il peut si nécessaire, cmpte tenu du périmètre de la prestatin, intégrer les cmpétences de prestataires partenaires dans le cadre d'une ffre unique et glbale. Il furnira dans l ffre, les références dans les dmaines cncernés ainsi que les nms, CV et cmpétences des cllabrateurs et des partenaires et qui snt pressentis pur être affectés sur les différentes prestatins. 6. Délais de réalisatin Les prestatins divent être réalisées sur la péride de l actin COLLECTIF 2015. Le prestataire furnira des délais de réalisatins pur chaque prestatin. L actin se termine le 31 aut 2018, u avant, à l épuisement du budget. 7. Critères de chix Prix des prestatins Capacités prfessinnelles et techniques Liste des références de mins de 5 ans Capacités prfessinnelles (qualificatins, attestatins de mins de 3 ans), qualificatin de l équipe (CV), imprtance du persnnel d encadrement Capacités techniques : myens humains (effectifs myens), et myens matériels Démarche qualité Capacités financières Chiffre d affaires glbal et CA cncernant les services cyber - 8 -
Qualité de l ffre 8. Remise et cntenu des ffres La date limite de remise des prpsitins est fixée au 3 Mars 2017 à 17H. Un cmité de piltage, présidé et animé par l Assciatin Aerspace Valley, se réunira pur l'analyse des prpsitins présélectinnées, afin d arrêter le chix des prestataires. Les répnses devrnt nus être frmulées par mail à cntact@aerspacevalley.cm. L'Assciatin Aerspace Valley se réserve le drit de mettre un terme à la pursuite de la missin si le dérulement des travaux u les éléments des pints de restitutin intermédiaires ne répndent pas aux bjectifs préalablement fixés et rappelés dans les dcuments cntractuels. ******************************* - 9 -