CAHIER DES PRESCRIPTIONS TECHNIQUES DE L APPEL D OFFRES N 08 /13 E A C C E OBJET : MISE EN PLACE D UNE SOLUTION DE SECURITE INFORMATIQUE EN LOT UNIQUE I. Description de la solution cible Dans le cadre de son activité, L EACCE est représenté aussi bien sur le territoire national qu à l étranger. Il est structuré en multi-sites, de la manière suivante : Un siège sis à Casablanca 21 délégations se trouvant toutes au Maroc 4 délégations réparties entre la France et la Belgique L architecture actuelle est faite de manière à ce que chaque site (siège ou délégation) dispose de son propre accès Internet (LL pour le siège et ADSL pour les délégations). Certains utilisateurs disposent d accès internet mobile. Le flux échangé entre le siège et les délégations concerne le trafic de messagerie, et celui relatifs à des applications hébergées au siège et accessibles via le web. L accès Internet public du siège est, actuellement, protégé par un firewall, tandis que les délégations ne disposent pas de plateforme de sécurité dédiée vis-àvis de l accès Internet. Le programme ambitieux lancé par l EACCE dans l informatisation de plusieurs de ses activités, vise le déploiement de plusieurs applications centralisées. Sa réussite nécessite la mise en place d un réseau d interconnexion sécurisé permettant d instaurer une politique de contrôle d accès conforme aux exigences du métier de l EACCE. 1
C est dans ce sens, que l EACCE a programmé l acquisition et la mise en œuvre d une solution d interconnexion sécurisée entre les différentes délégations et le siège, basée principalement sur des appliances UTM adaptées qui vont contrôler l interfaçage aux accès Internet, et gérer les interconnexions inter-sites par le biais de tunnels VPN (Virtual Private Network). La réalisation de ce programme se fera de façon progressive. Il concernera, dans une première étape, le siège et deux délégations choisies par l EACCE, puis s élargira progressivement aux autres délégations. Ainsi la solution devra être évolutive aussi bien au niveau des fonctionnalités qu au niveau de l étendue géographique. La solution à acquérir dans le cadre de cet appel d offres doit permettre de : Sécuriser l accès à Internet contre toute intrusion ou virus Contrôler et sécuriser l accès des délégations, utilisateurs mobiles et partenaires à certaines ressources du système d information de l EACCE Contrôler et protéger la navigation web Protéger la messagerie contre tout type de danger (spam, virus, ) Ladite solution doit être conçue autour des composantes suivantes : Un cluster de deux firewalls centraux en format «appliance» adaptés à la taille du siège, et intégrant un moteur UTM performant. Ils devront être installés et configurés en haute disponibilité. Deux firewalls de délégation en format «appliance». Ils devront intégrer le même moteur UTM que celui du firewall central du siège. Une architecture Active Directory installée au niveau du siège et authentifiant tous les utilisateurs de l EACCE. Une solution de protection antivirus pour les serveurs et postes de travail La solution doit être accompagnée de l ensemble des services : D ingénierie, d installation et de mise en œuvre De support et de maintenance des composantes hardware et software proposées. De formation de l équipe devant assurer la maintenance du système 2
L architecture cible de sécurité devra être conforme au schéma ci-dessous : Comme montré sur le schéma, un ensemble d utilisateurs doivent s authentifier et se connecter aux ressources du système d information de l EACCE localisés au siège par des tunnels sécurisés en VPN IPSEC/SSL. L architecture décrite est présentée juste à titre indicatif. L architecture définitive ainsi que le détail de l actif informatique et réseau par zone sera défini lors de la phase d ingénierie du projet. II. SPECIFICATIONS TECHNIQUES I. Cluster de firewall central Le soumissionnaire doit proposer deux firewalls intégrés en format Appliance, à installer au niveau du siège, permettant de contrôler tout échange entre les différentes zones de sécurité ainsi que l interconnexion sécurisée entre le siège et les différentes délégations de l EACCE. Ils doivent être installés en haute disponibilité. 3
Les firewalls proposés doivent supporter les spécifications techniques suivantes : 1.1.1. Firewall Filtrage bloquant par défaut : tout ce qui n est pas autorisé est interdit. Conforme aux normes de sécurité : FCC, CE et certifiée par ICSA, WestCoastLabs. Possibilité de filtrage en fonction de l adresse source, adresse destination, utilisateur, service, protocole, interface d entrée, heure et date d accès, Supporte la création des règles de firewall basé sur l identité de l utilisateur en plus d autres critères : Source/Destination, IP/Sous Réseau, Port Source/Dest. Gestion des plages d adresses, des groupes d IPs (machines, réseaux, plages d adresses), des groupes d utilisateurs, groupes de services Possibilité de visualiser et de désactiver les règles implicites. Possibilité d appliquer et d associer des règles de filtrage Antivirus/Antispam, Filtrage de contenu ou QoS aux règles de firewall (ACL) Possibilité de gérer des niveaux d intervention dans la politique de filtrage en fonction des droits propres à chacun des administrateurs. Possibilité de gestion de la bande passante par application Support du Policy BasedRouting (routage en fonction de tous les critères d une règle : l IP source, de l IP destination, de l interface, du protocole, de l interface d entrée, de l application). Dispose d un outil de test de cohérence des règles (pour vérifier que des règles identiques ou contradictoires ne cohabitent dans la politique). Possibilité de nommage d une règle (l objectif est de faciliter son suivi dans les logs sur des longues périodes). Intègre le module de prévention d intrusion (IPS) Disponibilité des mises à jour de sécurité automatiques à partir de Serveur de l Editeur et ce pour toutes les fonctionnalités (Full) 1.1.2. Configuration Réseau 4
Gestion de la répartition de charge et du backup sur plusieurs liens opérateurs par Source/Destination, Utilisateur ou Protocole/Application. Disponibilité d un minimum de 6 interfaces 10/100/1000 Ethernet. Possibilité de configurer les interfaces en mode routé, en mode bridge ou en mode mixte (association du mode routé et du mode bridge). Gestion des Vlans (Tag VLAN 802.1q) et support du mode bridge avec les vlans. Supporte l IPV6 Supporte l accès via les modems 3G sur port USB (supportés par les opérateurs télécom au Maroc) pour une tolérance de panne. Possibilté de configuration en mode transparent avec bypass en cas de panne de l appliance 1.1.3. IPS : Intrusion Prevention System Module IPS basé sur les signatures et les anomalies protocolaires (Protocol anomaly) IPS capable de faire des analyses comportementales de tout type de trafic Répertoire signifiant d au moins 3000 signatures prédéfinies intégrées dans la base Possibilité de créer ses propres signatures Mise à jour automatique des signatures IPS Création et affectation des politiques IPS par type de zone ou interface Possibilité, pour chaque événement d attaque, de laisser passer ou bloquer momentanément ou définitivement, d envoyer une alarme, d envoyer un mail, de faire une mise en quarantaine automatique, Gestion de profils IPS avec association à certains trafics dans la politique de filtrage (IP source, IP destination, service, protocole, réseau ) 1.1.4. Administration Management : 5
Administration via une interface web sécurisée en https, Administration en CLI (command Line Interface) via Console Interface graphique simple, conviviale et ergonomique Possibilité de sauvegarde, restauration, Import et export de la configuration Accès à l interface d administration sécurisée avec une intégration Active Directory, Radius, Base locale. Une console multilingue Supporte le SNMP Définition des profils d administration selon des niveaux d accès prédéfinis Configuration des différentes politiques et des différents modules en mode «objet» (machines, réseaux, services, protocoles ) avec possibilité de faire des groupes. Possibilité d administrer plusieurs équipements à partir du même outil d administration. Représentation graphique de l architecture dans des maps (représentant Firewall, switchs, routeurs ). Tableaux de bord : Supervision des équipements (avec indicateur visuel) et suivi des niveaux d alarmes. Possibilité de réaliser de façon centralisée la sauvegarde, la mise à jour, le backup, le déploiement de politique ou l envoi de script de configuration de la totalité ou partie du système. Reporting : Propose des rapports conformément aux règles de l art et à la réglementation internationale Intègre plusieurs types de rapports prédéfinis Les traces de l activité doivent pouvoir être exportées vers un ou plusieurs serveurs syslog Mise à disposition de différents types de logs : les alarmes, les vulnérabilités, les connexions, les sites web visités, actions de l antivirus et de l antispam 6
Intègre des rapports très détaillées pour le suivi des traces : nom utilisateur, adresse ip, application, destination, port/protocole Génération de rapport graphique (sous forme de camembert, d histogrammes ) de façon automatique (à une fréquence donnée et sur une période d analyse donnée). Rapports pré configurés disponibles avec la possibilité de personnalisation de ses propres graphiques. Rapport par activité : mail, antivirus, application web, Possibilité de visualiser les différents logs sur une période donnée. Possibilité de faire des filtres sur chacune des informations de la ligne de logs. Possibilité de tracer à travers les logs l activité d administration afin de savoir «qui a fait quoi et quand». Possibilité d accès au Logs de suivi des tunnels VPN afin de pouvoir savoir si un tunnel est tombé et pour quelle raison. Monitoring : Possibilité d élaboration d un tableau de bord graphique général présentant de façon globale l état de l équipement. Possibilité de visualisation en temps réel : De l état système (CPU, RAM, Licence) Des remontés d alarmes, Des vulnérabilités, Du débit sur chacune des interfaces Des utilisateurs authentifiés, De l état des tunnels VPN, Des sessions actives De l état de la quarantaine, Du suivi des mises à jour des différentes bases (IPS, Antivirus, Antispam ) 7
Possibilité de faire des filtres sur des mots clefs afin de faciliter la lecture des nouvelles informations. Authentification : Authentification des utilisateurs sur une base interne au produit. Authentification possible pour l ensemble des protocoles (demande d authentification intégrée à la règle de filtrage). Possibilité de s interconnecter avec un annuaire externe de type LDAP, Active Directory ou RADIUS, ASSO Windows L équipement doit être capable de générer des certificats (être Autorité de Certification dans le cadre d une PKI) et une liste de révocation. Ces certificats doivent respecter le standard X509 pour être utilisés avec tout type d application (notamment VPN, authentification des utilisateurs ). 1.1.5. Fonctionnalités UTM Filtrage URLs et Applicatif : Supporte le Filtrage Web par catégorisations de sites en se basant sur un répertoire de catégories prédéfinies. Le niveau d exhaustivité du répertoire sera un élément de jugement des offres. Capacité à filtrer les flux HTTPS en se basant sur l URL Possibilité de bloquer des URLS basée sur des expressions régulières Possibilité de donner des droits en fonction des utilisateurs. Le blocage des pages interdites doit être accompagné de l affichage d une page d information personnalisable. Possibilité de Filtrage et de contrôle du chat : Yahoo, MSN, AOL, Google, Capacité de filtrer des flux http/https en utilisant des serveurs mandataires anonymes sur Internet Possibilité de Scannage et de filtrage des transferts de fichier : antivirus, filtrage de contenu. Possibilité d allocation de la bande passante par catégorie de site web 8
Possibilité de filtrage et contrôle d application : P2P, IM, SKYPE Contient une base locale de reconnaissances d applications : Game, proxy, Antispam : Le système doit Intègrer un moteur Antispam puissant Utilisation de l Antispam pour les protocoles SMTP, POP3 et IMAP. Supporte la technologie de détection par data base RBL pour une détection efficace Possibilité d analyse par listes noires DNS ou par analyse heuristique. Possibilité d une liste de quarantaine pour traitement des emails entrants Propose différentes actions pour le trafic SMTP analysé (exemple : Tag, Drop, Rejeter, Changer de destinataire, Délivrer) Antivirus : Intègre un moteur de scan antivirus efficace Antivirus standard du marché intégré du monde non libre (propriétaire). Analyse Antivirale pour les protocoles HTTP, HTTPS, FTP, SMTP, IMAP et POP3. Possibilité d analyse des fichiers compressés. Possibilité de refuser les fichiers chiffrés. Web Application Firewall (Reverse Proxy): Dans le but de protéger les serveurs ainsi que les applications et données qu ils hébergent, la solution proposée doit intégrer un Reverse Proxy (web application firewall). Ce module doit supporter les spécifications techniques suivantes : Protéger les serveurs contre les attaques pouvant toucher leur bon fonctionnement ou leur contenu. Répartir la charge entre plusieurs serveurs. Supporter du HTTP 0.9/1.0/1.1 Permettre le routage et le contrôle des flux HTTP et HTTPS. 9
Protéger le système contre les SQL Injections, Cross-site Scripting (XSS), Session Hijacking, URL Tampering, Cookie Poisoning Sécuriser et contrôler les connexions cryptées en les serveurs et les utilisateurs. Permettant d établir des tableaux de bord précis de l'usage d'une application distante. VPN IPSEC / SSL Supporte les connexions VPN IPSEC (site à site, client à site), l2tp et pptp Intègre le VPN SSL sans coût supplémentaire pour un nombre de user illimité. Supporte les algorithmes de chiffrement : DES, 3DES, AES, TwoFish, Serpent et Blowfish Capacité de monter des tunnels avec des produits concurrents. Supporte au moins pour les tunnels VPN les méthode d authentification: Clé pré-partagée (presharedkey) ou Certificats Numériques Possibilité d intégrer une CA externe VPN SSL supporté au moins en trois modes : web Access, web application Access et Tunnel 1.1.6. Mise en Haute Disponibilité des équipements Les équipements devront pouvoir être mis en Haute Disponibilité en mode A/A ou A/P. Le trafic entre les deux firewalls devra être chiffré Chaque Firewall sera capable d analyser son propre état et vérifie celui de l autre équipement. Supporte les défaillances de liaison, matériel ou de session Synchronisation automatique et/ou manuelle entre les deux unités firewall Services additionnels Intègre un Serveur DHCP 10
Activation de la récupération de l heure sur un serveur NTP Proxy et cache DNS (transparent ou explicite) 1.1.7. Connectivité et performance Disponibilité d au moins 6 interfaces 10/100/1000 configurables en LAN/DMZ/WAN Firewall Throughput UDP/TCP 2500/1600 Mbps Nombre de sessions concurrentes 400 000 Antivirus Throughput 400 Mbps IPS Throughput 800 Mbps UTM Throughput 320 Mbps 1 Port console 1 Port USB L offre devra englober les droits nécessaires pour connecter, de façon simultanée, 2 agences au siège de l EACCE en VPN IPSec et pour connecter, de façon simultanée, au moins 80 utilisateurs mobiles en VPN SSL ou IPSec. Voyant (lumineux, par exemple) permettant d avertir l administrateur en cas de défaut majeur du produit (modification hardware, interface réseau défaillante ) Maintenance du produit La sauvegarde de la configuration doit être récupérable dans un fichier de façon simple avec les outils d administration graphique. Possibilité de restauration sur les produits de versions ultérieure. Lors d une mise à jour, le système doit être capable d effectuer un retour en arrière vers la dernière version. La mise à jour du firmware du boitier se fait de façon aisée (exemple :par l envoi d un fichier depuis l interface graphique). 11
Possibilité de programmer les mises à jour de sécurité (Antivirus, Antispam, Analyse Vulnérabilités, IPS ) selon les besoins et la convenance de l administrateur. 1.2. Firewalls de délégations Les représentations régionales concernées par cet appel d offres disposent de leurs propres connexions Internet et doivent être connectées au siège par le biais d un tunnel VPN sécurisé. Les firewalls de délégations à proposer dans ce cadre doivent être intégrés en format Appliance et permettre la protection du réseau de la délégation contre toute menace d intrusion ou virale provenant d Internet ainsi que l interconnexion sécurisée de la délégation au siège central. Les firewalls de délégations doivent disposer des mêmes spécifications fonctionnelles et techniques que le firewall du siège, à l exception de la fonctionnalité de «Web Application Firewall» qui n est pas requise dans les délégations, et avec les particularités hardware suivantes : 4 interfaces 10/100/1000 Firewall Throughput UDP/TCP 700/500 Mbps Nombre de sessions concurrentes 150000 Antivirus Throughput 100 Mbps IPS Throughput 120 Mbps UTM Throughput 80 Mbps 1 Port console 1 Port USB Licences VPN IPSec et SSL intégrées pour l interconnexion avec le siège L EACCE aura besoin dans un premier temps de deux firewalls de délégations qui serviront à sécuriser les deux (2) délégations rentrant dans le cadre de cet appel d offres. Ces deux firewalls permettront la mise en place d une interconnexion IPSEC entre chaque délégation et le siège. 12
1.3. Interconnexion VPN des utilisateurs mobiles Les utilisateurs mobiles doivent avoir la possibilité de se connecter au siège par le biais d un tunnel VPN IPSec ou SSL (le choix du mode VPN se fera lors de la phase d ingénierie du projet) à établir entre leurs ordinateurs mobiles et le firewall UTM du siège. Cette fonctionnalité ne doit pas engendrer des frais de licences ou d un quelconque droit d utilisation. Dans tous les cas, le prestataire doit fournir les clients VPN à installer dans les ordinateurs mobiles et qui sont nécessaires à l établissement de la connexion de l utilisateur mobile. Les agents des délégations ne disposant pas de firewall seront assimilés à des utilisateurs mobiles. 1.4. Le management centralisé La solution proposée doit être gérable de façon centralisée. Cette option ne sera pas acquise dans l immédiat, elle est prévue dans le cadre d évolutions futures. Cette gestion centralisée doit permettre le monitoring et le suivi simultané et online de l activité de toutes les appliances déployées sur le réseau de l EACCE. Elle doit avoir en plus les fonctionnalités suivantes : Mangement et configuration centralisés (configuration, définition des objets, Nat, règles firewall, filtrage web/application, antispam...) Synchronisation de la configuration des différents firewalls à partir de la console centrale Application des politiques sur plusieurs équipements Sauvegarde de la configuration Reporting et log centralisé avec une visibilité sur l état système de l ensemble des équipements déployés Interface Web et possibilité d administrer en CLI Définition des profils d accès administrateurs et audit log (accès, modification de la configuration ) Gestion des alertes par email 13
1.5. Infrastructure logicielle En vue du renforcement de la politique de contrôle d accès aux ressource du système d information, l EACCE envisage à travers cet appel d offres la création et le déploiement d une architecture de contrôle d accès centralisée conçue autour d'un annuaire Active Directory afin de fournir des services centralisés d'identification et d'authentification aux 150 d utilisateurs de l établissement sous des unités d organisation bien définies correspondant à des profils spécifiques. L étude et la création des unités d organisation selon les profils et les droits d accès sont attendues dans cette prestation. Le prestataire doit prendre en charge dans le cadre de cet appel d offre la fourniture de 2 licences Microsoft Windows Server 2008 SP2 Entreprise Edition 32/64 bit. Ces deux serveurs doivent être utilisés pour une configuration redondante du contrôleur de domaine de l établissement. Le prestataire doit également fournir les licences utilisateurs associés, à déclarer dans l annuaire Active Directory, sachant qu il s agit de 150 utilisateurs. Les licences doivent être fournies avec un CD/DVD supportant le logiciel original en langue française. 1.6. Solution de protection antivirale intégrée a. Equipements à protéger La solution antivirale intégrée devra assurer la protection des équipements suivants : 150 Postes de travail (windows XP, Vista, Windows 7 32/64 Bits) 15 Serveurs (Windows 2000/2003/2008) 1 Serveur de messagerie (Lotus Domino) 2 postes de travail Mac PDA & Smartphone Appliance de stockage b. Caractéristiques de la solution 14
Le produit antivirus devra au minimum : Détecter et supprimer des virus/vers Détecter et supprimer des spywares/malwares/troyens Détecter et supprimer les rootkits actifs et dissimulés Intégrer la fonctionnalité de protection contre les menaces web sur les postes de travail et les ordinateurs portables Détecter et supprimer des spywares/malwares/troyens Assurer une fonctionnalité de contrôle de périphériques (USB, CD- ROM ) Assurer une fonctionnalité Firewall Mettre à jour les bases antivirales de manière automatique et centralisée Posséder une interface de gestion Web sécurisée, ergonomique, intuitive S intégrer avec Active directory pour récupérer des informations sur l état de la sécurité des points finaux Offrir la possibilité de mettre plusieurs source de mise à jour selon le besoin en terme d architecture Permettre une architecture ouverte et extensible pour l intégration des nouvelles fonctionnalités. Offrir une facilité de déploiement et de suivi de l état de la protection c. Administration centralisée La Solution devra intégrer un module de gestion centralisée (Reporting et Mises à jours) depuis un seul poste via une interface conviviale d'administration avec un accès sécurisée. d. Installation et Formation L offre devra inclure l Installation du serveur et de 5 postes clients, l assistance de deux mois après l installation et la formation de l administrateur 15
II. PRESTATIONS ATTENDUES Le soumissionnaire doit fournir dans son offre un planning prévisionnel de réalisation et décrire la démarche de réalisation du projet qui sera adoptée lors de la réalisation. La mise en œuvre de la solution doit se dérouler en trois (3) phases essentielles : Étude et ingénierie Implémentation et mise en production Formation 1.7. Etude et ingénierie Cette phase consiste à analyser l'existant en terme d architecture et de sécurité du réseau de l EACCE, identifier les contraintes et les actions adéquates à entreprendre. Elle permettra au prestataire de bien comprendre : Le contexte du Maître d'ouvrage ; Les besoins concrets et attentes du projet en partant des spécifications du présent cahier de charge; L'environnement technique d'exploitation; La vision de l'évolution des besoins à court et moyen terme. L'objectif de cette phase est de définir la meilleure architecture à mettre en place qui soit adaptée à l environnement et aux contraintes de l EACCE. 1.8. Implémentation et mise en production Sur la base des décisions prises lors de la phase d étude et d ingénierie, le prestataire procédera à la livraison, l installation physique et le paramétrage des différentes plateformes faisant partie de la solution proposée. 16
Des tests de fonctionnement seront faits sur maquette avant de mettre en production toute la solution proposée. Cette phase consiste aux principales tâches suivantes : Validation des pré-requis : environnement physique, zones de sécurité, VLANs, connexions, adressage IP, Tunnels VPN, Installation, configuration et mise en production des différents produits objets de l appel d offres Elaboration du document d exploitation de la solution mise en place Réception de la solution Lors de cette phase, le prestataire doit prendre en charge le déploiement de la solution au niveau du siège et deux délégations régionales désignées par l EACCE. L installation d Active directory ainsi que celle de la solution antivirale devra inclure l Installation des serveurs et de 10 postes clients ainsi que le transfert de compétences nécessaire pour que l équipe de l EACCE puisse prendre en charge le reste du parc. 1.9. Formation Le prestataire assurera une formation complète au profit de 6 personnes de l EACCE. Cette formation doit contenir: Configuration et maintenance des appliances UTM proposées selon le cours standard du constructeur Configuration des services de domaine Active Directory Windows Server (cours 6238 de Microsoft) Configuration et dépannage d une infrastructure réseau Windows Server 2008 (cours 6741 de Microsoft) Installation, maintenance et administration de la solution antivirale Ces formations doivent être assurées par des ingénieurs/formateurs qualifiés dans le domaine de chaque formation. A la fin de cette prestation, les administrateurs de la solution disposeront de toutes les compétences nécessaires pour assurer toutes les tâches relatives à 17
l installation, l exploitation et l administration des composantes de la solution proposée. III. GARANTIE ET MAINTENANCE Les produits hardware et software proposés dans le cadre de cet appel d offre doivent être garantis pendant une période de deux (2) années, minimum. Cette garantie doit prendre en charge le remplacement ou le dépannage du matériel en cas de panne, la mise à jour des systèmes d exploitation, des applications proposés et des bases UTM et antivirus. Le prestataire est censé apporter toute son assistance technique pour le déblocage des problèmes qui pourraient survenir sur la solution objet de cet appel d offres. Ceci doit inclure les interventions sur site en cas d incidents importants. Le prestataire doit proposer également dans son offre un contrat de support/maintenance de la solution proposée. Ce contrat doit couvrir au moins les services suivants : Remplacement du matériel défectueux Accès et installation des dernières versions software pour pouvoir effectuer les mises à jour mineures et majeures de la solution proposée Téléchargement des signatures. N.B : Toute référence éventuelle à une marque n est précisée qu à titre indicatif ; le soumissionnaire peut, conformément à la réglementation en vigueur en matière de passation des marchés publics, proposer une marque équivalente. 18