APPEL D'OFFRES PUBLIC SÉCURITÉ INFORMATIQUE

APPEL D'OFFRES PUBLIC SÉCURITÉ INFORMATIQUE TESTS D'INTRUSION DOSSIER DE CONSULTATION Rectorat et Siège 3034, Boul. Edouard-Montpetit - Pavillon Jean-Marc Léger - Montréal, (Québec) H3T 1J7 - Canada Tél : +1 514 343 66 30 - Tcp : +1 514 343 57 83 Courriel : rectorat@auf.org - Site : http://www.auf.org

Sommaire 01 02 Appel d offres public...3 Objectifs de l'appel d'offres...3 Conditions de participation...3 Procédure de soumission...3 Processus d'évaluation...4 Contact et ressources...5 Présentation du projet...6 Présentation de l'auf...6 Contexte du projet...6 Mandat du prestataire...6 Durée de la prestation de service...7 Conditions générales de l'appel d'offres...8 03 ANNEXE - Cadre de réponse...10 1. Présentation du prestataire...11 2. Compréhension du mandat...11 3. Description de la méthodologie et de la prestation proposée...11 4. Déclaration du soumissionnaire...13 5. Déclaration de non-divulgation du soumissionnaire...14 6. Formulaire du répondant...15 7. Proposition budgétaire...16 8. Échéancier...17 9. Récapitulatif des documents à fournir dans le cadre de l'appel d'offres...18 AUF 2015l

APPEL D OFFRES PUBLIC Objectifs de l'appel d'offres Le présent appel d offres public a pour objectif de présenter les besoins de l AUF pour la réalisation d'une prestation de service en sécurité informatique pour la réalisation de tests d'intrusion. Le présent appel est fait dans un souci de diversification des opérateurs et vise à obtenir un échantillonnage d offres de solutions et de prestataires. Le présent document décrit l'ensemble des besoins et des spécifications nécessaires à la réalisation de cette prestation. Le cadre de réponse fourni dans cet appel d'offres permet au prestataire d indiquer sa capacité à fournir les solutions aux besoins énoncés. L'AUF pourra dès lors sélectionner une proposition en se basant sur l évaluation des réponses obtenues. Conditions de participation Toutes les entreprises du domaine peuvent présenter une proposition. Le prestataire doit posséder les compétences suivantes au sein de son entreprise ou dans son portefeuille de sous-traitants: sécurité informatique analyse des vulnérabilités tests d'intrusion Procédure de soumission En réponse au présent document, le prestataire doit : 1. Envoyer une confirmation de participation par courriel : Au plus tard le 15 novembre 2015, À l attention de : Monsieur Pascal Bou Nassar / pascal.bou-nassar@auf.org AUF 2014 - Confidentiel 3 / 18

2. Remplir un dossier de soumission d'appel d'offres Le dossier de soumission au présent appel d'offre devra respecter l'ordre et le format du cadre de réponse fourni à cet emploi. Le dossier de soumission doit inclure : 1. La présentation du prestataire 2. La compréhension du présent mandat 3. La présentation de la méthodologie et de la prestation proposée 4. La «déclaration du soumissionnaire» signée 5. La «déclaration de non-divulgation du soumissionnaire» signée 6. Le «formulaire du répondant» complété 7. La proposition budgétaire (devis) 8. L' échéancier de la prestation 9. Le récapitulatif des pièces à fournir N.B: Le "Cadre de réponse" est en annexe avec la structure des documents à fournir et les formulaires à compléter. 3. Faire parvenir le dossier de la soumission en version électronique PDF, Au plus tard le 15 novembre 2015, à minuit HAE À l attention de : Monsieur Pascal Bou Nassar / pascal.bou-nassar@auf.org Processus d'évaluation L'AUF évaluera les offres sur les critères suivants : Points Élément Évaluation basée sur 40 Coûts Budget détaillé et échéancier des services offerts 30 Méthodologie et couverture des travaux Description de la solution 30 Présentation et expertise de la société Solidité et expérience de la compagnie, expertise des intervenants, références du prestataire L'évaluation et la sélection seront effectuées par un comité d'évaluation interne composé de personnels de l'auf, représentant les fonctions suivantes : AUF 2014 - Confidentiel 4 / 18

Responsables du service informatique Responsables de la sécurité des systèmes d'information Responsables techniques Responsables financiers. L AUF retiendra la meilleure offre et communiquera sa réponse auprès des sociétés qui ont soumissionné. N.B. L'AUF se réserve le droit de ne sélectionner aucun soumissionnaire. (Voir : 4.1 des "Conditions générales de l'appel d'offre" en Annexe) Contact et ressources Les personnes ressources suivantes sont à votre disposition pour toutes questions concernant le présent appel d offres : Monsieur Pascal Bou Nassar Responsable de la sécurité des systèmes d'information pascal.bou-nassar@auf.org Tel : +961 1 420 270 N.B. Les questions que vous poserez et les réponses que l'auf vous fournira seront aussi envoyées aux autres candidats pour assurer l'équité. AUF 2014 - Confidentiel 5 / 18

Présentation du projet PRÉSENTATION DU PROJET Présentation de l'auf L Agence universitaire de la Francophonie (AUF) est une association internationale qui regroupe des universités, grandes écoles, réseaux universitaires et centres de recherche scientifique utilisant la langue française dans le monde entier. Avec un réseau de 804 adhérents dans 102 pays, elle est l une des plus importantes associations d institutions d enseignement supérieur et de recherche au monde. Sa mission est de soutenir un espace scientifique d excellence au service du développement des sociétés. Contexte du projet Dans le cadre de sa politique de sécurité des systèmes d'information, l'auf réalise régulièrement en interne des tests automatiques de vulnérabilités. En complément de ces tests, l'auf souhaite mettre à l'épreuve la sécurité de certains composants spécifiques de son environnement technique et qualifier leur résistance à un certain niveau d'attaque. Pour cela, l'auf recherche un prestataire externe, fiable et réactif, spécialisé et reconnu dans le domaine de la sécurité informatique, capable de répondre à ses attentes en termes de coût et de qualité des prestations. Mandat du prestataire Le prestataire aura pour mission : 1. de produire un document de référence qui formalisera la méthodologie des tests ; Ce document précisera en particulier la nature des tests effectués, l'agenda de ces tests, les conséquences éventuelles sur nos systèmes en production, ainsi que les modalités de gestion du risque encouru en cas de mise en panne d'un ou plusieurs de nos systèmes en production ; 2. de réaliser les tests d'intrusion suivants : Tests d'intrusion en boîte noire sur trois systèmes à Paris et deux systèmes à Montréal ; Tests d'intrusion en boîte grise sur trois systèmes à Paris (messagerie, agenda, annuaire) et deux à Montréal (gestionnaire d'identités, partage de fichiers) dans un objectif de vérifier la possibilité d'usurpation de compte ou d'élévation de privilèges. 6 / 18

Présentation du projet Les détails techniques (adresses pour les boîtes noires, adresses, nom du logiciel et comptes pour les boîtes grises, etc) seront fournis à la signature du contrat de service. 3. de compléter le document de référence : signalant les vulnérabilités identifiées avec leur impact et un plan d action pour corriger ces points faibles ; formuler des recommandations visant à mettre en place de mesures de sécurité permettant de garantir la confidentialité de l information, son intégrité, sa disponibilité et sa traçabilité. Durée de la prestation de service L'ensemble de tests et les documents de références devront être livrés dans un délai maximal d un mois calendaire à compter de la signature du contrat de service. 7 / 18

Présentation du projet Conditions générales de l'appel d'offres 1. Expirations et conditions spéciales 1.1. Le présent document n est valide que dans le cadre de l appel d offres. 1.2. Le délai pour la réception des offres expire à la date et à pour la séance d examen des offres. 1.3. Les documents reçus seront conservés jusqu à la contractualisation avec le prestataire sélectionné. 2. Confidentialité 2.1. Toute reproduction partielle ou totale du présent document pour des fins autres que le présent appel d offres est interdite sans l autorisation écrite de l Agence universitaire de la Francophonie. 2.2. Les informations contenues dans ce document sont strictement confidentielles. Elles ne peuvent être communiquées qu aux seuls membres du personnel ayant à les connaître et ne peuvent être utilisées que pour les finalités du présent appel d offres. 2.3. Toute autre communication ou utilisation de ces informations implique le consentement préalable et écrit de l AUF. 3. Droit de modification 3.1. AUF se réserve le droit de modifier cette offre en tout temps. 4. Refus d une proposition 4.1. AUF se réserve le droit de refuser ou de rejeter une ou toutes les propositions. 5. Acceptation d une proposition 5.1. Cet appel d offres n engage aucunement AUF à une réponse positive ou négative. 6. Liberté d information et protection des droits privés 6.1. Tout document, incluant les propositions commerciales, devient la propriété de l AUF et est sujet aux droits de diffusion régis par les lois de 8 / 18

Présentation du projet liberté de l information et protection de la vie privée. 7. Responsabilité en cas d erreur 7.1. Bien que l AUF ait fait un effort pour rendre cet appel d offres aussi précis que possible, l information contenue dans ce document est assujettie à modifications et ne peut nullement être tenue comme tributaire des conséquences. Ce document est une indication du besoin aux fournisseurs et doit aider à sa qualification. 8. Coûts de préparation des fournisseurs 8.1. Les fournisseurs sont responsables des coûts de préparation, modification ou présentation de leur soumission, et toutes négociations liées à l expression de l intérêt de participation. 9. Langue des documents 9.1. La correspondance et les documents échangés lors de l'appel d'offre et de la prestation de service entre le soumissionnaire et l AUF seront rédigés en français. Les documents annexes et les imprimés fournis par le soumissionnaire peuvent être exceptionnellement rédigés en Anglais. 9 / 18

ANNEXE - CADRE DE RÉPONSE À l'appel d'offres public Sécurité informatique tests d'intrusion Date de clôture de l'appel d 'offre : 15 novembre 2015, à minuit HAE NB : -Le cadre de réponse est le modèle que le prestataire doit utiliser pour présenter sa soumission - Le cadre de réponse est disponible en format éditable (.doc ou.odt) sur demande auprès de Monsieur Pascal Bou-Nassar, pascal.bou-nassar@auf.org 10 / 18

1. Présentation du prestataire Veuillez présenter votre société. Nom commercial: Dénomination sociale: Adresses postales: Adresses électroniques: Numéros de téléphone : Numéros de télécopie: Site Web: Historique, philosophie, équipe... Produits, services, expertises... Partenaires, certifications... Références (société, projet, personne à contacter)... Veuillez joindre les CV de vos personnels identifiés pour répondre aux besoins de ce projet 2. Compréhension du mandat À titre d exemple, les informations à renseigner dans cette partie. Résumé du besoin, du contexte, du projet... En quoi votre prestation peut-elle y répondre? 3. Description de la méthodologie et de la prestation proposée Veuillez décrire votre proposition en indiquant de quelle manière votre solution peut couvrir les fonctionnalités décrites dans la charte du projet. À titre d exemple, les informations à renseigner dans cette partie. Détails de la méthodologie, par exemple: Balayage de l information publique sur Internet: Identification des traces laissées, code/configurations exposés ou toute autre information exposant la sécurité des systèmes, etc. Balayage des ports et analyse des vulnérabilités, etc. Tests d intrusion manuels: identifier si les vulnérabilités rapportées sont 11 / 18

réellement présentes et qu il n existe pas de faux positif, exploiter les vulnérabilités pour obtenir des accès supplémentaires. Analyse logique des services par exemple: Analyse des pratiques de programmation identifiables dans le code, vérification des possibilités des attaques «Cross-Site Scripting»; vérification de la possibilité d'injection de code SQL et autres En quoi cette solution s avère-t-elle la plus adéquate pour ce projet? 12 / 18

4. Déclaration du soumissionnaire Je déclare, en mon nom personnel ou au nom de l entreprise que je représente : Avoir reçu et avoir pris connaissance du document d appel d offres complet ainsi que des conditions et des instructions aux soumissionnaires; avoir pris les renseignements nécessaires sur la nature des services à fournir et les exigences de l appel d offres; reconnaître que les quantités de services indiquées au devis ne le sont qu à titre indicatif seulement; me satisfaire des documents mis à ma disposition, en avoir compris tous les tenants et les aboutissants et qu à ma connaissance, il n y a aucune autre information pertinente et déterminante à venir. qu à ma connaissance, je ne dispose pas d une information privilégiée susceptible de conférer à l entreprise que je représente un avantage par rapport à mes concurrents dans le cadre de l appel d offres Le soumissionnaire s engage, en conséquence : à accepter les conditions générales; à fournir le maximum des informations demandées, à l intérieur du délai imparti; assumer tous les frais relatifs à la préparation et au dépôt de sa soumission ainsi que ceux occasionnés par la présentation de ses services, le cas échéant; à fournir le juste prix des services indiqué au Devis, et à les maintenir pour la durée du projet; à s engager dans les processus de définition du cahier des charges et de l établissement contractuel avec l AUF, suite à la sélection de son entreprise comme prestataire retenu pour le projet. Fait à, le Par Titre 13 / 18

5. Déclaration de non-divulgation du soumissionnaire Je m'engage, en mon nom personnel ou au nom de l entreprise que je représente, à ce que : Le contenu de cet appel d offres et de l ensemble de ses annexes, y compris tout autres documents postérieurs qui s y adjoindront, ne devront pas faire l objet de divulgation par un quelconque moyen sans le consentement écrit et préalable de l AUF. Cet appel d offres et toute la documentation qui y est attachée ne devront pas être utilisés dans un but autre que celui auquel ils sont destinés. Cet engagement vaut pour tout contrat ou engagement similaire subséquent à l appel d offre. Fait à, le Par Titre 14 / 18

6. Formulaire du répondant Le répondant de l AUF, pour la durée de ce contrat, sera : Nom : Monsieur Pascal Bou-Nassar Titre : Responsable de la sécurité des systèmes d'information Courriel : pascal.bou-nassar@auf.org Téléphone : +961 1 420 270 Le soumissionnaire devra s assurer qu un répondant de son organisation sera en mesure de fournir les informations au responsable de l AUF sur l exécution de l un ou l autre des travaux. Le nom du répondant et ses coordonnées sont : Nom : Titre : Courriel : Téléphone : 15 / 18

7. Proposition budgétaire Le soumissionnaire doit présenter une proposition du budget incluant tous les coûts de la prestation, incluant en autres : L accompagnement sur le projet (réunions préparatoires..) La réalisation des tests de pénétration. Les documents de références En plus de l'offre demandée correspondant à un test d'intrusion sur 5 systèmes en boite noire et 5 systèmes en boite grise, le prestataire précisera le coût du service unitaire d'un test en boite noire / grise ce qui permettra l'agence de demander l'ajout d'autres systèmes à tester pendant la durée du service rendu. Le budget doit être détaillé dans un tableau ci-dessous : * rajoutez autant de lignes que nécessaire Détail nombre Tests d'intrusion en boîte noire 5 Tests d'intrusion en boîte grise 5 Coût unitaire Coût Totaux (hors taxes): Totaux (avec taxes) 16 / 18

8. Échéancier En vous basant sur le calendrier prévisionnel du projet et selon votre méthodologie, veuillez proposer un échéancier en indiquant les jalons, les périodes de travail et les responsabilités des parties * rajoutez autant de lignes que nécessaire Détail Début Fin Responsables 17 / 18

9. Récapitulatif des documents à fournir dans le cadre de l'appel d'offres Veuillez indiquer par oui ou par non, dans le tableau suivant, les documents que vous avez inclus. Si vous n êtes pas en mesure de fournir un ou plusieurs documents, nous vous invitons à communiquer avec le répondant AUF. # Document à fournir 1 La présentation de votre société 2 Votre compréhension du présent mandat 3 Une présentation de votre méthodologie et de la prestation proposée 4 La «déclaration du soumissionnaire» signée 5 La «déclaration de non-divulgation du soumissionnaire» signée 6 Le «formulaire du répondant» complété 8 La proposition budgétaire (devis) 9 L' échéancier de la prestation 10 Récapitulatif des pièces à fournir Oui Non 18 / 18