Marché de prestations d'accompagnement en sécurité en environnement SMSI certifié ISO27001

Description

Depuis sa première certification ISO 27001 en juin 2016, l'AFNIC poursuit l'organisation de sa sécurité de l'information en processus, en l'intégrant dans son système de management de l'excellence opérationnelle. Chaque année, elle se fait accompagner sur des points particuliers de la sécurité de son SI et procède à des audits techniques ciblés. Lot 1: Accompagnement au management de la sécurité du système d'information Le titulaire s'engage à réaliser sa mission conformément aux règles de l'art. Il est attendu en termes de prestations: — réalisation d'audits internes SMSI — ISO 27001; — accompagnement à la mise à jour du dossier d'homologation de sécurité demandé par la règle de sécurité numéro 3 applicable aux OSE et fixée dans l'Arrêté du 14 septembre 2018; — audit de la Politique de la sécurité des systèmes d'information (PSSI); — appui et conseil en expertise au RSMSI/RSSI (par exemple sur la mise en œuvre des aspects organisationnels et techniques de certaines règles de sécurité applicables aux OSE fixées dans l'arrêté du 14.9.2018, ainsi que des mesures de sécurité portant sur les thèmes suivants: architecture sécurisée, campagne d'hameçonnage, cartographie des SI, continuité, détection, gestion de crise, Indicateurs, plan d'assurance sécurité, Politiques et procédures, réponse à incident, sécurité avec les tiers, sensibilisation, SOC); — accompagnement et appui au plan de reprise d'activité (notamment vérification de sa pertinence et de son efficacité). Dans le cadre des prestations d'accompagnement, l'aide à la rédaction ou la mise à disposition de documents type peut être demandée, la validation incombant à l'AFNIC en tout état de cause. Lot 2: Réalisation d'audits techniques Le titulaire s'engage à réaliser sa mission en conditions PASSI, c'est à dire en s'appuyant sur les exigences du référentiel PASSI version 2.0 du 14.2.2013, en particulier celles relatives à la confidentialité des informations, à la compétence des auditeurs, et à l'élaboration du rapport d'audit. L'AFNIC pourrait être amenée à solliciter du prestataire de façon ponctuelle l'exécution de prestations qualifiées PASSI (au sens du 4 alinéa du chapitre III.2 du référentiel PASSI v2.0). Dans les deux cas (audit en conditions PASSI ou audit qualifié PASSI), il est attendu en termes de prestations: — audits de configuration (réseaux, systèmes Windows et Linux, DNS, bases de données, infrastructures applicatives basées sur les technologies Kubernetes, Docker, PgSQL, Keycloak, Java, Angular…); — tests d'intrusion (sites web, extranets, réseau interne…) en boite noire/grise/blanche, — audits d'architecture; — audit de code (Java, Angular, RUST, PgSQL, Keycloak, PERL, PHP); — accompagnement à la mise en œuvre de mesures correctives ou d'amélioration.