Marché cadre de prestations d’Appuis et d’Analyses de Risques Sécurité (PAARSEC) lots A, B, C, D, E

Description

Le présent avis de marché couvre les besoins de prestations d’appui, d’expertise, d’analyse de risques et d’audit dans le domaine de la sécurité du SI ( infrastructures, applications, mobilité, conformité, etc...) pour EDF SA et ses filiales françaises via GSS • Lot A : Centre de services Infrastructures et Applications • Lot B : Centre de services Sécurité LAN et terminaux • Lot C : Expertise sécurité pour les études et projets • Lot D : Audits et analyses de risques avancées • Lot E : Analyses de risques classiques Lot 1: Lot A : Centre de service et prestations d’appuis sur les domaines Infrastructure, accès partenaire et sécurité applicative Le lot A concerne la mise en place d’un centre de service d’expertise sécurité autour : • des Datacenters et des différentes zones qui les composent ainsi que des équipements sécurité, technologies et architectures associés (IDPS, Firewalls, VPN, virtualisation, WAN sécurisé, …). • des applications, des infrastructures applicatives, de leurs éléments de sécurisation (reverse proxy) et de leurs hébergements (serveurs, Cloud, CAAS, IAAS, SAAS,…) Le centre de service assure les activités d’expertise autour de ce domaine en se montrant le référent la sécurisation des applications, sur les politiques de sécurité ainsi que sur les technologies les composant. Les activités sont entre autres (liste non exhaustives) : • rédaction de référentiels sécurité, • support SN3 sur demande et incident, • traitement des dérogations, • design d’architecture, • expertise et étude autour des politiques de sécurité, • appui autour des scans de vulnérabilité, … Un volet de ce lot concerne les interventions pour qualifier les sites partenaires qui doivent se raccorder au SI EDF en respectant la Politique de sécurité d’EDF. L’objectif de la prestation étant d’avoir un pilotage de l’activité d’audit en s’appuyant sur différents interlocuteurs en interne EDF et de réaliser ces audits partout à travers le monde. Les activités sont de : • réaliser un audit lors de la création d’un nouveau site partenaire, • réaliser des visites de contrôle sur un site existant, • piloter les différents acteurs autour de ces problématiques de raccordement. Le candidat fera usage du français (écrit/oral) dans tous les échanges avec EDF. PI, l’Entreprise envisage de prendre en compte parmi les critères d’attribution la part d’activité de la prestation objet du marché que le soumissionnaire s’engage à faire réaliser par des travailleurs en situation de handicap Lot 2: LOT B : CENTRE DE SERVICES SECURITE LAN ET TERMINAUX Il s’agit de l’expertise sécurité autour des LAN (NAC, WiFi, ToIP), des terminaux (tablettes, mopieurs, smartphones, ordinateurs) et de leurs solutions de sécurisation (antivirus, …), ainsi que des moyens d’authentification forte et de chiffrement. Le centre de service assure les activités d’expertise autour de ce domaine en se montrant le référent sur la sécurisation des terminaux et des LAN, l’appui aux projets de mobilité et de transformation numérique, le valideur et le support sécurité sur les apps et gratuiciels. Les activités sont entre autres (liste non exhaustives) : rédaction de référentiels sécurité, qualifications logicielles, traitement des dérogations bureautiques, homologation matérielle, support SN3 sur des technologies de sécurisation LAN ou terminaux (NAC, antivirus…), … Le candidat fera usage du français (écrit/oral) dans tous les échanges avec EDF. PI, l’Entreprise envisage de prendre en compte parmi les critères d’attribution la part d’activité de la prestation objet du marché que le soumissionnaire s’engage à faire réaliser par des travailleurs en situation de handicap Lot 3: Lot C : Expertise sécurité pour les études et projets Dans un contexte d’évolution des menaces, des matériels et des technologies, l’objectif des prestations est d’apporter à l’Entreprise l’expertise nécessaire dans le cadre d’études d’opportunités, de benchmarks, d’appui technique ou de pilotage technique de projets, de maquette et de POC dans les grands domaines suivants : • Domaine Cyber-Défense • Domaine sécurité des infrastructures centralisées • Domaine sécurité des infrastructures réparties • Domaine sécurité des applications • Domaine réglementation pour la sécurité du SI A noter : le management des ressources liées à ces prestations est de la responsabilité du Titulaire. Le candidat fera usage du français (écrit/oral) dans tous les échanges avec EDF. PI, l’Entreprise envisage de prendre en compte parmi les critères d’attribution la part d’activité de la prestation objet du marché que le soumissionnaire s’engage à faire réaliser par des travailleurs en situation de handicap Lot 4: Lot D : Audits et analyses de risques avancées Le lot D couvre les prestations de type « audits de sécurité SI » et « analyses de risques Sécurité SI ». Les audits de sécurité pourront revêtir différentes modalités comme par exemple : • Étude documentaire et entretiens • Revues de conformité au référentiel de sécurité • Tests d’intrusion d’applications ou d’infrastructures • Audit de configuration • Revue de code Différents types d’audits de sécurité sont identifiés : • Diagnostic de sécurité • Audit de sécurité SI • Audit de sécurité SI étendu • Contrôle de plan d'action • Audit de processus • Audit de proximité • Sensibilisation • Social Engineering Pour la réalisation des analyses de risques, les intervenants du TITULAIRE devront utiliser la norme ISO 27005 ou la méthode EBIOS. Le Titulaire sera en mesure de réaliser 4 niveaux d’analyse de risques : • Analyse de risques Standard (suivant le modèle EBIOS RM de l’ANSSI) ; • Analyse de risques Complexe (suivant le modèle EBIOS RM de l’ANSSI) ; • ARISOC (suivant les modèles de l’Entreprise) ; • AIPD (suivant les modèles de l’Entreprise). Le candidat fera usage du français (écrit/oral) dans tous les échanges avec EDF. PI, l’Entreprise envisage de prendre en compte parmi les critères d’attribution la part d’activité de la prestation objet du marché que le soumissionnaire s’engage à faire réaliser par des travailleurs en situation de handicap A noter la fourniture de postes EDF pour les pentests. Lot 5: Lot E : Analyses de risques classiques Le lot E couvre les prestations de fourniture de livrables de type analyses de risques « simples » pour accompagner les commanditaires métiers du Groupe à la sécurisation de divers projets sur différents axes (applications, infrastructure du SI, processus organisationnel, problématique de sécurité physique, problématique juridique, …) Différents types d’analyses de risques concernées dans ce lot sont les suivantes : • AR Simplifiées (CATe – Comité d’architecture technique) • AR Cloud (BIPSE – Bureau d’instruction des Services Externes) Le candidat fera usage du français (écrit/oral) dans tous les échanges avec EDF. PI, l’Entreprise envisage de prendre en compte parmi les critères d’attribution la part d’activité de la prestation objet du marché que le soumissionnaire s’engage à faire réaliser par des travailleurs en situation de handicap