B. PRESCRIPTIONS TECHNIQUES
10. Gestion opérationnelle
10.1 Introduction
Le SPF AE accordant une grande importance à la confidentialité, à l'intégrité et à la disponibilité de ses données, et ce 24 heures sur 24 et 7 jours sur 7, le SPF AE sous-traitera l'intégralité ou une partie des activités qui doivent y contribuer.
La livraison, l'installation, la configuration initiale et la formation doivent être proposées pour l'ensemble des systèmes faisant partie du cahier des charges.
Il convient toutefois de limiter la gestion opérationnelle aux services « Internet facing ». Ces services peuvent être énumérés comme suit :
Pare-feu et IPS Internet facing Reverse WEB proxy & Loadbalancing
Le soumissionnaire s'engage à assumer l'intégralité de la gestion opérationnelle de l'infrastructure liée aux services « Internet facing ». La gestion de tous les autres services restera du ressort du SPF AE.
Le croquis ci-dessous reproduit la démarcation demandée :
Les services à gérer par le soumissionnaire sont résumés comme suit :
Installation de l'infrastructure proposée et migration à partir de l'environnement existant.
Entretien et gestion (d'une partie) de l'infrastructure proposée, en vue d'en garantir le fonctionnement selon les critères fixés sur le plan des performances, de la disponibilité et de la protection. À cet effet, le soumissionnaire doit proposer une solution de « gestion et contrôle à distance », avec une connexion sécurisée vers l'environnement à protéger situé à Bruxelles.
Présence ad hoc d'ingénieurs/de consultants à des fonctions non permanentes spécifiques, telles que le soutien et le dépannage sur site, les services d'expertise en matière de conseil et d'innovation, l'application/la mise en œuvre d'une démonstration de faisabilité, etc.
Formation
Afin de garantir la confidentialité des données du SPF AE à caractère personnel (par ex. l'échange de données de visa), la législation belge relative à la protection des données personnelles et de la vie privée devra être appliquée ; le soumissionnaire doit donc veiller à la stricte observation de la législation belge relative à la protection des données personnelles et de la vie privée en prenant toutes les mesures nécessaires pour satisfaire à ladite législation.
Le réseau interne du SPF AE comporte des zones de sécurité au sein desquelles sont traitées des données classifiées. Il conviendra de protéger les données classifiées conformément aux différentes directives, dont la plus importante est la directive européenne. Celle-ci est décrite dans la « Décision du Conseil du 31 mars 2011 concernant les règles de sécurité aux fins de la protection des
informations classifiées de l'UE ». L'objectif est ici d'empêcher toute fuite de données classifiées et qu'elles ne tombent aux mains de personnes ou instances non autorisées.
Les zones de sécurité en question sont ultra-sécurisées et se trouvent derrière des pare-feu internes gérés (et qui le resteront) par le SPF AE.
Même si le soumissionnaire ne sera pas directement en contact avec les données classifiées elles-mêmes, les pare-feu qui relèvent du champ d'application du présent cahier des charges feront toutefois partie de la protection globale (une protection de première ligne dans ce cas précis) et devront par conséquent être soumis à des homologations régulières effectuées par le SPF AE, dont les résultats sont exigés par l'OTAN et l'UE.
Le soumissionnaire prendra les mesures nécessaires en conformité avec les directives UE et apportera sa pleine collaboration en cas d'homologation de ce type.
10.2 Migration de l’infrastructure existante
Le marché couvre également la migration de l’environnement existant vers le nouveau par le soumissionnaire (y compris les services qui vont être fournis par Fedict).
Les services à migrer sur les nouvelles plateformes matérielles peuvent être résumés comme suit : Deux couches de pare-feu
Réseaux VPN (client, site à site)
Relais de messagerie pour la protection (intégrité de la messagerie électronique) Forward proxy et reverse proxy (intégrité de l'Internet)
DMZ loadbalancers
Services d'accès à distance Services DNS
À cet effet, le soumissionnaire doit donc proposer un nouveau matériel informatique permettant – pour certains services - de combiner plusieurs fonctions sur la même plateforme matérielle.
Toutes les fonctionnalités demandées, aussi bien actuelles que complémentaires, devront être soutenues par la nouvelle infrastructure ou par Fedict pour certains services. Le soumissionnaire doit prendre toutes les dispositions et mesures nécessaires pour réduire au minimum les interruptions de service pendant la migration. En outre, le soumissionnaire doit expliquer en détail tout le processus de migration et en faire une représentation claire (plan de projet avec étapes importantes, obligations associées, etc.).
Les services DNS (Infoblox), RAS (Checkpoint) et AV/AS (Barracuda) ne doivent pas être réalisés étant donné que ces fonctions seront reprises par FedICT via FEDMAN. Au cours de la mise en œuvre de la migration, l’adjudicataire devra néanmoins prendre les mesures utiles telles que la coordination avec FedICT ainsi que les configurations (y compris l'ensemble des enregistrements) que FedICT doit mettre en place.
Pour les nouvelles fonctionnalités demandées (SIEM, identités...), il conviendra de créer de nouvelles plateformes.
10.3 Contrôle et gestion à distance
Le soumissionnaire doit disposer d'une infrastructure qui lui permette de superviser, en permanence et à distance, l'état de l'infrastructure de sécurité du SPF AE.
Le SPF AE laisse libre choix de l'emplacement de l'infrastructure de contrôle, à condition qu'il contribue positivement à la réalisation des aspects suivants, en ce qui concerne les SOC (Security Operations Center) proposés :
Le respect de la législation belge relative à la protection des données personnelles et de la vie privée
La protection physique de ses SOC et la prise de mesures efficaces en matière d'accès non autorisé par le biais de réseaux associés conformes ou comparables aux normes OTAN
Le SOC doit être localisé dans l’EU
L'existence de plans et de procédures informatiques de secours, en ce compris des audits et des essais de conformité réguliers.
Le SPF AE part du principe que les activités les plus importantes pour la supervision et la gestion de son infrastructure de sécurité requièrent une approche 24/7, avec une priorité toute particulière accordée à l'analyse des incidents qui surviennent au sein des différents systèmes (par ex. FW, IDP, AV…). Les anomalies détectées doivent être analysées et donneront éventuellement lieu à un incident.
Il va de soi que – en vue d'une protection proactive dans le cadre de la prestation de services 24/7 – les mises à jour nécessaires doivent être immédiatement installées sitôt la découverte de nouvelles vulnérabilités.
Pour les systèmes à distance, il conviendra de ne leur accorder qu'un accès en lecture seule (SNMP, netflow si possible, et éventuellement un jeu de commandes limité via SSH).
En résumé :
Un contrôle opérationnel 24/7 de la disponibilité et du bon fonctionnement (interfaces réseau, unité centrale, mémoire, charge...)
Des mises à jour logicielles et matérielles périodiques Une actualisation périodique des signatures IDS/IPS
La correction immédiate des vulnérabilités critiques sitôt ces dernières connues
10.4 Centre de services – SPOC
Le soumissionnaire mettra à disposition un centre de services néerlandophone, francophone et anglais accessible pour les services de garde du SPF AE 24h/24, 7j/7 et 365 jours par an. Un support trilingue de seconde ligne, avec point de contact (centralisé) permanent, est également exigé.
Les utilisateurs du SPF AE ne communiqueront jamais en direct avec le Service Desk du soumissionnaire.
Les services de garde du SPF AE sont localisés à Bruxelles, Washington et Bangkok.
Le soumissionnaire doit décrire précisément le niveau/la structure de soutien proposé(e).
10.5 Services pour la gestion, l'entretien et l'assistance
La gestion des appareils et des tâches opérationnelles associées est indispensable pour pouvoir garantir une disponibilité globale du service de protection demandée
Les processus suivants (nomenclature ITIL) sont abordés ci-après :
Gestion des incidents Gestion des changements Gestion des configurations Gestion des mises en production Gestion de la capacité
Gestion de la disponibilité (voir chapitre SLA)
Un Service Manager dédicacé pour l'évaluation de ces services sera désigné par le soumissionnaire.
Il participera aux réunions qui seront organisées au SPF AE tous les trois mois. Il présentera les tableaux de bord opérationnels et les rapports. Il sera également le premier contact pour tous les problèmes ou modifications opérationnelles. Au minimum tous les ans ou semestriellement au mieux ou encore pro activement, il soumettra au SPF AE une mise-a-jour du catalogue des services en tenant compte de l’évolution des prix et des nouveautés disponibles.
10.6 Gestion des incidents
La procédure exacte à mettre en œuvre devra être déterminée en étroite concertation.
Un incident est signalé par téléphone, fax, SMS ou message électronique. Il convient toutefois de tenir compte du fait que le système de messagerie électronique pourrait ne pas être disponible dans le cas où un incident affecterait le système de sécurité lui-même. La procédure doit être organisée de telle sorte qu'il soit ultérieurement possible de déterminer, et au besoin démontrer, ce qui a été l'objet de l'incident et le moment auquel celui-ci est survenu.
Dès constatation d'un problème par le soumissionnaire, il conviendra d'en informer le SPF AE par différents moyens de communication, et ce en fonction de la gravité de l'incident (par ex. par messagerie électronique, SMS, téléphone, etc.), et de prendre les mesures nécessaires à sa résolution. L’offre doit tenir compte de la modularité du système de contrôle, qui doit également être suffisamment proactif pour détecter d'éventuels problèmes dès leur apparition, sans que le SPF AE ne doive lui-même les signaler (détection des incidents affectant le service et le système, par exemple l'inaccessibilité de sites Internet depuis un client via les proxy, etc.).
Les différents types d'incidents doivent être classés par catégorie (de criticité). Ces catégories pourront être davantage « affinées » et détaillées par la suite, en concertation avec le SPF AE. Il est demandé au soumissionnaire de décrire en détail son processus de gestion des incidents standard.
10.7 Gestion des configurations/changements
La gestion de la solution comprend en outre la mise en œuvre d'un processus de gestion des changements structuré par rapport aux configurations des dispositifs de sécurité. L'aspect le plus important concerne ici assurément la gestion de la base de règles/politique. Nous distinguons en la matière les types de changements suivants :
o Des changements logiques, par ex. des reconfigurations des services, l'activation de
nouveaux services, la désactivation de services existants, les changements de paramètres...
o Des changements physiques, par ex. des extensions matérielles
Les changements logiques doivent être mis en œuvre selon un processus de gestion des
changements strict, avec étapes de validation explicites par les deux parties. Le soumissionnaire est invité à décrire le processus à cet égard, éventuellement à l'aide d'un exemple. Les points suivants doivent au minimum être abordés :
o La demande de changement de service et le processus de validation : quel est le processus administratif ? Par quelles étapes de validation faut-il passer ?
o L'implémentation d'un nouveau service
o La validation d'un nouveau service : mesures de la qualité, test de basculement...
o La documentation du nouveau service ; la mise en place et la documentation d'un
« protocole » MAC à base de règles : formulaires, personnes de contact...
Le processus demandé doit prévoir un modèle logique avec identification, contrôle, entretien et vérification des différents éléments au fil de leur durée d'utilisation :
Identification
o L'objectif est de sélectionner, d'identifier et d'étiqueter tous les éléments en lien avec leurs « propriétaires », leurs relations et leur documentation, afin de les reprendre dans la base de données de gestion des configurations (CMDB)
o La gestion des configurations rend possible une gestion plus efficace des changements
Contrôle : s'assurer que les composants ont été modifiés avec les autorisations
nécessaires (demande de changement). Ce contrôle concerne l'ajout, le changement et la suppression d'un élément.
Conservation de configuration : traçabilité des changements d'un composant donné (développement, test, production ou disponible)
Vérification et audit : vérification de l'existence physique réelle des éléments en gestion et validation des informations stockées dans la CMDB et les bibliothèques validées. Cela comprend la validation de la documentation et des descriptions des configurations pour la mise en service.
10.8 Gestion des mises en production
Cela concerne la planification et la supervision de la mise en service d'un logiciel de protection et du matériel informatique correspondant. Le soumissionnaire doit tenir compte des aspects suivants.
Élaboration et implémentation d'outils aux fins de distribution et d'installation.
Le matériel informatique et le logiciel modifiés doivent être traçables et protégés (seules des versions adéquates, autorisées et testées seront installées).
Communication et gestion des attentes pendant la planification et au cours de la migration Validation du contenu exact d'une « distribution ».
Installation de nouvelles versions de logiciels et de nouveau matériel en production, en tenant compte des procédures en matière de gestion des changements et des configurations S'assurer que les distributions d'origine de tous les logiciels ont été enregistrées et protégées dans une bibliothèque avec DSL (bibliothèque des logiciels définitifs ou DSL) et que la CMDB est à jour.
10.9 Gestion de la capacité
Cela concerne ici la garantie que la capacité de l'infrastructure sur le plan des niveaux de service (Service Levels) est toujours en adéquation avec la demande croissante de l'organisation. À cet effet, le soumissionnaire doit prendre en considération les points suivants :
L'instauration d'instruments de mesure :
pour les informations relatives à la capacité : degré d'utilisation des services, débits du réseau, etc.
pour les informations relatives aux performances : temps de réponse/disponibilité des services depuis et vers les différentes zones.
La détermination de « seuils » et de situations de référence : « seuils » pour la sur-utilisation de services ou « seuils » définis dans les valeurs des SLA.
La génération d'alarmes en cas de dépassement des « seuils » et la création de rapports sur les anomalies.
Les informations collectées doivent être analysées en vue d'identifier les tendances et d'établir des situations de référence (baseline) ; prévisions d'évolution et détections proactives des situations problématiques. Recommandation éventuelle visant à l'adaptation des
configurations pour l'amélioration/l'optimisation de la prestation de services.
Le système de sécurité doit comporter les équipements indispensables pour pouvoir mesurer le trafic, les temps de réponse et toutes les informations, afin de pouvoir garantir le bon fonctionnement du système. Ces données doivent être enregistrées en vue de l'analyse des incidents et de l'établissement de rapports. Le soumissionnaire doit décrire la solution proposée en mentionnant explicitement les différents types de mesures réalisées et
enregistrées, les possibilités de filtrage des événements, les types de rapports pouvant être générés et la possibilité de générer des statistiques. Le système de sécurité doit disposer d'une capacité de conservation suffisante pour pouvoir conserver ces informations pendant une année.
10.10 Accords sur les niveaux de service (Service Level Agreements ou SLA)
La solution proposée doit être validée par le biais d'accords sur les niveaux de services (SLA). Ces SLA doivent entériner le niveau de service attendu par le SPF AE et auquel s'engage le
soumissionnaire. Les SLA ont trait à :
La disponibilité globale de l'ensemble des services de sécurité selon le niveau de qualité attendu ; ce paramètre vient renforcer les caractéristiques suivantes :
o La disponibilité de bout en bout du système. Cela fonctionne-t-il ou non ? o Le niveau de performance du système : le système sera considéré comme
indisponible si le niveau de performance attendu n'est pas atteint
o Le niveau de sécurité offert par le système : il sera considéré comme indisponible si des failles de sécurité « notables » sont observées.
La résolution d'incidents.
La mise en œuvre de changements
Disponibilité globale.
La solution proposée doit pouvoir fonctionner correctement au moins 99,9 % du temps chaque mois.
Un fonctionnement correct n'a pas été assuré si :
le flux d'informations s'interrompt (indisponibilité) ; des problèmes graves de performances apparaissent ;
la sécurité du flux d'informations n'est plus garantie (niveau de sécurité) ; si des données sont régulièrement perdues (niveau de performance).
Si le niveau de service, défini dans le SLA, n'est pas atteint, des amendes seront appliquées. Les amendes représentent un certain pourcentage du coût mensuel global de service en gestion du soumissionnaire. Le montant des amendes est fixé en vertu des principes suivants :
Une amende est liée à l'indisponibilité ou à une faille de sécurité du système, par rapport à la disponibilité de la période observée
Des incidents pour lesquels une solution n'a pas pu être apportée dans un délai raisonnable (voir plus bas) ; cette amende est due pour chaque incident distinct.
Les différentes amendes sont cumulatives.
Disponibilité (mensuel) Penalité (%)
< 99,80% et ≥ 99,70% 10
< 99,70% et ≥ 99,60% 20
< 99,60% et ≥ 99,50 30
< 99,50 % et ≥ 99,40 % 40
< 99,40 % et ≥ 99,30 % 50
< 99,30 % et ≥ 99,20 % 60
< 99,20 % et ≥ 99,10 % 70
< 99,10 % et ≥ 99 % 80
< 99,00 % 100
L'infrastructure de sécurité doit comporter au minimum deux parties physiques (Access Streets) concordant entièrement avec deux voies d'accès (aussi bien en interne que vers l'Internet). L'entretien doit être organisé de telle sorte qu'une seule partie physique soit coupée au même moment. Toutes les fenêtres d'entretien sont fixées en concertation avec le soumissionnaire et les responsables au sein du SPF AE.
L'entretien planifié doit se faire par un accord préalable du SPF-AE et doit être communiqué par le soumissionnaire au moins 5 jours ouvrable avant la mise en œuvre effective, de sorte que le SPF AE puisse prendre ses dispositions. Si cela affecte les services, le temps consacré à l'entretien pourra ne pas être pris en compte dans le calcul du niveau de disponibilité. Pour chaque action correctrice résultant d'un grave problème de sécurité qui aurait pu compromettre la confidentialité, l'intégrité ou la disponibilité du service, et qui nécessite de ce fait l'arrêt immédiat des systèmes, le temps consacré à cet entretien est alors considéré comme une période d'indisponibilité et est pris en compte dans le calcul des amendes, à moins qu'une autorisation formelle du SPF AE n'ait été préalablement reçue.
Le soumissionnaire doit décrire dans son offre l'ensemble des « indicateurs de performance »
proposés, ainsi qu'indiquer au moyen de quel(le) appareil/outillage/fonctionnalité ceux-ci pourront être mesurés et rapportés.
Dès l'instant où une faille est constatée dans la protection d'un flux de données, ce flux est considéré comme interrompu et les amendes correspondantes s'appliquent alors.
Si l'incident ne provoque pas de dommage immédiatement observable et mesurable (par ex. la consultation de données sans autorisation), le fonctionnement du système de sécurité est considéré comme interrompu entre le moment où l'incident est observé et le moment où une solution est apportée.
Si l'incident est observé par le personnel du soumissionnaire et s'il ne provoque aucun dommage immédiatement observable et mesurable, il ne sera pas pris en compte dans le calcul de la disponibilité du système.
En cas de destruction, modification ou consultation non autorisée de données qui doivent être protégées par le soumissionnaire, et si sa responsabilité est clairement établie, l'amende s'élèvera à 10 % des coûts mensuels totaux des services, pour chaque violation.
L'évaluation de la disponibilité ne tiendra pas compte des périodes d'indisponibilité pouvant être attribuées à :
Un débit de données visiblement supérieur au débit demandé
Une défaillance extérieure au système de sécurité (par ex. une ligne défectueuse) Une intervention erronée de la part d'un membre du personnel du SPF AE, à condition que cette modification n'ait pas été validée par le soumissionnaire conformément à la procédure de gestion des changements, acceptée dans les 8 heures de travail suivant l'intervention
Toute cause qui ne peut pas être imputée de façon incontestable au soumissionnaire et aux équipements, logiciels ou prestations qui n'ont pas été fourni(e)s par lui (les
prestations d'un sous-traitant du soumissionnaire, engagé par le soumissionnaire dans le cadre de cette mission, font partie des prestations du soumissionnaire).
L'incident a été causé ou favorisé par une intervention erronée d'un membre du personnel du SPF AE
L'incident a été causé ou favorisé par une ouverture imprudente des voies d'accès, et ce sur demande expresse du SPF AE ; le soumissionnaire a néanmoins la responsabilité d'avertir le SPF AE.
Traitement des incidents et problèmes
Un délai maximal est fixé pour chaque catégorie d'incidents
Gravité de l'incident Délai d'intervention imparti Niveau 1 - Critique (indisponibilité) SLA Disponibilité
Niveau 2 – Importante Dans la 4 heures
Niveau 3 – Mineure Dans les 3 jours
Si un incident est à l'origine d'incidents secondaires, la gravité de l'incident total (et donc le délai d'intervention imparti) sera celle de l'incident le plus grave.
Tout incident doit être traité et réglé dans un délai maximal qui dépend de la nature et de la gravité de l'incident. Tout incident non réglé dans le délai maximal imparti donnera lieu à une amende de 3 % du coût mensuel total de l'entretien. L'amende est due chaque mois pour tout incident qui n'a pas été réglé dans le délai imparti. Tout incident non réglé dans le mois x est automatiquement reporté au mois x+1 et donne lieu, s'il n'a pas été réglé à temps, à une nouvelle amende. L'amende s'ajoute aux amendes pour disponibilité insuffisante.
La demande de changements
Les MAC (Move, Adds and Changes) standard de «4 heures de temps d'implémentation » seront la règle, mais des MAC critiques «1 heure de temps d'implémentation» devront aussi être
exceptionnellement possibles.
Changement standard (temps d'implémentation)
Changement critique (temps d'implémentation)
Dans les 8 heures Dans l'heure
Tout changement non réglé dans le délai maximal imparti donnera lieu à une amende de 1 % du coût mensuel total de l'entretien. L'amende est due chaque mois pour tout incident qui n'a pas été réglé dans le délai imparti. Tout changement non réglé dans le mois x est automatiquement reporté au mois x+1 et donne lieu, s'il n'a pas été réglé à temps, à une nouvelle amende. L'amende s'ajoute aux amendes pour disponibilité insuffisante.
10.11. Services d'expertise sur demande
Pour les services de sécurité sous gestion du SPF AE, la présence ad hoc d'ingénieurs/de consultants dans le domaine de la sécurité sera demandée pour les tâches suivantes :
Assistance en cas de changements de conception et de configurations complexes (toujours sur le site du SPF AE)
Assistance en cas de dépannage et de problèmes (toujours sur le site du SPF AE) Réponse à des questions techniques
Réalisation d'audits de configuration Innovation
Les services de sécurité sous gestion du SPF AE donnent accès à des données classifiées. Par conséquent, les consultants/ingénieurs proposés doivent être titulaires d'une habilitation de sécurité (nationale).
Le nombre de jours est estimé au maximum à 50 jours durant la première année, et à 10 jours pour chaque année consécutive.
Un planning d'exécution devra toujours être établi en concertation.
Un minimum de deux ingénieurs sécurité est demandé. Il est demandé au soumissionnaire de joindre à sa réponse les CV de ces personnes.