• Aucun résultat trouvé

APPEL A MANIFESTATION D INTERET POUR L AUDIT TECHNIQUE ET ORGANISATIONNEL DU SYSTEME INFORMATIQUE DE LA CIF

N/A
N/A
Info
Télécharger
Protected

Academic year: 2022

Partager "APPEL A MANIFESTATION D INTERET POUR L AUDIT TECHNIQUE ET ORGANISATIONNEL DU SYSTEME INFORMATIQUE DE LA CIF"

Copied!
9
0
0

Chargement.... (Voir le texte intégral maintenant)

Texte intégral

(1)

APPEL A MANIFESTATION D’INTERET

POUR L’AUDIT TECHNIQUE ET ORGANISATIONNEL DU SYSTEME INFORMATIQUE DE LA CIF

© Janvier 2021

(2)

TERMES DE REFERENCE

Table des matières

I. CONTEXTE : ... 3

II. OBJECTIFS GENERAUX: ... 3

III. OBJECTIFS SPECIFIQUES: ... 4

IV. MISSIONS DE L’AUDITEUR ... 4

V. PERIMETRE ... 5

VI. LIVRABLE ... 5

VII. DUREE DE LA MISSION : ... 6

VIII. QUALIFICATIONS DE L’AUDITEUR : ... 6

IX. COMPOSITION DU DOSSIER DE SOUMISSION ... 7

1. Offre technique ... 7

2. Offre financière ... 7

X. DELAI DE DEPOT ET DE VALIDITE DES OFFRES ... 7

XI. CRITERES D’EVALUATION DE L’OFFRE ... 8

XII. SELECTION DU PRESTATAIRE ... 8

XIII. METHODOLOGIE DE DEPOUILLEMENT ... 9

(3)

I. CONTEXTE :

La Confédération des Institutions Financières d’Afrique de l’Ouest (CIF) est le regroupement régional de coopératives financières, fondé sur la solidarité, de six (06) faîtières nationales de coopératives d’épargne et de Crédit issues de cinq (05) pays de la zone UEMOA, à savoir :

- La Faîtière des Caisses d’Epargne et de Crédit Agricole Mutuelle du Bénin (FECECAM- BENIN) Bénin;

- La Faîtière des Caisses Populaires du Burkina (FCPB) Burkina Faso;

- L’Union des Caisses Mutuelles d’Epargne et de Crédit du Mali (KAFO JIGINEW) Mali ; - Le Réseau des Caisses d’Epargne et de crédit du Mali (NYESIGISO) Mali ;

- L’Union Mutualiste du Partenariat pour la Mobilisation de l’Epargne et le Crédit du Sénégal (UM-PAMECAS) Sénégal ;

- La Faîtière des Unités Coopératives d’Epargne et de Crédit du Togo (FUCEC-TOGO) Togo.

Elle est agréée le 17 décembre 2007 sous le N°A-13070367. Son siège social est à Ouagadougou au Burkina Faso.

Pour l’accomplissement de sa stratégie permettant d’assurer son évolution digitale dans un paysage bancaire local en pleine mutation et pour atteindre les différents objectifs qui visent essentiellement l’optimisation des processus de production et des ressources tant humaines que matérielles, la digitalisation de ses activités et services, l’automatisation de la production du reporting réglementaire BCEAO, etc., la Confédération des Institutions Financières d’Afrique de l’Ouest ( CIF) a entamé depuis 2015 un processus de sélection d’un ERP Bancaire. La CIF a donc lancé un Appel d’Offres qui a abouti à la sélection de l’éditeur SAB Ingénierie Informatique - 36 Boulevard de Vincennes, 94120 Fontenay-sous-Bois, qui a été racheté par la société Sopra Banking Software en mai 2019.

La mise en œuvre du projet a conduit à ce jour à la migration des deux entités suivantes : la Direction Générale de la CIF elle-même et le Réseau des Caisses Populaires du Burkina (RCPB). Le processus continue sur la base d’un planning pour la migration progressive des autres institutions membres citées plus haut.

L’architecture informatique mise en œuvre est construite autour d’un système de cloud computing. Dans le cadre du projet, la CIF est entrée en partenariat avec un CSP (Cloud Service Provider) pour exploiter les services Azure de Microsoft. Le cloud public d’Azure est donc l’hébergeur principal des installations faites pour exploiter la solution SAB – AT. Cette installation sera complétée par un cloud privé qui sera administré avec Azure Stack, ce qui en fera à terme, une architecture construite en cloud hybride.

C’est dans ce contexte que la CIF recherche l’accompagnement d’un cabinet pour réaliser l’audit technique de ses installations et organisations informatiques.

II. OBJECTIFS GENERAUX:

1. Premièrement, la CIF veut s’assurer de la solidité et du caractère optimal de ce qui est déjà opérationnel en terme fonctionnel, organisationnel et sécuritaire.

2. En second lieu, la CIF veut savoir ce qu’elle doit faire pour garantir une suite sereine dans la conduite du projet sur le plan architecture technique et organisation informatique.

(4)

III. OBJECTIFS SPECIFIQUES:

Les objectifs généraux cités ci-avant se déclinent en buts spécifiques comme suit:

- Evaluer le niveau de performance, de sécurité et de disponibilité des infrastructures informatiques y comprises les ressources externes hébergées ;

- Déterminer les améliorations à mettre en œuvre afin de renforcer l'infrastructure informatique conformément aux normes et pratiques reconnues;

- Identifier et évaluer les aspects stratégiques et de qualité de l'infrastructure informatique et les risques (opérationnels, financiers, humains, de réputation notamment) associés ; - Evaluer la pertinence des aspects fonctionnels ou opérationnels du SIG en lien avec

notre métier, en ressortir les limites et défaillances.

- Proposer des solutions sur l’optimisation fonctionnelle ou opérationnelle du SIG

- Proposer des procédures, protocoles, politiques, consignes, spécifiques à l’utilisation sécuritaire du parc informatique, du système d’information et réseaux.

IV. MISSIONS DE L’AUDITEUR

L’auditeur devra disposer d’outils et de ressources adaptés afin de collecter les informations nécessaires pour (i) qualifier le niveau de sécurité et d’optimisation des équipements et des organisations et (ii) de relever les failles et les risques réellement encourus sur la production.

Dans son analyse, L’auditeur doit aussi prendre en compte l’évolution prévue de la charge de travail à supporter par les installations et proposer les différentes organisations à mettre en place pour faire un support de qualités.

Dans le détail, l’exécution de la mission de l’auditeur doit l’amener à examiner les aspects suivants :

1. Infrastructure physique

- Connaitre l'état réel et la capacité d'évolution des systèmes et matériels informatiques hébergés dans le cloud.

- Faire l'inventaire des composants réseau (routeurs, commutateurs, ...) et des

installations connexes mises en place en local pour exploiter l’infrastructure construite dans le cloud

2. Infrastructure logique

- Le dimensionnement des ressources de computing et de stockage dans le cloud (publique et prive) ;

- Contrôler la configuration postes et serveurs ;

- Faire les tests d’intrusion des différents serveurs dans le cloud (publique et privé) - Evaluer les spécifications logiques des serveurs hébergés ;

- Diagnostiquer la configuration réseau ; - Vérifier la conformité des applications ;

- Analyser les compatibilités et les conflits de logiciels possibles ; - Evaluer les fonctionnalités du logiciel

- Faire l’évaluation performance versus charge de travail actuel et estimé à venir ;

(5)

3. Communication

- Evaluer la cohérence et la fiabilité du réseau local et sa connexion aux installations dans le cloud,

- Evaluer le système de messagerie et des outils collaboratifs,

- Evaluer la connexion Internet et les autres raccordements télécom, - Analyser la fluidité du trafic et l'accès réseau.

4. Système de sécurité

- Les accès et la sécurité des salles machines ;

- Les accès et la sécurité des autres ressources (Postes clients, les locaux techniques, câblage réseau) ;

- Les autres dispositifs de sécurité physique, notamment la protection contre l’incendie ; - La protection contre les intrusions et les virus (sécurité des accès internet, Fire wall,) ; - La sécurité des données, sauvegardes/restauration, réplication etc… ;

- La gestion des secours ;

- Les procédures de relance de l’activité en cas de sinistre ;

- La gestion des habilitations, des accès aux applications et des mots de passe ; - La Gestion des incidents ;

5. Conformité et réglementation

- Evaluer le respect de la législation (licences logicielles, loi Informatique et Libertés, ...) ; - Analyser les contrats de garantie et de services sur les différents composants mis en

œuvre en local et dans le cloud ;

V. PERIMETRE

L’audit concerne l’ensemble de l’infrastructure informatique de la CIF installé en local et dans le cloud.

VI. LIVRABLE

1. Le rapport d’audit

L'audit est concrétisé par un rapport détaillé contenant les dysfonctionnements détectés, les observations et analyses effectuées.

Le rapport d'audit contient également les recommandations et les propositions susceptibles d'améliorer l'infrastructure informatique tant sur les aspects techniques, qu’organisationnels. Le rapport doit contenir notamment :

- L'inventaire exhaustif et documenté du parc ; - La schématisation du réseau informatique ; - Les points forts et faiblesses relevées ;

(6)

ses objectifs de pérennité.

- L’analyse de la capacité maximale autorisée par l’hébergeur actuel, des portails web y compris les différentes bases de données et leur adéquation avec les besoins

actuels et futurs de la CIF ;

- Le niveau de risque et les possibilités de mitigation ;

- Les mesures correctives à appliquer pour résoudre les problèmes détectés ;

2. Les recommandations

Les recommandations devront inclure au minimum :

- Les actions détaillées (organisationnelles et techniques) urgentes à mettre en œuvre dans l'immédiat, pour parer aux défaillances les plus graves, ainsi que la proposition de la mise à jour ou de l'élaboration de la politique de sécurité à instaurer, elles doivent également mettre clairement en lumière les actions nécessaires à mener et les delais assortis pour anticiper sur les évolutions futures de la charge de travail des équipements et leur exploitation globale.

Les actions organisationnelles, physiques et techniques à mettre en œuvre sur le court terme (Jusqu’à la date du prochain audit), englobant entre autres :

- Les premières actions et mesures à entreprendre en vue d'assurer la sécurisation de l'ensemble de l'infrastructure audité, aussi bien sur le plan physique que sur le plan organisationnel (structures et postes à créer, opérations de sensibilisation et de formation à intenter, procédures d'exploitation sécurisées à instaurer, ...) et technique (outils et mécanismes de sécurité à mettre en œuvre), ainsi qu'éventuellement des aménagements architecturaux de la solution de sécurité existante,

- Une estimation des formations requises et des ressources humaines et financières nécessaires.

La proposition d'un plan d'action cadre, et présentant un planning des mesures stratégiques en matière de sécurité à entreprendre, et d'une manière indicative les moyens humains et financiers à allouer pour réaliser cette stratégie.

La proposition d’une solution immédiate (capacité requise ou à acquérir) pour l’optimisation du plan d’hébergement, le coût et l’implication budgétaire, y compris si l’hébergeur actuel pourrait accueillir cette capacité requise ; la proposition d’une solution à long terme pour un hébergement optimal.

VII. DUREE DE LA MISSION :

La durée de réalisation de cette consultance est de vingt-cinq (25) hommes-jours, étalée sur quarante-cinq (45) jours calendaires.

VIII. QUALIFICATIONS DE L’AUDITEUR :

L’auditeur, qui peut aussi être une personne morale telle qu’un cabinet dûment constitué et disposant des autorisations valides d’exercer dans l’espace CEDEAO, devra avoir les qualifications suivantes

(7)

- Avoir au moins un niveau BAC + 4 en sciences et techniques de l’information, en informatique, ou dans un domaine similaire ;

- Avoir une expérience confirmée en matière d’audit des systèmes d’informations et audit de sécurité des systèmes d’informations ;

- Avoir des certifications de niveau administrateur au minimum en cloud computing et Microsoft Azure de préférence.

- Maîtriser la rédaction de cahier de charges, réalisation de schéma directeur informatique, élaboration de politique de sécurité, définition de procédures informatiques ;

- Avoir une bonne connaissance des maitrises d’ouvrage en informatique et gestion de projet ;

- Avoir au moins 8 années d’expériences dans l’audit des systèmes informatiques et l’audit de sécurité des systèmes d’informations dont deux (2) au minimum en audit des systèmes avec des architectures dans le cloud.

Pour un cabinet

- Disposer des autorisations d’exercer dans l’espace CEDEAO et notamment dans les pays concernés par le réseau CIF et cités au titre I du présent document.

- Disposer des ressources à affecter sur la mission dont les qualifications ; au minimum pour le chef de mission ; respectent les exigences mentionnées ci-avant pour un consultant indépendant.

- Les autres membres de l’équipe en charge de la mission devrons avoir les mêmes expériences et compétences que le chef de mission et avoir au minimum un niveau de BAC + 3 en sciences et techniques de l’information, en informatique, ou dans un domaine similaire.

IX. COMPOSITION DU DOSSIER DE SOUMISSION

Les prestataires intéressés par la présente offre sont priés de faire parvenir leur proposition qui doit comprendre les deux (2) parties distinctes suivantes.

1. Offre technique

L’offre technique doit comprendre la note méthodologique de dix pages au maximum, plus les preuves d’expériences exigées et citées au point VIII du présent document.

2. Offre financière

L’offre financière doit indiquer le coût des différents éléments facturés (honoraires et communications) aussi bien en hors taxes (HT) que toutes taxes comprises (TTC). Elle est arrêtée sous la responsabilité du soumissionnaire et engage celui-ci dans la limite d’une marge d’erreur de 5% du montant global. Tout écart entre le montant en ligne (prix unitaire x quantité) et le montant affiché qui conduirait à un écart global de plus de 5% élimine le soumissionnaire. Les soumissionnaires doivent impérativement préciser les modalités de paiement du coût de la prestation.

X. DELAI DE DEPOT ET DE VALIDITE DES OFFRES

Les offres rédigées en langue française conformément aux orientations du point VIII ci-dessus

(8)

Le délai de validité des offres des prestataires est de soixante (60) jours à compter de la date limite de réception des offres par la CIF.

Chaque soumissionnaire à travers son offre s’engage à démarrer les travaux dès que son choix lui sera notifié.

XI. CRITERES D’EVALUATION DE L’OFFRE

Les soumissionnaires fourniront tout document utile pour l'évaluation de leur offre par rapport aux critères exposés, et notamment :

- Les références professionnelles en rapport avec des missions d'audit des systèmes et organisations informatiques d'une entreprise de même nature que la CIF;

- La qualité du prestataire : CV de l’équipe qui va intervenir pour la mission, avec leur expérience dans des missions d’audit des systèmes et organisations informatiques d'une entreprise de même nature que la CIF;

- La méthodologie proposée : modalités, description des outils et méthodes utilisés pour assurer la prestation ;

- Le calendrier de travail : calendrier proposé avec le nombre de journées de travail pour réaliser la prestation sur la période définie ;

- La proposition financière, libellée en francs CFA, exprimée en hors taxes et tous frais inclus.

XII. SELECTION DU PRESTATAIRE

Le marché sera attribué au prestataire suivant les conditions de passation des marchés de la CIF. Sur la base des dossiers fournis, la Direction Générale de la CIF procédera sous sa propre responsabilité et sans obligation de la présence des soumissionnaires ou leurs représentants, à une classification des candidatures en attribuant une note selon les modalités ci-après :

- Evaluation technique (100 POINTS) (poids = 60%)

La note technique se rapporte à la proposition technique faite par chaque soumissionnaire.

Elle prend en compte les éléments essentiels d'appréciation ci-dessous:

Rubrique Note

Adéquation de la note méthodologique 30 points

Qualification, compétences et expériences du consultant 70 points

Total (A) 100 points

Seul le soumissionnaire qui aura réuni au moins une note minimale de 70 points pour l’offre technique, aura son offre financière analysée.

- Evaluation financière (100 POINTS) (poids =40%)

Les propositions financières seront tout d’abord vérifiées pour s’assurer qu’elles sont complètes et pour en redresser les erreurs de calcul.

(9)

C’est ensuite qu’interviendra l’évaluation financière détaillée. Le Soumissionnaire dont l’offre financière est la plus avantageuse (Fm) obtiendra 100 points.

Les notes financières des autres soumissionnaires (F) seront calculées comme suit : Nf (note financière) = 100 x Fm / F

(F = montant de la proposition financière convertie dans la devise locale).

- Une moyenne pondérée (C)

La moyenne pondérée sera évaluée de la manière suivante :

Le prestataire choisi sera contacté pour les formalités de conclusion du contrat du marché.

Le contrat de marché rappellera entre autres les obligations contractuelles des parties.

NB : La CIF se réserve le droit de ne pas donner suite au présent appel d’offre

XIII.METHODOLOGIE DE DEPOUILLEMENT

Le dépouillement des offres sera réalisé par une commission de dépouillement désignée par la CIF.

Le dépouillement tiendra compte des trois (03) étapes suivantes :

ETAPE DESCRIPTIONS

ETAPE 01 Dépouillement technique et octroi d’une note technique (A) Elimination des offres techniques ayant une note (A) < 70%

ETAPE 02

Dépouillement financier et octroi d’une note financière (B) Etablissement de la moyenne pondérée : C =

A l’issue de cette étape, le premier (01) soumissionnaire sera retenu ETAPE 03 Négociation et contractualisation

A l’étape 03 il y aura essentiellement la finalisation des négociations, des clauses juridiques des contrats ainsi que les clauses liées à l’aspect financier.

En cours de cette étape, la CIF se réserve le droit de réduire son périmètre de projet en termes de :

 Périmètre d’assistance ;

 Intensité de l’accompagnement ;

 Durée.

Et ce afin d’avoir l’offre la plus adéquate à ses besoins.

Ouagadougou, le 10 mars 2021.

Le Directeur Général,

Mathieu SOGLONOU

Références

Télécharger maintenant ( PDF - 9 Page - 772.72 KB )

Documents relatifs

APPEL À MANIFESTATION D INTERET REALISATION D UN VILLAGE D ENTREPRISES

• Le développement d’une offre foncière, génératrice de développement sur les zones d’activités économiques dont Actipôle Bugey Sud qui accueille le

Prise en charge de la dysphonie et de l’aphonie psychogènes à travers la technique cognitivo-comportementaliste

L'idée centrale des thérapies comportementalistes et cognitives est que, pour pouvoir nous changer, il nous faut d'abord mieux nous comprendre : savoir précisément

AVIS D APPEL A MANIFESTATION D INTERET (AMI)

« Convention d’autorisation d’occupation temporaire du domaine public immobilier en vue de la fourniture, la pose, l’exploitation et la maintenance de bornes de

APPEL À MANIFESTATION D INTERET

Date de publication de l’ouverture de la fenêtre « AMI QVT 2022 » : 11 avril 2022 Fenêtre de dépôt des dossiers de candidature : 11 avril 2022 – 1 er juillet 2022.. Direction

POLLUTION – RISQUES – NUISANCESLe PPRT doit prendre en compte l’ensemble des installations del’établissementÀ retenir :

En outre, le Conseil d’État confirme la nécessaire prise en compte des effets dominos et interactions entre les installations : « pour établir le plan de prévention

APPEL A MANIFESTATION D INTERET BASE DE LOISIRS DU LAC BLEU OCCUPATION TEMPORAIRE DU DOMAINE PUBLIC

- Un document formalisant le projet d’exploitation du candidat (activité(s) proposée(s), clientèle visée, prix des prestations, définition des moyens humains,

APPEL A MANIFESTATION D INTERET (AMI) Numérisation des entreprises

Pour la Région Pays de la Loire, il s’agit ici, parallèlement à la poursuite des actions régionales et ses dispositifs, d’encourager et d’accompagner les

Pourquoi prendre en compte le travail?

9 Majoritairement des exploitations familiales avec une ou deux personnes dans la cellule de base. 9 Le bénévolat est présent dans plus de 2/3