CAHIER SPECIAL DES CHARGES n ICT/

(1)

CAHIER SPECIAL DES CHARGES n° ICT/2013.01

APPEL D’OFFRES GÉNÉRAL

portant sur l’installation et l’entretien d’une zone démilitarisée (DMZ) dans le secteur informatique pour le compte du SPF Affaires étrangères,

Commerce extérieur et Coopération au Développement

(2)

TABLE DES MATIÈRES

^.

A. DISPOSITIONS GÉNÉRALES... 4

1. Objet et nature du marché... 4

2. Durée du contrat... 5

3. Pouvoir adjudicateur – Informations complémentaires... 5

4. Session d’information... 5

5. Introduction et ouverture des offres... 5

5.1 Introduction des offres... 5

5.2 Ouverture des offres ... 7

6. Service dirigeant – fonctionnaire dirigeant... 7

7. Description des services à prester... 7

8. Documents régissant le marché... 8

8.1. Législation... 8

8.2. Documents concernant le marché. ... 8

9. Offres... 8

9.1. Données à mentionner dans l’offre. ... 8

9.2. Durée de validité de l’offre. ... 10

9.3. Echantillons, documents et attestations à joindre à l’offre... 10

10. Prix... 11

10.1. Prix. ... 11

10.2. Révision de prix. ... 11

11. Responsabilité du soumissionnaire... 11

12. Critères de sélection – Régularité des offres – Critères d’attribution... 12

12.1. Critères de sélection. ... 12

12.1.1. Critères d’exclusion. ... 12

12.1.2. Critères de sélection relatifs aux moyens financiers du soumissonnaire. ... 14

12.1.3. Critères de sélection relatifs aux capacités techniques du soumissionnaire... 15

12.2. Régularité des offres. ... 15

12.3. Critères d’attribution... 15

12.3.1. Liste des critères d’attribution... 16

12.3.2. Cotation finale. ... 16

13. Cautionnement... 17

14. Réceptions... 18

15. Exécution des services... 18

15.1. Délais et clauses. ... 18

15.1.1 Délais ... 18

15.1.2. Clause d’exécution ... 18

15.2. Lieu où les services doivent être exécutés et formalités. ... 18

15.2.1. Lieu où les services doivent être exécutés... 18

15.2.2. Evaluation des services exécutés. ... 19

16. Facturation et paiement des services... 19

17. Avis de marché et rectificatifs... 19

18. Engagements particuliers pour le prestataire de services... 19

19. Litiges... 20

20. Amendes pour exécution tardive des services... 20

B. PRESCRIPTIONS TECHNIQUES... 21

1. Flux actuels d’informations... 21

2. Structure actuelle de la protection... 21

3. Objectif... 21

4. L’architecture proposée... 22

5. Redondance et niveau de performance... 25

6. Out-Of-Band (OOB) Management... 25

7. Intégration dans l’architecture de réseau existante... 25

8. Spécifications TO-BE... 28

8.1 Stateful Firewalling & IPS (Interne) ... 28

8.2 Stateful Firewalling & IPS (Externe) ... 29

8.3 Terminaison VPN site à site ... 30

8.4 Intégrité forward WEB... 31

(3)

8.5 Reverse WEB & Loadbalancing ... 32

8.6 Accès à distance (RAS) ... 33

8.7 Gestion des accès des utilisateurs... 33

8.8 Fonctions d’intégrité de la messagerie électronique... 34

8.9 Service de nom de domaine (Externe) (Domain Name Service (Extern)) ... 34

8.10 SIEM ... 35

9. Installation au sein de l’environnement du SPF AE... 36

10. Gestion opérationnelle... 37

10.1 Introduction... 37

10.2 Migration de l’infrastructure existante ... 39

10.3 Contrôle et gestion à distance... 40

10.4 Centre de services – SPOC ... 40

10.5 Services pour la gestion, l'entretien et l'assistance ... 40

10.6 Gestion des incidents... 41

10.7 Gestion des configurations/changements ... 41

10.8 Gestion des mises en production ... 42

10.9 Gestion de la capacité... 43

10.10 Accords sur les niveaux de service (Service Level Agreements ou SLA) ... 44

10.11. Services d'expertise sur demande ... 46

10.12 Formation ... 47

10.13 Rapportage ... 47

C. ANNEXES. ... 49

FICHE DE RENSEIGNEMENTS ... 50

FORMULAIRE D’OFFRE ... 51

(4)

Service Public Fédéral Affaires étrangères, Commerce extérieur et

Coopération au Développement Rue des Petits Carmes, 15

1000 Bruxelles Direction d’encadrement ICT

Fax : 02/501.88.95

CAHIER SPÉCIAL DES CHARGES n° ICT/2013.01

APPEL D’OFFRES GÉNÉRAL

portant sur l’installation et l’entretien d’une zone démilitarisée (DMZ) dans le secteur informatique pour le compte du SPF Affaires étrangères, Commerce extérieur et Coopération au Développement

A. DISPOSITIONS GÉNÉRALES.

En application de l’article 3, paragraphe 1^er, de l’AR du 26 septembre 1996, l’attention des soumissionnaires est attirée sur le fait que, dans le présent cahier spécial des charges, il a été dérogé à l’article 75 de l’annexe de l’arrêté royal du 26 septembre 1996 concernant les amendes pour retard, en particulier sur le plan du pourcentage des amendes par jour calendrier et du pourcentage maximum des amendes calculé à la valeur des services.

1. Objet et nature du marché.

Le présent marché porte sur l'installation de l'infrastructure de sécurité, de la migration depuis l'environnement existant, de l'entretien de l'infrastructure fournie et du monitoring partiel de l'infrastructure fournie. Ces quatre volets sont détaillés ci-dessous.

1. Le cahier des charges concerne l’installation d’une infrastructure de sécurité, comprenant les firewalls et les équipements de sécurité connexes capables de contrôler le trafic généré par +/- 3200 utilisateurs du SPF Affaires étrangères (SPF AE). Cette infrastructure ne contrôlera pas seulement le trafic de et vers l’Internet, mais aussi les flux de et vers des autres instances, en particulier les liaisons de et vers les autres SPF et institutions publiques (tant nationales

qu'internationales) ainsi que la connectivité pour les partenaires. L’infrastructure doit aussi garantir la sécurité des serveurs des Affaires étrangères et de leurs applications accessibles à partir de l’internet et du Wide Area Network (WAN).

2. Le marché couvre également la migration de l’environnement existant vers le nouveau. La migration doit être réalisée avec le strict minimum d’interruption du service.

3. Le marché comporte aussi un important service d’entretien de l’installation, pour le maintient à jour du niveau de securité.

4. Pour la surveillance opérationnelle d’une partie de l’infrastructure de sécurité, le soumissionnaire doit proposer une solution de monitoring permanent à distance depuis son Security Operation Centre (SOC), conjointement aux services sur site (SPF AE) nécessaires.

Afin de pouvoir comparer objectivement et sur une base équitable les offres respectives des soumissionnaires, aucun des équipements actuels ne pourra être réutilisé.

A la fin du contrat, le soumissionnaire est responsable de la récupération, à ses frais de l’ensemble du matériel géré par le soumissionnaire ainsi que des coûts de résiliations de l’ensemble de tous les services repris dans le projet (ligne vers le SOC, équipements, services, …). Aucun surcoût ne sera accepté par le SPF AE à la fin du contrat.

La procédure choisie est celle de l’appel d’offres général.

(5)

Ce marché comporte un seul lot.

Il s’agit d’un marché mixte (A.R. 8 janvier 1996, art. 86).

Les services relatifs aux 4 volets du marché (voir ci-dessus) sont à prix global mensuel.

Les services de consultance et de formations sont à bordereau de prix.

2. Durée du contrat.

Le marché prend cours le premier jour calendrier qui suit le jour où le prestataire de services a reçu la notification d’attribution du marché et est conclu pour une durée quatre (4) ans. Chaque partie peut néanmoins mettre fin de manière anticipée au contrat à la fin de la deuxième ou de la troisième année, à condition que la notification à l’autre partie soit faite par lettre recommandée au moins 180 jours calendrier avant la fin de la deuxième ou de la troisième année, selon le cas. Dans ce cas, la partie qui doit subir la résiliation du contrat, ne peut réclamer des dommages et intérêts à cet effet.

L’exécution des services prévus au présent cahier spécial des charges doit, dans tous les cas, être terminée dans le délai prévu, conformément au point 15.1.

3. Pouvoir adjudicateur – Informations complémentaires.

Le pouvoir adjudicateur est l’Etat belge, représenté par le Service Public Fédéral Affaires étrangères, Commerce extérieur et Coopération au Développement – rue des Petits Carmes, 15 à 1000 Bruxelles.

Des informations complémentaires relatives à la procédure peuvent être obtenues auprès de Mme Patricia De Jonghe,

Tél. : 02/501 81 86 Fax : 02/501 88 95

E-mail : ICT.contracts-procurement@diplobel.fed.be

Des informations complémentaires relatives au contenu du marché peuvent être obtenues auprès de M. Frédéric Ruelle,

Tél. : 02/501 88 96 Fax : 02/501 88 95

E-mail : ICT.contracts-procurement@diplobel.fed.be

4. Session d’information.

Il n’y a pas de session d’information prévue.

5. Introduction et ouverture des offres.

5.1 Introduction des offres

Les offres sont, avant l’ouverture des offres, soit introduites électroniquement via l’application e- tendering (voir ci-dessous pour plus d’informations), soit envoyées par courrier (une lettre recommandée est conseillée), soit déposées personnellement auprès du pouvoir adjudicateur. Les offres sont acceptées pour autant que la séance d’ouverture des offres n’ait pas été déclarée ouverte.

Offres envoyées par des moyens électroniques

Les offres électroniques peuvent être envoyées via le site internet e-tendering https://eten.publicprocurement.be/ qui garantit le respect des conditions établies par l'article 81 quater de l'AR de 8 janvier 1996.

Il y a lieu de remarquer que l'envoi d'une offre par e-mail ne répond pas à ces conditions. Dès lors, il n'est pas autorisé d'introduire une offre par ce moyen.

Sans préjudice des variantes autorisées éventuelles, chacun des soumissionnaires ne peut remettre qu'une offre par marché. Le soumissionnaire peut fournir sur un support papier et ce avant la date

(6)

limite de réception, certains écrits s’il s’avère que ces écrits ne peuvent être créés par des moyens électroniques ou qu’il s’avère trop complexe de les créer par ces moyens. Si nécessaire, les attestations telles que demandées seront scannées afin d’être jointes à l’offre.

Par le seul fait de remettre une offre totalement ou partiellement par des moyens électroniques, le soumissionnaire accepte que les données découlant du fonctionnement du dispositif de réception de son offre soient enregistrées. (Article 81 quater de l’AR du 8 janvier 1996).

L’offre doit parvenir au pouvoir adjudicateur avant la date limite de réception des offres. Afin de remédier à certains aléas de la transmission, de la réception ou de l’ouverture des demandes de participation ou des offres introduites par des moyens électroniques, le pouvoir adjudicateur autorise le soumissionnaire d’introduire à la fois une offre transmise par des moyens électroniques et, à titre de sauvegarde, une copie établie par des moyens électroniques ou sur support papier. Cette copie de sauvegarde est glissée dans une enveloppe définitivement scellée qui porte clairement la mention

« copie de sauvegarde » et est introduite dans les délais de réception impartis. Cette copie ne peut être ouverte qu’en cas de défaillance lors de la transmission, la réception ou l’ouverture de l’offre transmise par des moyens électroniques. Elle remplace dans ce cas définitivement le document transmis par des moyens électroniques. La copie de sauvegarde est par ailleurs soumise aux règles du présent cahier spécial des charges et de l’arrêté royal du 8 janvier 1996 qui sont applicables aux offres.

Plus d'informations peuvent être obtenues sur le site : http://www.publicprocurement.be ou

via le numéro de téléphone du helpdesk du service e-procurement : +32 (0)2 790 52 00 Offres non introduites par des moyens électroniques

Les offres, qui n’ont pas été introduites électroniquement, sont glissées (en double exemplaire : deux originaux ou un original et une copie) dans une enveloppe fermée. Sur cette enveloppe, il y a lieu d’indiquer les mentions suivantes :

- le numéro du cahier spécial des charges;

- la date et l’heure de l’ouverture des offres.

Cette enveloppe est glissée dans une deuxième enveloppe portant les mentions suivantes:

- le mot «offre» dans le coin supérieur gauche;

- à l’endroit prévu pour l’adresse du destinataire :

Service Public Fédéral Affaires étrangères, Commerce extérieur et Coopération au Développement

Direction d’encadrement ICT Rue des Petits Carmes, 15

1000 BRUXELLES Modification ou retrait d’une offre déjà introduite

Lorsqu’un soumissionnaire souhaite retirer ou modifier une offre déjà envoyée ou introduite, ceci doit se dérouler conformément aux dispositions de l’article 105 de l’arrêté royal du 8 janvier 1996. La modification ou le retrait d’une offre déjà introduite est possible via des moyens électroniques qui satisfont au prescrit de l’article 81 quater de l’arrêté royal du 8 janvier 1996 ou sur papier.

Afin de modifier ou de retirer une offre déjà envoyée ou introduite, une déclaration écrite, correctement signée par le soumissionnaire ou par son mandataire, est exigée. L’objet et la portée des modifications doivent, sous peine de nullité de l’offre, être mentionnés de façon précise. Le retrait doit être inconditionnel.

Le retrait peut également être communiqué par télégramme, télex ou téléfax, pour autant que : 1° il parvienne au président de la séance d’ouverture des offres avant qu’il n’ouvre la séance ;

(7)

2° et qu’il soit confirmé par lettre recommandée déposée à la poste au plus tard le jour qui précède celui de la séance d’ouverture des offres. Cette condition n’est pas d’application s’il est fait usage de moyens électroniques qui satisfont au prescrit de l’article 81 quater de l’arrêté royal du 8 janvier 1996.

Remarque : Pour des raisons techniques et organisationnelles, le pouvoir adjudicataire préfère que les offres soient déposées électroniquement. Le choix appartient bien entendu toujours au

soumissionnaire et en aucune façon ce choix n’aura d’influence sur l’analyse et l’évaluation de l’offre.

Dans le cadre de l’examen des offres par le pouvoir adjudicateur, l’attention des soumissionnaires est attirée sur le fait qu’ils doivent permettre la visite de leurs installations par les délégués du pouvoir adjudicateur.

5.2 Ouverture des offres

Le 20/08/2013 à 14h15 au 15, rue des Petits Carmes, 1000 Bruxelles, il sera procédé à l’ouverture publique des offres remises pour le présent marché.

6. Service dirigeant – fonctionnaire dirigeant.

Le service dirigeant au sens des articles 1^er et 2 du cahier général des charges est le pouvoir adjudicateur. Seul le pouvoir adjudicateur est compétent pour la surveillance du marché ainsi que pour son contrôle.

Le fonctionnaire dirigeant (qui sera un fonctionnaire du pouvoir adjudicateur) sera désigné dans la notification d’attribution du marché. Les limites de sa compétence y seront indiquées.

7. Description des services à prester.

Cf. B. PRESCRIPTIONS TECHNIQUES

(8)

8. Documents régissant le marché.

8.1. Législation.

- La loi du 24 décembre 1993 relative aux marchés publics et à certains marchés de travaux, de fournitures et de services ;

- L’arrêté royal du 8 janvier 1996 relatif aux marchés publics de travaux, de fournitures et de services et aux concessions de travaux publics;

- L’arrêté royal du 26 septembre 1996 établissant les règles générales d'exécution des marchés publics et des concessions de travaux publics + annexe : cahier général des charges des marchés publics de travaux, de fournitures et de services et des concessions de travaux publics;

- Toutes les modifications à la loi et aux arrêtés précités, en vigueur au jour de l’ouverture des offres;

8.2. Documents concernant le marché.

- Le présent cahier spécial des charges n° ICT/2013.01 - L’offre approuvée.

9. Offres.

9.1. Données à mentionner dans l’offre.

L’attention des soumissionnaires est attirée sur l’article 10 de la loi du 24 décembre 1993 et sur l’article 78 de l’arrêté royal du 8 janvier 1996 relatif aux incompatibilités.

Le soumissionnaire est tenu d’utiliser le formulaire d’offre joint en annexe au présent cahier spécial des charges. Si, toutefois, d’autres documents sont utilisés, il est tenu d’attester sur chaque document la conformité au formulaire d’offre joint au cahier spécial des charges (Art.

89 de l’AR du 8 janvier 1996).

L’offre et les annexes jointes au formulaire d’offre sont rédigées en français ou en néerlandais.

Par le dépôt de son offre, le soumissionnaire renonce automatiquement à ses conditions générales ou particulières de vente, même si celles-ci sont mentionnées dans l’une ou l’autre annexe à l’offre.

Le soumissionnaire indique clairement dans son offre quelle information est confidentielle et/ou se rapporte à des secrets techniques ou commerciaux et ne peut donc pas être divulguée par le pouvoir adjudicateur.

Le formulaire d’offre est joint au cahier spécial des charges.

Format de la réponse

L’offre du soumissionnaire doit comprendre une partie technique et une partie commerciale.

1°) Partie technique

La partie technique des offres sera constituée selon le plan qui suit, étant entendu que les

soumissionnaires sont invités à limiter les informations fournies dans l'ensemble l’offre à ce qui leur est spécifiquement demandé (en se limitant à 110 pages tout au plus). Des développements éventuels, des ajouts, des brochures ou de l'information peuvent, s'ils le souhaitent, être présentés dans des annexes. La partie technique de l'offre devra être organisée comme suit en respectant les nombres de pages:

- Synopsis (2 pages tout au plus),

- Présentation générale de la société (4 pages tout au plus), - Approche générale (10 pages tout au plus),

(9)

- Réponse par fonctionnalité (40 pages tout au plus pour l’ensemble des fonctions), - Informations complémentaires

- Annexes

Synopsis (2 pages tout au plus)

Cette synthèse devra présenter les points clés du projet et les éléments essentiels de l'offre concernant chaque composante. Les soumissionnaires peuvent employer cette synthèse pour présenter leur capacité à exécuter, de manière professionnelle, le projet dans son ensemble.

Présentation générale de la société (4 pages tout au plus).

Cette section permet au soumissionnaire de se présenter (historique, parts de marché, ventes et résultats, représentations géographiques des activités, etc.).

Approche générale (10 pages tout au plus)

Cette section présentera la solution proposée dans son ensemble. En plus, toutes les limites techniques (capacité maximum licence, etc..) prévues dans l'offre devront être mentionnées dans cette section. En outre, les soumissionnaires sont priés de mettre en évidence les distinctions:

- entre les caractéristiques et les services disponibles aujourd’hui et ceux qui ne le seront que dans l'avenir (roadmap),

- entre les éléments qui font partie de l’offre de base et les éléments proposés en option.

Dans cette partie, les soumissionnaires devront également fournir des informations détaillées au sujet de la migration des moyens actuels de sécurité du SPF AE vers le nouveau setup.

Cette description devra permettre au SPF AE d'obtenir une vue précise de l'approche des

soumissionnaires à ce sujet, tant au point de vue des principes de migration au niveau organisationnel et technique, que par rapport à l'approche et les services fournis, afin de réaliser cette migration avec une perturbation minimale pour le SPF AE.

Réponse par fonctionnalité (maximum 40 pages pour l’ensemble des services)

Cette section permet de détailler l'offre pour chacune des solutions techniques. Chaque service doit être traité dans un chapitre séparé. Une réponse détaillée, point par point comme prévue, est demandée pour chacune des sections. Toutes les restrictions concernant les services assurés par le soumissionnaire doivent également apparaître dans le paragraphe prévu dans la section concernée.

Informations complémentaires

Cette section est facultative. Elle est prévue pour contenir n'importe quelle information considérée utile par les soumissionnaires dans leur réponse.

Annexes

Cette section doit être utilisée pour toutes les annexes à l’offre.

2°) Partie commerciale

La partie commerciale de l'offre devra être séparée de la partie technique Les renseignements suivants seront mentionnés dans l’offre :

- le prix global mensuel de l’offre en lettres et chiffres (hors TVA) ;

- les prix unitaires en lettres et chiffres pour les services de consultance et de formation (hors TVA) ;

- le montant de la TVA ;

- la signature de la personne compétente pour signer l’offre ; - la qualité de la personne qui signe l’offre ;

(10)

- la date à laquelle la personne précitée a signé l’offre ;

- le numéro d’immatriculation complet du soumissionnaire auprès de la Banque Carrefour des Entreprises (pour les soumissionnaires belges)

- à titre d’information, le détail des frais mensuels selon le format suivant :

Service Basic/Option Frais mensuel

Stateful Firewalling & IPS (Interne) Basic Stateful Firewalling & IPS (Out Of

Band)

Basic Stateful Firewalling & IPS (Cortesy) Basic Stateful Firewalling & IPS (Externe) Basic Terminaison VPN site à site Basic Intégrité forward WEB Basic Gestion des accès des utilisateurs Basic Instrastructure (Racks’s, Switches,

Cabling, etc..)

Basic

SIEM Logging Basic

Gestion operationelles (Service Management, Monitoring, Connectivité vers le SOC, Reporting, etc)

Basic

Contrôle de l’intégrité de l’host à partir de "User Access Controle service"

Option

9.2. Durée de validité de l’offre.

Les soumissionnaires restent liés par leur offre pendant un délai de 120 jours calendrier, à compter du jour qui suit celui de l’ouverture des offres.

9.3. Echantillons, documents et attestations à joindre à l’offre.

Les soumissionnaires joignent à leur offre:

- tous les documents demandés dans le cadre des critères de sélection et des critères d’attribution (voir rubrique 12 ci-après);

- les statuts ainsi que tout autre document utile prouvant la compétence du (des) signataire(s).

(11)

10. Prix.

10.1. Prix.

Tous les prix mentionnés dans le formulaire d’offre doivent être obligatoirement libellés en EURO. Le présent marché est un marché mixte.

Les quatre volets détaillés au point 1 du présent cahier spécial des charges sont à prix global

mensuel, ce qui signifie que ce prix global mensuel est forfaitaire. Le prestataire de services est censé avoir inclus dans son prix global mensuel tous les frais possibles grevant ces services, à l’exception de la TVA.

Les services de consultance et de formations sont à bordereau de prix, ce qui signifie que les prix unitaires sont forfaitaires. Le prestataire de services est censé avoir inclus dans ses prix unitaires tous les frais possibles grevant ces services, à l’exception de la TVA.

Veuillez noter que tous les frais non-récurrents, y compris tout le hardware à installer doivent être amortis dans le modèle des frais récurrents mensuels. Pour cette dernière raison, les formulaires de l’offre financière ne comprendront pas une rubrique pour les frais non- récurrents.

10.2. Révision de prix.

Pour le présent marché, aucune révision de prix n’est possible.

11. Responsabilité du soumissionnaire.

Le prestataire de services assume la pleine responsabilité des fautes et manquements présentés dans les services fournis, en particulier dans les études, les comptes, les plans ou dans toutes les autres pièces déposées par lui en exécution du marché.

Par ailleurs, le prestataire de servicesgarantit le pouvoir adjudicateur des dommages et intérêts dont celui-ci est redevable à des tiers du fait du retard dans l’exécution des services ou de la défaillance du prestataire de services.

(12)

12. Critères de sélection – Régularité des offres – Critères d’attribution.

12.1. Critères de sélection.

Les soumissionnaires sont évalués sur la base des critères de sélection repris ci-après.

Seules les offres des soumissionnaires qui satisfont aux critères de sélection sont prises en considération pour participer à la comparaison des offres selon les critères d’attribution repris au point 12.3 du présent cahier spécial des charges, dans la mesure où ces offres sont régulières sur le plan administratif et technique.

12.1.1. Critères d’exclusion.

Par le dépôt de son offre, le soumissionnaire atteste qu’il ne se trouve pas dans un des cas d’exclusion figurant ci-dessous. Le pouvoir adjudicateur vérifiera l’exactitude de cette déclaration sur l’honneur implicite dans le chef du soumissionnaire dont l’offre est la mieux classée. A cette fin, il demandera au soumissionnaire concerné par les moyens les plus rapides, et dans le délai qu’il détermine, de fournir les renseignements ou documents permettant de vérifier sa situation personnelle. Le pouvoir adjudicateur demandera lui-même les renseignements ou documents qu’il peut obtenir gratuitement par des moyens électroniques auprès des services qui en sont gestionnaires.

Premier critère d’exclusion.

§.1. Le soumissionnaire belge qui emploie du personnel assujetti à la loi du 27 juin 1969 révisant l’arrêté-loi du 28 décembre 1944 concernant la sécurité sociale des travailleurs, doit être en ordre en ce qui concerne ses obligations vis-à-vis de l’Office National de Sécurité Sociale. Il est considéré comme étant en ordre en ce qui concerne les obligations précitées, s’il apparaît, qu’au plus tard la veille de la date limite de réception des offres, il :

1° a transmis à l’Office National de Sécurité Sociale toutes les déclarations requises jusque et y compris celles relatives à l’avant-dernier trimestre civil écoulé par rapport à la date limite de réception des offres et

2° n’a pas pour ces déclarations une dette en cotisations supérieure à 2500 EURO, à moins qu’il n’ait obtenu pour cette dette des délais de paiement qu’il respecte strictement.

Toutefois, même si la dette en cotisations est supérieure à 2.500 EURO, le soumissionnaire sera considéré comme étant en régle, s’il établit, avant la décision d’attribuer le marché, qu’il possède, au plus tard la veille de la date limite de réception des offres à l’égard d’un pouvoir adjudicateur au sens de l’article 4, §1 et § 2, 1° à 8° et 10° de la loi, ou d’une entreprise publique au sens de l’article 26 de cette même loi, une ou plusieurs créances certaines, exigibles et libres de tout engagement à l’égard de tiers pour un montant au moins égal, à 2.500 EURO près, à celui pour lequel il est en retard de paiement de cotisations.

§ 2. Le soumissionnaire étranger doit au plus tard la veille de la date limite de réception des offres :

1° être en règle avec ses obligations relatives au paiement des cotisations de sécurité sociale selon les dispositions légales du pays où il est établi.

2° être en ordre avec les dispositions du § 1er, s’il emploie du personnel assujetti à la loi du 27 juin 1969 révisant l’arrêté-loi du 28 décembre 1944 concernant la sécurité sociale des travailleurs.

(13)

§.3. A quelque stade de la procédure que ce soit, le pouvoir adjudicateur peut s’informer, par tous moyens qu’il juge utiles, de la situation en matière de paiement des cotisations de sécurité sociale de tout soumissionnaire.

Deuxième critère d’exclusion.

Est exclu de la participation à la procédure d’attribution :

Le prestataire de services qui a fait l’objet d’un jugement ayant force de chose jugée dont le pouvoir adjudicateur a connaissance pour :

1° participation à une organisation criminelle telle que définie à l’article 324bis du Code pénal ; 2° corruption, telle que définie à l’article 246 du Code pénal ;

3° fraude au sens de l’article 1^er de la convention relative à la protection des intérêts financiers des communautés européennes, approuvée par la loi du 17 février 2002 ;

4° blanchiment de capitaux tel que défini à l’article 3 de la loi du 11 janvier 1993 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme.

En vue de l’application du présent paragraphe, le pouvoir adjudicateur peut, lorsqu’il a des doutes sur la situation personnelle d’un prestataire de services, s’adresser aux autorités compétentes belges ou étrangères pour obtenir les informations qu’il estime nécessaires à ce propos.

Troisième critère d’exclusion.

Le soumissionnaire ne peut pas se trouver dans un des cas suivants :

1° se trouver en état de faillite ou de liquidation, avoir cessé ses activités ou avoir obtenu un concordat judiciaire, ou se trouver dans toute situation analogue résultant d’une procédure de même nature existant dans les législations et réglementations nationales ;

2° avoir déposé une déclaration de faillite, avoir entamé une procédure de liquidation ou de concordat judiciaire ou avoir en cours une procédure de même nature existant dans les législations et réglementations nationales.

Quatrième critère d‘exclusion.

Le soumissionnaire ne peut pas avoir été condamné par un jugement passé en force de chose jugée pour un délit qui porte atteinte à son intégrité professionnelle.

Cinquième critère d’exclusion.

Le soumissionnaire ne peut pas, en matière professionnelle, avoir commis une faute grave, constatée par tout moyen dont le pouvoir adjudicateur pourra justifier.

En outre, le soumissionnaire, par la signature de son offre, s’engage à respecter les normes définies dans les conventions de base de l’Organisation Internationale du Travail (OIT) et, en particulier:

1. L’interdiction du travail forcé (conventions n° 29 concernant le travail forcé ou obligatoire, 1930, et n° 105 sur l’abolition du travail forcé, 1957);

2. Le droit à la liberté syndicale (convention n° 87 sur la liberté syndicale et la protection du droit syndical, 1948);

3. Le droit d’organisation et de négociation collective (convention n° 98 sur le droit d’organisation et de négociation collective, 1949);

4. L’interdiction de toute discrimination en matière de travail et de rémunération (conventions n°

100 sur l’égalité de rémunération, 1951 et n° 111 concernant la discrimination (emploi et profession), 1958);

(14)

5. L’âge minimum fixé pour le travail des enfants (convention n° 138 sur l’âge minimum, 1973), ainsi que l’interdiction des pires formes du travail des enfants (convention n° 182 sur les pires formes du travail des enfants, 1999).

Le non-respect des conventions susmentionnées sera donc considéré comme faute grave en matière professionnelle au sens de l’article 69, 4° de l’AR du 8 janvier 1996. Les dispositions qui précèdent s’appliquent sans préjudice des autres dispositions reprises à l’article 69 de l’arrêté précité.

Sixième critère d’exclusion.

Le soumissionnaire doit être en ordre concernant ses obligations vis-à-vis des contributions directes et de la TVA.

Septième critère d’exclusion.

Le soumissionnaire ne peut pas s’être rendu gravement coupable de fausses déclarations en fournissant des renseignements exigibles dans le cadre du présent marché.

12.1.2. Critères de sélection relatifs aux moyens financiers du soumissonnaire.

Le soumissionnaire doit avoir réalisé au cours d’un des trois derniers exercices un chiffre d’affaires total au moins égal à 10.000.000,00 EURO. Il joindra à son offre une déclaration relative au chiffre d’affaires total réalisé pendant les trois derniers exercices, à moins que le chiffre d’affaires total soit mentionné dans les comptes annuels approuvés qui peuvent être consultés via le guichet électronique (il s’agit des comptes annuels libellés selon le schéma comptable complet, ou selon le schéma

comptable raccourci dans laquelle la mention facultative du chiffre d’affaires total réalisé, a été complétée).

Le soumissionnaire doit avoir réalisé au cours d’un des trois derniers exercices un chiffre d’affaires relatif aux activités directement liées aux services décrits dans le présent cahier spécial des charges, égal à 1.000.000,00 EURO. Il joindra à son offre une déclaration relative à ce chiffre d’affaires réalisé pendant les trois derniers exercices.

Le soumisionnaire doit également prouver sa solvabilité financière.

Cette capacité financière sera jugée sur base des comptes annuels approuvés des trois dernières années déposées auprès de la Banque Nationale de Belgique. Les soumissionnaires qui ont déposé les comptes annuels approuvés auprès de la Banque Nationale de Belgique, ne sont pas tenus de les joindre à leur offre, étant donné que le pouvoir adjudicateur est à même de les consulter via le guichet électronique de l’autorité fédérale.

Les soumissionnaires qui n’ont pas déposé les comptes annuels approuvés des trois dernières années comptables auprès de la Banque Nationale de Belgique, sont tenus de les joindre à leur offre.

Cette obligation vaut également pour les comptes annuels approuvés récemment et qui n’ont pas encore été déposés auprès de la Banque Nationale de Belgique, parce que le délai légal accordé pour le dépôt de ceux-ci n’est pas encore échu.Pour les entreprises individuelles, il convient de faire rédiger un document reprenant tous les actifs et tous les passifs par un comptable IEC ou un réviseur d’entreprise. Ce document doit être certifié conforme par un comptable IEC agréé ou par le réviseur d’entreprise, selon le cas. Le document doit refléter une situation financière récente (datant de 6 mois au maximum, à compter de la date d’ouverture des offres). Au cas où l’entreprise n’a pas encore publié de compte annuel, un bilan intermédiaire certifié conforme par le comptable IEC ou par le réviseur d’entreprise suffit.

Les entreprises étrangères doivent joindre également à leur offre les comptes annuels approuvés des trois dernières années ou un document reprenant tous les actifs et tous les passifs de l’entreprise. Au cas où l’entreprise n’a pas encore publié de compte annuel, un bilan intermédiaire certifié conforme par le comptable ou par le réviseur d’entreprise ou par la personne ou l’organisme qui exerce ce type de fonction dans le pays concerné suffit.

(15)

12.1.3. Critères de sélection relatifs aux capacités techniques du soumissionnaire.

Premier critère relatif à la capacité du soumissionnaire.

Le soumissionnaire doit disposer des références suivantes en matière de services exécutés pendant les trois dernières années :

Le soumissionnaire est tenu de fournir la preuve de la réalisation d'au moins trois projets comparables, pour un nombre d’utilisateurs internes comparable (les projets réalisés au sein de la société du soumissionnaire ou au sein de la/des société(s) du/des sous-traitant(s) ne sont pas pris en compte pour ce critère). À cet effet, il fournira une liste des marchés les plus importants accomplis au cours des trois dernières années. Il fournira également une liste reprenant des projets comparables réalisés au cours de la même période, et indiquera les instances publiques et privées pour lesquelles ces projets ont été réalisés.

S’il s’agit de services à des administrations, les services sont prouvés par des certificats établis ou approuvés par l’administration compétente. S’il s’agit de services à des personnes de droit privé, les services sont prouvés par des certificats établis par ces personnes, ou à défaut, par une déclaration du soumissionnaire.

Le soumissionnaire indiquera aussi la date, le montant total du marché et les coordonnées d'une personne de contact au sein de la société ou de l'organisation.

Deuxième critère relatif à la capacité du soumissionnaire.

Le soumissionnaire indiquera comment il garantit la qualité de ses services et ses produits. Il décrira son système de gestion pour gérer ses processus, ses activités afin de satisfaire les exigences de ses clients et se conformer aux réglementations en vigueur.

Les certifications suivantes sont requises de la part du soumissionnaire:

Project management (PMI, Prince2), Service management (ITIL),

Réseau (CCNP, CCIE ou équivalent),

Sécurité (CISSP et/ou CISA, security vendor certifications, ISO27001, etc..).

De plus, une certification ISO 9001 (ou équivalent) est requise de la part du prestataire de services.

En cas de recours à une société sous-traitante, le SPF AE souhaite que le sous-traitant en question soit lui aussi titulaire d'une certification ISO 9001 (ou équivalent). Le soumissionnaire joint à son offre une liste des services qu’il fera exécuter par un sous-traitant.

Troisième critère relatif à la capacité du soumissionnaire.

Le SOC doit être localisé dans l’UE.

12.2. Régularité des offres.

Les offres des soumissionnaires sélectionnés seront examinées du point de vue de leur régularité.

Les offres irrégulières seront exclues.

Seules les offres régulières seront prises en considération pour être confrontées aux critères d’attribution.

12.3. Critères d’attribution.

Pour le choix de l’offre la plus intéressante d’un point de vue économique, les offres régulières des soumissionnaires sélectionnés seront confrontées à une série de critères d’attribution.

Ces critères seront pondérés afin d’obtenir un classement final.

(16)

12.3.1. Liste des critères d’attribution.

Les critères d’attribution, par ordre décroissant d’importance, sont les suivants :

1) Prix 50p

2) Valeur technique 50p a) Architecture globale 25p

Architecture Design 5p Qualité des produits proposés 7,5p Qualité des fonctionnalités proposés 7,5p Confort de gestion / Possibilité d’audit 5p

b) Services de monitoring, gestion, assistance et support 15p Sécurité du SOC et gestion des données confidentielles 5p

Taux de proactivité, centre de services en assistance, services 5p de reporting, training et consultance (Adhoc)

Services de l’entretien et SLA 5p

c) Installation de la solution, Transition de AS-IS vers TO-BE 10p

12.3.2. Cotation finale.

Les cotations pour les 2 critères d’attribution seront additionnées. Le marché sera attribué au soumissionnaire qui obtient la cotation finale la plus élevée, après que le pouvoir adjudicateur aura vérifié, à l’égard de ce soumissionnaire, l’exactitude de la déclaration implicite sur l’honneur et à condition que le contrôle ait démontré que la déclaration implicite sur l’honneur correspond à la réalité.

L’évaluation des critères d’attribution se fera comme suit :

- le critère d’attribution 1 (Prix) sera évalué selon la formule suivante : (Montant total de l’offre la moins chère / Montant total de l’offre) x 50

Le montant tolal de l’offre sera composé du prix global mensuel multiplié par 42 (= durée du marché de 48 mois – 6 mois équivalents à 180 jours d’installation), du prix d’une journée de formation pour 5 personnes multiplié par 2 (1 formation en FR et une formation en NL) et du prix d’une journée de consultance multiplié par 80 (estimation du nombre de jours qui seront utiles après l’implémentation de la solution).

Pour rappel, afin de pouvoir comparer objectivement et sur une base équitable les offres respectives des soumissionnaires, aucun des équipements actuels ne pourra être réutilisé.

- le critère d’attribution 2 (Valeur technique) sera évalué sur base d’une étude/comparaison détaillée du respect et de la qualité demandés de l’intégration et des fonctionnalités.

(17)

13. Cautionnement.

Le cautionnement est fixé à 5 % du montant total, hors TVA, du marché (Cf. 12.3.2 Cotation finale). Le montant ainsi obtenu est arrondi à la dizaine d’euro supérieure.

Le cautionnement peut être constitué conformément aux dispositions légales et réglementaires, soit en numéraire, ou en fonds publics, soit sous forme de cautionnement collectif.

Le cautionnement peut également être constitué par une garantie accordée par un établissement de crédit satisfaisant au prescrit de la loi du 22 mars 1993 relative au statut et au contrôle des

établissements de crédit ou par une entreprise d’assurances satisfaisant au prescrit de la loi du 9 juillet 1975 relative au contrôle des entreprises d’assurances et agréée pour la branche 15 (caution).

L’adjudicataire doit, dans les trente jours de calendrier suivant le jour de la conclusion du marché, justifier la constitution du cautionnement par lui-même ou par un tiers, de l’une des façons suivantes : 1° lorsqu’il s’agit de numéraire, par le virement du montant au numéro de compte du Postchèque

de la Caisse des Dépôts et Consignations (CCP n° 679-2004099-79) ou d’un organisme public remplissant une fonction similaire à celle de ladite Caisse, ci-après dénommé organisme public remplissant une fonction similaire ;

2° lorsqu’il s’agit de fonds publics, par le dépôt de ceux-ci entre les mains du caissier de l’Etat au siège de la Banque nationale à Bruxelles ou dans l’une de ses agences en province, pour compte de la Caisse des Dépôts et Consignations, ou d’un organisme public remplissant une fonction similaire ;

3° lorsqu’il s’agit d’un cautionnement collectif, par le dépôt par une société exerçant légalement cette activité, d’un acte de caution solidaire auprès de la Caisse des Dépôts et Consignations ou d’un organisme public remplissant une fonction similaire ;

4° lorsqu’il s’agit d’une garantie, par l’acte d’engagement de l’établissement de crédit ou de l’entreprise d’assurances.

Cette justification se donne, selon le cas, par la production au pouvoir adjudicateur :

1° soit du récépissé de dépôt de la Caisse des Dépôts et Consignations ou d’un organisme public remplissant une fonction similaire ;

2° soit d’un avis de débit remis par l’établissement de crédit ou l’entreprise d’assurances ; 3° soit de la reconnaissance de dépôt délivrée par le caissier de l’Etat ou par un organisme

public remplissant une fonction similaire ;

4° soit de l’original de l’acte de caution solidaire visé par la Caisse des Dépôts et Consignations ou par un organisme public remplissant une fonction similaire ;

5° soit de l’original de l’acte d’engagement établi par l’établisement de crédit ou l’entreprise d’assurances accordant une garantie.

Ces documents, signés par le déposant, indiquent au profit de qui le cautionnement est constitué, son affectation précise par l’indication sommaire de l’objet du marché et de la référence du cahier spécial des charges, ainsi que le nom, le prénom et l’adresse complète de l’adjudicataire et éventuellement, du tiers qui a effectué le dépôt pour compte, avec la mention “bailleur de fonds” ou “mandataire”, suivant le cas.

Le délai de trente jours de calendrier visé ci-avant est suspendu pendant la période de fermeture de l’entreprise de l’adjudicataire pour les jours de vacances annuelles payées et les jours de repos compensatoire prévus par voie réglementaire ou dans une convention collective de travail rendue obligatoire.

La preuve de la constitution du cautionnement doit être envoyée à l’adresse qui sera mentionnée dans l’avis d’attribution du marché.

Le cautionnement sera libéré en une fois après l’acceptation définitive du dernier marché exécuté sur base du contrat conclu sur base du présent cahier spécial des charges, à la demande expresse de l’adjudicataire et à condition que les services fournis aient été réceptionnés.

(18)

14. Réceptions.

Les services seront suivis de près pendant leur exécution par un délégué du pouvoir adjudicateur.

15. Exécution des services.

15.1. Délais et clauses.

15.1.1 Délais

Les services d’installation doivent être exécutés dans un délai de 180 jours calendrier à compter du deuxième jour ouvrable qui suit la date d’envoi du bon de commande. Les jours de fermeture de l’entreprise du prestataire de services pour les vacances annuelles ne sont pas inclus dans le calcul.

Le bon de commande est adressé au prestataire de services soit par envoi recommandé soit par fax, soit par tout autre moyen permettant de déterminer la date d’envoi de manière certaine.

Les échanges de correspondance subséquents relatifs au bon de commande {et à l’exécution des services} suivent les mêmes règles que celles prévues pour l’envoi du bon de commande chaque fois qu’une partie désire se ménager la preuve de son intervention.

En cas de réception du bon de commande postérieure au délai de deux jours ouvrables, le délai de livraison peut-être prorogé au prorata du retard constaté pour la réception du bon de commande, à la demande écrite et justifiée du prestataire de services. Si le service qui a fait la commande, après avoir examiné la demande écrite du prestaire de services, l’estime fondée ou partiellement fondée, il lui communique par écrit quelle acceptation de prorogation de délai est acceptée.

En cas de libellé manifestement incorrect ou incomplet du bon de commande empêchant toute exécution de la commande, le prestaire de services en avise immédiatement par écrit le service commandeur afin qu’une solution soit trouvée pour permettre l’exécution normale de la commande. Si nécessaire, le prestataire de services sollicite une prorogation du délai de l’exécution des services dans les mêmes conditions que celles prévues en cas de réception tardive du bon de commande.

En tout état de cause, les réclamations relatives au bon de commande ne sont plus recevables si elles ne sont pas introduites dans les 15 jours de calendrier à compter à partir du premier jour qui suit celui où le prestataire de services a reçu le bon de commande.

15.1.2. Clause d’exécution

Le soumissionnaire s’engage, jusqu’à la complète exécution du marché, à respecter les 8 conventions de base de l’OIT, telles qu’elles sont reprises au point 12.1.1. du présent cahier spécial des charges.

Le non-respect de cet engagement pourra, en vertu de l’article 20, §1er, 4° du Cahier général des charges annexé à l’arrêté royal du 26 septembre 1996, donner lieu à l’application des mesures d’office prévues au § 6 du même article, et notamment à la résiliation unilatérale du marché.

15.2. Lieu où les services doivent être exécutés et formalités.

15.2.1. Lieu où les services doivent être exécutés.

Les services seront exécutés à l’adresse suivante :

Service Public Fédéral Affaires étrangères, Commerce extérieur et Coopération au Développement

Rue des Petits Carmes, 19 1000 BRUXELLES

(19)

15.2.2. Evaluation des services exécutés.

Si pendant l’exécution des services, des anomalies sont constatées, ceci sera immédiatement notifié à l’adjudicataire par un fax ou par un message e-mail, qui sera confirmé par la suite au moyen d’une lettre recommandée. L’adjudicataire est tenu de recommencer les services exécutés de manière non conforme.

Au moment où les services auront été exécutés, on procédera à l’évaluation de la qualité et de la conformité des services exécutés. Un procès-verbal de cette évaluation sera établi, dont l’exemplaire original sera transmis au prestataire de services. Les services qui n’auront pas été exécutés de manière correcte ou conforme devront être recommencés.

16. Facturation et paiement des services.

En ce qui concerne le montant global mensuel, au terme de chaque mois presté après l’installation, le prestataire de services envoie les factures (en un seul exemplaire) et le procès-verbal de réception des services (un exemplaire original) à l’adresse suivante.

En ce qui concerne les services de formations et de consultance, lorsque ceux-ci ont été prestés, le prestataire de services envoie les factures (en un seul exemplaire) et le procès-verbal de réception des services (un exemplaire original) à l’adresse suivante

Service Public Fédéral Affaires étrangères, Commerce extérieur et Coopération au Développement

Direction d’encadrement B&B Rue des Petits Carmes, 15 1000 BRUXELLES

La facture reprendra toutes les références mentionnées sur le bon de commande ainsi que le nom de la personne de contact.

Seuls les services exécutés de manière correcte pourront être facturés.

Le paiement a lieu dans un délai de 50 jours de calendrier à compter de la réception de la déclaration de créance, pour autant que le pouvoir adjudicateur ait été mis dans les délais prévus en possession des autres documents éventuellement exigés.

La facture doit être libellée en EURO.

17. Avis de marché et rectificatifs.

Les avis de marché et rectificatifs annoncés ou publiés au Bulletin des Adjudications ou au Journal Officiel des Communautés européennes qui ont trait aux marchés en général, ainsi que les avis de marché et rectificatifs relatifs à ce marché, font partie intégrante du présent cahier spécial des charges. Le soumissionnaire est censé en avoir pris connaissance et en avoir tenu compte lors de l’établissement de son offre.

18. Engagements particuliers pour le prestataire de services.

Tous les résultats et rapports établis par le prestataire de services lors de l’exécution de ce marché, sont la propriété du pouvoir adjudicateur et ne peuvent être publiés ou communiqués à des tiers qu’avec l’autorisation écrite du pouvoir adjudicateur.

Le prestataire de services et ses collaborateurs sont liés par un devoir de réserve concernant les informations dont ils ont connaissance lors de l’exécution de ce marché. Ces informations ne peuvent en aucun cas être communiquées à des tiers sans l’autorisation écrite du pouvoir adjudicateur. Le prestataire de servicespeut toutefois faire mention de ce marché en tant que référence.

Le prestataire de services s’engage à faire exécuter le marché par les personnes indiquées dans l’offre, sauf cas de force majeure. Les personnes mentionnées ou leurs remplaçants sont tous censés

(20)

participer effectivement à la réalisation du marché. Les remplaçants doivent être reconnus par le pouvoir adjudicateur.

19. Litiges.

Tous les litiges relatifs à l’exécution de ce marché sont exclusivement tranchés par les tribunaux compétents de l’arrondissement judiciaire de Bruxelles. La langue véhiculaire est le français ou le néerlandais.

Le pouvoir adjudicateur n’est en aucun cas responsable des dommages causés à des personnes ou à des biens qui sont la conséquence directe ou indirecte des activités nécessaires à l’exécution de ce marché. Le prestataire de services garantit le pouvoir adjudicateur contre toute action en dommages et intérêts par des tiers à cet égard.

20. Amendes pour exécution tardive des services.

Par dérogation à l’article 75 de l’annexe de l’arrêté royal du 26 septembre 1996, l’amende pour exécution tardive des services d’installation est fixée à 3,5% du montant total mensuel par jour calendrier.

Il est dérogé aux dispositions de l’article 75 relatif aux amendes pour exécution tardive des services en raison du désavantage important qu’entraîne pour l’Etat belge l’exécution tardive des services.

(21)

B. PRESCRIPTIONS TECHNIQUES.

1. Flux actuels d’informations

L’architecture proposée doit permettre un contrôle efficace du trafic entre les différents réseaux. Elle doit, par ailleurs, permettre d’inspecter et si nécessaire d’interdire le trafic entre les différents réseaux, intégralement ou partiellement, en fonction des desiderata du SPF AE.

Les réseaux externes, avec lesquels le SPF AE est relié, sont les suivants : réseau Fedman, internet (via Fedman), lignes louées avec différents partenaires tels que des institutions publiques (institutions européennes) ou prestataires de services internationaux, lignes PSTN éventuelles, réseau WAN des ambassades (HERMES) et différents réseaux internes.

L’architecture concerne:

les échanges avec le propre personnel du SPF qui travaille dans un autre environnement, par exemple le personnel détaché sur d’autres sites ;

les échanges avec des SPF et entités (publiques et privées) autres que le SPF AE qui ont un impact, direct ou indirect, sur les activités, par exemple dans le cadre de l’exécution d’un contrat de maintenance ;

en cas d’accès pour des interventions (urgentes) de tierces parties (par exemple ICT) ; en cas d’accès pour des organisations (inter)nationales qui défendent des intérêts sur le plan de la sécurité, des intérêts politiques, militaires, économiques et environnementaux (Défense, Commission européenne, …).

Les échanges se déroulent via : l’internet, via la DMZ

un tunnel sécurisé (configuration VPN site à site) passant par l’internet

une session sécurisé pour un seul utilisateur (configuration VPN Client) passant par l’internet des lignes louées site à site (LL-V35, SHDSL, X25)

un réseau MPLS WAN

une passerelle pseudowire (VLL) passant par une connexion MAN régionale (Fedcom) des accès par ligne commutée (PSTN/ISDN)

et en accordant ou en obtenant l’accès :

à des applications telles que la messagerie électronique à des fichiers de données

à des services web internes

à des programmes de gestion installés au niveau du SPF Les échanges d’informations peuvent avoir lieu dans les deux sens.

2. Structure actuelle de la protection

Pour des raisons de confidentialités, les données concernant la structure actuelle de la protection ne peuvent pas être précisées.

3. Objectif

Aujourd'hui, le SPF AE souhaite une nouvelle infrastructure de protection qui soit suffisamment puissante pour couvrir les besoins des 3.200 fonctionnaires et également assurer l’accès aux dispositifs interne du SPF AE pour minimum 500 utilisateurs externes simultanés par le biais de l’internet.

D’un point de vue fonctionnel, cette nouvelle infrastructure implique:

- Le remplacement des pare-feu internes et externes

- Le remplacement des serveurs forward/reverse proxy/loadbalancing

(22)

- Assistance concernant le remplacement de service RAS (service fourni par Fedict) - Assistance concernant le remplacement des fonctions d’intégrité de la messagerie

électronique / de l’internet (service fourni par Fedict) - L’ajou d’un environnement SIEM (logging)

- L’ajou d’un système de gestion des accès - Le remplacement du pare-feu Cortesy (EU)

L’adjudicataire sera responsable de la livraison et de la gestion partielle opérationnelle d’une

puissante infrastructure et devra assurer un niveau de sécurité élevé en conformité avec les besoins du SPF AE. L’adjudicataire sera dans l’obligation d’apporter des adaptations à l’infrastructure et/ou à sa méthode de travail afin de protéger le SPF AE si des manquements sont constatés par les responsables du SPF AE. Le SPF AE attend de l’adjudicataire l une maîtrise de haut niveau des technologies de sécurité pour garantir une disponibilité élevée des services et une résistance maximale face aux menaces (obligation de résultat). La solution doit être évolutive et doit permettre une augmentation du trafic du réseau, du nombre d’interfaces, de la vitesse de connexion des interfaces et du nombre d’utilisateurs internes et externes. La solution doit également s’adapter aux nouvelles exigences sur le plan de la sécurité (nouvelles menaces, nouvelles techniques de piratage informatique…). Le soumissionnaire doit indiquer clairement la façon dont l’équipement proposé prévoira des extensions.

L’infrastructure de protection doit être parfaitement redondante et doit se composer de deux « access streets » basés sur des équipements physiquement séparés. Chaque « access street » doit être en mesure de garantir seul toutes les fonctions qui sont prévues dans ce cahier des charges en cas de panne d’un datacenter. Les deux “access streets” doivent être installés dans deux sites distincts, un dans le bâtiment Egmont 1 et l’autre dans le bâtiment Egmont 2

Dans son offre, le soumissionnaire doit clairement (et en détail) décrire l’architecture proposée et la méthode de travail.

Remarque et explication : les services du fournisseur de services internet (ISP) et la location des lignes ne sont pas inclus dans l’offre du soumissionnaire (hormis en ce qui concerne les lignes destinées à la supervision et à l’entretien de l’infrastructure de protection).

Le soumissionnaire doit mentionner tout recours à des sous-traitants en indiquant la part du marché qui est sous-traitée de même que les noms des sous-traitant(s).

4. L’architecture proposée

L’architecture de la solution doit être basée sur une constellation de pare-feu en deux couches (une couche externe et une couche interne), complétées des dispositifs et équipements nécessaires afin de satisfaire aux différents besoins de sécurité fonctionnels.

Pour les environnements impliquant un risque potentiel élevé, le SPF AE exige la présence de doubles pare-feu architecture périmétriques (internes + externes).

Cela s’applique à toutes les connexions internet, y compris les réseaux VPN qui sont transportés par un réseau public (Internet). Le rôle (et par conséquent l’ensemble des fonctionnalités) des pare-feu périmétriques internes et externes ne doit cependant pas être parfaitement équivalent (voir plus loin sous la rubrique dispositions techniques).

Pour les environnements impliquant un risque potentiel moyen, un seul périmètre suffit : cela s’applique

aux périmètres WLAN (à l’avenir) ;

aux DMZ internet (celles-ci se trouvent par définition entre le périmètre interne et externe (Internet) ;

au lien vers des réseaux fiables (p.ex. WAN du SPF AE).

Dans sa réponse, le soumissionnaire doit développer une proposition d’architecture mettant en œuvre l’ensemble des fonctionnalités requises : il doit tout particulièrement veiller à une description de

(23)

l’intégration des différents composants proposés et de la façon dont ses composants interagissent afin de fournir le niveau de sécurité maximal.

Pour tout le trafic entrant ou sortant, le SPF AE accordera la préférence à une solution combinant les produits de minimum deux technologies de sécurité différentes.

Le système de sécurité doit reposer sur un système de commande fiable. Il peut s’agir d’un système standard qui est soigneusement protégé ou d’un système spécialisé. Le soumissionnaire doit fortement expliquer et justifier son choix.

Les technologies présentées doivent être en mesure de garantir un soutien intégral et suffisamment puissant à IPv4 et IPv6 :

aucune différence notable entre le support IPv4 et IPv6 ; aucune émulation logicielle IPv6 ;

permettre la traduction entre les deux protocols.

Les différent composants présentés (firewall, vpn, proxy’s, etc..) doivent pouvoir être intégrés de manière standardisée dans une solution « Access Management » qui établira un lien vers l’environnement AD du SPF AE. Une intégration des systèmes s’imposera afin de pouvoir disposer d’une solution simple et centralisée pour le contrôle des accès : utilisation d’une seule et unique banque de données avec utilisateurs, échange de droits d’accès, « guest-access » vers l’internet pour les utilisateurs inconnus, intégration dans la solution VPN, etc.

(24)

Le croquis ci-dessous reproduit l’architecture TO-BE fonctionnelle demandée :

Egmont 1

UNTRUSTED PARTIES

Internet (Belnet)

Forward WEB INTEGRITY

IPS/ IDP integrated IPSEC VPN integrated

Reverse WEB &

Loadbalancing FW Mgt &

Report

SIEM Logging

Identity Mgt

FW Mgt &

Report

Identity Mgt

Border Protection 1-Layer of Defence

Border Protection 2-Layer of Defence

BUZA CENTRAL NETWORK

BUZA RAS

To BUZA AD To BUZA AD

Egmont 2

ZONE x ZONE y ZONE z N4 ZONE x N4 ZONE y

Virtual Firewals

UNTRUSTED PARTIES

MAIL INTEGRITY

Remote Access

& Identity Domain name

Services

SSL VPN

DNS

SSL VPN

DNS By Fedict

By Fedict

FEDMAN

IPSEC VPN integrated

IPS/ IDP integrated

To SIEM

To SIEM To Identity

(SAML2)

To AD

Cortesy

EU Zone

EU

Egmont 1

TRUSTED PARTIES To Hermes (WAN) TRUSTED

PARTIES To Hermes (WAN)

OOB FW OOB

FW

IPS/ IDP integrated

Virtual Firewals

IN SCOPE

SIEM Logging

(25)

5. Redondance et niveau de performance

L’infrastructure de sécurité doit être entièrement redondante. Elle doit se composer de deux séries d’équipements complets situés dans deux sites distincts (Egmont 1 et Egmont 2).

Les deux sites sont reliés mutuellement à l’aide de fibres optiques (dark fiber). Ces lignes ne font pas partie du présent cahier des charges.

La solution proposée doit par conséquent être parfaitement redondante pour toutes les fonctions requises. Toutes les zones de sécurité internes doivent être reliées entre elles de façon redondante sur un cluster FW (Fierwall), étendu entre les sites Egmont 1 et Egmont 2. Ces deux datacenters constituent également le hub de toutes les connexions vers les zones utilisateurs, les zones partenaire et la DMZ.

Les transferts entre les sous-réseaux au sein d’une zone de sécurité auront, en règle générale, lieu sur les commutateurs principaux (core switches) dans ces deux centres de données. En revanche, les transferts entre des zones de sécurité seront « délégués » par les routeurs principaux (core

switch/routers) vers les clusters de pare-feu.

La perte de paquets doit rester inférieure à 0,01%, hormis éventuellement dans les cas suivants : En cas de surcharge d’une ligne de communication vers l’extérieur

En cas de re-routage En cas d’entretien planifié

Si la charge à soutenir par le pare-feu est supérieure aux spécifications qui sont indiquées dans le cahier des charges et la réponse du soumissionnaire.

6. Out-Of-Band (OOB) Management

Le réseau Out Of Band contient un OOB Firewall cluster et doit être entièrement redondant. La zone Out-Of-Band se compose des composants suivants:

OOB Firewall cluster OOB switches

Firewall Management platform Composants SIEM

Access management

7. Intégration dans l’architecture de réseau existante

Internet/FedMan

Dans la nouvelle configuration, le soumissionnaire se basera sur la présence des caractéristiques de l’accès Internet suivant :

Une ligne Fedman primaire (1 Gbps) au niveau du site Egmont 1, pour le trafic de base Une ligne Fedman secondaire (1 Gbps) au niveau du site Egmont 1, en guise de sauvegarde sur la ligne primaire. Cette ligne déménagera dans le courant de 2013 vers Egmont 2 afin de satisfaire à la demande de redondance géographique.

Pour la connexion avec l’internet, la connexion FedMan actuelle sera mise à la disposition de l’adjudicataire. L’accès à FedMan sera organisé de manière redondante dans les deux sites distincts.

Pour pouvoir basculer et partager le trafic destiné à l’internet entre les deux connexions internet, il faudra éventuellement faire appel aux protocoles HSRP et BGP au niveau des routeurs d’Internet.

Réseau interne

Le back-end FW doit posséder une interface avec le core switch (actuellement, Nortel switch Passport 8610). Seulement si l’architecture proposée le nécessite, le

(26)

soumissionnaire doit présenter des commutateurs extra en vue de l’intégration de sa solution dans l’architecture globale LAN du SPF AE.

A terme, une liaison sur 10Gbit/s sera nécessaire.

Réseau DMZ

La séparation entre les zones de sécurité au sein de chaque site sera réalisée soit par des VLAN séparés, si le risque d’intrusion est limité, soit par des chemins séparés physiquement (avec commutateurs appart) si le risque d’intrusion est important (par exemple en cas de transfert au sein de zones internet). Il convient de toujours utiliser des commutateurs séparés physiquement avant et après les pare-feu.

Les commutateurs, avec tolérance d’erreur et redondance (actif-passif), garantissent la liaison entre les différents serveurs, hôtes et pare-feu au sein de l’infrastructure de sécurité (DMZ). Dans ce contexte, ils remplissent les fonctions suivantes :

- Support des VLAN

- Support des interfaces optiques - Support de protocoles L2 - Support de « stacking »

- Support complet de IPv4 et IPv6

Le Soumissionnaire doit définir les performances des commutateurs à installer afin de garantir le niveau de performance demandé.

Le nombre d’interfaces physiques au niveau des pare-feu doit être supérieur ou égal à 24 (100M/1000M). Le soumissionnaire doit préciser le nombre d’interfaces de soutien.

Le nombre de VLAN doit être supérieur à 1024. La jonction de VLAN doit être soutenue Facteurs externes

La transition de la situation AS-IS à la situation TO-BE devra avoir lieu en synergie avec l’évolution parallèle du réseau backbone du SPF AE.

Cela implique entre autres:

Des travaux de câblage (dans les salles de données)

L’aménagement de dark fiber (fibre noir) entre les bâtiments centraux (Egmont 1 – Egmont2) Le remplacement de l’infrastructure core et distribution LAN / WLAN au niveau des sites centraux. Aujourd'hui, cette nouvelle infrastructure se compose quasiment exclusivement d’appareils Nortel/Avaya, mais sera remplacée à terme.

Consolidation des parcs de serveurs au niveau des sites Egmont 1 et Egmont 2 Cela peut entraîner des dépendances sur le plan du timing des installations.