cahier des clauses techniques particulieres

CHAMBRE
DE COMMERCE
E T D’ INDUS TR IE
DU L OT
CAHIER DES CLAUSES TECHNIQUES PARTICULIERES
REMPLACEMENT D’EQUIPEMENTS PARE-FEU
PROCEDURE ADAPTEE - ARTICLE 28 DU CODE DES MARCHES PUBLICS
REF. : MPPA 2016/06 - 02
Chambre de Commerce et d’Industrie du Lot (CCI du Lot)
107, quai Cavaignac - CS 10079 - 46002 CAHORS Cedex 9
Personne représentant le Pouvoir Adjudicateur : M. Thomas CHARDARD, Président de la CCI du Lot
Ce document décrit les différentes fournitures et prestations à mettre en œuvre dans le cadre du
remplacement de la solution de Pare-feu actuellement en place à la CCI de Lot.
1 - DESCRIPTION TECHNIQUE GENERALE
Cette consultation a pour objet l’acquisition de 2 Pare-feu « Appliance » destinés à remplacer les
équipements actuels arrivant en fin de maintenance constructeur. Ils doivent assurer la sécurité du réseau,
gérer leur accès Internet respectif, une liaison VPN entre les 2 sites de la CCI du Lot et un accès VPN au
réseau pour les postes nomades et des prestataires.
La réponse financière devra lister de façon détaillée l’ensemble des matériels, prestations et licences.
La trame fournie en annexe 9, est à compléter pour la remise de l’offre et pour chacun des modèles
proposés.
La non transmission de la trame sous format Excel dument complétée est éliminatoire.
L’offre sera jugée sur les critères suivants :
 50 % valeur technique
 25 % prix
 20% délai de livraison
 5 % conformité de la trame
Situation actuelle
La CCI du Lot dispose de deux sites :
1. 107 Quai Cavaignac – 46000 CAHORS :
La sécurité est assurée par un Pare-feu appliance Netasq U250, objet de cette consultation.
1 accès internet SDSL 8 Mo pour les services administratifs et le Pôle Formation, soit respectivement
environ 40 et 150 utilisateurs.
Les différents réseaux sont segmentés par des VLANs gérés par des switchs Allied Telesyn.
Les accès wifi pour les visiteurs et les étudiants utilisant leur ordinateur personnel sont routés par le
Nestasq vers un serveur d’authentification UCOPIA.
Le filtrage internet est assuré par un proxy OLFEO.
Les postes nomades accèdent au réseau en VPN IPSec.
Des connexions en VPN SSL sont également utilisées par des prestataires pour assurer la maintenance
de logiciels métiers.
2. ZA Quercypôle – 46100 CAMBES :
La sécurité est assurée par un Pare-feu appliance Netasq U70, objet de cette consultation.
1 accès SDSL 4 Mo pour le service administratif et des sessions de formation, soit respectivement
environ 3 et 15 utilisateurs.
Les deux réseaux sont segmentés en VLANs gérés par le Netasq, il n’y a pas de switch. Le Pare-feu gère
également le filtrage internet, la conservation des logs et le DHCP.
Les deux sites sont reliés par un VPN IPSec entre le Netasq U250 et U70.
2 - LES PRESTATIONS
2-1 - Fourniture des équipements
Le candidat doit fournir, installer et configurer les Pare-feux « Appliance » en adéquation avec les besoins
de la CCI du Lot au vues des règles déjà mises en place.
Paraphe :
2
2-2 - Configuration des équipements
o
o
o
Configuration des Pare-feux « Appliance » selon le plan d'adressage et les règles de sécurité et de
connexion existantes dans notre entité,
Reprise des règles et fonctionnalités paramétrées sur les équipements existants avec optimisation
rendue possible par les nouveaux équipements,
Proposition d’un modèle de sécurité maximum en fonction des dernières normes en vigueur.
Le candidat fournira la documentation reprenant la mise en œuvre et l’ensemble des règles mises en place
à l’issue de l’installation.
Les configurateurs seront conviviaux et la configuration des équipements simple.
2-3 - Fourniture d'un logiciel de gestion du Pare-feu « Appliance »
Les outils d’administration comprendront :
o Logiciel de Gestion, (Interface Graphique)
o Logiciel de Surveillance et monitoring, (Interface Graphique)
o Logiciel de Génération automatique de rapports, (Interface Graphique)
o Logiciel de gestion des collectes des logs
Le logiciel de gestion graphique permettant de configurer, de mettre à jour et de superviser le Pare-feu
doit être convivial, son interface sera d'utilisation simple et intuitive.
Le logiciel pourra être utilisé pour configurer le Pare-feu de n'importe quel endroit (localement ou à
distance), en utilisant des connexions sécurisées.
Des assistants de gestion permettront la surveillance, la détection sécurité et les rapports d’incidents avec
notification par Email.
Un outil de monitoring permettra de visualiser l’activité en temps réel et réaliser des tableaux de bord
présentant de façon globale l’état de l’équipement.
Les différents types de logs (alarme, vulnérabilité, connexions, sites web visités, actions de l’antivirus, ...)
seront mis à disposition. L’adresse MAC des machines doit apparaître dans les logs.
L’ensemble des outils d’administration sera en français et utilisera un protocole de communication sécurisé.
3 - SPECIFICATIONS TECHNIQUES DES PARE-FEUX " APPLIANCE"
3-1 - Description du matériel
Rack standard de 19 pouces avec une hauteur de 1 à 3U
8 ports minimums Ethernet RJ45 10/100/1000
Port console
Port USB
3-2 - Fonctionnalités Applicatives des Pare-Feux pour Cahors et Cambes
3-2-1 - Performance Débit Garanti
Firewall+IPS minimum : 7 Gb/s pour Cahors, 800 Mb/s pour Cambes
VPN IPSec minimum : 2,4 Gb/s pour Cahors, 400 Mb/s pour Cambes
3-2-2 - Fonctionnalités Réseau
Possibilité de configurer les interfaces en mode routé, bridge ou hybride
Routage par interface
Gestion des VLANs
Gestion du NAT - PAT
Paraphe :
3
3-2 -3 - Politique de sécurité
Filtrage en fonction de : adresse source et destination, interface source et destination, utilisateur, port,
protocole
Utilisation d’une base objets : machine, réseau, plages d’adresses, groupes (IP, utilisateurs, port, ...)
Test de cohérence des règles en temps réel
Possibilité de choisir le mode d’analyse dans les règles de filtrage
Activation des fonctionnalités applicatives directement dans la politique de sécurité
3-2-4 - Système de Prévention d'Intrusion
Prévention d'Intrusion en temps réel
Prévention des attaques dans les tunnels VPN
3-2-5 - Fonctionnalités VPN IPSec
Besoin de faire des tunnels site à site et nomades
Fonctionnement avec clés pré partagées ou certificats
3-2-6 - Fonctionnalités VPN SSL
VPN SSL intégré à la solution
Client VPN SSL disponible pour l’ensemble des OS (Windows, Mac, Android, Iphone, ...)
3-2-7 - Authentification
Support de l'authentification unique SSO
Authentification possible pour l'ensemble des protocoles
Possibilité de s'interconnecter avec un annuaire externe LDAP ou AD
Gestion de droit spécifique aux utilisateurs (droits d'administration, droits VPN...) sans modification du
schéma de l'annuaire externe
3-2-8 - Fonctionnalités Antivirus
Antivirus pour tous les protocoles (HTTP, FTP, SMTP, POP3 )
Analyse des fichiers compressés
Possibilité de refuser les fichiers chiffrés
Mises à jour automatiques des virus listes
3-2-9 - Fonctionnalités Antispyware
Détection et neutralisation des logiciels espions connus
Mises à jour automatiques des listes antispywares
3-2-10 - Maintenance
La sauvegarde de la configuration doit être récupérable dans un fichier de façon simple avec les outils
d'administration graphique
Le produit proposé doit posséder deux partitions, 1 système et 1 de secours. Cette dernière sera utile pour
conserver une configuration après modification et/ou pour permettre un retour en arrière en cas de mise à
jour du produit
La mise à jour du firmware du produit doit se faire par l'envoi d'un fichier unique depuis l'interface graphique
3-3 - Fonctionnalités Applicatives complémentaires du Pare-feu pour Cambes
3-3-1 - Serveur DHCP
Serveur DHCP pour le VLAN Formation
3-3-2 - Filtrage URLs
Filtrage des URLs par catégorie
Possibilité d’ajouter ses propres catégories
Le blocage des pages interdites doit être accompagné de l’affichage d’une page d’information personnalisable
4 - CERTIFICATIONS
Les produits doivent être certifiés ou en cours de certification au niveau des critères communs.
Le prestataire précisera les certifications ANSSI dans l’annexe 9.
Paraphe :
4
5 - DESCRIPTIF DE POSITION DU MATERIEL
5-1 - Pérennité des équipements proposés
Spécification de la durée d'utilisation prévue pour cet équipement.
Pendant cette période la CCI du Lot bénéficiera des évolutions prévisibles des techniques et protocoles.
Il sera accordé la plus grande importance à la pérennité de l’équipement proposé et à la vision de
leur avenir spécifiée par le soumissionnaire.
Le candidat spécifiera dans son offre l'évolution du système depuis sa naissance, la fréquence des mises à
jour et les nouvelles fonctionnalités introduites par les versions successives.
5-2 - Références
Le candidat fournira une liste de sites de référence utilisant l’équipement proposé, ou de la même gamme,
avec une topologie de réseau s'approchant de la nôtre.
6 –GARANTIE ET MAINTENANCE
Les conditions de garantie des équipements devront être explicitées en termes de coût, de durée et de
périmètre pris en charge (matériel et logiciels)
Le contrat de maintenance devra préciser comment il s’applique durant la phase de garantie et en dehors.
Il devra détailler l’ensemble des prestations téléphoniques, déplacements, remplacement de matériels et
application des mises à jour pris en charge.
7 – OPTIONS
Le candidat proposera en option :
o Support téléphonique pour assistance au paramétrage
o Portail d’authentification pour le site de Cambes
o Haute Disponibilité Active / Passive pour les 2 sites
8 - LIEU ET DELAI DE LIVRAISON
Le prestataire précisera ses délais de livraison dans l’annexe 9.
La livraison aura lieu à :
Chambre de Commerce et d’Industrie du Lot
107 Quai Cavaignac
46000 CAHORS
9 – ANNEXE

Trame des critères techniques et fonctionnels de la solution.
Fait à :
Signature et tampon
le :
Faire figurer la mention manuscrite
« Bon pour accord »,
Paraphe :
5