cahier des clauses techniques particulieres
Transcription
cahier des clauses techniques particulieres
CHAMBRE DE COMMERCE E T D’ INDUS TR IE DU L OT CAHIER DES CLAUSES TECHNIQUES PARTICULIERES REMPLACEMENT D’EQUIPEMENTS PARE-FEU PROCEDURE ADAPTEE - ARTICLE 28 DU CODE DES MARCHES PUBLICS REF. : MPPA 2016/06 - 02 Chambre de Commerce et d’Industrie du Lot (CCI du Lot) 107, quai Cavaignac - CS 10079 - 46002 CAHORS Cedex 9 Personne représentant le Pouvoir Adjudicateur : M. Thomas CHARDARD, Président de la CCI du Lot Ce document décrit les différentes fournitures et prestations à mettre en œuvre dans le cadre du remplacement de la solution de Pare-feu actuellement en place à la CCI de Lot. 1 - DESCRIPTION TECHNIQUE GENERALE Cette consultation a pour objet l’acquisition de 2 Pare-feu « Appliance » destinés à remplacer les équipements actuels arrivant en fin de maintenance constructeur. Ils doivent assurer la sécurité du réseau, gérer leur accès Internet respectif, une liaison VPN entre les 2 sites de la CCI du Lot et un accès VPN au réseau pour les postes nomades et des prestataires. La réponse financière devra lister de façon détaillée l’ensemble des matériels, prestations et licences. La trame fournie en annexe 9, est à compléter pour la remise de l’offre et pour chacun des modèles proposés. La non transmission de la trame sous format Excel dument complétée est éliminatoire. L’offre sera jugée sur les critères suivants : 50 % valeur technique 25 % prix 20% délai de livraison 5 % conformité de la trame Situation actuelle La CCI du Lot dispose de deux sites : 1. 107 Quai Cavaignac – 46000 CAHORS : La sécurité est assurée par un Pare-feu appliance Netasq U250, objet de cette consultation. 1 accès internet SDSL 8 Mo pour les services administratifs et le Pôle Formation, soit respectivement environ 40 et 150 utilisateurs. Les différents réseaux sont segmentés par des VLANs gérés par des switchs Allied Telesyn. Les accès wifi pour les visiteurs et les étudiants utilisant leur ordinateur personnel sont routés par le Nestasq vers un serveur d’authentification UCOPIA. Le filtrage internet est assuré par un proxy OLFEO. Les postes nomades accèdent au réseau en VPN IPSec. Des connexions en VPN SSL sont également utilisées par des prestataires pour assurer la maintenance de logiciels métiers. 2. ZA Quercypôle – 46100 CAMBES : La sécurité est assurée par un Pare-feu appliance Netasq U70, objet de cette consultation. 1 accès SDSL 4 Mo pour le service administratif et des sessions de formation, soit respectivement environ 3 et 15 utilisateurs. Les deux réseaux sont segmentés en VLANs gérés par le Netasq, il n’y a pas de switch. Le Pare-feu gère également le filtrage internet, la conservation des logs et le DHCP. Les deux sites sont reliés par un VPN IPSec entre le Netasq U250 et U70. 2 - LES PRESTATIONS 2-1 - Fourniture des équipements Le candidat doit fournir, installer et configurer les Pare-feux « Appliance » en adéquation avec les besoins de la CCI du Lot au vues des règles déjà mises en place. Paraphe : 2 2-2 - Configuration des équipements o o o Configuration des Pare-feux « Appliance » selon le plan d'adressage et les règles de sécurité et de connexion existantes dans notre entité, Reprise des règles et fonctionnalités paramétrées sur les équipements existants avec optimisation rendue possible par les nouveaux équipements, Proposition d’un modèle de sécurité maximum en fonction des dernières normes en vigueur. Le candidat fournira la documentation reprenant la mise en œuvre et l’ensemble des règles mises en place à l’issue de l’installation. Les configurateurs seront conviviaux et la configuration des équipements simple. 2-3 - Fourniture d'un logiciel de gestion du Pare-feu « Appliance » Les outils d’administration comprendront : o Logiciel de Gestion, (Interface Graphique) o Logiciel de Surveillance et monitoring, (Interface Graphique) o Logiciel de Génération automatique de rapports, (Interface Graphique) o Logiciel de gestion des collectes des logs Le logiciel de gestion graphique permettant de configurer, de mettre à jour et de superviser le Pare-feu doit être convivial, son interface sera d'utilisation simple et intuitive. Le logiciel pourra être utilisé pour configurer le Pare-feu de n'importe quel endroit (localement ou à distance), en utilisant des connexions sécurisées. Des assistants de gestion permettront la surveillance, la détection sécurité et les rapports d’incidents avec notification par Email. Un outil de monitoring permettra de visualiser l’activité en temps réel et réaliser des tableaux de bord présentant de façon globale l’état de l’équipement. Les différents types de logs (alarme, vulnérabilité, connexions, sites web visités, actions de l’antivirus, ...) seront mis à disposition. L’adresse MAC des machines doit apparaître dans les logs. L’ensemble des outils d’administration sera en français et utilisera un protocole de communication sécurisé. 3 - SPECIFICATIONS TECHNIQUES DES PARE-FEUX " APPLIANCE" 3-1 - Description du matériel Rack standard de 19 pouces avec une hauteur de 1 à 3U 8 ports minimums Ethernet RJ45 10/100/1000 Port console Port USB 3-2 - Fonctionnalités Applicatives des Pare-Feux pour Cahors et Cambes 3-2-1 - Performance Débit Garanti Firewall+IPS minimum : 7 Gb/s pour Cahors, 800 Mb/s pour Cambes VPN IPSec minimum : 2,4 Gb/s pour Cahors, 400 Mb/s pour Cambes 3-2-2 - Fonctionnalités Réseau Possibilité de configurer les interfaces en mode routé, bridge ou hybride Routage par interface Gestion des VLANs Gestion du NAT - PAT Paraphe : 3 3-2 -3 - Politique de sécurité Filtrage en fonction de : adresse source et destination, interface source et destination, utilisateur, port, protocole Utilisation d’une base objets : machine, réseau, plages d’adresses, groupes (IP, utilisateurs, port, ...) Test de cohérence des règles en temps réel Possibilité de choisir le mode d’analyse dans les règles de filtrage Activation des fonctionnalités applicatives directement dans la politique de sécurité 3-2-4 - Système de Prévention d'Intrusion Prévention d'Intrusion en temps réel Prévention des attaques dans les tunnels VPN 3-2-5 - Fonctionnalités VPN IPSec Besoin de faire des tunnels site à site et nomades Fonctionnement avec clés pré partagées ou certificats 3-2-6 - Fonctionnalités VPN SSL VPN SSL intégré à la solution Client VPN SSL disponible pour l’ensemble des OS (Windows, Mac, Android, Iphone, ...) 3-2-7 - Authentification Support de l'authentification unique SSO Authentification possible pour l'ensemble des protocoles Possibilité de s'interconnecter avec un annuaire externe LDAP ou AD Gestion de droit spécifique aux utilisateurs (droits d'administration, droits VPN...) sans modification du schéma de l'annuaire externe 3-2-8 - Fonctionnalités Antivirus Antivirus pour tous les protocoles (HTTP, FTP, SMTP, POP3 ) Analyse des fichiers compressés Possibilité de refuser les fichiers chiffrés Mises à jour automatiques des virus listes 3-2-9 - Fonctionnalités Antispyware Détection et neutralisation des logiciels espions connus Mises à jour automatiques des listes antispywares 3-2-10 - Maintenance La sauvegarde de la configuration doit être récupérable dans un fichier de façon simple avec les outils d'administration graphique Le produit proposé doit posséder deux partitions, 1 système et 1 de secours. Cette dernière sera utile pour conserver une configuration après modification et/ou pour permettre un retour en arrière en cas de mise à jour du produit La mise à jour du firmware du produit doit se faire par l'envoi d'un fichier unique depuis l'interface graphique 3-3 - Fonctionnalités Applicatives complémentaires du Pare-feu pour Cambes 3-3-1 - Serveur DHCP Serveur DHCP pour le VLAN Formation 3-3-2 - Filtrage URLs Filtrage des URLs par catégorie Possibilité d’ajouter ses propres catégories Le blocage des pages interdites doit être accompagné de l’affichage d’une page d’information personnalisable 4 - CERTIFICATIONS Les produits doivent être certifiés ou en cours de certification au niveau des critères communs. Le prestataire précisera les certifications ANSSI dans l’annexe 9. Paraphe : 4 5 - DESCRIPTIF DE POSITION DU MATERIEL 5-1 - Pérennité des équipements proposés Spécification de la durée d'utilisation prévue pour cet équipement. Pendant cette période la CCI du Lot bénéficiera des évolutions prévisibles des techniques et protocoles. Il sera accordé la plus grande importance à la pérennité de l’équipement proposé et à la vision de leur avenir spécifiée par le soumissionnaire. Le candidat spécifiera dans son offre l'évolution du système depuis sa naissance, la fréquence des mises à jour et les nouvelles fonctionnalités introduites par les versions successives. 5-2 - Références Le candidat fournira une liste de sites de référence utilisant l’équipement proposé, ou de la même gamme, avec une topologie de réseau s'approchant de la nôtre. 6 –GARANTIE ET MAINTENANCE Les conditions de garantie des équipements devront être explicitées en termes de coût, de durée et de périmètre pris en charge (matériel et logiciels) Le contrat de maintenance devra préciser comment il s’applique durant la phase de garantie et en dehors. Il devra détailler l’ensemble des prestations téléphoniques, déplacements, remplacement de matériels et application des mises à jour pris en charge. 7 – OPTIONS Le candidat proposera en option : o Support téléphonique pour assistance au paramétrage o Portail d’authentification pour le site de Cambes o Haute Disponibilité Active / Passive pour les 2 sites 8 - LIEU ET DELAI DE LIVRAISON Le prestataire précisera ses délais de livraison dans l’annexe 9. La livraison aura lieu à : Chambre de Commerce et d’Industrie du Lot 107 Quai Cavaignac 46000 CAHORS 9 – ANNEXE Trame des critères techniques et fonctionnels de la solution. Fait à : Signature et tampon le : Faire figurer la mention manuscrite « Bon pour accord », Paraphe : 5