termes de reference pour le recrutement d`un consultant pour

Transcription

TERMES DE REFERENCE POUR LE RECRUTEMENT D’UN
CONSULTANT POUR L’AUDIT DE LA SECURITE DU
SYSTEME INFORMATIQUE DE LA BIDC
Termes de référence pour le recrutement d’un consultant pour l’audit de la sécurité du système informatique de la BIDC
1
CONTEXTE
La Banque d’investissement et de développement de la CEDEAO (BIDC) est
l’institution financière de développement qui est commune aux quinze
Etats membres de la Communauté qui sont : le Bénin, le Burkina Faso, le
Cabo Verde, la Côte d’Ivoire, la Gambie, le Ghana, la Guinée, la GuinéeBissau, le Liberia, le Mali, le Niger, le Nigeria, le Sénégal, la Sierra Leone et
le Togo.
Elle a été créée par l’article 21 nouveau du Traité révisé de la CEDEAO tel
qu’amendé par l’Acte additionnel n° A/SA.9/01/07 du 19 janvier 2007.
La BIDC a pour objet :
a. d’accorder des prêts et garanties pour le financement de projets et
programmes d'investissement relatifs au développement économique
et social des État membres, de prendre des participations dans le
capital de structures publiques, privées ou mixtes, et d’effectuer tous
autres investissements, en donnant particulièrement priorité :
i.
aux projets ou programmes qui, par leur nature ou leur
ampleur, intéressent au moins deux État membres régionaux,
notamment les projets de création d’infrastructures
d’intégration régionale et tous autres projets de
développement dans les secteurs public et privé ;
ii.
aux projets ou programmes qui visent le renforcement des
économies des États membres les moins développés de la
Communauté ainsi que la reconstruction des États ayant connu
des conflits armés ou des crises sociopolitiques graves ;
iii.
aux projets ou programmes qui contribuent à rendre les
économies de la Communauté plus complémentaires ainsi
qu’aux programmes spéciaux et projets de lutte contre la
pauvreté et les inégalités sociales ;
b. de mobiliser à l’intérieur et hors de la Communauté des ressources
destinées au financement de ses projets et programmes
d’investissement ;
2
c. de fournir l’assistance technique qui peut être nécessaire dans la
Communauté pour l’étude, la préparation, le financement et
l’exécution de projets et programmes de développement ;
d. de recevoir et de gérer la part de ressources du prélèvement
communautaire de la CEDEAO destinée à financer des actions de
développement de la Communauté, conformément au Protocole n°
A/P1/7/96 du 27 juillet 1996 relatif aux conditions d’application dudit
prélèvement et en vertu de toute autre disposition pertinente ;
e. de gérer tous fonds spéciaux de la Communauté relatifs à son objet ;
f. de mener toute activité commerciale, industrielle ou agricole, dans la
mesure où celle-ci serait accessoire à son objet ou nécessaire au
recouvrement de ses créances.
Dans le cadre de son objet social, la Banque coopère avec les organismes
nationaux et sous régionaux de développement opérant dans la Communauté.
Aux mêmes fins, elle s’efforce de coopérer avec d’autres organisations
internationales ayant un but analogue et avec d’autres institutions s’intéressant
au développement de la Communauté.
Le siège de la Banque est à Lomé, en République Togolaise. La Banque peut
ouvrir des bureaux, agences ou succursales partout ailleurs.
Outre ses membres régionaux qui sont les États membres de la CEDEAO, la
BIDC a vocation à avoir des membres non régionaux qui sont les États et
autres personnes morales non membres de la Communauté.
La BIDC dispose d’un système d’information soutenu par une infrastructure
informatique robuste et moderne qui dessert presque 200 postes
utilisateurs dont d’ores et déjà une cinquantaine sont itinérants, le reste
étant appelé à le devenir dans un proche avenir. Une description du
système d’information de la Banque est annexée au présent
document (voir annexe 1).
Avec les accès utilisateurs de plus en plus multiples et surtout, avec
l’ouverture de son système informatique sur internet, il devient impératif
pour la BIDC de connaitre ses ressources à protéger. Il est tout autant
important de maitriser le contrôle et les droits des utilisateurs du système.
3
Par ailleurs, avec l’itinérance, consistant à permettre aux membres du
personnel de se connecter au système informatique de partout, ceux-ci sont
amenés à transporter une partie du système d’information hors de
l’infrastructure sécurisé de la Banque.
Afin de sécuriser son système informatique, il est nécessaire pour la Banque
d’identifier, en vue de les réduire au maximum, les menaces potentielles
auxquelles elle s’expose. C’est pourquoi la BIDC souhaite faire un audit de
la sécurité de son système informatique.
OBJECTIFS
L’objectif de la mission d’audit est d’évaluer et de corriger la vulnérabilité
de la sécurité du système informatique de la Banque.
MISSIONS
La mission du consultant consiste à inspecter le système informatique de la
Banque avec des outils et des méthodes adaptés, afin de collecter et
analyser les informations nécessaires pouvant permettre à la mission de :
1. évaluer la vulnérabilité de la sécurité du système informatique de la
Banque,
2. établir une cartographie des risques encourus ainsi que les impacts
d'une défaillance sur la production,
3. évaluer le besoin optimal en ressources humaines par rapport aux
ressources disponibles, pour une meilleure analyse et une gestion
adéquate des risques encourus ;
4. faire des recommandations en vue de mitiger les risques relevés,
5. établir un plan de mise en œuvre ainsi que les cahiers des charges des
solutions retenues.
Dans cette optique, le consultant devra analyser le système informatique
dans ses composantes suivantes :
1. Infrastructure physique
 Analyser l'infrastructure physique et les liens de raccordement entre ses
composantes,
4
2. Infrastructure logique
 Vérifier la configuration des postes et serveurs en vue de détecter
d’éventuelles brèches d’intrusion,
 Diagnostiquer la configuration réseau,
 Vérifier la conformité des applications, (existe-t-il des applications
malveillantes ou qui présentent de la vulnérabilité d’intrusion ?)
3. Communication
 Evaluer la cohérence et la fiabilité du réseau local,
 Evaluer le système de messagerie et ses mesures de sécurité (accès
aux mails, filtres, spams, reporting de détection…)
 Evaluer les connexions Internet et les points d’accès wifi,
 Analyser la fluidité du trafic et l'accès réseau aux heures de pointe,
4. Sécurité
 Evaluer les solutions de sauvegarde,
 Evaluer le plan de continuité (sécurisation sur panne serveur, réseaux,
vol, incendie,...),
 Evaluer les dispositifs de sécurité du matériel, des données et du
réseau (la protection antivirale, pare-feu, filtrage internet,...), et des
contrôles d’accès,
5. Ressources humaines
 Définir le profil du/des cadre(s) chargé(s) de la gestion sécuritaire au
sein de la Banque, en tenant compte de l’infrastructure en place et
des solutions qui y sont implantées et à venir ;
 Indiquer les profils du personnel minimum requis pour un
fonctionnement adéquat du Département technologie de
l’information, organisation et méthode, afin de réduire les risques liés
à l’insuffisance de personnel ;
6. Conformité et réglementation
 Evaluer le respect de la législation (licences logicielles, loi
Informatique sur la protection des données, les droits et libertés du
personnel à l’information, etc.).
5
LIEU et DUREE DE LA MISSION
L'audit se déroulera au siège de la BIDC à Lomé, République togolaise.
Le consultant est invité à proposer la durée moyenne de sa mission et les
délais de soumission des rapports provisoire et final à la BIDC.
LANGUES DE TRAVAIL
Les rapports de l’audit et autres documents produits par le consultant seront
rendus en anglais et en français.
PRESTATIONS DE LA BIDC
La BIDC facilitera la mission du consultant, en mettant à sa disposition le
schéma directeur Informatique comprenant la cartographie applicative et
la cartographie des infrastructures techniques, de même que tous les
documents en sa possession relatifs aux travaux à effectuer.
Le Chef de la Division technologie de l’information et toute son équipe
restent disponibles pour toute autre assistance en vue de faciliter le travail
de la mission.
LIVRABLE
Le consultant soumettra un rapport provisoire de sa mission à la BIDC dans
le délai proposé et lui fera une présentation orale de ses travaux.
Dans un délai de huit jours calendaires, à compter de la réception du rapport
provisoire, la BIDC fera ses observations écrites au consultant sur son
rapport provisoire.
1. L’audit
Le livrable de l'audit est un rapport détaillé (contenant les problèmes
détectés, les observations et analyses effectuées).
Le rapport détaillé devra également contenir les recommandations et les
projets de renforcement de la sécurité informatique de la Banque tant sur
les aspects techniques, qu’organisationnels, à savoir :
 L'inventaire exhaustif et documenté du parc,
 La schématisation du réseau informatique,
 Les points forts et faiblesses relevées sur la sécurité,
6




L’analyse de la normalité des salles serveurs,
Les niveaux de risque,
Les mesures correctives,
Les recommandations.
2. Les recommandations
Au terme de l’audit, les recommandations devront garantir à la Banque
lorsqu’elles sont mises en œuvre, que son système informatique respecte
au regard des données et informations les principes suivants :
L’intégrité
: garantir que les données ne sont pas susceptibles
d’altération (fortuite ou intentionnelle) ;
La confidentialité
: assurer que seuls les utilisateurs autorisés ont
accès aux ressources échangées ;
La disponibilité
: garantir la disponibilité des données et la facilité
d’accès aux services et ressources ;
La traçabilité
: garantir la traçabilité des activités ou transactions
dans le système ;
L’authentification
: assurer l’identité de chaque utilisateur, afin de
permettre l’accès aux ressources uniquement par
les personnes autorisées.
A cette fin, les recommandations devront inclure :
1. Les actions détaillées à mettre en œuvre dans l'immédiat, pour pallier aux
défaillances les plus graves,
2. la proposition d'élaboration d’une politique de sécurité à instaurer,
3. Les actions à mettre en œuvre sur le moyen terme sur les plans :
a) organisationnel : structures et postes à créer, opérations de
sensibilisation et de formation, procédures de sécurité à instaurer, ...,
b) technique : outils et mécanismes de sécurité, …
c) de l’amélioration des dispositifs de sécurité existants.
d) de l’aménagement des salles serveurs selon les normes sécuritaires
appropriées ;
7
4. la proposition d'un plan d'action avec un planning des mesures de
sécurité à entreprendre,
5. Une estimation des moyens humains et financiers à prévoir pour réaliser
ces actions.
PROFIL DU CONSULTANT
De préférence un cabinet, le consultant devra répondre aux qualifications
suivantes :





Avoir une expérience confirmée en ingénierie informatique, en sécurité et
en audit des systèmes d’information;
Justifier d’une bonne expérience et connaissance de l’environnement
bancaire ;
Maîtriser l’élaboration de politique de sécurité, la définition de procédures
informatiques ;
Avoir la capacité prouvée d’assurer le transfert des compétences ;
En plus de justifier d’une expérience significative dans le diagnostic et la
sécurité des systèmes informatiques, le consultant devra disposer d’une
équipe d’experts à affecter au projet et dont les CV et certifications seront
joints aux dossiers.
DATE ET LIEU DE DEPOT DES DOSSIERS
La date limite de dépôt des dossiers est fixée au 16 décembre 2016 à 17h00.
Tous les dossiers doivent être présentés en deux exemplaires (original et
copie), à l’adresse suivante :
BANQUE D’INVESTISSEMENT ET DE DEVELOPPEPENT DE LA CEDEAO
Secrétariat du Département technologie de l’information, organisation et
méthodes,
Offre pour le recrutement d’un consultant pour l’audit de la sécurité
du système informatique de la BIDC
« A n’ouvrir qu’en séance de dépouillement »
128, Bd. du 13 janvier BP 2704 Lomé – Togo. E-mail : [email protected]
Tél : +(228) 22 21 68 64 – Fax : +(228) 22 21 86 84
8
ANNEXE 1
 Cartographie applicative
Trois (03) catégories d’applications sont utilisées au sein de la BIDC :
-
-
les progiciels : Ils sont au nombre de trois (3). Ils couvrent les Ressources
Humaines, la Comptabilité, la gestion des approvisionnements, la gestion des
stocks et la gestion des immobilisations et les transactions Swift ;
les applications Intranet et Internet (messagerie, site web et navigation) ;
la Bureautique (traitement de texte, tableur, présentation, messagerie, etc.).
 Cartographie des infrastructures techniques
Le parc informatique est composé des équipements informatiques standards (Serveurs,
PC, Switchs, Imprimantes, etc…). Les détails se présentent comme suit :
o Ordinateurs et périphériques
SERVEURS
MODELE
SERVEUR
OS
FONCTION
VITESSE
PROCESSEU
R
RAM
DISQUE
DUR
48 Go
600 Go
Miroré
- CONTROLEUR
DOMAINE
1
- EXCHANGE
- DNS
2
- TMG (PROXY)
10 SERVEURS
IBM x3550 M3,
Bi-pro Xeon
Six Core E5675
3
En Cluster
physique
- FRONTAL EXCHANGE
- FICHIERS
Windows
Server
2012 R2
SP1
- E-Learn BUREATIQUE
- WDS (Déploiement
Windows)
3.43 GHZ x
2
- WSUS (Mise à jour
centralisée)
- Antivirus
4
- SUNSYSTEMS
(Comptabilité,
Appro, Stock, Immo.)
- SWIFT
- GRH
9
- BACKUP PHYSIQUE
5
6
- TESTS
2 Serveur 1U
IBM x3550
Xeon Quad
Core
1.06 GHZ
12 Go
600 Go
Miroré
Stockage des données
serveurs et utilisateurs
2 contrôleurs
redondants
remplaçables
à chaud
1 Go
cache
par
carte
600 Go x 12
Utilisateurs
3.4 GHZ*2
4 Go
- SAUVEGARDE
01 BAIE DE STOCKAGE RESEAU
1
2 IBM System
Storage
DS3524
Tous OS
supportés
120 ORDINATEURS DE BUREAU
1
120 HP 8100
Windows
8.1
72 Go x 4
(Raid 5)
40 ORDINATEURS PORTABLES
1
40 HP EliteBook
8440p
Windows
8.1
Utilisateurs
Intel Core i7
2.67 GHZ
4 Go
320 Go
10 IMPRIMANTES RESEAU
1
HP Laserjet
(plusieurs)
Imprimantes
réseau
Utilisateurs
AUTRES
- Scanners,
- Appareils photos numériques.
10
o Eléments actifs du réseau de la BIDC
TYPE EQUIPEMENT
FABRIQUANT
MODELE
FONCTION
NOMBRE
2
1
SWITCH DE
DISTRIBUTION
CISCO
- CATALYST 6506
2
SWITCH
D’ACCES
UTILISATEURS
CISCO
- CATALYSTA 3560 X
3
SWITCH
INTRERCO
CISCO
- CATALYSTE 3560 X
- CATALYSTE 2900
Cœur réseau
Connexion
utilisateurs
Interconnexion
équipements
réseau
Montées en
haute
disponibilité
7
(48 ports)
2
(48 ports)
2
4
ROUTEUR
CISCO
- 3825
5
Access Control
Server (MARS)
CISCO
- CS-MARS 25
Appliance
Sécurité
environnement
1
6
Access Control
Server (ACS)
CISCO
- ACS 1121
Appliance With 5.1
SW And Base
license
Sécurité
environnement
1
7
NAC SERVER
CISCO
- NAC Appliance
3315 Server
Sécurité
physique
1
8
NAC MANAGER
CISCO
- NAC Appliance
3315 Manager
Sécurité
physique
1
9
CISCO ASA
CISCO
- ASA 5520
Firewall + IPS
1
10
CISCO ASA
CISCO
- ASA 5520
Accès VPN
1
11
FIREWALL
JUNIPER
JUNIPER
- SG 140
12
Point Accès WIFI
Divers
- Divers
13
AUTO
COMMUTATEUR
Routage Vlan
Montés en haute
disponibilité
Firewall
1
Connexion sans
fil utilisateurs
4
-
o Connexions extranet :
-
une (01) antenne VSAT qui assure la permanence des flux vitaux ;
une (01) liaison ADSL principalement pour la navigation ;
o Logiciels de sécurité :
- Antivirus (Symantec et ForeFront).
11

termes de reference pour le recrutement d`un consultant pour

Transcription

Documents pareils

Grant Thornton, cabinet international d`audit et de Conseil recrute

appel de candidatures pour le recrutement de jeunes diplômés

APPEL D`OFFRES POUR LA MISE EN PLACE D`UN

CV CS Site

Orientation Ados - Centre langage écoute Montpellier Tomatis

Termes de référence pour le recrutement d`un consultant

Acial 2012 - site UPMC PRO

PILOTER SON ENTREPRISE EN TEMPS DIFFICILE

termes de reference

Internship_MENSBRIDGE_Consultant Gestion de

PIZZERIA - SNACK - SANDWICHERIE - RESTAURANT