termes de reference pour le recrutement d`un consultant pour
Transcription
termes de reference pour le recrutement d`un consultant pour
TERMES DE REFERENCE POUR LE RECRUTEMENT D’UN CONSULTANT POUR L’AUDIT DE LA SECURITE DU SYSTEME INFORMATIQUE DE LA BIDC Termes de référence pour le recrutement d’un consultant pour l’audit de la sécurité du système informatique de la BIDC 1 CONTEXTE La Banque d’investissement et de développement de la CEDEAO (BIDC) est l’institution financière de développement qui est commune aux quinze Etats membres de la Communauté qui sont : le Bénin, le Burkina Faso, le Cabo Verde, la Côte d’Ivoire, la Gambie, le Ghana, la Guinée, la GuinéeBissau, le Liberia, le Mali, le Niger, le Nigeria, le Sénégal, la Sierra Leone et le Togo. Elle a été créée par l’article 21 nouveau du Traité révisé de la CEDEAO tel qu’amendé par l’Acte additionnel n° A/SA.9/01/07 du 19 janvier 2007. La BIDC a pour objet : a. d’accorder des prêts et garanties pour le financement de projets et programmes d'investissement relatifs au développement économique et social des État membres, de prendre des participations dans le capital de structures publiques, privées ou mixtes, et d’effectuer tous autres investissements, en donnant particulièrement priorité : i. aux projets ou programmes qui, par leur nature ou leur ampleur, intéressent au moins deux État membres régionaux, notamment les projets de création d’infrastructures d’intégration régionale et tous autres projets de développement dans les secteurs public et privé ; ii. aux projets ou programmes qui visent le renforcement des économies des États membres les moins développés de la Communauté ainsi que la reconstruction des États ayant connu des conflits armés ou des crises sociopolitiques graves ; iii. aux projets ou programmes qui contribuent à rendre les économies de la Communauté plus complémentaires ainsi qu’aux programmes spéciaux et projets de lutte contre la pauvreté et les inégalités sociales ; b. de mobiliser à l’intérieur et hors de la Communauté des ressources destinées au financement de ses projets et programmes d’investissement ; Termes de référence pour le recrutement d’un consultant pour l’audit de la sécurité du système informatique de la BIDC 2 c. de fournir l’assistance technique qui peut être nécessaire dans la Communauté pour l’étude, la préparation, le financement et l’exécution de projets et programmes de développement ; d. de recevoir et de gérer la part de ressources du prélèvement communautaire de la CEDEAO destinée à financer des actions de développement de la Communauté, conformément au Protocole n° A/P1/7/96 du 27 juillet 1996 relatif aux conditions d’application dudit prélèvement et en vertu de toute autre disposition pertinente ; e. de gérer tous fonds spéciaux de la Communauté relatifs à son objet ; f. de mener toute activité commerciale, industrielle ou agricole, dans la mesure où celle-ci serait accessoire à son objet ou nécessaire au recouvrement de ses créances. Dans le cadre de son objet social, la Banque coopère avec les organismes nationaux et sous régionaux de développement opérant dans la Communauté. Aux mêmes fins, elle s’efforce de coopérer avec d’autres organisations internationales ayant un but analogue et avec d’autres institutions s’intéressant au développement de la Communauté. Le siège de la Banque est à Lomé, en République Togolaise. La Banque peut ouvrir des bureaux, agences ou succursales partout ailleurs. Outre ses membres régionaux qui sont les États membres de la CEDEAO, la BIDC a vocation à avoir des membres non régionaux qui sont les États et autres personnes morales non membres de la Communauté. La BIDC dispose d’un système d’information soutenu par une infrastructure informatique robuste et moderne qui dessert presque 200 postes utilisateurs dont d’ores et déjà une cinquantaine sont itinérants, le reste étant appelé à le devenir dans un proche avenir. Une description du système d’information de la Banque est annexée au présent document (voir annexe 1). Avec les accès utilisateurs de plus en plus multiples et surtout, avec l’ouverture de son système informatique sur internet, il devient impératif pour la BIDC de connaitre ses ressources à protéger. Il est tout autant important de maitriser le contrôle et les droits des utilisateurs du système. Termes de référence pour le recrutement d’un consultant pour l’audit de la sécurité du système informatique de la BIDC 3 Par ailleurs, avec l’itinérance, consistant à permettre aux membres du personnel de se connecter au système informatique de partout, ceux-ci sont amenés à transporter une partie du système d’information hors de l’infrastructure sécurisé de la Banque. Afin de sécuriser son système informatique, il est nécessaire pour la Banque d’identifier, en vue de les réduire au maximum, les menaces potentielles auxquelles elle s’expose. C’est pourquoi la BIDC souhaite faire un audit de la sécurité de son système informatique. OBJECTIFS L’objectif de la mission d’audit est d’évaluer et de corriger la vulnérabilité de la sécurité du système informatique de la Banque. MISSIONS La mission du consultant consiste à inspecter le système informatique de la Banque avec des outils et des méthodes adaptés, afin de collecter et analyser les informations nécessaires pouvant permettre à la mission de : 1. évaluer la vulnérabilité de la sécurité du système informatique de la Banque, 2. établir une cartographie des risques encourus ainsi que les impacts d'une défaillance sur la production, 3. évaluer le besoin optimal en ressources humaines par rapport aux ressources disponibles, pour une meilleure analyse et une gestion adéquate des risques encourus ; 4. faire des recommandations en vue de mitiger les risques relevés, 5. établir un plan de mise en œuvre ainsi que les cahiers des charges des solutions retenues. Dans cette optique, le consultant devra analyser le système informatique dans ses composantes suivantes : 1. Infrastructure physique Analyser l'infrastructure physique et les liens de raccordement entre ses composantes, Termes de référence pour le recrutement d’un consultant pour l’audit de la sécurité du système informatique de la BIDC 4 2. Infrastructure logique Vérifier la configuration des postes et serveurs en vue de détecter d’éventuelles brèches d’intrusion, Diagnostiquer la configuration réseau, Vérifier la conformité des applications, (existe-t-il des applications malveillantes ou qui présentent de la vulnérabilité d’intrusion ?) 3. Communication Evaluer la cohérence et la fiabilité du réseau local, Evaluer le système de messagerie et ses mesures de sécurité (accès aux mails, filtres, spams, reporting de détection…) Evaluer les connexions Internet et les points d’accès wifi, Analyser la fluidité du trafic et l'accès réseau aux heures de pointe, 4. Sécurité Evaluer les solutions de sauvegarde, Evaluer le plan de continuité (sécurisation sur panne serveur, réseaux, vol, incendie,...), Evaluer les dispositifs de sécurité du matériel, des données et du réseau (la protection antivirale, pare-feu, filtrage internet,...), et des contrôles d’accès, 5. Ressources humaines Définir le profil du/des cadre(s) chargé(s) de la gestion sécuritaire au sein de la Banque, en tenant compte de l’infrastructure en place et des solutions qui y sont implantées et à venir ; Indiquer les profils du personnel minimum requis pour un fonctionnement adéquat du Département technologie de l’information, organisation et méthode, afin de réduire les risques liés à l’insuffisance de personnel ; 6. Conformité et réglementation Evaluer le respect de la législation (licences logicielles, loi Informatique sur la protection des données, les droits et libertés du personnel à l’information, etc.). Termes de référence pour le recrutement d’un consultant pour l’audit de la sécurité du système informatique de la BIDC 5 LIEU et DUREE DE LA MISSION L'audit se déroulera au siège de la BIDC à Lomé, République togolaise. Le consultant est invité à proposer la durée moyenne de sa mission et les délais de soumission des rapports provisoire et final à la BIDC. LANGUES DE TRAVAIL Les rapports de l’audit et autres documents produits par le consultant seront rendus en anglais et en français. PRESTATIONS DE LA BIDC La BIDC facilitera la mission du consultant, en mettant à sa disposition le schéma directeur Informatique comprenant la cartographie applicative et la cartographie des infrastructures techniques, de même que tous les documents en sa possession relatifs aux travaux à effectuer. Le Chef de la Division technologie de l’information et toute son équipe restent disponibles pour toute autre assistance en vue de faciliter le travail de la mission. LIVRABLE Le consultant soumettra un rapport provisoire de sa mission à la BIDC dans le délai proposé et lui fera une présentation orale de ses travaux. Dans un délai de huit jours calendaires, à compter de la réception du rapport provisoire, la BIDC fera ses observations écrites au consultant sur son rapport provisoire. 1. L’audit Le livrable de l'audit est un rapport détaillé (contenant les problèmes détectés, les observations et analyses effectuées). Le rapport détaillé devra également contenir les recommandations et les projets de renforcement de la sécurité informatique de la Banque tant sur les aspects techniques, qu’organisationnels, à savoir : L'inventaire exhaustif et documenté du parc, La schématisation du réseau informatique, Les points forts et faiblesses relevées sur la sécurité, Termes de référence pour le recrutement d’un consultant pour l’audit de la sécurité du système informatique de la BIDC 6 L’analyse de la normalité des salles serveurs, Les niveaux de risque, Les mesures correctives, Les recommandations. 2. Les recommandations Au terme de l’audit, les recommandations devront garantir à la Banque lorsqu’elles sont mises en œuvre, que son système informatique respecte au regard des données et informations les principes suivants : L’intégrité : garantir que les données ne sont pas susceptibles d’altération (fortuite ou intentionnelle) ; La confidentialité : assurer que seuls les utilisateurs autorisés ont accès aux ressources échangées ; La disponibilité : garantir la disponibilité des données et la facilité d’accès aux services et ressources ; La traçabilité : garantir la traçabilité des activités ou transactions dans le système ; L’authentification : assurer l’identité de chaque utilisateur, afin de permettre l’accès aux ressources uniquement par les personnes autorisées. A cette fin, les recommandations devront inclure : 1. Les actions détaillées à mettre en œuvre dans l'immédiat, pour pallier aux défaillances les plus graves, 2. la proposition d'élaboration d’une politique de sécurité à instaurer, 3. Les actions à mettre en œuvre sur le moyen terme sur les plans : a) organisationnel : structures et postes à créer, opérations de sensibilisation et de formation, procédures de sécurité à instaurer, ..., b) technique : outils et mécanismes de sécurité, … c) de l’amélioration des dispositifs de sécurité existants. d) de l’aménagement des salles serveurs selon les normes sécuritaires appropriées ; Termes de référence pour le recrutement d’un consultant pour l’audit de la sécurité du système informatique de la BIDC 7 4. la proposition d'un plan d'action avec un planning des mesures de sécurité à entreprendre, 5. Une estimation des moyens humains et financiers à prévoir pour réaliser ces actions. PROFIL DU CONSULTANT De préférence un cabinet, le consultant devra répondre aux qualifications suivantes : Avoir une expérience confirmée en ingénierie informatique, en sécurité et en audit des systèmes d’information; Justifier d’une bonne expérience et connaissance de l’environnement bancaire ; Maîtriser l’élaboration de politique de sécurité, la définition de procédures informatiques ; Avoir la capacité prouvée d’assurer le transfert des compétences ; En plus de justifier d’une expérience significative dans le diagnostic et la sécurité des systèmes informatiques, le consultant devra disposer d’une équipe d’experts à affecter au projet et dont les CV et certifications seront joints aux dossiers. DATE ET LIEU DE DEPOT DES DOSSIERS La date limite de dépôt des dossiers est fixée au 16 décembre 2016 à 17h00. Tous les dossiers doivent être présentés en deux exemplaires (original et copie), à l’adresse suivante : BANQUE D’INVESTISSEMENT ET DE DEVELOPPEPENT DE LA CEDEAO Secrétariat du Département technologie de l’information, organisation et méthodes, Offre pour le recrutement d’un consultant pour l’audit de la sécurité du système informatique de la BIDC « A n’ouvrir qu’en séance de dépouillement » 128, Bd. du 13 janvier BP 2704 Lomé – Togo. E-mail : [email protected] Tél : +(228) 22 21 68 64 – Fax : +(228) 22 21 86 84 Termes de référence pour le recrutement d’un consultant pour l’audit de la sécurité du système informatique de la BIDC 8 ANNEXE 1 Cartographie applicative Trois (03) catégories d’applications sont utilisées au sein de la BIDC : - - les progiciels : Ils sont au nombre de trois (3). Ils couvrent les Ressources Humaines, la Comptabilité, la gestion des approvisionnements, la gestion des stocks et la gestion des immobilisations et les transactions Swift ; les applications Intranet et Internet (messagerie, site web et navigation) ; la Bureautique (traitement de texte, tableur, présentation, messagerie, etc.). Cartographie des infrastructures techniques Le parc informatique est composé des équipements informatiques standards (Serveurs, PC, Switchs, Imprimantes, etc…). Les détails se présentent comme suit : o Ordinateurs et périphériques SERVEURS MODELE SERVEUR OS FONCTION VITESSE PROCESSEU R RAM DISQUE DUR 48 Go 600 Go Miroré - CONTROLEUR DOMAINE 1 - EXCHANGE - DNS 2 - TMG (PROXY) 10 SERVEURS IBM x3550 M3, Bi-pro Xeon Six Core E5675 3 En Cluster physique - FRONTAL EXCHANGE - FICHIERS Windows Server 2012 R2 SP1 - E-Learn BUREATIQUE - WDS (Déploiement Windows) 3.43 GHZ x 2 - WSUS (Mise à jour centralisée) - Antivirus 4 - SUNSYSTEMS (Comptabilité, Appro, Stock, Immo.) - SWIFT - GRH Termes de référence pour le recrutement d’un consultant pour l’audit de la sécurité du système informatique de la BIDC 9 - BACKUP PHYSIQUE 5 6 - TESTS 2 Serveur 1U IBM x3550 Xeon Quad Core 1.06 GHZ 12 Go 600 Go Miroré Stockage des données serveurs et utilisateurs 2 contrôleurs redondants remplaçables à chaud 1 Go cache par carte 600 Go x 12 Utilisateurs 3.4 GHZ*2 4 Go - SAUVEGARDE 01 BAIE DE STOCKAGE RESEAU 1 2 IBM System Storage DS3524 Tous OS supportés 120 ORDINATEURS DE BUREAU 1 120 HP 8100 Windows 8.1 72 Go x 4 (Raid 5) 40 ORDINATEURS PORTABLES 1 40 HP EliteBook 8440p Windows 8.1 Utilisateurs Intel Core i7 2.67 GHZ 4 Go 320 Go 10 IMPRIMANTES RESEAU 1 HP Laserjet (plusieurs) Imprimantes réseau Utilisateurs AUTRES - Scanners, - Appareils photos numériques. Termes de référence pour le recrutement d’un consultant pour l’audit de la sécurité du système informatique de la BIDC 10 o Eléments actifs du réseau de la BIDC TYPE EQUIPEMENT FABRIQUANT MODELE FONCTION NOMBRE 2 1 SWITCH DE DISTRIBUTION CISCO - CATALYST 6506 2 SWITCH D’ACCES UTILISATEURS CISCO - CATALYSTA 3560 X 3 SWITCH INTRERCO CISCO - CATALYSTE 3560 X - CATALYSTE 2900 Cœur réseau Connexion utilisateurs Interconnexion équipements réseau Montées en haute disponibilité 7 (48 ports) 2 (48 ports) 2 4 ROUTEUR CISCO - 3825 5 Access Control Server (MARS) CISCO - CS-MARS 25 Appliance Sécurité environnement 1 6 Access Control Server (ACS) CISCO - ACS 1121 Appliance With 5.1 SW And Base license Sécurité environnement 1 7 NAC SERVER CISCO - NAC Appliance 3315 Server Sécurité physique 1 8 NAC MANAGER CISCO - NAC Appliance 3315 Manager Sécurité physique 1 9 CISCO ASA CISCO - ASA 5520 Firewall + IPS 1 10 CISCO ASA CISCO - ASA 5520 Accès VPN 1 11 FIREWALL JUNIPER JUNIPER - SG 140 12 Point Accès WIFI Divers - Divers 13 AUTO COMMUTATEUR Routage Vlan Montés en haute disponibilité Firewall 1 Connexion sans fil utilisateurs 4 - o Connexions extranet : - une (01) antenne VSAT qui assure la permanence des flux vitaux ; une (01) liaison ADSL principalement pour la navigation ; o Logiciels de sécurité : - Antivirus (Symantec et ForeFront). Termes de référence pour le recrutement d’un consultant pour l’audit de la sécurité du système informatique de la BIDC 11