Objet de lappel doffres

Le prsent appel doffres a pour objet LAUDIT DE SCURIT DES

APPLICATIONS WEB DE LA CNPS.
Clauses Techniques
Cet appel doffres est compos dun lot unique dont les caractristiques techniques sont
dcrites ci-aprs:

Description de la mission
Contexte
Les applications web et les serveurs sont des cibles privilgies et faciles pour les pirates.
Lactualit du moment montre que les sites les plus connus au monde (Sony, Nintendo,
Google, la Cia, Citigroup, etc) sont victimes de piratage.
Quelque soit le mode de fonctionnement des sites par exemple offrir des services ou des
informations aux usagers, les hackers nhsiteront pas sattaquer aux applications web.
Ils pourront par exemple :

voler des donnes confidentielles,

dtruire partiellement ou compltement votre site

hberger des fichiers illgaux (virus, phishing ou images pdophiles par exemple)

installer des accs frauduleux sur linfrastructure informatique (site et serveur web)

bloquer les sites publis

envoyer du spam

et les consquences de ces actes malveillants :

Image entache

Pertes financires

Poursuites judiciaires

Pour faire faces ces menaces, un audit de scurit des applications web (Extranet et intranet)
savre ncessaire avant leur publication.

Objet de la mission
Lobjectif de laudit est didentifier les vulnrabilits dordre technique et fonctionnel,
dvaluer leur niveau de criticit (facilit dexploitation, impact) et de dterminer la nature et
le niveau de risque en regard des enjeux mtiers du systme audit.
Le systme a audit sont les applications WEB suivantes :

OBSRATMP,

Contrle Mdical,

Extranet,

CNPS,

IM2S.

Prestations demandes
Les prestations sujettes de cet appel doffre doivent au moins englober les composantes
suivantes :
1. Analyse des composants applicatifs :
Consiste vrifier entre autres :
La protection des flux ;
La protection des ressources ;
Labsence dinformations permettant dobtenir des informations techniques ;
La prsence de composants superflus

2. Analyse de lapplicatif Web :

Validation des entres utilisateur :

o Cross Site Scripting
o Injections diverses (SQL, LDAP, XML, commandes) ;
Recherche des composants web prsents (analyse des enttes http, rpertoires connus,
analyse du retour HTML,)
Tentative de contournement de lauthentification, de la logique applicative
Vrification de la stratgie de gestion des sessions, de la protection des modules
dadministration et des ressources

3. Audit de configuration

Audit systme, audit de base de donnes, audit de pare feu (ports ouverts, protocole
utiliss)

4. Audit de code

Vrifier la prsence des mcanismes de scurit permettant de protger lapplication

5. Tests dintrusion externes

Le soumissionnaire doit mener les diffrentes phases suivantes : recherche

dinformations, identifications des services et machines, recherche des vulnrabilits,
et exploitation des failles.
6. Tests dintrusion internes

Consiste simuler le comportement dun utilisateur malveillant lintrieur de la

CNPS

7. Elaboration des recommandations et plan dactions

Consiste dfinir les recommandations et le plan dactions scurit quil conviendrait

de mettre en uvre compte tenu des enjeux, des faiblesses et des risques
pralablement identifis.

Dlai dexcution
Les dlais de ralisation de lensemble de la prestation et le planning qui dtaille la dure
ncessaire pour chaque action ainsi que la charge J/H estime, sont ceux proposs par le
soumissionnaire retenu.
La dure globale ne doit en aucun cas dpasser 3 mois.
La dure de ralisation du projet commence courir ds validation du planning dfinitif et
rception de lordre de service de commencement dexcution des prestations.
Les temps de validation des documents/livrables par la CNPS ne sont pas comptabiliss.
Comptences et aptitudes requises:

Avoir une trs bonne exprience dans laudit de scurit des applications Web ;

Connaissances techniques et comprhension de l'environnement technologique;

Comprhension des besoins, du cur de mtier de la CNPS;

Techniques et procdures de diagnostic et de conduite de projet;

Rigueur;

Qualits relationnelles et de ngociation;

Capacit grer les responsabilits, le stress, les dlais, les conflits.

Contenu de l'offre technique

Loffre technique devra obligatoirement comprendre :
La prsentation du soumissionnaire ;
la dmarche mthodologique propose pour la ralisation de la mission;
les rfrences du soumissionnaire en matire daudit de scurit des applications web
et de pentesteur. Ces rfrences devront tre attestes par des certificats de bonne
excution.
Les rfrences professionnelles des membres de lquipe de travail montrant leur
aptitude raliser la mission (joindre en annexe les CV);
Le dlai de ralisation de laudit et le chronogramme dintervention ;
Transmettre le plan dtaill de laudit.

Autre version-----//

Section 6. Termes de Rfrence

1. Contexte
Dans le cadre de la modernisation de la gestion de lEtat, le
gouvernement ivoirien a entrepris un vaste projet, dnomm
Gouvernance Electronique dont lobjectif principal est de
doter lEtat dun outil performant de gestion de ses ressources
par lutilisation des Technologies de linformation et de la
Communication.
LIntranet Gouvernemental fait partie des projets dits
transversaux , visant la mise en place des services
dannuaire, de messagerie lectronique, de communication
unifie (vido et audio), de travail collaboratif ainsi que de suite
bureautique.
Dans sa phase initiale, le projet INTRANET
GOUVERNEMENTAL a permis, partir de lanne 2012, la mise
disposition des services ci-dessus cits aux cabinets
ministriels (au nombre de 30) ainsi qu un certain nombre
dinstitutions gouvernementales (au nombre de 08). (Voir
Annexe pour les dtails).
Le prsent document consiste dfinir les termes de rfrence
visant lancer ltude de son extension ladministration, aux
services dcentraliss ainsi quaux collectivits territoriales
ivoiriennes.

2. Objectif Gnral
Lobjectif de cette tude est de dfinir terme une solution
cible et une architecture pour lextension de lintranet
gouvernemental, tendue toute ladministration, aux services
dcentraliss ainsi quaux collectivits territoriales de ltat de
Cte dIvoire.
2.1 Objectifs Spcifiques
Les objectifs spcifiques se dcrivent comme suit :
La dfinition du primtre (entits concernes et nombres
dutilisateurs estim)
Etat des lieux de lexistant
Benchmark comparatif avec dautres pays
Elaboration de diffrents scnarios dextension
Le choix de la solution adquate
Elaboration de la stratgie de mise en uvre de ltude
par phases
Estimation budgtaire de la solution et roadmap de
dploiement

3. Primtre du projet
3.1 Primtre gographique
Le primtre gographique du projet stend ladministration
ivoirienne, incluant les services dcentraliss et les
collectivits territoriales.
Ltude devra ainsi rfrencer :
lensemble des entits bnficiaires
le nombre estimatif
gouvernemental.

des

3.2. Primtre technique

Il sagit de :

utilisateurs

de

lintranet

 Raliser un tat des lieux fonctionnel de lexistant

(messagerie, communication unifie, travail collaboratif,
outils bureautiques)
Raliser un tat des lieux technique de lexistant (tenant
compte des capacits des Datacenter et du rseau
disponible)
Elaborer diffrents scnarii et possibilits technologiques
(solutions propritaire ou open source, infrastructure priv
ou cloud, solutions hybrides etc.) en dcrivant les
avantages et inconvnients de chaque choix
Raliser un Benchmark comparatif avec des rfrences de
projets similaires dans dautres pays africains et non
africains.
Retenir le scnario adquat
Concevoir larchitecture globale de la solution retenue
Elaborer la stratgie de ralisation ltude par phases

3.3. Primtre fonctionnel

Le primtre de ltude de lextension se dfini comme suit :
Lannuaire gouvernemental
La messagerie lectronique (en client lourd et en client
lger)
La suite bureautique (traitement de texte, tableur et
prsentation)
La communication unifie (messagerie instantane, audio
et vido communication)
Le travail collaboratif (gestion documentaire)
3.4. Primtre financier
Il consistera identifier et valuer les diffrents cots
(directs, indirects et induits) de la solution.

4. Rsultats attendus
Les rsultats attendus au terme de cette tude sont les
suivants :
Le descriptif de ltat des lieux de lexistant ;
La dfinition du primtre cible (dimensionnement par
entits bnficiaires et par utilisateurs)
Le Benchmark comparatif incluant des rfrences de
projets similaires (africains et non africains) ;
Ltude
des
diffrents
scnarii
et
possibilits
technologiques;
Le choix du scnario adquat
la stratgie de ralisation de ltude par phases
lestimation budgtaire de la solution
Le Consultant regroupera les conclusions de ses travaux dans
un rapport.

Par ailleurs, au dbut de la mission, le Consultant devra

proposer la mthodologie utilise pour la ralisation de sa
mission.

5. Dure
La dure totale pour les services du Consultant est estime
60 jours.