CAHIER DES CLAUSES PARTICULIÈRES

ACCORD-CADRE DE TECHNIQUES DE L'INFORMATION ET DE LA

COMMUNICATION

SERVICES DE CYBERSURVEILLANCE POUR

MONTPELLIER BUSINESS SCHOOL

N° du CCP : 160123

MONTPELLIER BUSINESS SCHOOL

Service Achats
2300 avenue des Moulins
34185 MONTPELLIER CEDEX 4
 SOMMAIRE

1 - Dispositions générales du contrat ................................................................................................... 3

1.1 - Objet du contrat ....................................................................................................................... 3
1.2 - Décomposition du contrat ........................................................................................................ 3
1.3 - Type d'accord-cadre................................................................................................................. 3
1.4 - Conditions d'attribution des bons de commande ..................................................................... 3
1.5 – Présentation MBS et clauses sociales ..................................................................................... 3
2 - Pièces contractuelles ....................................................................................................................... 5
4 - Durée et délais d'exécution ............................................................................................................. 5
4.1 - Durée du contrat ...................................................................................................................... 5
4.2 - Reconduction ........................................................................................................................... 5
5 - Prix.................................................................................................................................................. 5
5.1 - Caractéristiques des prix pratiqués .......................................................................................... 5
5.2 - Modalités de variation des prix ............................................................................................... 6
5.3 - Clause butoir ............................................................................................................................ 6
5.4 - Clause de sauvegarde............................................................................................................... 6
7 - Avance ............................................................................................................................................ 6
8 - Modalités de règlement des comptes .............................................................................................. 6
8.1 - Acomptes et paiements partiels définitifs ................................................................................ 6
8.2 - Présentation des demandes de paiement .................................................................................. 6
8.3 - Délai global de paiement ......................................................................................................... 7
8.4 - Paiement des cotraitants .......................................................................................................... 7
8.5 - Paiement des sous-traitants ...................................................................................................... 7
9 - Conditions d'exécution des prestations ........................................................................................... 7
11 - Constatation de l'exécution des prestations .................................................................................. 7
11.1 - Vérifications .......................................................................................................................... 7
11.2 - Décision après vérification .................................................................................................... 7
12 - Pénalités ........................................................................................................................................ 7
12.1 - Pénalités de retard .................................................................................................................. 7
12.2 - Pénalité pour travail dissimulé .............................................................................................. 8
13 - Assurances .................................................................................................................................... 8
14 - Résiliation du contrat .................................................................................................................... 8
14.1 - Conditions de résiliation de l'accord-cadre............................................................................ 8
15 - Règlement des litiges et langues ................................................................................................... 8
16 - Dérogations ................................................................................................................................... 9
17 - Clauses techniques particulières ................................................................................................... 9
1 - Dispositions générales du contrat
1.1 - Objet du contrat
Les stipulations du présent Cahier des clauses particulières (CCP) concernent :
SERVICES DE CYBERSURVEILLANCE POUR MONTPELLIER BUSINESS SCHOOL

Cet accord-cadre fixe toutes les conditions d'exécution des prestations, il est exécuté au fur et à mesure de l'émission de
bons de commande émis par le pouvoir adjudicateur.

Lieu(x) d'exécution :
MONTPELLIER
34185 Montpellier

1.2 - Décomposition du contrat

Il n'est pas prévu de décomposition en lots.

L'accord-cadre est attribué à un seul opérateur économique.

1.3 - Type d'accord-cadre

L'accord-cadre avec maximum est passé en application des articles L2125-1 1°, R. 2162-1 à R. 2162-6, R. 2162-13 et
R. 2162-14 du Code de la commande publique. Il donnera lieu à l'émission de bons de commande.

1.4 - Conditions d'attribution des bons de commande

Les bons de commande seront notifiés par le pouvoir adjudicateur.

Les mentions devant figurer sur chaque bon de commande sont les suivantes :
- le nom ou la raison sociale du titulaire.
- la date et le numéro du marché ;
- la date et le numéro du bon de commande ;
- les délais laissés le cas échéant aux titulaires pour formuler leurs observations.
- les délais d'exécution (date de début et de fin) ;
- les lieux d'exécution des prestations ;
- le montant du bon de commande ;
- la nature et la description des prestations à réaliser ;

Seuls les bons de commande signés par le représentant du pouvoir adjudicateur peuvent être honorés par le ou les
titulaires.

1.5 – Présentation MBS et clauses sociales

Depuis 1897, au travers de l’établissement historique qu’est l’Ecole Supérieure de Commerce (ESC) de Montpellier,
Montpellier Business School (MBS) développe des formations de haut niveau accessibles par concours nationaux,
internationaux ou spécifiques (de Bac à Bac+4) ou en entrée directe dans le cadre de la formation continue en entreprise
ou MBA, dans une tradition de qualité et d’innovation, fortement orientées vers l’international et la professionnalisation
de ses étudiants et participants.
Afin de lui permettre d’accéder au modèle des grandes écoles de management françaises engagées dans la compétition
internationale que se livrent aujourd’hui toutes les Business School françaises, sa tutelle, la CCI de Montpellier a décidé
de le placer sous statut d’association loi de 1901 depuis le 1er Janvier 2013.
L’évolution de ce statut juridique assure désormais à MBS l’ouverture et la stabilité de sa gouvernance dans laquelle on
compte désormais les collectivités territoriales, les établissements publics, les grandes entreprises partenaires ou encore,
et c’est une grande première, l’Association des Diplômés de Montpellier Business School.
Depuis Avril 2017, MBS s’est vu décernée par le ministère de l’Education nationale, de l’enseignement supérieur et de
la Recherche, la qualification d’Etablissement d’Enseignement Supérieur Privé d’Intérêt Général (EESPIG). Ce label
délivré par l’Etat français après une instruction particulièrement rigoureuse démontre, tout à la fois, la non-lucrativité
absolue de MBS, tout en garantissant que l’ensemble de ses ressources sont affectées exclusivement à la mission de
service public de l’enseignement supérieur telle que définie par l’Etat français à l’article L 123-3 du code de
l’éducation.

Consultation n°: 160123 Page 3 sur 12

MBS est une grande école européenne de management de la région Occitanie reconnue internationalement pour les
valeurs qu’elle promeut, la recherche de l’excellence académique qui l’anime et les préoccupations de responsabilité et
de performance globale qui caractérisent ses fonctionnements et ses résultats.
Elle dispose des prestigieux labels internationaux que représentent les accréditations AACSB et EQUIS. En sus, son
programme Executive MBA est également détenteur de l’accréditation internationale AMBA.
Membre de la Conférence des Grandes Écoles (CGE) et du Chapitre des écoles de management de la CGE, sa mission
est de « former, par des programmes d’enseignement supérieur, des managers forts de leur diversité, conscients de leur
responsabilité globale dans la réalisation de leurs missions et aptes à s’adapter aux changements des environnements
locaux, nationaux et internationaux.» Toutes ses activités du Groupe sont inspirées par les valeurs d’éthique,
d’ouverture et de diversité, de responsabilité et de performance globales.

La Diversité et l’Innovation Managériale au cœur des processus

Premier établissement d’enseignement supérieur labellisé diversité. Le Groupe est aussi le 1 er établissement
d’enseignement supérieur français à s’être vu délivrer et reconduire par l’Afnor le Label Diversité qui reconnaît la
qualité de sa politique de diversité dans les domaines de la gestion des ressources humaines, des activités pédagogiques,
du recrutement des étudiants et de la politique sociale auprès des étudiants. De plus, en mars 2017, le groupe a
également obtenu le label Egalité professionnelle entre les hommes et les femmes. L’obtention de ce nouveau Label
d’Etat vient confirmer l’engagement de MBS pour la promotion de la diversité et l’inclusion de tous les talents, ainsi
que la reconnaissance de ses résultats dans l’ensemble de ses activités.

Des programmes ouverts sur le monde et intégrés aux besoins des entreprises mondiales
MBS a par ailleurs développé depuis plus de 10 ans une politique d’échanges au niveau mondial afin d’exposer ses
étudiants et ses professeurs aux réalités de la globalisation. Cette orientation pédagogique l’a conduit, aujourd’hui, à
disposer d’un portefeuille de plus de 150 universités étrangères partenaires dans le monde qui couvrent l’Asie,
l’Europe, l’Australie, l’Amérique du Nord et du Sud et permettant l’expatriation d’étudiants Bachelor et Master durant
une année ou un semestre académique et l’octroi d’un diplôme étranger supplémentaire. De la même façon, MBS
reçoit, chaque année des étudiants étrangers « visitants » (14 langues parlées sur le campus – + de 300 étudiants
visitants chaque année) et développe ses recrutements directs via ses CERI (Centres de Recrutements Internationaux)
en République Dominicaine, en Colombie et en Afrique via sa filiale MBS Dakar et via ses divers agents à travers le
monde.
Montpellier Business School a par ailleurs très récemment regroupé les 44 entreprises phares qui ont choisi plus
particulièrement de le soutenir activement dans sa stratégie de développement dans un Advisory Board. Ces entreprises
apportent notamment leur contribution dans le cadre des projets en lien avec la défense des valeurs d’éthique, de
diversité, d’ouverture, de responsabilité et de performance globales (mécénat dans le cadre des bourses du mérite, aides
financières diverses…) et œuvrent en faveur de la Fondation Montpellier Business School pour l’Egalité des Chances
créée en 2007 sous l’égide de la Fondation de France.
Numéro 1 de l’alternance en France avec plus de 1200 étudiants en contrat d’apprentissage (Octobre 2017) ou de
professionnalisation et grâce à un service accompagnement Premium pour les entreprises, Montpellier Business School
œuvre pour l’accessibilité des études supérieures à tous les profils indépendamment des critères financiers.
Dans ce contexte, la stratégie de communication du Groupe relève d’un certain nombre d’enjeux et notamment en toute
priorité la reconquête de sa notoriété en terme de marque centrée sur les valeurs associées, la mise en avant spécifique
et différenciée par cible de ses programmes de formations (initiales et continues) sur les trois plans régionaux,
nationaux et internationaux et dans le cadre d’une stratégie pluri média très orientée sur le web. Cette stratégie lui a
permis de lui redonner la place qu’il méritait dans l’esprit des acteurs du monde de l’enseignement supérieur et
d’asseoir la crédibilité de sa marque auprès de nombreuses entreprises désormais partenaires comme de reconquérir une
cible de diplômés ayant perdu le lien avec leur ADN universitaire.

Clauses d’exécution à caractère social

Les conditions d’exécution des prestations comportent des éléments à caractère social qui prennent en compte les
objectifs de développement durable. Ces éléments sont les suivants :

A - Signataire du Pacte Mondial de l’ONU « Global compact » et détenteur du « Label Diversité » et, depuis le 28 mars
2017, du « Label Egalité professionnelle entre les femmes et les hommes ».
Montpellier Business School est engagée dans la défense de valeurs fondamentales dans les domaines des droits de
l’homme, de l’égalité professionnelle entre les femmes et les hommes, des normes de travail, de protection de
l’environnement et de la lutte contre la corruption et la discrimination sous toutes ses formes.
Le titulaire s’efforcera pour les besoins du marché et plus généralement dans la gestion de sa prestation à déployer des
actions en faveur de la prévention des discriminations, de l’égalité des chances et de la promotion de la diversité ainsi
qu’à adopter une démarche de sensibilisation auprès de ses personnels et partenaires commerciaux.

Consultation n°: 160123 Page 4 sur 12

MBS s’engage à accompagner le titulaire du présent marché dans ses démarches d’amélioration continue et se réserve
le droit de vérifier que ce dernier se conforme à cet engagement. Au cas où le Groupe constaterait des actions ou
conditions contraires à cet engagement, il serait en droit d’exiger que des mesures correctives soient prises ou à défaut
d’exécution, de résilier tout contrat avec ledit titulaire.
Ces différents éléments seront appréciés en regard des valeurs de MBS mais ne constituent pas des clauses restrictives.

B - Mesures d’ordre social - Application de la réglementation du travail

Le titulaire est soumis aux obligations résultant des lois et règlements relatives à la protection de la main d’œuvre et aux
conditions du travail.
Dans le cas de prestataires groupés, le respect de ces mêmes obligations par les cotraitants doit être assuré à la diligence
et sous la responsabilité du mandataire.
En application de l’article R.341-36 du Code du Travail et avant tout commencement d’exécution, le titulaire doit
remettre au maître de l’ouvrage une attestation sur l’honneur indiquant s’il a ou non l’intention de faire appel, pour
l’exécution du marché, à des salariés de nationalité étrangère et, dans l’affirmative, certifiant que ces salariés sont ou
seront autorisés à exercer une activité professionnelle en France.

2 - Pièces contractuelles
Les pièces contractuelles de l'accord-cadre sont les suivantes et, en cas de contradiction entre leurs stipulations,
prévalent dans cet ordre de priorité :
- L'acte d'engagement (AE) et ses annexes financières
- Le cahier des clauses particulières (CCP) et ses annexes
- Le bordereau des prix unitaires (BPU)
- Le mémoire justificatif des dispositions prévues par le titulaire pour l'exécution du contrat
- Le cahier des clauses administratives générales (CCAG) applicables aux marchés publics de techniques de
l'information et de la communication, approuvé par l'arrêté du 30 mars 2021

3 - Confidentialité et mesures de sécurité

Le présent accord-cadre comporte une obligation de confidentialité telle que prévue à l'article 5.1 du CCAG-TIC.

Le titulaire doit informer ses sous-traitants des obligations de confidentialité et/ou des mesures de sécurité.

Un avenant dédié au RGPD sera proposé au titulaire du marché.

4 - Durée et délais d'exécution

4.1 - Durée du contrat
L'accord-cadre est conclu pour une période initiale de 1 an.

L'accord-cadre est conclu à compter du 01/09/2023 jusqu'au 31/08/2024.

Les délais d'exécution ou de livraison des prestations sont fixés à chaque bon de commande conformément aux
stipulations des pièces de l'accord-cadre.

4.2 - Reconduction
L'accord-cadre est reconduit tacitement jusqu'à son terme. Le nombre de périodes de reconduction est fixé à 3. La durée
de chaque période de reconduction est de 1 an. La durée maximale du contrat, toutes périodes confondues, est de 4 ans.

La reconduction est considérée comme acceptée si aucune décision écrite contraire n'est prise par le pouvoir
adjudicateur au moins 3 mois avant la fin de la durée de validité de l'accord-cadre. Le titulaire ne peut pas refuser la
reconduction.

5 - Prix
5.1 - Caractéristiques des prix pratiqués
Les prestations sont réglées par des prix unitaires selon les stipulations de l'acte d'engagement.

Consultation n°: 160123 Page 5 sur 12

 5.2 - Modalités de variation des prix
Les prix de l'accord-cadre sont réputés établis sur la base des conditions économiques du mois de 02/2023 ; ce mois est
appelé " mois zéro ".

Les prix sont révisés annuellement par application aux prix de l'accord-cadre d'un coefficient Cn donné par la formule :
Cn = 15.0% + 85.0% (001664305 (n-1) / 001664305 (o))

selon les dispositions suivantes :

- Cn : coefficient de révision.
- Index (n-nombre de mois de décalage) : valeur de l'index de référence au mois n diminué du nombre de mois de
décalage (sous réserve que le mois n soit postérieur au mois zéro augmenté du nombre de mois de décalage).
- Index (o) : valeur de l'index de référence au mois zéro.

Le mois " n " retenu pour le calcul de chaque révision périodique est celui qui précède le mois au cours duquel
commence la nouvelle période d'application de la formule. Les prix ainsi révisés sont invariables durant cette période.

La révision définitive des prix s'opère sur la base de la dernière valeur d'index publiée au moment de l'application de la
formule. Aucune variation provisoire ne sera effectuée.

L'index de référence, publié(s) au Moniteur des Travaux Publics ou par l'INSEE, est l'index 001664305 « Indice des
prix de vente des services français aux entreprises françaises (BtoB) - Programmation, conseil et autres activités
informatiques ».

5.3 - Clause butoir

Chaque prix ne peut évoluer à la hausse, au cours d’une même année, calée sur la date anniversaire de l’accord-cadre,
que de 3% maximum par rapport à l’année précédente et de 5% maximum sur la durée totale de l’accord-cadre.

Cette clause ne s’applique pas à la baisse des prix ni aux prestations soumises à l’homologation tarifaire.

5.4 - Clause de sauvegarde

Le pouvoir adjudicateur se réserve le droit de résilier sans indemnités l’accord-cadre avec un préavis de 6 mois s’il
constate une augmentation des prix unitaires supérieure à la hausse maximale prévue au chapitre "clause butoir", que le
titulaire ne voudrait pas modifier.

Les prestations soumises à homologation tarifaire ne sont pas assujetties à cette clause.

6 - Garanties Financières
Aucune clause de garantie financière ne sera appliquée.

7 - Avance
Aucune avance ne sera versée.

8 - Modalités de règlement des comptes

8.1 - Acomptes et paiements partiels définitifs
Les modalités de règlement des comptes sont définies dans les conditions de l'article 11 du CCAG-TIC.

8.2 - Présentation des demandes de paiement

Les demandes de paiement devront parvenir à l'adresse suivante :
MONTPELLIER BUSINESS SCHOOL
SERVICE COMPTA FINANCES
2300 avenue des Moulins

Consultation n°: 160123 Page 6 sur 12

34185 MONTPELLIER CEDEX 4

Fournisseurs.Compta@montpellier-bs.com

8.3 - Délai global de paiement

Les sommes dues au(x) titulaire(s) seront payées dans un délai global de 45 jours à compter de la date de réception des
demandes de paiement.

En cas de retard de paiement, le titulaire a droit au versement d'intérêts moratoires, ainsi qu'à une indemnité forfaitaire
pour frais de recouvrement d'un montant de 40 €. Le taux des intérêts moratoires est égal au taux d'intérêt appliqué par
la Banque centrale européenne à ses opérations principales de refinancement les plus récentes, en vigueur au premier
jour du semestre de l'année civile au cours duquel les intérêts moratoires ont commencé à courir, majoré de huit points
de pourcentage.

8.4 - Paiement des cotraitants

En cas de groupement conjoint, chaque membre du groupement perçoit directement les sommes se rapportant à
l'exécution de ses propres prestations. En cas de groupement solidaire, le paiement est effectué sur un compte unique,
ouvert au nom du mandataire, sauf stipulation contraire prévue à l'acte d'engagement.
Les autres dispositions relatives à la cotraitance s'appliquent selon l'article 12.1 du CCAG-TIC.

8.5 - Paiement des sous-traitants

Le sous-traitant adresse sa demande de paiement libellée au nom du pouvoir adjudicateur, dans les conditions des
articles L. 2193-10 à L. 2193-14 et R. 2193-10 à R. 2193-16 du Code de la commande publique. Conformément à la
réglementation, sans validation du titulaire sous un délai de 15 jours, la demande de paiement est considérée comme
validée.

9 - Conditions d'exécution des prestations

Les prestations devront être conformes aux stipulations du contrat (les normes et spécifications techniques applicables
étant celles en vigueur à la date du contrat). L'accord-cadre s'exécute au moyen de bons de commande dont le délai
d'exécution commence à courir à compter de la date de notification du bon.

Notification par le biais du profil d'acheteur

La notification d'une décision, observation ou information faisant courir un délai peut être effectuée par le biais du
profil d'acheteur, conformément aux dispositions de l'article 3.1 du CCAG-TIC.

10 - Développement durable
Les conditions d'exécution des prestations comportent des éléments à caractère environnemental qui prennent en
compte les objectifs de développement durable.

11 - Constatation de l'exécution des prestations

11.1 - Vérifications
Les vérifications seront effectuées régulièrement par le responsable de la cybersécurité.

11.2 - Décision après vérification

A l'issue des opérations de vérification, le pouvoir adjudicateur prendra sa décision dans les conditions prévues aux
articles 33 et 34 du CCAG-TIC.

12 - Pénalités
12.1 - Pénalités de retard
Lorsque le délai contractuel d'exécution ou de livraison est dépassé, par le fait du titulaire, celui-ci encourt, par jour de
retard, une pénalité fixée à 1,0/1000, conformément aux stipulations de l'article 14.1.1 du CCAG-TIC.

Consultation n°: 160123 Page 7 sur 12

Par dérogation à l'article 14.1.3 du CCAG-TIC, il n'est prévu aucune exonération à l'application des pénalités de retard.

Le montant total des pénalités de retard n'est pas plafonné.

Les pénalités de retard sont appliquées sans mise en demeure préalable du titulaire.

12.2 - Pénalité pour travail dissimulé

Si le titulaire de l'accord-cadre ne s'acquitte pas des formalités prévues par le Code du travail en matière de travail
dissimulé par dissimulation d'activité ou d'emploi salarié, le pouvoir adjudicateur applique une pénalité correspondant à
10,0 % du montant TTC de l'accord-cadre.

Le montant de cette pénalité ne pourra toutefois pas excéder le montant des amendes prévues à titre de sanction pénale
par le Code du travail en matière de travail dissimulé.

13 - Assurances
Conformément aux dispositions de l'article 9 du CCAG-TIC, tout titulaire (mandataire et cotraitants inclus) doit
justifier, dans un délai de 15 jours à compter de la notification du contrat et avant tout commencement d'exécution, qu'il
est titulaire des contrats d'assurances, au moyen d'une attestation établissant l'étendue de la responsabilité garantie.

14 - Résiliation du contrat
14.1 - Conditions de résiliation de l'accord-cadre
Les conditions de résiliation de l'accord-cadre sont définies aux articles 47 à 54 du CCAG-TIC.

En cas de résiliation de l'accord-cadre pour motif d'intérêt général par le pouvoir adjudicateur, le titulaire ne percevra
aucune indemnisation.

En cas d'inexactitude des documents et renseignements mentionnés aux articles R. 2143-3 et R. 2143-6 à R. 2143-10 du
Code de la commande publique, ou de refus de produire les pièces prévues aux articles R. 1263-12, D. 8222-5 ou D.
8222-7 ou D. 8254-2 à D. 8254-5 du Code du travail conformément à l'article R. 2143-8 du Code de la commande
publique, le contrat sera résilié aux torts du titulaire.

14.2 - Redressement ou liquidation judiciaire

Le jugement instituant le redressement ou la liquidation judiciaire est notifié immédiatement au pouvoir adjudicateur
par le titulaire de l'accord-cadre. Il en va de même de tout jugement ou décision susceptible d'avoir un effet sur
l'exécution de l'accord-cadre.

Le pouvoir adjudicateur adresse à l'administrateur ou au liquidateur une mise en demeure lui demandant s'il entend
exiger l'exécution de l'accord-cadre. En cas de redressement judiciaire, cette mise en demeure est adressée au titulaire
dans le cas d'une procédure simplifiée sans administrateur si, en application de l'article L627-2 du Code de commerce,
le juge commissaire a expressément autorisé celui-ci à exercer la faculté ouverte à l'article L622-13 du Code de
commerce.

En cas de réponse négative ou de l'absence de réponse dans le délai d'un mois à compter de l'envoi de la mise en
demeure, la résiliation de l'accord-cadre est prononcée. Ce délai d'un mois peut être prolongé ou raccourci si, avant
l'expiration dudit délai, le juge commissaire a accordé à l'administrateur ou au liquidateur une prolongation, ou lui a
imparti un délai plus court.

La résiliation prend effet à la date de décision de l'administrateur, du liquidateur ou du titulaire de renoncer à poursuivre
l'exécution de l'accord-cadre, ou à l'expiration du délai d'un mois ci-dessus. Elle n'ouvre droit, pour le titulaire, à aucune
indemnité.

15 - Règlement des litiges et langues

En cas de litige, seul le Tribunal de Grande Instance de Montpellier est compétent en la matière.

Tous les documents, inscriptions sur matériel, correspondances, demandes de paiement ou modes d'emploi doivent être
entièrement rédigés en langue française ou accompagnés d'une traduction en français, certifiée conforme à l'original par
un traducteur assermenté.

Consultation n°: 160123 Page 8 sur 12

16 - Dérogations
- L'article 4.1 du CCP déroge à l'article 13.1.1 du CCAG - Technique de l'Information et de la Communication
- L'article 11.1 du CCP déroge aux articles 31 et 32 du CCAG - Technique de l'Information et de la Communication
- L'article 12.1 du CCP déroge à l'article 14.1.3 du CCAG - Technique de l'Information et de la Communication
- L'article 12.1 du CCP déroge à l'article 14.1.2 du CCAG - Technique de l'Information et de la Communication
- L'article 12.1 du CCP déroge à l'article 14.1.1 alinéa 2 du CCAG - Technique de l'Information et de la
Communication
- L'article 14.1 du CCP déroge à l'article 51 du CCAG - Technique de l'Information et de la Communication

17 - Clauses techniques particulières

Objectif et description du besoin :

Le présent cahier des charges a pour objectif de décrire les besoins de Montpellier Business School pour la fourniture
de services en cybersécurité.
Dans le cadre de la mise en œuvre d’un système de management de sécurité informatique, Montpellier Business School
vise à traiter les risques pesant sur son système d’information.

Des mesures de prévention, détection, réaction et correction doivent être mises en œuvre afin de :
✓ Réduire les risques liés à l’usurpation d’identité de la marque Montpellier Business School
✓ Réduire les risques liés à la fuite de données
✓ Tout risque impactant l’image de Montpellier Business School sur internet.

Les soumissionnaires peuvent répondre à l’un et/ou l’autre des lots établis. MBS peut retenir les soumissionnaires pour
l’un et/ou l’autre des lots établis.

Services de cyber surveillance

Ce paragraphe précise l’ensemble des services de cybersurveillance dont MBS souhaite disposer afin de contribuer au
traitement des risques cartographiés.
Montpellier Business School dispose des ressources suivantes à protéger :
✓ Nombre d’adresses ip publiques : 127
✓ Nombre de domaines actifs principaux : 13
✓ Nombres de domaines en redirections ou en réservation : 57 (dont 4 anciens domaines e-mail)
✓ URL définies à ce jour : 132

Cette volumétrie peut être amenée à évoluer au fil du temps. Le soumissionnaire précisera les conditions tarifaires et les
modalités d’ajout, modification ou suppression d’actifs à ce périmètre initial pour l’ensemble des services de
cybersurveillance souscrits.

Domaines ou certificats suspects

Montpellier Business School souhaite disposer d’un service de détection de domaines suspects ainsi que de détection de
création de certificats suspects (via les interfaces publiques de transparence des certificats) en rapport avec la marque
MBS.
Le soumissionnaire détaillera les mesures de détection et de correction qu’il propose pour répondre à ce besoin.
Concernant les mesures correctives, le soumissionnaire précisera, en particulier, la méthodologie et les engagements en
matière de détection de création de sites suspects relatif à la marque MBS, délais de notification de ces sites à MBS,
actions de remédiation prise en charge par le soumissionnaire (action de suppression de site, déclaration administrative,
etc..)

Dispositif de détection, notification et correction des fuites de données

Montpellier Business School souhaite disposer de services de détection, réaction et correction relatifs aux incidents de
type « fuite de données ».
Le soumissionnaire détaillera les mesures qu’il met en œuvre afin de réduire les risques liés à la fuite de données
impactant Montpellier Business School.

Consultation n°: 160123 Page 9 sur 12

Concernant les mesures correctives, le soumissionnaire précisera, en particulier, la méthodologie et les engagements en
matière de suppression des données ayant fuité.
Une liste des ressources internet que le soumissionnaire surveille doit impérativement être fournie lors de la réponse à
cet appel d’offre.
A minima, Montpellier Business School souhaite une surveillance des catégories suivantes :
✓ Moteurs de recherche (Google Dorks)
✓ Web public (OSINT)
✓ Forums de discussion
✓ Réseaux sociaux (Twitter, Instagram, Facebook, etc.)
✓ Sites de partages de fichiers (Google Drive, DropBox, WeTransfer, etc.)
✓ Deep/Dark web
✓ Nouvelles technologiques montantes : Discord, Twitch, TikTok, etc.

Si une fuite doit impliquer un mot de passe en clair ou dont le hash est facilement réversible car dans des dictionnaires
publics, le soumissionnaire doit donner à minima un indice (premières et dernières lettres par exemple) sur ce mot de
passe afin que Montpellier Business School puisse accélérer le plan de remédiation vis-à-vis des comptes fuités. Un
hash seul n’est pas suffisant.
Le soumissionnaire doit fournir, dans la réponse au présent marché, la liste exhaustive des contrôles qu’il effectue en
vue de détecter les fuites de données ainsi que les délais de notification sur lesquels il s’engage.
A minima, Montpellier souhaite la détection et suppression des données ayant fuité sur les périmètres suivants :

✓ Bases de données
✓ Mots de passe de collaborateurs ou étudiants
✓ Fichiers faisant mention de données sensibles concernant MBS : contrats, documents comptables, financiers,
commerciaux, rapports de stage, sujet d’examen avant leur parution
✓ Codes sources

Le soumissionnaire sera force de proposition pour identifier, selon la méthode, les éléments minimaux à fournir par
MBS pour disposer d’une détection de fuite de données pertinentes – exemple : Nombre de mots clés optimal à fournir
par MBS pour effectuer la surveillance si la méthode repose sur la recherche de mots clés. Le soumissionnaire précisera
les conditions tarifaires d’ajout, suppression, modification de mots clés, le cas échéant.

Consultation n°: 160123 Page 10 sur 12

Surveillance des modifications suspectes de sites web
Montpellier Business School souhaite disposer d’un service lui permettant de détecter toute atteinte directe à son image.
Est considérée comme une atteinte directe toute action visant à altérer frauduleusement le contenu des sites web dont
Montpellier Business School est propriétaire.
Le soumissionnaire devra proposer un service permettant de :
✓ Détecter toute modification frauduleuse du contenu des sites web dont Montpellier Business School a la
responsabilité
✓ Alerter sous une heure maximum Montpellier Business School d’une telle action.

Montpellier Business School prend ensuite à sa charge la gestion de crise pour corriger les modifications frauduleuses.
Surveillance de la surface d’exposition du SI MBS
MBS souhaite disposer d’un service de :
✓ Détection des nouvelles ressources exposées en adressage public par son SI
✓ Notification des nouvelles ressources exposées en adressage public – par mail & SMS, sous un délai
rapide (1 heure)
✓ Détection et notifications d’erreurs de configurations (fichiers indument exposés, interfaces de
management mal configurées et publiquement accessibles…)

Le soumissionnaire précisera la méthode de détection ainsi que les délais de notification après détection sur lequel il
s’engage.
Le soumissionnaire proposera, en option, un service permettant d’accompagner Montpellier Business School dans
l'analyse d'un système informatique après incident (analyse forensique).
Ce service optionnel portera principalement sur les analyses forensiques consécutives à un défacement de site web.
Toutefois, le soumissionnaire pourra également proposer un service d’analyse forensique applicable à l’ensemble des
incidents impactant Montpellier Business School.

Consultation n°: 160123 Page 11 sur 12

Niveaux de services attendus
Le soumissionnaire fournira, dans son offre tarifaire, les couts relatifs à une surveillance et à une notification des
incidents et des vulnérabilités critiques suivant les 3 niveaux possibles suivants :
1- Heures ouvrées semaine – lundi à vendredi (8h – 18h)
2- Heures ouvrées semaine et week-end – lundi à dimanche (8h – 18h)
3- 24x7

Par ailleurs, le soumissionnaire précisera les délais de notification sur lesquels il s’engage après détection des incidents.
Suivi du service
Montpellier Business School souhaite disposer d’un service de suivi consolidé de l’ensemble des services rendus par le
soumissionnaire.
A cet effet, le soumissionnaire proposera des rapports de synthèse mensuel et cumulé sur une durée de 3 ans.
Le soumissionnaire devra impérativement fournir un exemple anonymisé de tableau de bord.
Le soumissionnaire indiquera les modalités d’évolution de ce tableau de bord dans le cas où Montpellier Business
School souhaiterait intégrer de nouveaux indicateurs.
Le soumissionnaire doit prévoir une réunion semestrielle pour suivre le service qu’il fournit.
Intégration des services
Montpellier business School souhaite connaitre la démarche, l’organisation et le planning proposés par le
soumissionnaire pour procéder au déploiement des services demandés.
Les éléments de planning seront fournis ultérieurement.
Le soumissionnaire devra préciser, entre autres, les interactions nécessaires avec le client ainsi que les informations
complémentaires qui devront être collectées pour procéder au déploiement du service.

Consultation n°: 160123 Page 12 sur 12