Request For Information

Fournisseurs de services cloud

souverain Suisse  

02 juin 2023
Sommaire

1. INTRODUCTION...................................................................................................3
A. PLANNING.......................................................................................................................... 3
B. CONTACTS.......................................................................................................................... 3
2. PRÉSENTATION DU CABINET WAVESTONE..............................................4
3. OBJECTIFS DU RFI...............................................................................................4
4. EXIGENCES ATTENDUES...................................................................................5
A. PERFORMANCE:................................................................................................................ 5
B. SÉ CURITÉ ........................................................................................................................... 6

2
1. Introduction
Ce document couvre une demande d’informations. 

Vous trouverez les dates importantes, le livrable à fournir et les informations

permettant de répondre le plus précisément possible à notre demande. 

A. Planning

Cette demande d'information a été publiée le 12 juin 2023. À compter de cette date,
les répondants ont jusqu'au 7 juillet pour soumettre leur réponse.

Les réponses seront envoyées par courrier électronique exclusivement aux contacts
de Wavestone mentionnés dans la section B. Toute réponse transmise après la date
limite ne sera pas prise en considération.

Pendant cette période, les répondants pourront poser des questions sur le RFI à
partir du 23 juin 2023. Afin de faciliter les échanges durant la phase d'étude des
réponses, il est demandé aux répondants d'envoyer leurs questions strictement par
email aux contacts de Wavestone.

Ci-dessous l'agenda mettant en évidence les étapes du processus :

Jalons Date de début

Envoi du RFI 12.06.2023

23.06.2023
Réception des questions sur le RFI
30.06.2023
Envoi des réponses aux questions
Soumission du RFI 07.07.2023

B. Contacts

Nom/Prénom Fonction Adresse Email

BOUZID Amine Consultant amine.bouzid@wavestone.com

MARTIN Yoan Consultant yoan.martin @wavestone.com

3
2. Présentation du cabinet Wavestone

Wavestone est un cabinet de conseil pure player qui accompagne les grandes
entreprises et institutions publiques dans leurs transformations majeures. Le cabinet
répond aux enjeux de l'intensification de la concurrence, de l'accélération de la
transition numérique et de l'urgence environnementale. Wavestone possède des
compétences verticales qui couvrent la chaîne de valeur des principaux secteurs
d'activité tels que l'énergie, la fabrication, le luxe et les institutions publiques. Ces
compétences reposent sur une connaissance approfondie des métiers et des
processus clés de ses clients et sont soutenues par des expertises pointues dans des
domaines tels que l'architecture d'entreprise, la gestion de données, l'Internet des
objets, la chaîne d'approvisionnement, l'expérience client et le développement
durable. Les équipes de Wavestone sont également reconnues pour leur expertise en
technologies numériques, systèmes d'information et cybersécurité.

3. Objectifs du RFI
Wavestone souhaite consulter le marché de manière ouverte, ce RFI ne constitue en
rien un engagement précontractuel, et ne donnera pas forcément lieu à une
consultation ultérieure. 

L’adoption massive du cloud par les entreprises s’accompagne inévitablement d’un

changement de paradigme dans l’approche de la sécurité. De nouveaux règlements,
standards et exigences de conformité en matière de sécurité s’imposent et s’avèrent
être l’un des inhibiteurs principaux de l’adoption du cloud pour les entreprises.
L’un des enjeux majeurs du cloud en matière de sécurité concerne la notion de
territorialité des données. Pour les services financiers (banques et assurances), la
santé et le secteur publique, maitriser ce facteur permet de mitiger les risques de
gouvernance et conformité, mais également de confidentialité des données.
Les objectifs de cette RFI sont multiples :
 Présenter à nos clients des candidats potentiels répondant aux exigences de
ces secteurs en matière de territorialité.
 Structurer et fiabiliser l'information afin de savoir quel(s) fournisseur(s) de
service est (sont) le(s) plus susceptible(s) de répondre aux exigences
commerciales et techniques de nos clients.
 Consolider la conviction du cabinet sur les acteurs du marché suisse en
matière de cloud et de sécurité cloud.

4
 4. Exigences attendues
A. Performance:

Étude de la clientèle

N° Question Réponse

Pouvez-vous nous présenter

EC votre catalogue de service ?
1 Quelles fonctionnalités proposez-
vous à vos clients ?

Quel type de clients utilisent

principalement vos services
EC
(petites, moyennes ou grandes
2
entreprises, organisations
gouvernementales, etc.) ?

Quels sont les secteurs d'activité

EC les plus représentés parmi vos
3 clients ?

Avez-vous des clients dans des

secteurs soumis à des exigences
EC
réglementaires particulières
4
(santé, finance, etc.) ?

Performance et qualité

N° Question Réponse

PQ1 Comment mesurez-vous la

performance de vos services ?
- Débit
- Évolutivité (la capacité
d'augmenter ou de
diminuer rapidement les
ressources informatiques
en fonction des besoins).
- Latence
- Capacité de traitement
- Gestion de la qualité de
5
 service
- Coût
Disposez-vous de tableaux de
bord pour suivre les
performances en temps réel ?
Comment vous placez vous par
PQ2 rapport à la concurrence (AWS,
Azure, GCP, etc) en termes de
tarification et de coûts ?
Quels moyens sont mis en œuvre
afin d’assurer que vos services
PQ3 sont conformes aux normes de
performance et de qualité de
l'industrie ?

B. Sécurité

Gouvernance de la sécurité

N° Question Réponse

Listez les différentes normes et

GS1 réglementations de sécurité dont
vous garantissez la conformité

Quels moyens sont mis en œuvre

afin d’assurer que toutes les
GS2 normes de sécurité en vigueur sont
constamment respectées et
maintenues à jour ?

Comment votre entreprise garantit-

elle la portabilité des données des
GS3 clients dans le cas où ils décident
de migrer vers un autre fournisseur
de services cloud ?

Gestion des accés

N° Question Réponse

GA1 Avec quelle(s) méthode(s) et

standard(s) d’authentification
6
 êtes-vous compatibles ?

Avec quelle(s) standard(s) de

GA2 fédération d’identité êtes-vous
compatibles ?

Quels outils mettez-vous à

disposition de vos clients pour leur
GA3
permettre de gérer les accès à
leur environnement ?

Quelles mesures de sécurité

mettez-vous en œuvre pour
GA4 protéger les identifiants et les
données d'identification des
utilisateurs ?

Disponibilité et résilience

N° Question Réponse

Avez-vous des accords de

niveau de service (SLA) pour
DR1
garantir la disponibilité des
services ? Lesquels ?

Disposez-vous de mécanismes
de redondance pour garantir
une haute disponibilité de vos
services ? Si oui, pouvez-vous
décrire ces mécanismes
DR2
exhaustivement ? Si non,
quelles sont les mesures de
sécurité prises pour assurer la
continuité de service en cas
d’indisponibilité ?

Confidentialité des données

N° Question Réponse

CD1 Comment protégez-vous la

confidentialité des données des
clients sur votre plateforme de
7
 cloud souverain ? (Attaquant,
administrateur du fournisseur de
service, état ou instance
étatique)

Quelles sont vos politiques et

procédures pour le chiffrement
CD2
des données en amont du cloud,
en transit et au repos ?

Quel(s) mécanisme(s) de
CD3 gestion des clés implémentez-
vous ?

Proposez-vous des
CD4 fonctionnalités de DLP (Data
Loss Prevention) ?

Durcissement

N° Question Réponse

Pouvez-vous décrire en détail

votre processus de gestion des
mises à jour de sécurité pour
DT1
vous assurer que votre
infrastructure reste à jour et
sécurisée en permanence ?

Avez-vous un processus établi

DT2 pour la détection, l’évaluation et
la correction des vulnérabilités ?

Comment informez-vous vos

clients des éventuelles
DT3
vulnérabilités ou des incidents
de sécurité ?

Monitoring sécurité

N° Question Réponse

MS1 Quelles fonctionnalités de

détection d’incidents et de

8
 remédiation proposez-vous ?
MS2 Quels types de logs et d’alertes
sont accessibles par vos clients ?
Proposez-vous des connecteurs
MS3 avec les principaux SIEM du
marché ?