REPUBLIQUE DE GUINEE

Travail – Justice– Solidarité

RECRUTEMENT D’UN CABINET POUR LA MISE EN PLACE D’UN SYSTEME DE

MANAGEMENT DE LA SECURITE DE L’INFORMATION (SMSI).

Siège : Centre Directionnel de Koloma, Immeuble ARPT – Commune de Ratoma

BP : 1500 – Conakry, République de Guinée. Lois : L/2015/018/AN du 13 août 2015 et L/2016/036/AN du 26 juillet 2016
Site web : www.arpt.gov.gn – Téléphone. (00224) 669 221 000 / Courriel : contact@arpt.gov.gn
CONTEXTE ET JUSTIFICATION ................................................................................... 3
Section I. INSTRUCTIONS AUX SOUMISSIONNAIRES ................................................. 3
I. OBJECTIFS ................................................................................................................... 3

II. RESULTATS ATTENDUS ............................................................................................ 4

III. LIVRABLES .................................................................................................................. 5

IV. DOCUMENTS COMPOSANT L’OFFRE ........................................................................ 6

1. Dossier administratif ................................................................................................. 7

2. Offre technique ........................................................................................................... 7
3. Offre financière ........................................................................................................... 8

V. DEPOT ET VALIDITE DE L’OFFRE............................................................................. 8

VI. OUVERTURE DES OFFRES ......................................................................................... 9

VII. EVALUATION DES OFFRES ........................................................................................ 9

VIII. INFORMATION............................................................................................................ 9

Section II. ANNEXE ................................................................................................ 10

ANNEXE 1 – LISTE DES POLITIQUES DE SECURITE DE L’INFORMATION .................... 10
ANNEXE 2 - DECLARATION SUR L’HONNEUR ............................................................. 11

Siège : Centre Directionnel de Koloma, Immeuble ARPT – Commune de Ratoma

BP : 1500 – Conakry, République de Guinée. Lois : L/2015/018/AN du 13 août 2015 et L/2016/036/AN du 26 juillet 2016
Site web : www.arpt.gov.gn – Téléphone. (00224) 669 221 000 / Courriel : contact@arpt.gov.gn
CONTEXTE ET JUSTIFICATION
L’Autorité de Régulation des Postes et Télécommunications en abrégé « ARPT » est une Autorité
Administrative Indépendante dotée de la Personnalité Juridique et de l’Autonomie Administrative et
Financière. Son statut est consacré par la Loi L/2015/018/AN du 13 août 2015 relative aux
Télécommunications et aux Technologies de l’Information en République de Guinée.

En raison de l'évolution rapide des technologies de l'information et de la communication (TIC) et des

menaces de sécurité associées, il est crucial pour l'ARPT de garantir que son système d'information (SI) est
sécurisé et efficace. Dans ce contexte, l'ARPT souhaite méthodiquement réaliser un Audit global
(organisationnel et technique selon la norme ISO 27002) de la sécurité de son système d’information et
élaborer la Politique de Sécurité de son Système d'Information (PSSI) afin de se préparer à la
certification ISO 27001.

Section I. INSTRUCTIONS AUX SOUMISSIONNAIRES

Le présent avis d’appel d’offres sera publié sur le site officiel de l’Autorité de Régulation des Postes et
Télécommunications (https://www.arpt.gov.gn/appels-doffres) et a pour objectif de définir les critères à
remplir pour l’attribution de ce mandat.

La participation à cet appel d'offres est ouverte à toute entité ou cabinet spécialisé dans la mise en place de
systèmes de management de système d’information.

Les soumissionnaires intéressés peuvent obtenir des informations à l’adresse suivante : Direction
Générale de l’Autorité de Régulation des Postes et Télécommunications Immeuble ARPT – Centre
Directionnel de Koloma - Commune de Ratoma – BP : 1500, Conakry-République de Guinée ou à
l’adresse e-mail suivante : contact@arpt.gov.gn et prendre connaissance des documents d’Appel d’offres
sur le site www.arpt.gov.gn.

Le soumissionnaire doit présenter son offre d'une manière précise et doit répondre point par point aux
exigences du dossier d’appel d’offres.

I. OBJECTIFS

1. Objectif global
L’objectif principal de cette mission est de doter l’ARPT d’un système de management de la sécurité de
l’information conformes aux normes de sécurité en vigueur, d’évaluer et corriger les vulnérabilités du
système d’information, gérer les risques correctement et de préparer sa certification ISO 27001 dans des
délais raisonnables tout en outillant les collaborateurs de l’ARPT pour leur permettre de mener de manière
autonome des audits à blanc.

2. Objectifs spécifiques
La mission se décomposera en plusieurs étapes :
• Réaliser un audit organisationnel et technique combinant à la fois des techniques d’entretien,
d’analyse de documentation, de tests d’intrusion et d’analyses de vulnérabilité par des approches
manuelles et automatisées ;
• Elaborer une Politique de Sécurité des Systèmes d’Information ;
• Mettre en place un Système de Management de la Sécurité de l’Information (SMSI).

Siège : Centre Directionnel de Koloma, Immeuble ARPT – Commune de Ratoma

BP : 1500 – Conakry, République de Guinée. Lois : L/2015/018/AN du 13 août 2015 et L/2016/036/AN du 26 juillet 2016
Site web : www.arpt.gov.gn – Téléphone. (00224) 669 221 000 / Courriel : contact@arpt.gov.gn
 II. RESULTATS ATTENDUS

1. Diagnostic/Audit Global – Volet 1

Pour mener à bien cette mission, le prestataire devra analyser le système d’information dans ses différentes
composantes, notamment l'infrastructure physique, l'infrastructure logique, la communication, la sécurité
et la conformité réglementaire. Cet audit couvrira tous les systèmes d’information de l’ARPT (réseaux,
sécurité, base de données, applications, continuité d’activité, conformité, services…).

a. Infrastructure physique
• Analyser l'infrastructure physique et les liens de raccordement entre ses composantes ;
• Connaitre l’état réel et la capacité d’évolution des systèmes et matériels informatiques (desktop,
laptop, imprimantes,) y compris les serveurs et les équipements réseaux ;
• Faire l'inventaire des composants réseau (routeurs, switch, firewall...) et des liens de raccordement
(câblage existant).

b. Infrastructure logique
• Vérifier la configuration des postes et serveurs en vue de détecter d’éventuelles brèches
d’intrusion ;
• Diagnostiquer la configuration réseau ;
• Tester la vulnérabilité des applications ;
• Vérifier les mécanismes d’authentification et d’autorisation ;
• Effectuer des tests d’intrusions internes ou externes afin de détecter d’éventuelles vulnérabilités
des systèmes informatiques ;
• Réaliser un inventaire des actifs de l’ARPT, ceci devra couvrir :
o Les données,
o Les équipements,
o Les comptes utilisateurs,
o Les applications,
o Etc.
• Former une équipe de (5) employés de l’ARPT aux méthodes :
o Lead Auditor
o Lead Implementer

c. Communication
• Evaluer la cohérence et la fiabilité du réseau local ;
• Evaluer le système de messagerie et ses mesures de sécurité (accès aux mails, filtres, spams,
reporting de détection…) ;
• Evaluer les connexions Internet et les points d’accès wifi ;
• Analyser la fluidité du trafic et l'accès réseau aux heures de pointe.

d. Système de sécurité
• Evaluer les solutions de sauvegarde ;
• Evaluer les dispositifs de sécurité du matériel, des données et du réseau (la protection antivirale,
pare-feu, filtrage internet,...), et des contrôles d’accès.

Siège : Centre Directionnel de Koloma, Immeuble ARPT – Commune de Ratoma

BP : 1500 – Conakry, République de Guinée. Lois : L/2015/018/AN du 13 août 2015 et L/2016/036/AN du 26 juillet 2016
Site web : www.arpt.gov.gn – Téléphone. (00224) 669 221 000 / Courriel : contact@arpt.gov.gn
 2. Elaboration de la Politique de Sécurité des Systèmes d’Information (PSSI) –
Volet 2
Cette mission consistera à :
• Élaborer la PSSI et les procédures associées pour l’Institution ;
• Formaliser une stratégie de cybersécurité, des objectifs de sécurité, des services de sécurité, des
rôles et responsabilités, une organisation cible et des besoins en technologies à déployer ;
• Mettre en place un processus d'amélioration continu dans la gestion de la sécurité conformément
à la norme ISO 27001 ;
• Élaborer un programme de conduite du changement associé à une stratégie de sensibilisation ;
• Développer un programme continu pour maintenir la sensibilisation de tous les employés aux
risques et aux bonnes pratiques (phishing, etc.) ;
• Mettre en place une base de données de gestion de configuration (CMDB) ;
• Formaliser une cartographie des applications.

3. Mise en place du Système de Management des Systèmes d’Information (SMSI)

– Volet 3
La mise en place du SMSI selon la norme ISO 27001 devra inclure :
• Les mesures des écarts,
• L’analyse des risques,
• L’assistance à l’application des politiques et des procédures,
• L’élaboration de la Déclaration d’Applicabilité (DDA)
• La mise en place d’indicateurs de performances sous forme de tableau de bord
• L’accompagnement de l’Institution dans son processus de certification ISO 27001
• L’audit à blanc du SMSI
• La mise en place d'un tableau de bord de sécurité (KPI) et définir les différents comités SSI à mettre
en place
• La mise à disposition de templates de revue de direction

III. LIVRABLES
1. Rapport d’Audit détaillé – Volet 1
A l’issue de l’audit global, le cabinet devra fournir à l’ARPT un rapport détaillé (contenant les problèmes
détectés, les observations et analyses effectuées) accompagné des recommandations et des projets de
renforcement de la sécurité de l’information de l’ARPT tant sur les aspects techniques qu’organisationnels
tels que et de manière non exhaustive :
• L'inventaire exhaustif et documenté du parc ;
• La schématisation du réseau informatique ;
• Les points forts et faiblesses relevées sur la sécurité ;
• L’analyse de la normalité des salles serveurs ;
• L'analyse de l'adéquation du système informatique par rapport à l’organisation de l'Institution ;
• Le catégorisation des risques par occurrence et impact ;
• Les mesures correctives ;
• Les recommandations.

Les recommandations devront garantir à l’ARPT lorsqu’elles sont mises en œuvre, que son système
d’information respecte les principes suivants :

Siège : Centre Directionnel de Koloma, Immeuble ARPT – Commune de Ratoma

BP : 1500 – Conakry, République de Guinée. Lois : L/2015/018/AN du 13 août 2015 et L/2016/036/AN du 26 juillet 2016
Site web : www.arpt.gov.gn – Téléphone. (00224) 669 221 000 / Courriel : contact@arpt.gov.gn
 • L’intégrité : garantir que les données ne sont pas susceptibles d’altération (fortuite ou
intentionnelle) ;
• La confidentialité : assurer que seuls les utilisateurs autorisés ont accès aux ressources
échangées ;
• La disponibilité : garantir la disponibilité des données et la facilité d’accès aux services et
ressources ;
• La traçabilité : garantir la traçabilité des activités ou transactions dans le système ;
• L’authentification : assurer l’identité de chaque utilisateur, afin de permettre l’accès aux
ressources uniquement par les personnes autorisées.

A cette fin, les recommandations devront inclure :

• Les actions détaillées à mettre en œuvre dans l'immédiat, pour pallier les défaillances les plus
graves ;
• La proposition d'élaboration d’une politique de sécurité et procédures à instaurer ;
• Les actions à mettre en œuvre sur le moyen terme sur les plans :
o Organisationnel : structures et postes à créer, opérations de sensibilisation et de formation,
procédures de sécurité à instaurer
o Technique : outils et mécanismes de sécurité, amélioration des dispositifs de sécurité
existants, aménagement des salles serveurs selon les normes sécuritaires appropriées
• La proposition d'un plan d'action avec un planning des mesures de sécurité à entreprendre ;
• Une estimation des moyens humains et financiers à prévoir pour réaliser ces actions.

2. Une Politique de Sécurité des Systèmes d’Information (PSSI) effective – Volet 2

• Une PSSI, des politiques générales (annexe 1) et des procédures de sécurité pour l'Institution ;
• Une stratégie de cybersécurité incluant des objectifs de sécurité, des services de sécurité, des rôles
et responsabilités, une organisation cible et des besoins en technologies à déployer ;
• Un processus d'amélioration continu dans la gestion de la sécurité conformément à la norme ISO
27001 ;
• Un programme continu pour maintenir la sensibilisation de tous les employés aux risques et aux
bonnes pratiques (campagnes de phishing, création de contenu de sensibilisation…) ;
• Un programme de conduite du changement et une stratégie de sensibilisation durable ;
• Une cartographie des risques et son plan des mesures correctives ;
• Une base de données de gestion de configuration (CMDB) ;
• Un Tableau de bord des indicateurs de performances.

3. Un Système de Management de Sécurité de l’Information (SMSI) fonctionnel –

Volet 3
• Un Système de Management de Sécurité de l’Information (SMSI) certifiable en l’état ou après
correction des écarts identifiés à l’issue de l’audit blanc réalisé.

IV. DOCUMENTS COMPOSANT L’OFFRE

Tout soumissionnaire est tenu de présenter un dossier de soumission comportant un dossier administratif,
une offre technique et une offre financière.

Siège : Centre Directionnel de Koloma, Immeuble ARPT – Commune de Ratoma

BP : 1500 – Conakry, République de Guinée. Lois : L/2015/018/AN du 13 août 2015 et L/2016/036/AN du 26 juillet 2016
Site web : www.arpt.gov.gn – Téléphone. (00224) 669 221 000 / Courriel : contact@arpt.gov.gn
 1. Dossier administratif
Qui doit comprendre :
• Une (1) copie certifiée conforme à l’original de l’attestation d’immatriculation au Registre du
Commerce et du Crédit Mobilier ;
• Fournir une présentation succincte du cabinet comprenant : forme juridique, date de création,
composition de son personnel clé doté d’une expérience avérée dans les principaux domaines
d’activités (référence de marchés exécutés ou en cours d’exécution dans des Institutions) ;
• Au moins trois (3) attestations de bonne fin d’exécution des marchés similaires ;
• Les statuts de la société (avec date, signature et cachet de la société) ;
• L’attestation de situation fiscale valide à la date de dépôt des offres ;
• L’attestation de régularité sociale ;
• Une copie de la pièce d’identité ou du passeport en cours de validité du représentant légal du cabinet ;
• La déclaration sur l'honneur (annexe 2) sur papier en-tête du cabinet.

NB : Toutes les informations énumérées ci-dessus doivent être mises dans une enveloppe ou un
fichier (envoi électronique) portant la mention « Dossier Administratif ». Si la soumission est faite
par dépôt physique du pli, le soumissionnaire veillera à prévoir un (1) original et trois (3) copies
dans l’enveloppe intitulée « Dossier Administratif ». L’absence ou la non-validité d’un des éléments
de ce dossier peut être considérer comme un cas de non-conformité par la commission en charge
de l’évaluation des offres.

2. Offre technique
Qui doit comprendre :

• Une présentation du cabinet et de son expérience, en particulier avec les Institutions de

télécommunications ;
• Une note méthodologique détaillant la compréhension des termes de références et
permettant la réalisation des livrables attendus ;
• Au moins trois (3) lettres de référence techniques de clients (lettres de recommandation)
et/ou PV de réception d’ouvrages similaires réalisés
• La composition de l’équipe et les responsabilités de ses membres (la liste nominative des
Experts avec certifications et CV signés) ;
• Le personnel clé de la mission devra justifier des qualifications suivantes :
o Avoir une expérience confirmée d’au moins dix (10) ans en ingénierie
informatique, en sécurité et en audit des systèmes d’information informatique ;
o Justifier d’une bonne expérience et connaissance de l’environnement
télécommunications et TIC ;
o Maîtriser l’élaboration de politique de sécurité, la définition de procédures
informatiques ;
o Justifier d’une expérience significative dans le diagnostic et la sécurité des
systèmes informatiques.

NB : Toutes les informations énumérées ci-dessus doivent être mises dans une enveloppe
ou un fichier (envoi électronique) portant la mention « Offre Technique ». Si la soumission

Siège : Centre Directionnel de Koloma, Immeuble ARPT – Commune de Ratoma

BP : 1500 – Conakry, République de Guinée. Lois : L/2015/018/AN du 13 août 2015 et L/2016/036/AN du 26 juillet 2016
Site web : www.arpt.gov.gn – Téléphone. (00224) 669 221 000 / Courriel : contact@arpt.gov.gn
est faite par dépôt physique du pli, le soumissionnaire veillera à prévoir un (1) original et
trois (3) copies dans l’enveloppe intitulée « Offre Technique ».

3. Offre financière
L’offre financière, complète et dépourvue d’erreurs de calcul, doit être transmise Toutes Taxes
Comprises (TTC) et comprendre un état récapitulatif des coûts.

Les soumissionnaires feront ressortir dans leur proposition les détails et sous-détails des prix
proposés.

Tout soumissionnaire immatriculé en République de Guinée sera assujetti à une retenue de 10%
en cas de défaut de clé d’immatriculation fiscale (clé TVA) sur le montant total de la facture
définitive conformément aux articles 251 et 253 du Code Général des Impôts.

A part les droits d’enregistrement pour lesquels l’ARPT est dispensée en raison de son statut, le
marché est soumis aux impôts et autres taxes en vigueur en République de Guinée et sont à la
charge du prestataire.

NB : L’offre financière ci-dessus doit être mise dans une enveloppe ou un fichier (envoi
électronique) portant la mention « Offre Financière ». Si la soumission est faite par dépôt
physique du pli, le soumissionnaire veillera à prévoir un (1) original et trois (3) copies dans
l’enveloppe intitulée « Offre Financière ».

V. DEPOT ET VALIDITE DE L’OFFRE

Les offres devront être rédigées en langue française et transmises sous un (01) seul pli scellé,
déposé au plus tard le vendredi 14 avril 2023 à 16h30 GMT à l’adresse suivante :

Direction Générale de l’Autorité de Régulation des Postes et Télécommunications Immeuble

ARPT – Centre Directionnel de Koloma, Commune de Ratoma – BP : 1500, Conakry –
République de Guinée

L’enveloppe contenant les offres devra porter la mention suivante :

« Recrutement d’un cabinet pour la mise en place d’un système de management de la
sécurité de l’information (SMSI) – A n’ouvrir qu’en séance d’ouverture des plis ».

Dans le cas d’un envoi électronique à l’adresse générique ci-dessous, le soumissionnaire veillera à
envoyer, sous format compressé, les dossiers individuels avec mention de leur nom respectif
(administratif, technique et financier). L’adresse de transmission de cette version est la
suivante : dao3@arpt.gov.gn

Les offres qui ne parviendront pas à la date ci-dessus indiquée, quel que soit le support choisi,
seront rejetées et restituées en l’état aux soumissionnaires lors de la séance d’ouverture des plis.

Siège : Centre Directionnel de Koloma, Immeuble ARPT – Commune de Ratoma

BP : 1500 – Conakry, République de Guinée. Lois : L/2015/018/AN du 13 août 2015 et L/2016/036/AN du 26 juillet 2016
Site web : www.arpt.gov.gn – Téléphone. (00224) 669 221 000 / Courriel : contact@arpt.gov.gn
 VI. OUVERTURE DES OFFRES
Les offres seront ouvertes, en présence des soumissionnaires ou de leurs représentants mandatés
qui désirent participer à la séance, qui se tiendra le mercredi 19 avril 2023 à partir de 10h dans
la salle de réunion du 11ème étage de l’ARPT.
Les prestataires n’ayant pas pu assister ou se faire représenter à cette ouverture en séance
publique ne pourront pas exiger de l’ARPT de leur communiquer quelque information que ce soit.

VII. EVALUATION DES OFFRES

Les offres seront évaluées conformément aux dispositions des termes de références. Le marché
sera attribué au soumissionnaire répondant au mieux aux critères techniques et financiers,
et ayant fourni les documents administratifs en bonne et due forme.

VIII. INFORMATION
Le prestataire peut obtenir des éclaircissements sur la présente demande de proposition en
contactant l’ARPT par mail – infodao3@arpt.gov.gn – ou par écrit à l’adresse suivante :

Direction Générale de l’Autorité de Régulation des Postes et Télécommunications Immeuble

ARPT – Centre Directionnel de Koloma, Commune de Ratoma – BP : 1500, Conakry –
République de Guinée
L’ARPT peut, à tout moment, quinze (15) jours avant la date limite de dépôt des offres et pour
tout motif que ce soit, à son initiative ou en réponse à une demande d'éclaircissement formulée
par un soumissionnaire, modifier par voie rectificative cette date.
A l’issue du processus d’évaluation des offres, l’ARPT procèdera à l’envoi de courriers officiels et
individuels à chacun des soumissionnaires pour leur notifier les conclusions de l’appel d’offres.

Siège : Centre Directionnel de Koloma, Immeuble ARPT – Commune de Ratoma

BP : 1500 – Conakry, République de Guinée. Lois : L/2015/018/AN du 13 août 2015 et L/2016/036/AN du 26 juillet 2016
Site web : www.arpt.gov.gn – Téléphone. (00224) 669 221 000 / Courriel : contact@arpt.gov.gn
Section II. ANNEXE

ANNEXE 1 – LISTE DES POLITIQUES DE SECURITE DE L’INFORMATION

L’élaboration de la liste des documents de la politique générales de sécurité de l’information devra

inclure au minimum les éléments suivants :

o Politique de contrôle d’accès

o Politique de gestion des actifs
o Politique de conservation des données
o Politique de gestion des risques
o Politique de classification et de traitement des informations
o Politique de sensibilisation et de formation à la sécurité Informatique
o Politique d’utilisation acceptable des actifs
o Politique relative au travail mobile et au télétravail
o Politique de continuité des activités
o Politique de sauvegarde
o Politique relative aux logiciels malveillants et aux antivirus
o Politique de gestion des changements
o Politique de sécurité des fournisseurs tiers
o Politique d’amélioration continue
o Politique de journalisation et de surveillance
o Politique de gestion de la sécurité du réseau
o Politique de transfert d’informations
o Politique de développement sécurisé
o Politique de sécurité physique et environnementale
o Politique de gestion des clés cryptographiques
o Politique de contrôle cryptographique et de chiffrement
o Politique en matière de documents et d’enregistrements

Siège : Centre Directionnel de Koloma, Immeuble ARPT – Commune de Ratoma

BP : 1500 – Conakry, République de Guinée. Lois : L/2015/018/AN du 13 août 2015 et L/2016/036/AN du 26 juillet 2016
Site web : www.arpt.gov.gn – Téléphone. (00224) 669 221 000 / Courriel : contact@arpt.gov.gn
ANNEXE 2 - DECLARATION SUR L’HONNEUR

A l'attention de :

MONSIEUR LE DIRECTEUR GENERAL DE L’AUTORITE DE REGULATION DES POSTES ET

TELECOMMUNICATIONS.

Centre Directionnel de Koloma,

Commune de Ratoma – BP : 1500
Conakry – République de Guinée
Email : contact@arpt.gov.gn

Objet : Appel à candidature pour le recrutement d’un cabinet pour la mise en place d’un système
de management de la sécurité de l’information (SMSI)

Je soussigné (e), Monsieur ou Madame ...........................................................................soumet par la

présente, une offre relative au recrutement d’un cabinet pour la mise en place d’un système de
management de sécurité de l’information pour l’Autorité de Régulation des Postes et
Télécommunications située à l’immeuble ARPT sise au centre directionnel de Koloma.

Je déclare par la présente que toutes les informations et affirmations faites dans cette proposition
sont authentiques et accepte que toute déclaration erronée puisse conduire au rejet de ma
candidature.

Ma proposition engage ma responsabilité et, sous réserve des modifications résultant des
négociations du marché, je m'engage si ma proposition est retenue, à commencer la prestation, au
plus tard à la date convenue lors desdites négociations.

SIGNATURE ET CACHET
DU REPRESENTANT LEGAL DU CABINET

Siège : Centre Directionnel de Koloma, Immeuble ARPT – Commune de Ratoma

BP : 1500 – Conakry, République de Guinée. Lois : L/2015/018/AN du 13 août 2015 et L/2016/036/AN du 26 juillet 2016
Site web : www.arpt.gov.gn – Téléphone. (00224) 669 221 000 / Courriel : contact@arpt.gov.gn