Questionnaire éditeurs & Matrice des exigences

Ce présent questionnaire doit être retourné, dûment complété, au plus tard le

10/09/2021
Version 1.0 • du 01/07/2021
Type de diffusion : accès restreint

Mode d'utilisation des questionnaires du chapitre 2

L'éditeur répond à chacune des questions figurant dans ces onglets,

la réponse se fait sur la base de quatre critères :

- Totalement supporté (la fonctionnalité est intrinsèque au logiciel, sans aucun paramétrage)
- Partiellement supporté (la fonctionnalité existe en standard, mais nécessite une adaptation en
spécifique)
- Non supporté (la fonctionnalité n'existe pas en standard, et nécessite un développement
spécifique)
- Non applicable (la fonctionnalité ne peut pas être mise en place dans l'application et mettrait en
jeu un autre droit de licence)

Il est recommandé de porter toute explication jugée utile dans la colonne "Commentaires".

L'éditeur doit répondre à toutes les questions avec toutes les précisions qui lui paraissent utiles et
qui permettront de faire l'analyse d'écart entre sa solution et les préconisations /normes en vigueur
 Exigences générales

Exigence Service

1 Management des risques

2 Management des risques

3 Management des risques

4 Management des risques

5 Management des risques

6 Management des risques

7 Management des risques

8 Management des risques

9 Management des risques

10 Contrôle interne

11 Contrôle interne

12 Contrôle interne

13 Contrôle interne

14 Contrôle interne
15 Contrôle interne
16 Contrôle interne

17 Contrôle interne

18 Contrôle interne

19 Contrôle interne

21 Gestion des incidents

23 Gestion des incidents

24 Gestion des incidents
25 Gestion des incidents

26 Audit Interne

27 Audit Interne

28 Audit Interne
29 Audit Interne

30 Audit Interne

31 Audit Interne

32 Gestion du workflow

33 Gestion du workflow

34 Gestion du workflow

35 Gestion du workflow

36 Gestion du workflow

37 Gestion du workflow

Mise en œuvre des

38
recommandations
Mise en œuvre des
39
recommandations
Mise en œuvre des
40
recommandations
Mise en œuvre des
41
recommandations
Mise en œuvre des
42
recommandations
Mise en œuvre des
43
recommandations
44 Gestion des alertes

45 Gestion des alertes

46 Interfaçage avec l'existant

47 Interfaçage avec l'existant

 Gestion de l'organisation et
48
des entités
Gestion de l'organisation et
49
des entités
Profilage et gestion des
50
habilitations
Profilage et gestion des
51
habilitations

52 Gestion du reporting

53 Gestion du reporting

54 Gestion des reporting

55 Gestion du reporting

56 Gestion du reporting

57 Gestion des tableaux de bord

58 Gestion des tableaux de bord

59 Gestion des tableaux de bord

60 Gestion des listes et tableaux

61 Gestion des listes et tableaux

62 Gestion des listes et tableaux

63 Gestion des listes et tableaux

64 Gestion des listes et tableaux

65 Gestion des listes et tableaux

66 Gestion des listes et tableaux

67 Gestion des documents

68 Gestion des documents

69
Gestion des indicateurs
70
Gestion des indicateurs

71
Gestion des indicateurs
72 Gestion des indicateurs

73 Gestion des fiches et

formulaires

74 Gestion des fiches et

formulaires
Exigences générales

Critère d'évaluation
NOTE MAX
Administrer la méthodologie d'élaboration de la cartographie des
risques dans l’outil

Permettre aux collaborateurs d’évaluer directement et simplement

dans l’outil les risques, en saisissant les cotations directement dans
l'application via des echelles paramétrables

Disposer de matrices de criticité pour afficher les cartographies de

risques
Calcul de la maturité des actions de maîtrise des risques : mise en
place des règles de gestion permettant le calcul automatisé de la
robustesse du dispositif de maitrise des risques
Suivi des évolutions des cartographies d'une campagne annuelle à
une autre
Permettre une logique de consolidation des risques avec des règles
de gestion précises
Possibilité d'avoir une matrice d’évaluation de la stratégie de
gestion d’un risque
Lien incident : faire apparaître les incidents liés à chaque risque
Lien contrôle : faire apparaître les contrôles associés à chaque
risque

Administration des données des plans de contrôle dans l'outil

creation, supervison et évaluation des controles

Possibilité d'importer les plans de contrôle dans l'outil d'une année

sur l'autre
Faire ressortir l'historique du contrôle et les documents y afférents
Permettre aux contrôleurs de rédiger directement dans l'outil leurs
conclusions
Avoir un workflow de validation des controles à 3 niveaux
Conservation de l'ensemble des pistes d'audit et de tous les
contrôles réalisés
Disposer d'une gestion de droits suffisamment fine pour pouvoir
attribuer les contrôles aux contrôleurs et distinguer les niveaux de
hiérarchie
Gerer , animer et relancer es questionnaires d'auto-évaluation et
de contrôle
lien risque: faire apparaître les risques liés à chaque contrôle
Interface complète avec le logiciel de gestion des incidents
opérationnels
Recenser l’ensemble des incidents opértionnels dans une fiche
synthétique
Prise en compte des analyses post incident et recommandations
lien risque: faire apparaître les risques liés à chaque incident
Planifier des plans d’audits chaque année, dans le cadre d’un plan
d’audit pluriannuel. Chaque plan d’audit est constitué de missions
elles-mêmes rattachées à une ou des entités auditables
Les missions ont un niveau de priorité, elles sont aussi quantifiées
en jrs/h et intègrent des dates de début et de fin permettant au
management de piloter l’activité des auditeurs
Permet de gérer les constats et les recommandations d'audit
Créer à partir des missions d’audits, différents types d’actions
comme des constats, des recommandations et des conseils
Les auditeurs saisissent leurs temps consommés sur leurs missions
ainsi que sur d’autres activités (formation, congé, activités
transversales …)
Le plan d’audit annuel s’inscrit dans un cycle d’audit pluriannuel. Il
est établi sur la base d’une évaluation du niveau de risque de
chaque objet auditable dans le périmètre coonccernée. La
fréquence des missions sur un objet résulte du niveau de criticité.
Ce plan d'audit est complété par des missions transverses
réalisées à l’échelle de l'institution
Il devra être possible de limiter l’accès à certains champs grâce à
une gestion des autorisations
Le logiciel devra offrir la possibilité de figer les commentaires une
fois soumis

Disposer de workflows natifs se basant sur les droits/accès des

utilisateurs.

Ces workflows de premier niveau peuvent être complexifiés en

fonction de nos besoins.

Les workflows se matérialisent par un mail en push automatique en

fonction de nos besoins reprenant les éléments constitutifs de
l’action générateur.

Des workflows permettant le partage de documents avec plusieurs

métiers avec suivi des modifications en temps réel et étapes de
validation
Le workflow des recommandations doit inclure toutes nos étapes
et accessibles à tous
Creation, enregistrement et validation de plans d'actions
Affectation des recommandations et plan d'actions aux acteurs
concenés
Alertes et notifications des recommandations à mettre en œuvre
reporting regulier et detaillé sur les niveaux de mise en œuvre des
recommandations
possiblité d'avoir le niveau d'avancement des plans d'actions
Possibilité de programmer des envois d’alertes pour assurer le
suivi regulier des taches à faire
Possibilité d’envoyer des alertes aux controleurs lorsque un champ
est modifié
Capacité à échanger des données avec la messagerie interne et
le calendrier , compatibilité avec outlook
Possibilté de s'interfacer avec les outils exixtants
Gestion des structures hiérarchiques et transverses et une
navigation facile entre différents objets
Possibilité de créer et modifier les attributs dans
l’organisation

Profilage en foncton des droits( identificateurs, valideurs,,,,)/

Facilité d'administration de l'outil

Des reporting accessibles directement dans les différents modules

de l’application et dans des raccourcis

Des reporting modifiables pour nos besoins

Des reporting s exportables sous différents formats
Des rapports dynamiques et sur mesure
Les utilisateurs disposent également de modèles de données pour
des reporting avancés
Des dashboards par utilisateur qui synthétisent les
actions à mener

Data insights illimité, multiples représentations

des données,
Reporting sur-mesure, Technique de mash-up: combinaison
différentes sources de données
Créer et Supprimer une ligne de donnée ou d’information

Exporter la liste (avec les filtres) sous Excel et filtrer les colonnes
sur une ou plusieurs données,

Possibilité d'afficher/masquer des colonnes dans la liste, d’exporter

en PDF et d'afficher uniquement les lignes sélectionnées"

Affichage du nombre d’éléments total,

et du nombre d’éléments filtrés parmi le total
Recherche globale dans toutes les colonnes et surlignage des
termes trouvés

Possibilité de sélectionner plusieurs valeurs dans les filtres, et de tri

sur colonne
Possibilité de sélectionner plusieurs valeurs dans les filtres, et de tri
sur colonne
Ajout et affichage d'un ou plusieurs documents
Gestion du versionning de documents

Collecter différents type d’indicateurs, soit par saisie manuelle, soit

par import, soit par liaison automatique avec différentes sources
Au niveau des référentiels des risques et des contrôles, associer
des indicateurs
Au niveau des fiches risques et contrôles, l’information sur les
indicateurs est reprise
En fonction de seuils, des alertes sont envoyées
parmétrage, creation et mise à jour de fiches et formulaires risque
contrôle actions incidents recommandations ,audit
possibilité d'avoir une fiche synthétique et détaillée pour chaque
rubrique
Instructions pour les soumissionnaires
1- Fournissez des réponses à toutes les questions
2- Faites en sorte que vos réponses soient aussi précises que possible
3- Fournissez des descriptions et commentaires concis et précis
4- Fournissez des références précises aux documents de l'AO
(page/chapitre/paragraphe/ligne) dans votre réponse
5- Intégrez toute la documentation pertinente en annexe de votre réponse

Réponse
Niveau de support Commentaires
 Exigences générales

Exigence Thème

33 Reporting
34 Reporting
35 Reporting
36 Reporting

37 Gestion des droits

38 Data visualisation

39 Gestion des workflows

40 Gestion des documents
41 Pilotage et administration

42 User experience
Exigences générales Instructions pour les soumissionna
1- Fournissez des réponses à toutes les question
2- Faites en sorte que vos réponses soient aussi
3- Fournissez des descriptions et commentaires c
4- Fournissez des références précises aux docum
(page/chapitre/paragraphe/ligne) dans votre répon
5- Intégrez toute la documentation pertinente en a

Critère d'évaluation
Réponse
Niveau de support
Quels sont les outils de développement et versions utilisés ?
Import et Export de données (CSV, Excel, Word, …, préciser)
Génération de documents (Excel, Word, PDF…)
Outil de requêtage intégré, en liaison avec la gestion d'habilitations

Le système permet de ne voir QUE les infos utiles à l’utilisateur dans les
pages écrans (personnalisation des affichages ET des accès aux
données par type d’utilisateur en fonction de son profil, rôle et direction)

Permettre la production d'indicateurs dynamiques pour l'ensemble des

modules
La solution permettra de gérer des workflows pour des processus
métiers
La solution permettra l’intégration de documents
La solution doit fournir des outils de reporting et de pilotage avancé de
l’activité ainsi qu’une console permettant de réaliser le suivi des activités
La solution devra permettre une facilitation de paramétrage et de
simplification de saisie et présenter une ergonomie agréable et facilitant
la navigation des utilisateurs
s pour les soumissionnaires
es réponses à toutes les questions
te que vos réponses soient aussi précises que possible
es descriptions et commentaires concis et précis
es références précises aux documents de l'AO
paragraphe/ligne) dans votre réponse
e la documentation pertinente en annexe de votre réponse

se
Commentaires
 Exigences générales

Exigence Critère d'évaluation

43 La solution standard existe-t-elle en français ?

Possibilités de paramétrage/administration de l’interface utilisateur pour :
44
- l'ergonomie
45 - la charte graphique
46 - les menus
47 - les libellés de champs, titre d'onglet,… (adaptation au vocabulaire XXXX)
48 - les listes de valeurs
49 - caractère obligatoire de champs
50 - le masquage des champs
- le colorcoding des champs pré-chargés par recopie ou pré chargement
51
utilisateur
52 - si oui, cette personnalisation est-elle possible par profil d’utilisateur ?
53 Disponibilité d’un outil « designer » ?
Le système permet de ne voir QUE les infos utiles à l’utilisateur dans les
54 pages écrans (personnalisation des affichages ET des accès aux données par
type d’utilisateur [profil / profil type])
55 Les écrans sont personnalisables par utilisateur [profil / profil type])
Le système permet-il par paramétrage :
56
- d'interdire l'usage de caractères spéciaux
57 - de choisir de différencier ou non les minuscules des majuscules
58 - de remplacer le point décimal par la virgule et vice-versa
Saisie des données et contrôle :
59
- contrôle de saisie de données (obligatoire,formatage, cohérence…)
- de pointage des champs manquants ou en défaut avec message explicatif
60
du défaut
61 - de pré chargement de données en fonction de l’utilisateur [profil / profil type]
62 - de remontée d'erreurs
63 - de recherche (caractères spéciaux...)
64 - d'assistance à la saisie (écriture intuitive de type T9 ou autre à préciser)
65 - de gestion des listes de valeurs
Recherche (critères et présentation résultat) :
- possibilité d'effectuer des recherches sur chaine de caractères dans
66
n'importe quel champ (code ou texte) de n'importe quelle donnée (l'objet
métier, table, historique... Préciser en remarque si restrictions)
- interrogations sur filtres multicritères et critères de sélection multiples (Le
67
nombre de critères simultanés ne doit pas être limité)
 - mémorisation possible (manuelle ou automatique) des critères de tri/sélection
68
des écrans par utilisateur
- résultats de recherche sous la forme de tableau ou autre permettant à
69
l'utilisateur de sélectionner l'ensemble des champs
- recherche par mot-clé sur champs autres que code et libellé (préciser les
70
limitations)
71 - formats d'exportation des résultats de recherche (xls, csv,…)
Facilité utilisateurs :
72 - fonction enregistrement en "brouillon" (exemple sur un contrôle ou une
recommandation)
73 - création par copie et/ou duplication
Disponibilité d’une aide
74
- en ligne
75 - contextuelle (sur les écrans, les zones)
76 - possibilité d’intégration des règles métiers dans l'aide
Navigation :
77
- disponibilité de fonction raccourci pour accéder aux différentes fonctions
78 - possibilité de multi fenêtrage
79 - liens hypertextes avec des éléments de type documentaire
Fonctionnalités facilitant l’envoi d’information par mail, sms. Si oui, précisez ?
80
- envoi d'email au contenu paramétrable vers des adresses email paramétrées
81 - envoi de SMS au contenu paramétrable vers des N° paramétrés
- le système permet aux utilisateurs de paramétrer des alertes pour alimenter
82 leur cockpit en mode "push" (L'alerte est visible sur toute session connectée
sans appel de l'utilisateur)
Architecture applicative :
83 - le systéme est il multi société / multi site tout en étant mono base de
données ?
84 Synchronisation horaire du système
Instructions pour les soumissionnaires
1- Fournissez des réponses à toutes les questions
2- Faites en sorte que vos réponses soient aussi précises que possible
3- Fournissez des descriptions et commentaires concis et précis
4- Fournissez des références précises aux documents de l'AO
(page/chapitre/paragraphe/ligne) dans votre réponse
5- Intégrez toute la documentation pertinente en annexe de votre réponse

Réponse
Niveau de support Commentaires
 Exigences générales
Exigence Thème
85 Architecture technique générale
86 Architecture technique générale
87 Architecture technique générale
88 Architecture technique générale
89 Architecture technique générale
90 Architecture technique générale
91 Architecture technique générale
92 Architecture technique générale
93 Architecture technique générale
94 Architecture technique générale
95 Architecture technique générale
96 Architecture technique générale
97 Architecture technique générale
98 Architecture technique générale
99 Architecture technique générale
100 Architecture technique générale
101 Architecture technique générale
102 Architecture technique générale
103 Architecture technique générale
104 Architecture technique générale
105 Architecture technique détaillée
106 Architecture technique détaillée
107 Architecture technique détaillée
108 Architecture technique détaillée
109 Architecture technique détaillée
110 Architecture technique détaillée
111 Architecture technique détaillée
112 Architecture technique détaillée
113 Architecture technique détaillée
Critère d'évaluation
Plates-formes matérielles serveur SGBD
Plates-formes matérielles serveur d'application
OS supportés dans la version spécifiée pour serveur SGBD
OS supportés dans la version spécifiée pour serveur d'application
SGBD supportés dans la version spécifiée
Dans le cas où votre produit utiliserait une base oracle, quel est le ty
licence (standard, EE)? Fournissez-vous obligatoirement la licence o
Serveurs d'application supportés dans la version spécifiée
Outil 1 (préciser)
Outil 2 (préciser)
Outil 3 (préciser)
La solution utilise-t-elle des contrôles physiques? (dongle, cléf physiq
adresse mac, n° de série du serveur…)
Quelle architecture et dimensionnement macro préconisez-vous?
Proposez-vous des variantes si cette architecture n'est pas préconisé
direction technique ?
Votre produit est-il compatible avec la virtualisation?
Si oui, sous quels ESX supportez vous votre produit?
Plateformes matérielles et logicielles des postes/supports client
Connectivité
Architecture
114 Architecture technique détaillée

115 Architecture technique détaillée

116 Architecture technique détaillée

117 Architecture technique détaillée Poste de travail

118 Architecture technique détaillée

119 Architecture technique détaillée

120 Architecture technique détaillée

121 Architecture technique détaillée

122 Architecture technique détaillée

123 Architecture technique détaillée
124 Architecture technique détaillée Réseau
125 Architecture technique détaillée
126 Installation Pré-requis d'installation serveur SGBD (patch OS, SGBD, …)
127 Installation Pré-requis d'installation serveur d'application (patch OS, ... )
128 Installation Version de JRE sur le serveur d'application
129 Installation Installation d'un client sur le poste de travail
130 Installation Pré-requis d'installation du client sur poste de travail
131 Installation Pré-requis de paramétrage du poste client si version internet
132 Installation Autre pré-requis 1
133 Installation Autre pré-requis 2
134 Installation Autre pré-requis 3
135 Maintenabilité Accessibilité au dictionnaire de données (en direct, méta modèle)
136 Maintenabilité Archivage des données (fonction interne, outil externe)
137 Maintenabilité Outil de gestion des versions et des configurations
138 Maintenabilité Auto-documentation du paramétrage par le progiciel

139 Maintenabilité Selon quelles procédures sont déployées les mises à jour des postes
(le cas échéant)
140 Maintenabilité Mécanisme de supervision intégré
141 Maintenabilité Alertes applicatives (préciser format)
142 Maintenabilité Disponibilité d'API (préciser)
143 Maintenabilité Langage pour écriture règles spécifiques (préciser)
Niveau d'imbrication des développements spécifiques avec le standa
144 Maintenabilité Bpifrance est-elle autonome pour l'évolution des spécificiques (kit co
fourni) ?
145 Maintenabilité Outil d'analyse de code (préciser)
146 Exploitation Outils d'administration

147 Exploitation

148 Exploitation

149 Exploitation Interfaçage avec un outil d’administration externe

Existence d'un outil interne de configuration, d’ordonnancement, surv
150 Exploitation
et de suivi d’exploitation des traitements
151 Exploitation l'application est-elle exploitable (arrêt / relance) via script ?
152 Exploitation Quelles sont les opérations d’administration et de maintenance coura
l’application nécessitant un arrêt applicatif (hors sauvegardes)?
Les répertoires et fichiers applicatifs de la solutions sont-ils isolés de
153 Exploitation
répertoires systèmes ? Ces répertoires sont-ils paramétrables?

154 Exploitation L'installation des mises à jour correctives nécessite-t-elle des outils é
des compétences techniques particulières ?
155 Exploitation La solution est-elle compatible avec la sauvegarde à chaud?

156 Exploitation
157 Interfaces - Interopérabilité
158 Interfaces - Interopérabilité
159 Interfaces - Interopérabilité
160 Interfaces - Interopérabilité
161 Interfaces - Interopérabilité
162 Interfaces - Interopérabilité
Fréquence et durée des indisponibilités de l’application pour les main
(patch, montée de version)
Interfaçage avec l'annuaire LDAP (mise à jour des données utilisateu
Techniques de réalisation des interfaces entrantes et sortantes de l’a
(échange de fichiers, liens base à base, synchronisation, flux XML,…
Mode de déclenchement des interfaces entrantes et sortantes (synch
asynchrone, message queing)
Compatibilité avec un outil type EAI ?
Compatibilité avec un outil type ETL ?
Existence de fonctions EDI (flux normés) ?

163 Interfaces - Interopérabilité Accès à la base de données par des outils ou applications externes
visualisation, en modification)
164 Sécurité Authentification
165 Sécurité

166 Sécurité

167 Sécurité Ecran d'accueil

168 Sécurité
169 Sécurité Habilitation
170 Sécurité
171 Sécurité
172 Sécurité
173 Sécurité
174 Sécurité

175 Sécurité
176 Sécurité Sessions
177 Sécurité
178 Sécurité
179 Sécurité
180 Sécurité
181 Sécurité Audit
182 Sécurité
183 Sécurité
184 Sécurité
185 Sécurité
186 Sécurité
187 Sécurité
188 Sécurité
189 Sécurité
190 Sécurité
191 Sécurité
192 Sécurité
193 Sécurité
194 Sécurité
195 Sécurité Protection de l'information
196 Sécurité
197 Sécurité
198 Sécurité
199 Sécurité
200 Sécurité

201 Sécurité

202 Sécurité
203 Sécurité
204 Sécurité Lieu d'hébergement précis de la solution
205 Sécurité Certification des datacenters (ISO…)
206 Sécurité Hébergement mutualisé ou dédié ?
A quelles fréquences sont réalisées les sauvegardes sur la plateform
207 Sécurité
quelle profondeur ?
Plusieurs environnements sont-ils possibles sur la plateforme (exemp
208 Sécurité
Préproduction, production) ?
209 Sécurité A-t-on la possibilité de réaliser des tests d’intrusion sur la plateforme
Comment Bpifrance peut consulter les logs de toutes les actions effe
210 Sécurité
sur la plateforme ?
211 Performance / Volumétrie Système de mesure des performances internes à l'application
212 Performance / Volumétrie
213 Performance / Volumétrie
214 Performance / Volumétrie Mesure intégrée des performances (autres)
Méthode et outillage préconisé pour adresser les problématiques de
215 Performance / Volumétrie
performances
Comment se décline votre solution sur des périphériques type smartp
216 Mobilité tablette? (solution installée sur le périphérique, utilisation du navigate
périphérique…)
Quelles plateformes supportez vous ? (iOS, android…) Avez-vous de
217 Mobilité
requis technique ?
218 Mobilité Comment est gérée l'authentification des utilisateurs en situation de
Votre produit gère-t-il l'existence d'une passerelle d'entreprise (cas o
219 Mobilité
l'utilisateur est connecté en wifi interne puis en 3G )?
220 Mobilité Quel est le protocole d'échange de données? Comment est-il sécuris
221 Mobilité Spécifiez les volumétries échangées (estimations)
La solution intègre-t-elle un mode déconnecté ? Incluant la synchron
222 Mobilité
des données à la reconnexion ?
223 Mobilité Si oui, comment sont protégées les données sur le périphérique mob
 Dans le cas d'une solution installée sur les périphériques, comment s
224 Mobilité
le déploiement et les MaJ ?
225 Livraison La solution propose-t-elle des workflows d'automatisation des livraiso
La solution supporte-t-elle les livraisons continues & sans interruption
226 Livraison
service ?
 Instructions pour les soumissionnai
1- Fournissez des réponses à toutes les questions
2- Faites en sorte que vos réponses soient aussi p
3- Fournissez des descriptions et commentaires co
4- Fournissez des références précises aux docume
(page/chapitre/paragraphe/ligne) dans votre répon
5- Intégrez toute la documentation pertinente en an

Critère d'évaluation
Réponse
Niveau de support
Plates-formes matérielles serveur SGBD
Plates-formes matérielles serveur d'application
OS supportés dans la version spécifiée pour serveur SGBD
OS supportés dans la version spécifiée pour serveur d'application
SGBD supportés dans la version spécifiée
Dans le cas où votre produit utiliserait une base oracle, quel est le type de
licence (standard, EE)? Fournissez-vous obligatoirement la licence oracle?
Serveurs d'application supportés dans la version spécifiée
Outil 1 (préciser)
Outil 2 (préciser)
Outil 3 (préciser)
La solution utilise-t-elle des contrôles physiques? (dongle, cléf physique,
adresse mac, n° de série du serveur…)
Quelle architecture et dimensionnement macro préconisez-vous?
Proposez-vous des variantes si cette architecture n'est pas préconisée par la
direction technique ?
Votre produit est-il compatible avec la virtualisation?
Si oui, sous quels ESX supportez vous votre produit?
Plateformes matérielles et logicielles des postes/supports client
Des PC fixes classiques
Des PC portables de type LAP TOP classiques
Des smartphones
Autre (à préciser)
Connectivité
Connectivité LDAP (WEB SSO)
Connectivité messagerie avec liens interactifs
Mode d'accès préconisé (client léger, client lourd…)
Architecture
Dans le cas d'une architecture n-tiers, les flux transite-t-il tous par le
serveur d'application ?
Votre produit est-il scalable horizontalement (multi-instanciation)?
Quels sont les dispositifs prévus pour gérer la répartition de charge ?
Votre logiciel est-il compatible avec des mécanismes de haute
disponibilité basé sur des cluster OS ?
 Votre produit est-il compatible avec la mise en place de secours type
PRA à froid?
Votre solution contient-elle des fichiers de configurations avec des ip
en dur?
Quels sont les niveaux de traces des logs applicatif ?
Poste de travail
Quelles sont les technologies utilisées pour les accès en client léger ?
(Applet, XML, Javascripts, Active X, …)
Quelles sont les technologies utilisées pour les accès en client lourd ?
Version de JRE nécessaire sur le poste de travail sous windowxs 10?

La solution proposée est-elle supportée avec W10/ IE10 / Office 2010?

Version de JRE nécessaire sur le poste de travail sous W10
Support de déport d'affichage (citrix, TSE…)?
Réseau
Pré-requis de dimensionnement réseau
Pré-requis d'installation serveur SGBD (patch OS, SGBD, …)
Pré-requis d'installation serveur d'application (patch OS, ... )
Version de JRE sur le serveur d'application
Installation d'un client sur le poste de travail
Pré-requis d'installation du client sur poste de travail
Pré-requis de paramétrage du poste client si version internet
Autre pré-requis 1
Autre pré-requis 2
Autre pré-requis 3
Accessibilité au dictionnaire de données (en direct, méta modèle)
Archivage des données (fonction interne, outil externe)
Outil de gestion des versions et des configurations
Auto-documentation du paramétrage par le progiciel
Selon quelles procédures sont déployées les mises à jour des postes clients
(le cas échéant)
Mécanisme de supervision intégré
Alertes applicatives (préciser format)
Disponibilité d'API (préciser)
Langage pour écriture règles spécifiques (préciser)
Niveau d'imbrication des développements spécifiques avec le standard.
Bpifrance est-elle autonome pour l'évolution des spécificiques (kit compilation
fourni) ?
Outil d'analyse de code (préciser)
Outils d'administration
La solution dispose-telle de procédures intégrées permettant la
supervision ? (page de vie, page de statut opérationnel, check des
composants via requête simple…)
y-a-t-il d'autre indicateurs? Si oui, comment sont-ils exploitables via les
outils de supervision classiques (patrol, nagios…)?
Interfaçage avec un outil d’administration externe
Existence d'un outil interne de configuration, d’ordonnancement, surveillance
et de suivi d’exploitation des traitements
l'application est-elle exploitable (arrêt / relance) via script ?
Quelles sont les opérations d’administration et de maintenance courantes de
l’application nécessitant un arrêt applicatif (hors sauvegardes)?
Les répertoires et fichiers applicatifs de la solutions sont-ils isolés des
répertoires systèmes ? Ces répertoires sont-ils paramétrables?
L'installation des mises à jour correctives nécessite-t-elle des outils éditeurs ou
des compétences techniques particulières ?
La solution est-elle compatible avec la sauvegarde à chaud?
Fréquence et durée des indisponibilités de l’application pour les maintenances
(patch, montée de version)
Interfaçage avec l'annuaire LDAP (mise à jour des données utilisateurs)
Techniques de réalisation des interfaces entrantes et sortantes de l’application
(échange de fichiers, liens base à base, synchronisation, flux XML,…)
Mode de déclenchement des interfaces entrantes et sortantes (synchrone,
asynchrone, message queing)
Compatibilité avec un outil type EAI ?
Compatibilité avec un outil type ETL ?
Existence de fonctions EDI (flux normés) ?
Accès à la base de données par des outils ou applications externes ? (en
visualisation, en modification)
Authentification
Quels sont les mécanismes d'authentification utilisés ?
compatibilité avec un système d'authentification SSO (Single Sign-On)
pour l’authentification basées sur SAMLv2 ou Oauth2 ou OIDC ?
Ecran d'accueil
Personnalisation de l'écran d'accueil
Habilitation
Existence d'une gestion intégrée d’habilitation
Niveau de finesse géré
Accès ou non à certaines organisations internes
Accès ou non à certaines fonctions ou sous-fonctions
Accès ou non à certaines actions
(création/modification/suppression)
Accès ou non à certains écrans et/ou valeurs (consultation/
création/modification/suppression)
Sessions
Ouverture de session sécurisée
Mécanisme de déconnexion
Déconnexion automatique en cas d'inactivité
Contrôle du nombre de sessions concourantes

Enregistrement des événements suivants :

Utilisation du mécanisme d’authentification
Modification des droits d’accès utilisateurs ou groupes d’utilisateurs
Arrêt / Démarrage / Lecture / Modification des fonctions ou
informations d’audit
Anomalies
Traçabilité des accès aux données et dossiers
Protection des informations d’audit
 Validation des données d'entrée
Les valeurs hors intervalle
Les caractères invalides dans les champs de données
Les données manquantes ou incomplètes
Le non respect des limites inférieures et supérieures en terme de
volume
Les paramètres non autorisés ou incohérents
Protection de l'information
Protection du code source contre tout accès non autorisé
Chiffrement des communications (https, sftp…)
Hashage des authentifiants utilisés
Préconisations pour gérer les arrêts suite à incident (serveur de
données, d'application, de traitement)
Mécanismes de protection des données?
Existe-t-il un système de type HSM pour chiffrer les données de la
solution, et faire en sorte que Bpifrance détienne une partie des clés
de chiffrement ?
Chiffrement des données stockées en base ?
Qui aura accès aux données Bpifrance ?
Lieu d'hébergement précis de la solution
Certification des datacenters (ISO…)
Hébergement mutualisé ou dédié ?
A quelles fréquences sont réalisées les sauvegardes sur la plateforme et sous
quelle profondeur ?
Plusieurs environnements sont-ils possibles sur la plateforme (exemple :
Préproduction, production) ?
A-t-on la possibilité de réaliser des tests d’intrusion sur la plateforme ?
Comment Bpifrance peut consulter les logs de toutes les actions effectuées
sur la plateforme ?
Système de mesure des performances internes à l'application
Mesure du temps de réponse (hors réseaux)
Nombre d'utilisateurs connectés
Mesure intégrée des performances (autres)
Méthode et outillage préconisé pour adresser les problématiques de
performances
Comment se décline votre solution sur des périphériques type smartphone,
tablette? (solution installée sur le périphérique, utilisation du navigateur du
périphérique…)
Quelles plateformes supportez vous ? (iOS, android…) Avez-vous des pré-
requis technique ?
Comment est gérée l'authentification des utilisateurs en situation de mobilité ?
Votre produit gère-t-il l'existence d'une passerelle d'entreprise (cas où
l'utilisateur est connecté en wifi interne puis en 3G )?
Quel est le protocole d'échange de données? Comment est-il sécurisé?
Spécifiez les volumétries échangées (estimations)
La solution intègre-t-elle un mode déconnecté ? Incluant la synchronisation
des données à la reconnexion ?
Si oui, comment sont protégées les données sur le périphérique mobile ?
Dans le cas d'une solution installée sur les périphériques, comment sont gerés
le déploiement et les MaJ ?
La solution propose-t-elle des workflows d'automatisation des livraisons ?
La solution supporte-t-elle les livraisons continues & sans interruption de
service ?
s pour les soumissionnaires
es réponses à toutes les questions
te que vos réponses soient aussi précises que possible
es descriptions et commentaires concis et précis
es références précises aux documents de l'AO
paragraphe/ligne) dans votre réponse
e la documentation pertinente en annexe de votre réponse

se
Commentaires
 Exigences générales

Exigence Thème

1 Hébergement
2 Hébergement
3 Application
4 Application

5 Transfert de fichiers
6 Transfert de fichiers

7 Transfert de fichiers
8 Transfert de fichiers
9 API / Service Web
10 API / Service Web
11 Environnement
12 Administration technique
13 Administration technique
14 Backup
 Exigences générales

Critère d'évaluation

Comment se nomme l'hébergeur ?

Où se trouvent les data centers ?
L'application est-elle disponible en 24 / 7
L'application est-elle accessible lors des mises à jour ?

La solution nécessite-t-elle des transferts de fichiers depuis XXX ? Vers XXX ?

Quelle est la volumétrie des fichiers ? (Nombre et taille)
Les fichiers transférés doivent-ils être conservés (contraintes juridiques) ? Sur
quelle durée ?
Quels sont les protocoles supportés ?
L'application expose-t-elle des API ?
L'application possède-t-elle des API d'administration ?
Sur combien d'environnements, la solution sera-t-elle déployée ?
La solution possède-t-elle un rôle administrateur technique ?
Des opérations d'administration déclenchés par XXXX sont-ils à prévoir ?
L'application gère-t-elle un backup périodiquement ?
Instructions pour les soumissionnaires
1- Fournissez des réponses à toutes les questions
2- Faites en sorte que vos réponses soient aussi précises que possible
3- Fournissez des descriptions et commentaires concis et précis
4- Fournissez des références précises aux documents de l'AO
(page/chapitre/paragraphe/ligne) dans votre réponse
5- Intégrez toute la documentation pertinente en annexe de votre réponse

REPONSE
Commentaires
 Exigences générales

Exigence Thème

1 Installation
2 Installation

3 Mise à jour
4 Mise à jour
5 Mise à jour
6 Application
7 Batch
8 Batch
9 Batch
10 Batch
11 Batch
12 Batch
13 API / Service Web
14 API / Service Web

Environnement
15

16 Supervision

17 Supervision
18 Habilitation
19 Habilitation

Habilitation
20
21 Backup
22 Backup

23 Industrialisation

24 Industrialisation
 Exigences générales

Critère d'évaluation

La 1ère installation peut-elle s'exécuter automatiquement sans intervention

humaine ?
Quels sont les droits minimaux nécessaires à l'installation ?
Les mises à jour peuvent-elles s'exécuter automatiquement sans intervention
humaine et déclenchées à la demande ?
Combien de mises à jour sont-elles publiées par an ?
Le contrat de support oblige-t-il d'installer la dernière mise à jour ?
L'application est-elle accessible depuis l'intranet ? Internet ?
La solution inclut-elle des traitements batch ? Combien ?
La solution inclut-elle un ordonnanceur ?
Les batch peuvent-ils être lancé par BMC Control-M v9 ?
Les traitements batch nécessitent-ils un arrêt de l'application ?
A quelle fréquence les traitements batch doivent-ils être exécutés ?
Quels sont les codes de retours des traitements batch ?
L'application expose-t-elle des API sur l'intranet ? Sur Internet ?
L'application possède-t-elle des API d'administration ?
La solution permet-elle une installation sur les différents environnements de
Bpifrance (Qualification technique, Qualification fonctionnelle, Formation,
Préproduction, Production) ?
La solution peut-elle être accolée à l'outil de supervision applicative
Dynatrace ?
Comment la solution gère-t-elle les fichiers de traces d'audit et de logs
(rotation, purge) ?
Comment la solution gère-t-elle les habilitations ?
La solution permet-elle d'intégrer des habilitations gérées par un outil d'IAM ?
La solution permet-elle d'intégrer des habilitations disponibles au travers d'une
API REST ?
L'application gère-t-elle un backup périodiquement ?
La solution permet-elle de restaurer des backups d'un environnement à
l'autre ?
La solution permet-elle d'externaliser les configurations spécifiques à un
environnement ?
Les livraisons (installations, patchs correctifs, patchs de sécurité, …) peuvent-
ils être placés dans le référentiel de binaires Maven de Bpifrance ?
Instructions pour les soumissionnaires
1- Fournissez des réponses à toutes les questions
2- Faites en sorte que vos réponses soient aussi précises que possible
3- Fournissez des descriptions et commentaires concis et précis
4- Fournissez des références précises aux documents de l'AO
(page/chapitre/paragraphe/ligne) dans votre réponse
5- Intégrez toute la documentation pertinente en annexe de votre réponse

REPONSE
Commentaires
Niveau de support
Totalement supporté
Partiellement supporté
Non supporté
Non applicable