REPUBLIQUE DU SENEGAL

----------
MINISTERE DE L’ECONOMIE
DES FINANCES ET DU PLAN
----------
Direction Générale du Budget
----------
Direction des Systèmes d’Information

TERMES DE REFERENCE
Acquisition et mise en place d’une
solution VPN pour l’accès aux
différentes applications de la DGB via
internet

0
 Table des matières
Table des matières ............................................................................................................................ 1

I. Contexte et justification ........................................................................................................ 2

II. Objectifs de la mission ...................................................................................................... 3

III. Consistance ......................................................................................................................... 3

1. Un pare feu Next génération ................................................................................................ 4

2. Pare feu pour la segmentation interne du réseau local ................................................... 7

IV. Conditions de livraison ...................................................................................................... 9

V. Conditions de garantie .......................................................................................................... 9

VI. Conditions de réception .................................................................................................... 9

VII. Pièces constitutives du marché ...................................................................................... 11

VIII. Contenu et caractère général des prix ..................................................................... 11

IX. Pénalité de retard............................................................................................................. 11

X. Modalités de paiement ........................................................................................................ 12

XI. Règlement des sommes dues ........................................................................................ 12

XII. Bordereaux des Prix – Détail estimatif ......................................................................... 12

1
 I. Contexte et justification
Le Ministère de l’Economie des Finances et du Plan (MEFP) a enregistré d’énormes
performances dans la production des Lois de Finance et Lois Règlement (LR). Ces
performances sont étroitement tributaires de la disponibilité de l’information fournie à
travers le SIGFIP (Système Intégré de Gestion des Finances Publiques) qui améliore et
facilite la préparation et l’exécution du budget en retraçant toutes les opérations de
recettes et de dépenses du Budget Général de l’Etat et des Comptes Spéciaux du Trésor.

Cependant les performances notées dans l’élaboration des LR cachent mal les
difficultés rencontrées sur les dépenses exécutées hors du SIGFIP, notamment celles des
postes diplomatiques.

En effet des mesures ont été prises par l’adoption de la circulaire interministérielle
n°002404 du 31 mars 2011, laquelle a instauré un nouveau processus de gestion et de
comptabilisation des dépenses à l’étranger. En application de cette circulaire, la procédure
d’émission des Autorisations d’Exécution (AE) a été automatisée en 2012 dans SIGFIP, et
une procédure de régularisation des dépenses réellement exécutées au niveau des
guichets a été intégrée en 2013.

Aujourd’hui, l’automatisation des AE s’effectue avec beaucoup de succès. Par

contre, pour les régularisations, le problème reste entier. Le guichet ne fonctionne pas
correctement pour enregistrer les régularisations ne serait-ce que trimestriellement. Le
problème réside toujours dans le volume important d’informations de régularisation à
enregistrer dans SIGFIP.

En outre les différentes applications de la DGB telle que la solution de Business

Intelligent sont uniquement accessibles qu’à partir de l’intranet gouvernemental et en
conséquence ces dernières ne seront pas accessibles pour les utilisateurs nomades. De
même les administrateurs systèmes éprouvent le besoin d’accéder aux serveurs et réseau
local pour faire des taches d’administration à distance.

2
 Les présents TDR proposent une solution pour répondre aux besoins précités et
pour résoudre les difficultés liées à la disponibilité de l’information sur l’exécution des
dépenses au niveau des postes diplomatiques.

Il s’agira de permettre l’accès au système d’information budgétaire à toutes les

ambassades du Sénégal à l’étranger et aux utilisateurs itinérants. Les ambassades devront
se connecter via internet aux applications de la DGB et traiter leurs dépenses sur le
SIGFIP, comme cela se fait dans toutes les régions et départements à travers l’intranet
gouvernemental.

II. Objectifs de la mission

L’objectif général visé est d’assurer la visibilité sur toutes les dépenses effectuées
à l’étranger grâce à la disponibilité de l’application SIGFIP sur internet via la technologie
VPN. Cela va permettre aux services d’ordonnancement et comptables installés dans les
ambassades, d’accéder au logiciel de la dépense de manière sécurisée avec des options
d'authentification et d'encryptage des données. La solution va aussi permettre l’accès au
différentes applications de la DGB par cette même liaison et simplifier la mobilité des
administrateurs système pour gagner en efficacité et productivité.

III. Consistance
L’objet de ces présents TDR consiste à mettre en place une solution VPN qui va
permettre d'accéder à partir d’internet à notre réseau d'entreprise et aux applications de
la DGB de manière sécurisée. En choisissant une appliance comme pare-feu, celle-ci offrira
gratuitement la fonctionnalité concentrateur VPN et utilisera le protocole IKE (Internet
Key Exchange), la famille de protocoles standards IPSEC, et l’algorithme de chiffrement
AES (Advanced Encryptions Standard). Il faudra également que la solution intègre une
carte de chiffrement matériel pour offrir des performances acceptables si le nombre de
connexions VPN est important.

Chaque utilisateur aura un logiciel client à exécuter sur son ordinateur, ce logiciel
client doit être très simple d'installation et permettra une fois installer de se connecter au

3
réseau d'entreprise depuis n'importe quelle connexion internet (WIFI, ADSL, 3G/4G
...etc.). Toutes les données seront cryptées de bout en bout et transiteront par le
backbone, afin d'assurer la confidentialité des communications.
La solution proposée doit nous permettre de déployer une solution
d’authentification à deux facteurs pour offrir une sécurité renforcée aux utilisateurs
distants et sur site. Il y aura un jeton de mot de passe à usage unique (OTP) facile à
utiliser qui réduit le risque de compromission créé par un systèmes d'authentification à
facteur.
La solution proposée devra jouer le rôle de pare-feu à la périphérie du réseau et
de pare-feu en interne pour le réseau local. En outre une liaison LS sera mise en place
pour assurer la connectivité. Cette approche découlant des recommandations de l’audit
de sécurité et vise à sécuriser les différents segments de réseau en permettant de
prévenir, de détecter et de neutraliser au mieux toutes les menaces informatiques.

1. Un pare feu Next génération

La solution proposée doit avoir un pare feu de type next génération pour une
gestion centralisée des menaces externes concernant toutes les couches du modèle OSI
et de l’activité Internet. Il s’agit d’une première protection qui sera déployée à la périphérie
du réseau depuis l’internet c’est à dire derrière le routeur d’interconnexion avec le réseau
de l’opérateur (Orange/ADIE).
Le pare feu devra disposer au minimum huit (8) interfaces physiques dont une pour
l’interconnexion avec le routeur de l’opérateur et les autres raccordées aux différents
segments du réseau.
Pour une gestion efficace de la haute disponibilité, la solution devra inclure une
bascule transparente avec reprise automatique des données de configuration.
La solution couvrira les fonctionnalités suivantes :
 Filtrage de contenu : Tous les paquets entrants et sortants du réseau
devront subir une analyse holistique pour s’assurer de leur légitimité. Tous
les ports de communication et protocoles doivent être pris en charge.

4
  Antivirus et anti hameçonnage : moteur de protection basé sur les
mécanismes développés par les fournisseurs de solution antivirus.
 Protection contre les intrusions (IPS) : Le pare feu devra identifier le
trafic légitime du trafic frauduleux sur la base de signatures sur les attaques
connues et inconnues, les adresses IP potentiellement frauduleuses ou
blacklistées
 Accès distants (VPN) : Cette fonctionnalité permettra au personnel en
charge de l’administration et de l’exploitation des applications d’accéder à la
plateforme de manière sécurisée.
 Protection contre les programmes malveillants avancés et les
menace persistantes avancées (APT) : Il s’agit d’une couche de
protection contre les injections de code malveillants, les logiciels espions…

 Les fonctionnalités :
 Filtrage web ;
 Filtrage de contenu ;
 Antivirus ;
 Anti fuite de données (DLP) ;
 Système de prévention d’intrusion (IPS) ;
 Gestion des accès distants (VPN) ;
 Anti malware ;
 Gestion administrative via le cloud (service fourni par le
constructeur).

L’équipement bénéficiera d’un support constructeur d’un (1) an.

Spécifications techniques minimales :

Spécifications Valeurs minimales

Type de périphérique Boitier – 8 ports

Type de boîtier 1U

5
Ports 8 Ports GE(Giga Ethernet) Rj45

CPU Core i3 3.30ghz

RAM 8G
Prise en charge support amovible Oui
Stockage interne 80Gb
Débit Firewall 4G
Sessions concurrentes TCP 2.5 millions
Nouvelles sessions/seconde 30000
Débit connexion VPN 300Mbits
Nombre d’utilisateurs VPN 5000
Nombre de connections concurrentes VPN
5000
supportées
Logiciel client VPN fourni par le constructeur OUI

Gestion de la haute disponibilité : Protocole VRRP,clustering actif/actif, actif/passif

 Les fonctionnalités :
 Filtrage web ;
 Filtrage de contenu ;
 Antivirus ;
 Anti fuite de données (DLP) ;
 Système de prévention d’intrusion (IPS) ;
 Gestion des accès distants (VPN) ;
 Anti malware ;
 Gestion administrative via le cloud (service fourni par le
constructeur).

L’équipement bénéficiera d’un support constructeur d’un (1) an.

6
 2. Pare feu pour la segmentation interne du réseau local

La solution doit aussi intégrée un autre pare feu pour protéger le réseau local du
réseau des serveurs(DMZ) et réduire le domaine de diffusion des utilisateurs. Tout le trafic
en entrée et sortie est minutieusement inspecté.
L’objectif est de concevoir une architecture de réseau d’entreprise comprenant une
zone démilitarisée (DMZ), un réseau local et un accès à internet. Ces réseaux seront reliés
ensembles par un serveur linux assurant le routage des paquets. La zone démilitarisée
hébergera des serveurs proposant des services au réseau local ou à internet, comme les
serveurs web, les serveurs de base de données, les serveurs d’application … etc. Le but
est ainsi d’isoler les postes clients (du réseau LAN) de la zone de fourniture de services
(DMZ) et de les protéger contre les attaques provenant des réseaux extérieurs (internet)
véhiculés par les utilisateurs.

D’une manière transparente, ce pare feu agit en tant que proxy mandataire mais
aussi, permet d’avoir en temps réel une visibilité de l’activité du réseau en interne en
phase avec le cycle continue de prévention, de détection et de neutralisation des menaces.

Le pare feu proposé doit intégrer la commutation à haut débit (Ports 10Gbe
intégrés) et fournir un spectre complet de services de sécurité avancée, y compris un
Système de prévention d’intrusion (IPS), la visibilité sur les applications utilisées par les
utilisateurs (légitimes/illégitimes), un antivirus, un anti spam, un Sand box basé sur le
web.
Spécifications techniques minimales :

Spécifications Valeurs minimales

Format Boitier Rackable

Mémoire vive 16 GB

Stockage interne 500 GB

Processeur Intel Xeon -Core i3

7
Type de Licence Complète

Ports 10GBe RJ45 8

Débit 10 Gb/s

Requêtes http par Seconde 300.000

Nombre de sessions en simultanée 3.000.000

Débit minimal pour trafic chiffré (HTTP et IPS) 300Mbits/s

Debit de contrôle des applications 300 Mbits/s

Transactions par seconde 2500 (2K Keys)

Alimentation redondante Oui

ARP poisonning, Pings de la mort, Anti

Les types de protections DDOS,anti Malwares,anti Ransomwares,
fuite de données, détection de proxy web...

Blocage par zone géographique Oui

Moteur d’apprentissage automatique Oui

Mise à jour automatique et manuelle de la base

Oui
de signature

La solution doit disposer de mécanisme de

corrélation basé sur la source, la destination, le
Oui
type d’attaque qui permet de regrouper les
événements sous forme d’incidents

La solution doit intégrer la base de réputation IP Oui

Possibilité d’utiliser la solution pour plusieurs

Oui
réseaux ou sous-réseaux

8
IV. Conditions de livraison
La livraison des équipements informatiques est à la charge du prestataire dans les
locaux de DSI, conformément à un planning de livraison arrêté avec le Maître d’Ouvrage.
Le prestataire est tenu d'aviser le Maître d’Ouvrage de la date de livraison au moins cinq
(5) jours avant la livraison.

En cas de mauvais fonctionnement des équipements (matériel et /ou logiciel)

acquis, le soumissionnaire ne peut arguer de la défaillance des autres équipements de la
DSI (matériel et logiciel) qu’en y apportant la preuve. Dans tous les cas, le soumissionnaire
s’engage à apporter son concours et son savoir-faire en collaboration avec les différents
fournisseurs pour faire fonctionner l’ensemble.

Si les tests sont satisfaisants, il sera alors procédé à la réception provisoire, dans
un délai de sept jours (07 jours) après la fin des travaux d'installation.

V. Conditions de garantie
Le prestataire garantit que tous les équipements (matériels et logiciels) livrés en
exécution du marché sont neufs et sont encore supportés par le constructeur et incluent
toutes les dernières améliorations en matière de conception et de matériaux.
Le prestataire garantit en outre que tous les équipements livrés en exécution du
marché n’auront aucune défectuosité quant à leur conception, aux matériaux utilisés ou
à leur mise en œuvre ou à tout acte ou omission du prestataire. Cette garantie s’étend
sur une période de douze (12) mois pour tous les composants (matériels et logiciels).
Ce délai de garantie commence à courir à partir du lendemain de la date de la
réception définitive prononcée par le Maître d’Ouvrage.

VI. Conditions de réception

Réception provisoire : Dans un délai de sept (7) jours maximum après
notification par le prestataire de la fin des travaux d’installation, le maître d’ouvrage

9
procédera en présence du prestataire aux essais de fonctionnement de la manière
suivante :
1. Une vérification des capacités, vitesses, performances et fonctionnalités
annoncées par le prestataire et répondant aux spécifications du cahier de
charges ;
2. Une vérification de la bonne marche de l’ensemble des dispositifs matériels et
logiciels ;
2. Un essai d’exécution des logiciels fournis ;
La réception provisoire sera prononcée si le prestataire a bien rempli ses engagements
contractuels et dès que toutes les vérifications et les essais auront été déclarés
satisfaisants. Au cas où un équipement est rejeté par le comité, le prestataire est tenu
de le remplacer dans un délai de 5 jours à compter de la date de la notification du rejet.
Ce délai ne peut être pris comme une prorogation du délai d’exécution.

Réception définitive : La réception définitive des équipements installés sera prononcée

par le Maître d’Ouvrage à l’expiration du délai de garantie, à compter de la date de la
réception provisoire des prestations d’acquisition, d’installation, de configuration et de la
mise en œuvre des équipements informatiques, si le prestataire a bien rempli ses
engagements contractuels en matière de garantie.

Un PV de réception définitive sera signé conjointement par les représentants du

Maître d’Ouvrage et du prestataire. Si le Maître d’Ouvrage constate des anomalies de
fonctionnement des équipements livrés, il adresse au prestataire la liste détaillée des
imperfections ou malfaçons relevées avant l’expiration du délai de garantie. Le prestataire
est tenu d’y apporter remède dans les conditions du marché. Il retournera au Maître
d’Ouvrage la liste des imperfections ou malfaçons complétées par le détail des travaux
réalisés.
Si le prestataire ne remédie pas aux imperfections ou malfaçons dans les délais
prévus, la réception définitive ne sera prononcée qu’après la réalisation parfaite des
travaux correspondants. Dans le cas où ces travaux ne seraient pas réalisés deux (2) mois
après la fin de la période de garantie contractuelle, le Maître d’Ouvrage prononcera

10
 néanmoins la réception définitive à l’issue de cette période tout en faisant réaliser les
travaux par toute entreprise de son choix aux frais et risque du prestataire.

VII. Pièces constitutives du marché

Les pièces constitutives du marché sont :
 L’acte d’engagement ;
 Le cahier des prescriptions spéciales ;
 L’offre technique du prestataire ;
 Le bordereau des prix détail estimatif ;
 Le cahier des clauses administratives générales applicables aux marchés de
services et fournitures CCAG de la DSI.

VIII. Contenu et caractère général des prix

Le marché découlant du présent TDR est à prix unitaires. Les prix sont réputés
comprendre toutes les charges fiscales, frais généraux ainsi que tous les frais afférents.
Ils sont fermes et non révisable et sont libellés en Franc CFA (XOF) en toutes taxes
comprises (TTC).

IX. Pénalité de retard

A défaut d'avoir livré à temps, il sera appliqué au prestataire de services une
pénalité par jour calendaire de retard de 1 ‰ (Un pour mille) du montant du marché issu
du présent appel d’offre modifié ou complété éventuellement par les avenants.
Les pénalités sont encourues du simple fait de la constatation du retard par
l’Autorité qui, sans préjudice de toute autre méthode de recouvrement, déduit d’office le
montant de ces pénalités de toutes les sommes dues au prestataire. L’application de ces
pénalités ne libère en rien le prestataire de l’ensemble des autres obligations et
responsabilités qu’il a souscrites au titre du marché.
Toutefois, le montant cumulé de ces pénalités est plafonné à Vingt pour cent (20
%) du montant du marché issu du présent appel d’offre modifié ou complété
éventuellement par les avenants.

11
 Lorsque le plafond des pénalités est atteint, l’autorité compétente est en droit de
résilier le marché après mise en demeure préalable et sans préjudice de l'application des
mesures coercitives prévues par le CCAG.

X. Modalités de paiement
Pour l’ensemble des prestations, le prestataire sera rémunéré suivant le montant
de son offre toutes taxes et charges comprises. Les règlements seront effectués à 100 %
du montant du montant à la réception provisoire prononcée par le Maître d'ouvrage et sur
production du PV de réception provisoire.

XI. Règlement des sommes dues

Le Maître d’Ouvrage se libérera des sommes dues par lui en faisant donner crédit
au compte courant postal, bancaire (RIB) ou trésor ouvert au nom du prestataire sur
production d’une facture dûment signée et arrêtée en toutes lettres, établie par le
prestataire, conformément au bordereau des prix - détail estimatif.

XII. Bordereaux des Prix – Détail estimatif

Prix unitaire en Prix total en CFA

ID Désignation des prestations Quantité
CFA chiffres chiffres

1 Pare-feu next génération 02

2 Pare-feu de segmentation interne 02

3 licences pour l'authentification forte 70

4 Prestation (installation & configuration) 02

Total HTVA

TVA (18%)

Total TTC

12