Académique Documents
Professionnel Documents
Culture Documents
----------
MINISTERE DE L’ECONOMIE
DES FINANCES ET DU PLAN
----------
Direction Générale du Budget
----------
Direction des Systèmes d’Information
TERMES DE REFERENCE
Acquisition et mise en place d’une
solution VPN pour l’accès aux
différentes applications de la DGB via
internet
0
Table des matières
Table des matières ............................................................................................................................ 1
1
I. Contexte et justification
Le Ministère de l’Economie des Finances et du Plan (MEFP) a enregistré d’énormes
performances dans la production des Lois de Finance et Lois Règlement (LR). Ces
performances sont étroitement tributaires de la disponibilité de l’information fournie à
travers le SIGFIP (Système Intégré de Gestion des Finances Publiques) qui améliore et
facilite la préparation et l’exécution du budget en retraçant toutes les opérations de
recettes et de dépenses du Budget Général de l’Etat et des Comptes Spéciaux du Trésor.
Cependant les performances notées dans l’élaboration des LR cachent mal les
difficultés rencontrées sur les dépenses exécutées hors du SIGFIP, notamment celles des
postes diplomatiques.
En effet des mesures ont été prises par l’adoption de la circulaire interministérielle
n°002404 du 31 mars 2011, laquelle a instauré un nouveau processus de gestion et de
comptabilisation des dépenses à l’étranger. En application de cette circulaire, la procédure
d’émission des Autorisations d’Exécution (AE) a été automatisée en 2012 dans SIGFIP, et
une procédure de régularisation des dépenses réellement exécutées au niveau des
guichets a été intégrée en 2013.
2
Les présents TDR proposent une solution pour répondre aux besoins précités et
pour résoudre les difficultés liées à la disponibilité de l’information sur l’exécution des
dépenses au niveau des postes diplomatiques.
III. Consistance
L’objet de ces présents TDR consiste à mettre en place une solution VPN qui va
permettre d'accéder à partir d’internet à notre réseau d'entreprise et aux applications de
la DGB de manière sécurisée. En choisissant une appliance comme pare-feu, celle-ci offrira
gratuitement la fonctionnalité concentrateur VPN et utilisera le protocole IKE (Internet
Key Exchange), la famille de protocoles standards IPSEC, et l’algorithme de chiffrement
AES (Advanced Encryptions Standard). Il faudra également que la solution intègre une
carte de chiffrement matériel pour offrir des performances acceptables si le nombre de
connexions VPN est important.
Chaque utilisateur aura un logiciel client à exécuter sur son ordinateur, ce logiciel
client doit être très simple d'installation et permettra une fois installer de se connecter au
3
réseau d'entreprise depuis n'importe quelle connexion internet (WIFI, ADSL, 3G/4G
...etc.). Toutes les données seront cryptées de bout en bout et transiteront par le
backbone, afin d'assurer la confidentialité des communications.
La solution proposée doit nous permettre de déployer une solution
d’authentification à deux facteurs pour offrir une sécurité renforcée aux utilisateurs
distants et sur site. Il y aura un jeton de mot de passe à usage unique (OTP) facile à
utiliser qui réduit le risque de compromission créé par un systèmes d'authentification à
facteur.
La solution proposée devra jouer le rôle de pare-feu à la périphérie du réseau et
de pare-feu en interne pour le réseau local. En outre une liaison LS sera mise en place
pour assurer la connectivité. Cette approche découlant des recommandations de l’audit
de sécurité et vise à sécuriser les différents segments de réseau en permettant de
prévenir, de détecter et de neutraliser au mieux toutes les menaces informatiques.
La solution proposée doit avoir un pare feu de type next génération pour une
gestion centralisée des menaces externes concernant toutes les couches du modèle OSI
et de l’activité Internet. Il s’agit d’une première protection qui sera déployée à la périphérie
du réseau depuis l’internet c’est à dire derrière le routeur d’interconnexion avec le réseau
de l’opérateur (Orange/ADIE).
Le pare feu devra disposer au minimum huit (8) interfaces physiques dont une pour
l’interconnexion avec le routeur de l’opérateur et les autres raccordées aux différents
segments du réseau.
Pour une gestion efficace de la haute disponibilité, la solution devra inclure une
bascule transparente avec reprise automatique des données de configuration.
La solution couvrira les fonctionnalités suivantes :
Filtrage de contenu : Tous les paquets entrants et sortants du réseau
devront subir une analyse holistique pour s’assurer de leur légitimité. Tous
les ports de communication et protocoles doivent être pris en charge.
4
Antivirus et anti hameçonnage : moteur de protection basé sur les
mécanismes développés par les fournisseurs de solution antivirus.
Protection contre les intrusions (IPS) : Le pare feu devra identifier le
trafic légitime du trafic frauduleux sur la base de signatures sur les attaques
connues et inconnues, les adresses IP potentiellement frauduleuses ou
blacklistées
Accès distants (VPN) : Cette fonctionnalité permettra au personnel en
charge de l’administration et de l’exploitation des applications d’accéder à la
plateforme de manière sécurisée.
Protection contre les programmes malveillants avancés et les
menace persistantes avancées (APT) : Il s’agit d’une couche de
protection contre les injections de code malveillants, les logiciels espions…
Les fonctionnalités :
Filtrage web ;
Filtrage de contenu ;
Antivirus ;
Anti fuite de données (DLP) ;
Système de prévention d’intrusion (IPS) ;
Gestion des accès distants (VPN) ;
Anti malware ;
Gestion administrative via le cloud (service fourni par le
constructeur).
5
Ports 8 Ports GE(Giga Ethernet) Rj45
Les fonctionnalités :
Filtrage web ;
Filtrage de contenu ;
Antivirus ;
Anti fuite de données (DLP) ;
Système de prévention d’intrusion (IPS) ;
Gestion des accès distants (VPN) ;
Anti malware ;
Gestion administrative via le cloud (service fourni par le
constructeur).
6
2. Pare feu pour la segmentation interne du réseau local
La solution doit aussi intégrée un autre pare feu pour protéger le réseau local du
réseau des serveurs(DMZ) et réduire le domaine de diffusion des utilisateurs. Tout le trafic
en entrée et sortie est minutieusement inspecté.
L’objectif est de concevoir une architecture de réseau d’entreprise comprenant une
zone démilitarisée (DMZ), un réseau local et un accès à internet. Ces réseaux seront reliés
ensembles par un serveur linux assurant le routage des paquets. La zone démilitarisée
hébergera des serveurs proposant des services au réseau local ou à internet, comme les
serveurs web, les serveurs de base de données, les serveurs d’application … etc. Le but
est ainsi d’isoler les postes clients (du réseau LAN) de la zone de fourniture de services
(DMZ) et de les protéger contre les attaques provenant des réseaux extérieurs (internet)
véhiculés par les utilisateurs.
D’une manière transparente, ce pare feu agit en tant que proxy mandataire mais
aussi, permet d’avoir en temps réel une visibilité de l’activité du réseau en interne en
phase avec le cycle continue de prévention, de détection et de neutralisation des menaces.
Le pare feu proposé doit intégrer la commutation à haut débit (Ports 10Gbe
intégrés) et fournir un spectre complet de services de sécurité avancée, y compris un
Système de prévention d’intrusion (IPS), la visibilité sur les applications utilisées par les
utilisateurs (légitimes/illégitimes), un antivirus, un anti spam, un Sand box basé sur le
web.
Spécifications techniques minimales :
Mémoire vive 16 GB
7
Type de Licence Complète
Débit 10 Gb/s
8
IV. Conditions de livraison
La livraison des équipements informatiques est à la charge du prestataire dans les
locaux de DSI, conformément à un planning de livraison arrêté avec le Maître d’Ouvrage.
Le prestataire est tenu d'aviser le Maître d’Ouvrage de la date de livraison au moins cinq
(5) jours avant la livraison.
Si les tests sont satisfaisants, il sera alors procédé à la réception provisoire, dans
un délai de sept jours (07 jours) après la fin des travaux d'installation.
V. Conditions de garantie
Le prestataire garantit que tous les équipements (matériels et logiciels) livrés en
exécution du marché sont neufs et sont encore supportés par le constructeur et incluent
toutes les dernières améliorations en matière de conception et de matériaux.
Le prestataire garantit en outre que tous les équipements livrés en exécution du
marché n’auront aucune défectuosité quant à leur conception, aux matériaux utilisés ou
à leur mise en œuvre ou à tout acte ou omission du prestataire. Cette garantie s’étend
sur une période de douze (12) mois pour tous les composants (matériels et logiciels).
Ce délai de garantie commence à courir à partir du lendemain de la date de la
réception définitive prononcée par le Maître d’Ouvrage.
9
procédera en présence du prestataire aux essais de fonctionnement de la manière
suivante :
1. Une vérification des capacités, vitesses, performances et fonctionnalités
annoncées par le prestataire et répondant aux spécifications du cahier de
charges ;
2. Une vérification de la bonne marche de l’ensemble des dispositifs matériels et
logiciels ;
2. Un essai d’exécution des logiciels fournis ;
La réception provisoire sera prononcée si le prestataire a bien rempli ses engagements
contractuels et dès que toutes les vérifications et les essais auront été déclarés
satisfaisants. Au cas où un équipement est rejeté par le comité, le prestataire est tenu
de le remplacer dans un délai de 5 jours à compter de la date de la notification du rejet.
Ce délai ne peut être pris comme une prorogation du délai d’exécution.
10
néanmoins la réception définitive à l’issue de cette période tout en faisant réaliser les
travaux par toute entreprise de son choix aux frais et risque du prestataire.
11
Lorsque le plafond des pénalités est atteint, l’autorité compétente est en droit de
résilier le marché après mise en demeure préalable et sans préjudice de l'application des
mesures coercitives prévues par le CCAG.
X. Modalités de paiement
Pour l’ensemble des prestations, le prestataire sera rémunéré suivant le montant
de son offre toutes taxes et charges comprises. Les règlements seront effectués à 100 %
du montant du montant à la réception provisoire prononcée par le Maître d'ouvrage et sur
production du PV de réception provisoire.
Total HTVA
TVA (18%)
Total TTC
12