REPUBLIQUE xxxxxxxxxx DE xxxxxxxx

Honneur-Fraternité-Justice
MINISTERE DES FINANCES

Termes de référence
--------------------------
Recrutement d’un consultant pour la mise en place d’un Système de
Management de la Sécurité de l’Information (SMSI)

Juillet 2021

1
 TERMES DE REFERENCE
(Consultant firme)

pour le recrutement d’un consultant pour la mise en place d’un Système de Management
de la Sécurité de l’Information (SMSI) pour la Direction Générale du Trésor et de la
Comptabilité Publique (DGTCP)

1. Contexte

Le Ministère des finances en XXX dispose de plusieurs systèmes d’information qui gèrent des
processus de haute sensibilité dont (i) Beit El Mal utilisé par la Direction Générale du Trésor et
de la Comptabilité Publique (DGTCP), (ii) Rachad pour la gestion de l’exécution du budget par
la DGB et (iii) JIBAYA pour la gestion des processus fiscaux conduits pas la Direction
Générale des Impôts.

L’enjeu de la sécurité informatique est une priorité absolue pour assurer l’intégrité, la
confidentialité et la disponibilité des données et des services assurés par les solutions utilisées.
C’est dans ce cadre que le Ministère des Finances cherche à mobiliser une consultation
spécialisée pour la mise en œuvre d’un Système de Management de la Sécurité de l’Information
(SMSI) conforme à l’ISO 27001.

La DGTCP) envisage le recrutement d’un consultant firme (Cabinet) pour la mise en place d’un
Système de Management de la Sécurité de l’Information (SMSI).

2. Objectif et étendue de la mission du consultant

La Direction Générale du Trésor et de la Comptabilité Publique souhaite mettre en place un

système de management de la sécurité de l’information (SMSI). L’objet de cette prestation sera
de définir un ensemble de politiques concernant la gestion de la sécurité de l’information afin
d’identifier, d’évaluer et de gérer les risques autant en termes d’infrastructures physiques que
de solutions logiciels. Les critères ci-dessous en particulier devront être garantis :
 La confidentialité : protéger l’information des parties non concernées.
 L’intégrité : empêcher la modification de l’information par les personnes qui n’y ont
pas accès.
 La disponibilité : rendre l’information disponible aux personnes autorisées à y accéder.

Pour ce faire, la DGTCP souhaite :

• Réaliser une analyse de risque, définir des objectifs de sécurité et une politique de
sécurité à mettre en œuvre pour atteindre une situation de sécurité cible à la maintenir
dans la durée ;
• Garantir la disponibilité des services essentiels de son Système d’Information, même en
cas de crises ou de perturbations l’affectant ;
• Couvrir les risques pesant sur le SI et Renforcer l’organisation interne pour soutenir la
démarche de sécurisation du SI
• Mettre en œuvre une démarche ISO 27001 et s’aligner sur les bonnes pratiques
internationales.

2
De façon plus spécifique, il s’agira de mettre en place un SMSI en adaptant une démarche
appropriée qui devra produire les livrables attendus ainsi que les mesures techniques et
organisationnelles adéquates permettant d’atteindre les objectifs fixés.
Cette démarche de Management de la sécurité de l’information et du SI devrait permettre
d’atteindre les résultats suivants :
• Renforcer l’assurance de la DGTCP dans la maîtrise de risques.
• Adopter une attitude d’amélioration continue de la sécurité et des performances du SI
au sein de la DGTCP
• Apporter la satisfaction et la confiance attendue aux parties prenantes de la DGTCP
• Remplir les obligations légales et garantir la conformité réglementaire sur les sujets de
la sécurité
• Mobiliser et responsabiliser le management à tous les niveaux.
• Valoriser l’être humain et les compétences autour d’objectif(s) commun(s)
• Donner du sens à chaque collaborateur qui, en retour, participe à l’amélioration
continue

3. Produits attendus

Le consultant s’engage à soumettre les trois (3) livrables :

 Un rapport de diagnostic des Systèmes d’Information et Analyse écarts SMSI
 Un rapport sur la stratégie SMSI et élaboration des politiques et procédures SMSI
 Un rapport sur l’implémentation du SMSI :

4. Durée de la mission

La mission du consultant s’effectuera sur la durée de quatre (4) mois.

5. Qualifications du consultant

La mission sera confiée à un consultant spécialisé en audit et sécurité des systèmes

d’information qui aura le profil suivant :

- Etre titulaire d’un diplôme bac+5 informatique et avoir plus de dix ans d’expériences
- Expérience en audit des systèmes d’information et plus spécifiquement en matière de
sécurité de l’information, certifiés ISO 2700x, CISA ;
- Expérience spécifique en Ethical Hacking et avoir des certifications professionnelles :
CISCO, Fortinet, CEH, CSA, CompTIA Security+… ;
- Expérience spécifique en matière de sécurité des systèmes d’information : avec une
expertise en Audit de sécurité SI, Tests de Pénétration, Investigation Numérique,
Elaboration de politiques de sécurité SI, Assistance à la mise en place de programmes
de sécurité SI ;
- Expérience spécifique en audit des infrastructures de réseaux informatiques,
infrastructures systèmes et infrastructures télécom;
- Avoir plus de dix ans d’expériences
- Avoir une expérience confirmée dans la fourniture des appuis techniques, des conseils
et de renforcement des capacités dans les domaines des finances, de la planification
stratégique et des manuels de procédures administratives et financières ;

3
- Avoir une expérience spécifique dans la maitrise d’œuvre et la mise en place des
systèmes d’information.
- Une expérience en RGCP (Règlementations générales de la comptabilité publique)
constituera un atout considérable.

4
 Comment implémenter un SMSI – ISO 27001 ?

En un mot, un SMSI peut se définir comme un jeu d’outils,

de documents et de méthodes, qui vise à fixer et
à appliquer une politique de sécurité de l’information adaptée
au besoin d’une entreprise
Les enjeux de la norme ISO 27001
La vie d’un système d’information est par essence vulnérable et
exposée à des menaces. La question de la certification de son
Système de Management de la Sécurité de l’Information (SMSI),
sur les standards d’une norme de sécurité peut donc se poser… Il
est nécessaire de bien distinguer la différence entre la mise en place
d’un SMSI et sa certification (notamment à l’ISO 27001).
Le SMSI est un outil d’amélioration continue de la sécurité de
l’information. Son but est de garantir la bonne maitrise des risques
majeurs d’un organisme afin de gagner ou maintenir la confiance
des clients et des partenaires.
La norme ISO 2700X apparaît comme le cadre le plus pertinent
pour ce faire, elle recouvre la notion de SMSI et un panel de
bonnes pratiques de sécurité reconnues (ISO 27002).
Il faut souligner que si la mise en conformité d’un SMSI à la norme
ISO 27001 assure un bon niveau de sécurité à un instant T, ne pas
le certifier peut constituer des lacunes dans son maintien,
son suivi et son amélioration continue. En effet, l’organisme se
trouve dans ce cas autonome et la bonne vie du SMSI repose sur sa
seule bonne volonté et son sérieux.

5
Les étapes de la mise en place d’un SMSI conforme à la norme ISO
27001
Une entreprise faisant le choix de la mise en conformité à la norme
ISO 27001 de son SMSI devra respecter un certain nombre
d’étapes.
1. Etude d’opportunité
Réaliser un état des lieux des mécanismes de sécurité, identifier les
parties intéressées du SMSI et leurs enjeux, afin de réaliser une
étude d’opportunité de la mise en conformité. Ces éléments sont à
valider obligatoirement par la Direction Générale.
2. Choix du périmètre du SMSI
Définir le périmètre, autrement dit les activités sur lesquelles
s’appliquent le SMSI, et justifier le cas échéant les domaines exclus
de ce périmètre.
3. Déclaration d’intention
Une fois le périmètre choisi, définir la stratégie de la sécurité de
l’information afin d’impulser le projet de mise en conformité. Cette
déclaration d’intention se formalise par la Politique de sécurité
rédigée et signée par la Direction Générale.
4. Démarche d’analyse de risques
L’entreprise doit identifier les risques sur son périmètre. Pour ce
faire, il est nécessaire de choisir une méthode d’évaluation des
risques, adaptée au contexte et aux enjeux de l’entreprise.
5. Objectifs de sécurité
Le plan de traitement des risques doit orienter les objectifs de
sécurité que souhaite atteindre l’entreprise. En effet, en fonction
des risques identifiés, les mesures de sécurité peuvent varier.
Il est dès lors primordial d’organiser des réunions de suivi du
projet afin d’optimiser la mise en place de ces mesures d’une part,
et de garder la direction impliquée d’autre part.
6. Exploitation du SMSI
6
L’ensemble des mesures et processus de sécurité doivent vivre
selon le modèle de la roue de Deming : Plan, Do, Check, Act.

Roue de
Deming : Plan, Do, Check, Act
Ce modèle permet de les optimiser tout au long de leur cycle de vie.
La mise en place du PDCA doit se faire dès leurs définitions.
7. Surveillance du SMSI

Le SMSI constitue alors un ensemble complexe vivant dont il

faut mesurer la « santé », et lorsqu’il est nécessaire, le « soigner ».
Ceci doit se traduire de manière pratique par :
Un audit interne ;
L’application des éventuelles actions correctives des non-
conformités détectées ;
Une revue de direction afin de consolider les évènements passés et
dessiner les directions actuelles et futures pour son SMSI ;
Un audit blanc si l’audit de certification est prévu dans le planning.
8. Certification (étape optionnelle)

7
Un SMSI répondant à toutes les exigences de la norme ISO 27001,
peut se soumettre à l’examen de la certification. Il faut pour cela
prendre contact avec un organisme de certification, qui se chargera
de faire passer l’audit.
Très concrètement, la mise en place d’un SMSI opérationnel est
exposée dans la norme ISO 27001 et repose sur les principes chers au
domaine de la qualité. La démarche, connue sous l’abréviation PDCA,
ou principe de la roue de Deming, vise une amélioration continue du
système par le déploiement de 4 phases :
1. Plan : dans un domaine particulier, on planifie les actions à
mettre en oeuvre. C’est ce que vous avez fait lors de l’élaboration
de la PSSI.
2. Do : la phase suivante consiste à passer à l’action, c’est la phase
opérationnelle qui permet d’avancer vers la cible fixée
précédemment.
3. Check : cette étape consiste à évaluer les écarts entre les 2
premières phases.
4. Act : cette phase permet de combler les écarts par des actions
correctives.

Les 4 phases de la démarche PDCA selon la norme 27001

Phase 1 : Plan
L’objectif de cette première étape est de poser les bases d’un SMSI opérationnel. Si
on se réfère au document de référence (la norme ISO 27001), il s’agit de :

 définir la politique et et de cadrer le périmètre du SMSI ;

 Apprécier les risques et leur traitement des risques ;
 choisir les mesures de sécurité adéquates pour maîtriser les risques.
Vous l’aurez deviné, ces étapes correspondent aux premiers pas de l’élaboration de la
PSSI, comme nous l'avons vu dans la partie 2 ! En fait, la mise en place d’un SMSI est
initiée par un document qui cadre la politique.

Comme nous l’avons vu dans la partie 2, dans cette phase, le rôle du RSSI est une
place de maître d’ouvrage.

Phase 2 : Do
Globalement, l'objectif de cette étape est la mise en place de mesures évoquées dans
la phase précédente. Il s’agit de déployer la sécurité de manière opérationnelle.

8
Vous l’avez déjà certainement compris, sans surprise, la phase 2 de mise en place
d’un SMSI reprend les grandes lignes du plan d’action sécurité de la PSSI.
Néanmoins, la mise en place d’un SMSI, au sens de la norme ISO 27001, élargit le
périmètre d’application en complétant le plan d’action :

 tout d’abord, des indicateurs clés de performances ou de pilotage sont

attachés à chaque mesure, afin d’évaluer leur efficacité et leur conformité. Ce
processus n’est pas aisé. Toutefois, la norme ISO 27004 propose une
méthodologie pour guider leur élaboration ;
 ensuite, la norme 27001 préconise d’inscrire dans le marbre une formation de
sensibilisation des personnels de l’entreprise aux enjeux de la SSI. Cela
tombe bien, il s’agit d’un des thèmes abordés dans la PSSI !
Dans cette phase, la place du RSSI est orientée vers du conseil. Son rôle est aussi
de se placer en assistance à maîtrise d’œuvre, pour accompagner le
changement au sein des équipes projet.

Phase 3 : Check
Cette étape est la phase centrale de la démarche PDCA. Elle vise à mettre en œuvre
les moyens nécessaires pour mesurer la conformité des exigences de
sécurité avec le cahier des charges de référence que constitue la norme ISO
270001.

Cet aspect a déjà été abordé lors de l’élaboration de la PSSI : le rôle du RSSI est
de vérifier la bonne application des exigences afin que la cible définie soit atteinte
le plus efficacement et le plus rapidement possible.
Concrètement, pour mesurer les écarts entre les mesures prises et le niveau de
référence, le RSSI peut réaliser (ou proposer de réaliser) :

 Des audits internes planifiés à l’avance ou des contrôles inopinés. Leur

objectif est de déterminer, grâce aux indicateurs précédents, l’écart entre la
norme et le SMSI mis en place. Pour les réaliser, le RSSI peut procéder en 3
étapes :
1. Mettre en place une procédure de feedback (on parle aussi de retour
d’expérience ou de lessons learned) qui permet à chaque responsable de faire
part des changements dans son périmètre.
2. Évaluer les impacts sur la version actuelle de la PSSI.
3. Animer une réunion de direction pour entériner les changements.
 Des audits de maturité du SI qui visent à déterminer les enjeux liés au
système d'information de l’organisme, de mesurer l'écart entre ce qui devrait
être fait et ce qui est fait, et d'expliquer les actions à mettre en œuvre pour
gérer la SSI de manière adéquate. L’ANSSI propose d’ailleurs un guide
méthodologique pour les réaliser. L’ISO 27002 peut également constituer une
base solide.
 Des campagnes de tests d’intrusion ou des revues de code.
Lors de la phase « Check » de la démarche PDCA, les différentes procédures de
contrôle dépendent également de la culture de l’entreprise, et de son niveau de prise
en compte de la SSI.
N’oubliez pas que la PSSI a été déclinée en un plan d’action pour sa mise en œuvre. Il
convient donc également de mettre à jour cette méthodologie de mise en place. Deux

9
scénarios sont possibles : si l'urgence le justifie, on peut le faire sur-le-champ. Sinon,
à la prochaine échéance de revisite.

Dans ce contexte, le RSSI peut avantageusement compléter les outils nécessaires,

grâce à l’élaboration et à la mise à jour d’un tableau de bord SSI au profit de l’équipe
dirigeante.

Son objectif est de disposer à tous niveaux décisionnels d’un document synthétique
de référence qui offre un panorama technique, fonctionnel et organisationnel de
la prise en compte de la SSI.
Le tableau de bord peut également servir dans les phases d’audit pour mesurer le
niveau de la prise en compte de la SSI.

L'ANSSI en propose une méthodologie d’élaboration. En parallèle de la démarche de

mise en place, ce document propose des indicateurs de différents niveaux :

 stratégique (état d’avancement de la mise en place de la PSSI, par exemple) ;

 fonctionnel (suivi des audits, avancement de la sécurisation des réseaux, par
exemple) ;
 et opérationnel (identification des incidents, suivi des formations de
sensibilisation du personnel).
Phase 4 : Act
Cette dernière phase vise à mettre en place les actions
correctrices, préventives ou d’amélioration pour réduire les dysfonctionnements
relevés dans la phase précédente. Il faut garder en tête que cette démarche en 4
phases vise une amélioration continue du SMSI, pour tendre vers une conformité
maximale aux textes de référence.

Dans cette étape, le rôle du RSSI est orienté maîtrise d’ouvrage. Il définit les lignes
directrices des opérations nécessaires à l’amélioration des mesures en fonction des
risques identifiés, de la veille réglementaire et technique qu’il effectue, et des retours
d’expérience des parties prenantes au SMSI.

10