Académique Documents
Professionnel Documents
Culture Documents
Honneur-Fraternité-Justice
MINISTERE DES FINANCES
Termes de référence
--------------------------
Recrutement d’un consultant pour la mise en place d’un Système de
Management de la Sécurité de l’Information (SMSI)
Juillet 2021
1
TERMES DE REFERENCE
(Consultant firme)
pour le recrutement d’un consultant pour la mise en place d’un Système de Management
de la Sécurité de l’Information (SMSI) pour la Direction Générale du Trésor et de la
Comptabilité Publique (DGTCP)
1. Contexte
Le Ministère des finances en XXX dispose de plusieurs systèmes d’information qui gèrent des
processus de haute sensibilité dont (i) Beit El Mal utilisé par la Direction Générale du Trésor et
de la Comptabilité Publique (DGTCP), (ii) Rachad pour la gestion de l’exécution du budget par
la DGB et (iii) JIBAYA pour la gestion des processus fiscaux conduits pas la Direction
Générale des Impôts.
L’enjeu de la sécurité informatique est une priorité absolue pour assurer l’intégrité, la
confidentialité et la disponibilité des données et des services assurés par les solutions utilisées.
C’est dans ce cadre que le Ministère des Finances cherche à mobiliser une consultation
spécialisée pour la mise en œuvre d’un Système de Management de la Sécurité de l’Information
(SMSI) conforme à l’ISO 27001.
La DGTCP) envisage le recrutement d’un consultant firme (Cabinet) pour la mise en place d’un
Système de Management de la Sécurité de l’Information (SMSI).
2
De façon plus spécifique, il s’agira de mettre en place un SMSI en adaptant une démarche
appropriée qui devra produire les livrables attendus ainsi que les mesures techniques et
organisationnelles adéquates permettant d’atteindre les objectifs fixés.
Cette démarche de Management de la sécurité de l’information et du SI devrait permettre
d’atteindre les résultats suivants :
• Renforcer l’assurance de la DGTCP dans la maîtrise de risques.
• Adopter une attitude d’amélioration continue de la sécurité et des performances du SI
au sein de la DGTCP
• Apporter la satisfaction et la confiance attendue aux parties prenantes de la DGTCP
• Remplir les obligations légales et garantir la conformité réglementaire sur les sujets de
la sécurité
• Mobiliser et responsabiliser le management à tous les niveaux.
• Valoriser l’être humain et les compétences autour d’objectif(s) commun(s)
• Donner du sens à chaque collaborateur qui, en retour, participe à l’amélioration
continue
3. Produits attendus
4. Durée de la mission
5. Qualifications du consultant
- Etre titulaire d’un diplôme bac+5 informatique et avoir plus de dix ans d’expériences
- Expérience en audit des systèmes d’information et plus spécifiquement en matière de
sécurité de l’information, certifiés ISO 2700x, CISA ;
- Expérience spécifique en Ethical Hacking et avoir des certifications professionnelles :
CISCO, Fortinet, CEH, CSA, CompTIA Security+… ;
- Expérience spécifique en matière de sécurité des systèmes d’information : avec une
expertise en Audit de sécurité SI, Tests de Pénétration, Investigation Numérique,
Elaboration de politiques de sécurité SI, Assistance à la mise en place de programmes
de sécurité SI ;
- Expérience spécifique en audit des infrastructures de réseaux informatiques,
infrastructures systèmes et infrastructures télécom;
- Avoir plus de dix ans d’expériences
- Avoir une expérience confirmée dans la fourniture des appuis techniques, des conseils
et de renforcement des capacités dans les domaines des finances, de la planification
stratégique et des manuels de procédures administratives et financières ;
3
- Avoir une expérience spécifique dans la maitrise d’œuvre et la mise en place des
systèmes d’information.
- Une expérience en RGCP (Règlementations générales de la comptabilité publique)
constituera un atout considérable.
4
Comment implémenter un SMSI – ISO 27001 ?
5
Les étapes de la mise en place d’un SMSI conforme à la norme ISO
27001
Une entreprise faisant le choix de la mise en conformité à la norme
ISO 27001 de son SMSI devra respecter un certain nombre
d’étapes.
1. Etude d’opportunité
Réaliser un état des lieux des mécanismes de sécurité, identifier les
parties intéressées du SMSI et leurs enjeux, afin de réaliser une
étude d’opportunité de la mise en conformité. Ces éléments sont à
valider obligatoirement par la Direction Générale.
2. Choix du périmètre du SMSI
Définir le périmètre, autrement dit les activités sur lesquelles
s’appliquent le SMSI, et justifier le cas échéant les domaines exclus
de ce périmètre.
3. Déclaration d’intention
Une fois le périmètre choisi, définir la stratégie de la sécurité de
l’information afin d’impulser le projet de mise en conformité. Cette
déclaration d’intention se formalise par la Politique de sécurité
rédigée et signée par la Direction Générale.
4. Démarche d’analyse de risques
L’entreprise doit identifier les risques sur son périmètre. Pour ce
faire, il est nécessaire de choisir une méthode d’évaluation des
risques, adaptée au contexte et aux enjeux de l’entreprise.
5. Objectifs de sécurité
Le plan de traitement des risques doit orienter les objectifs de
sécurité que souhaite atteindre l’entreprise. En effet, en fonction
des risques identifiés, les mesures de sécurité peuvent varier.
Il est dès lors primordial d’organiser des réunions de suivi du
projet afin d’optimiser la mise en place de ces mesures d’une part,
et de garder la direction impliquée d’autre part.
6. Exploitation du SMSI
6
L’ensemble des mesures et processus de sécurité doivent vivre
selon le modèle de la roue de Deming : Plan, Do, Check, Act.
Roue de
Deming : Plan, Do, Check, Act
Ce modèle permet de les optimiser tout au long de leur cycle de vie.
La mise en place du PDCA doit se faire dès leurs définitions.
7. Surveillance du SMSI
7
Un SMSI répondant à toutes les exigences de la norme ISO 27001,
peut se soumettre à l’examen de la certification. Il faut pour cela
prendre contact avec un organisme de certification, qui se chargera
de faire passer l’audit.
Très concrètement, la mise en place d’un SMSI opérationnel est
exposée dans la norme ISO 27001 et repose sur les principes chers au
domaine de la qualité. La démarche, connue sous l’abréviation PDCA,
ou principe de la roue de Deming, vise une amélioration continue du
système par le déploiement de 4 phases :
1. Plan : dans un domaine particulier, on planifie les actions à
mettre en oeuvre. C’est ce que vous avez fait lors de l’élaboration
de la PSSI.
2. Do : la phase suivante consiste à passer à l’action, c’est la phase
opérationnelle qui permet d’avancer vers la cible fixée
précédemment.
3. Check : cette étape consiste à évaluer les écarts entre les 2
premières phases.
4. Act : cette phase permet de combler les écarts par des actions
correctives.
Phase 1 : Plan
L’objectif de cette première étape est de poser les bases d’un SMSI opérationnel. Si
on se réfère au document de référence (la norme ISO 27001), il s’agit de :
Comme nous l’avons vu dans la partie 2, dans cette phase, le rôle du RSSI est une
place de maître d’ouvrage.
Phase 2 : Do
Globalement, l'objectif de cette étape est la mise en place de mesures évoquées dans
la phase précédente. Il s’agit de déployer la sécurité de manière opérationnelle.
8
Vous l’avez déjà certainement compris, sans surprise, la phase 2 de mise en place
d’un SMSI reprend les grandes lignes du plan d’action sécurité de la PSSI.
Néanmoins, la mise en place d’un SMSI, au sens de la norme ISO 27001, élargit le
périmètre d’application en complétant le plan d’action :
Phase 3 : Check
Cette étape est la phase centrale de la démarche PDCA. Elle vise à mettre en œuvre
les moyens nécessaires pour mesurer la conformité des exigences de
sécurité avec le cahier des charges de référence que constitue la norme ISO
270001.
Cet aspect a déjà été abordé lors de l’élaboration de la PSSI : le rôle du RSSI est
de vérifier la bonne application des exigences afin que la cible définie soit atteinte
le plus efficacement et le plus rapidement possible.
Concrètement, pour mesurer les écarts entre les mesures prises et le niveau de
référence, le RSSI peut réaliser (ou proposer de réaliser) :
9
scénarios sont possibles : si l'urgence le justifie, on peut le faire sur-le-champ. Sinon,
à la prochaine échéance de revisite.
Son objectif est de disposer à tous niveaux décisionnels d’un document synthétique
de référence qui offre un panorama technique, fonctionnel et organisationnel de
la prise en compte de la SSI.
Le tableau de bord peut également servir dans les phases d’audit pour mesurer le
niveau de la prise en compte de la SSI.
Dans cette étape, le rôle du RSSI est orienté maîtrise d’ouvrage. Il définit les lignes
directrices des opérations nécessaires à l’amélioration des mesures en fonction des
risques identifiés, de la veille réglementaire et technique qu’il effectue, et des retours
d’expérience des parties prenantes au SMSI.
10