Dans le cadre de la dématérialisation des procédures et de la digitalisation de ses services, les pouvoirs publics à travers la Direction Générale des Douanes du Ministère des Finances ambitionnent d'améliorer la qualité de service fourni aux usagers. Pour cela, il est envisagé de mettre en place des infrastructures et des équipements modernes permettant de capitaliser les acquis en intégrant l'ensemble des aspects de la sécurité afin de s'adapter à l’évolution technologique et répondre de façon optimale aux attentes du public et des usagers. Cette initiative se traduit par la gestion de la sécurité des actifs informationnels de la Direction Générale des Douanes, l’élaboration de la mise en œuvre d’une stratégie de sécurité informatique, des procédures de sécurité et l’élaboration des tableaux de bords permettant d'assurer les échanges et le flux d'informations entre les différentes unités douanières.
Il s'agit de mettre en place, par son architecture, ses équipements et son mode organisationnel répondant aux normes et standards internationaux. A cet effet, il devra concourir à l'accroissement des performances douanières et à l'amélioration de la qualité du service sur toute l'étendue du territoire national. De plus, la Douanes s’est engagée dans le sillage du MINFI de mettre sur pied un SMSI (Système de Management de la sécurité de l’information) conformément à la norme ISO 27001 :2013 sur une période de 3 ans. Cette mise aux normes de son système d’information nécessite le recrutement des experts dans le domaine qui vont accompagner l’Administration des Douanes dans le processus de mise en conformité.
Les objectifs du présent Avis à Manifestation d'Intérêt sont :
- Identification des écarts entre la situation actuelle du système d’information et la norme ISO27001 :2013 ;
- Identification des failles et des vulnérabilités techniques qui pèsent sur le système d’information de la Douane ;
- La sensibilisation à la sécurité du personnel Douanier et des partenaires ;
- la sensibilisation à la sécurité des organismes de souveraineté aux fins de sécuriser le dédouanement ;
- le toilettage des utilisateurs des différentes applications métiers ;
- la protection des informations ;
- l’intégrité des données ;
- disponibilité et fiabilité du système ;
- la veille et la sécurisation des applications métiers et l’audit des applications pour le compte de la Direction Générale des Douanes.
II-1- Objectifs Généraux
Les objectifs généraux de la mission sont :
· L’initiation du processus de mise en conformité de la Direction Générale des Douanes, le lancement du processus de gestion de la sécurité des actifs informationnels ;
· L’obtention du niveau de sécurité actuel de la Douane par rapport au standard de sécurité ISO 270001 et la proposition des mesures correctives ;
· L’élaboration de la mise en œuvre d’une stratégie et des procédures de sécurité informatique ;
· La détection des failles et des menaces sur le système d’information des Douanes ;
II-2- Objectifs Spécifiques
Ils s’exécutent au quotidien, au travers des activités ci-après :
· La sensibilisation à la sécurité du personnel Douanier et des partenaires ;
· L’audit du système d’information de la Douane et d’avoir les mesures correctives afin de sa mise en conformité ;
· La sensibilisation à la sécurité des organismes de souveraineté aux fins de sécuriser le dédouanement ;
· Le toilettage des utilisateurs des différentes applications métiers ;
· La définition et l’analyse de l’utilisation des profils des personnels Douaniers dans les différentes applications ;
· La veille et la sécurisation des applications métiers (réseau et autres infrastructures);
· L’audit des applications.
Cette mission s’étendra essentiellement sur deux volets :
1- Pour l’Expert ISO27001 et Expert auditeur de :
ü Soutenir la Direction Générale des Douanes dans le processus de mise en œuvre d’un SMSI (Système de Management de la Sécurité de l’Information) conformément à la norme ISO 27001 :2013 ;
ü Réaliser un diagnostic annuel pour évaluer la situation actuelle (situation du SMSI par rapport aux exigences de la norme ISO 27001 :2013) sur les aspects suivants :
- Organisation de la sécurité des SI (déterminer les mesures nécessaires pour l’établissement d’un cadre de gestion de la sécurité en interne et traiter de tous les aspects contractuels liés à la sécurisation de l’accès par des tiers (clients, sous-traitants, …) au système d’information)
- Relation avec les fournisseurs (garantir la protection des actifs accessibles aux fournisseurs, maintenir un niveau convenu de sécurité de l'information et de prestations de services conformément aux accords conclus avec les fournisseurs)
- Gestion des incidents (souligner la nécessité de mettre en place des procédures pour la détection et le traitement des incidents de sécurité)
- Continuité de l’activité (décrire des mesures pour la gestion d’un plan de continuité de l’activité visant à réduire le plus possible l’impact sur l’organisme et à récupérer les actifs informationnels perdus notamment à la suite de catastrophes naturelles, d’accidents, de pannes de matériel et d’actes délibérés ou intrusions)
- Conformité (assurer le respect des lois et des réglementations, de la conformité des procédures en place au regard de la politique de sécurité et enfin de l'efficacité des dispositifs de traçabilité et de suivi des procédures, notamment les journaux d'activités, les audits et les enregistrements de transactions.)
- Sécurité des RH (donner les recommandations destinées à réduire le risque d’erreur ou de fraude en favorisant la formation et la sensibilisation des utilisateurs sur les risques et les menaces pesant sur les informations)
- Contrôle des accès (décrire les mesures pour gérer et contrôler les accès logiques aux informations, pour assurer la protection des systèmes en réseau, et pour détecter les activités non autorisées. Cet aspect couvre aussi la sécurité de l’information lors de l’utilisation d’appareils informatiques mobiles et d’équipements de télétravail)
- Gestion des actifs (inventorier et classifier les actifs de la DGD afin de maintenir un niveau de protection adapté)
- Cryptographie (garantir l'utilisation correcte et efficace de la cryptographie en vue de protéger la confidentialité, l'authenticité et ou l'intégrité de l'information)
- Sécurité physique et environnementale (protéger les locaux de la DGD contre les accès non autorisés et les menaces extérieures et environnementales ainsi que protéger les matériels (emplacement, maintenance, alimentation électrique)
- Sécurité liée a l’exploitation (S'assurer de l'exploitation correcte et sécurisée des moyens de traitement de l'information)
- Sécurité des communications (Garantir la protection de l’information sur les réseaux et des moyens de traitement de l’information sur lesquels elle s’appuie)
- Acquisition, maintenance et développement des systemes d’information (proposer les mesures pour veiller à ce que la sécurité fasse partie intégrante des systèmes d’information. Cet aspect traite aussi des mesures visant à prévenir la perte, la modification ou la mauvaise utilisation des informations dans les systèmes d'exploitation et les logiciels d'application et enfin à protéger la confidentialité, l’authenticité ou l’intégrité de l’information par des moyens cryptographiques)
ü A l’issu de l’audit de conformité, déterminer les objectifs et les exigences en termes de sécurité de l’information conformément aux exigences de la norme ISO 27002 : 2013 et les bonnes pratiques suggérées par la norme ISO 27002 pour le management et la gouvernance du SMSI ;
ü Assister la Direction Générale des Douanes dans le processus d’évaluation et de revue périodique de la politique de sécurité et émettre des suggestions de changement ;
ü Fournir l’encadrement (conseils, opinions, orientations, normes, bonnes pratiques) dans le domaine de la sécurité à la structure en charge de la sécurité (la Cellule de Sécurité) ;
ü Proposer un plan d’action détaillé de mise en œuvre du SMSI.
2- Pour l’Expert des systèmes d’information et analyste de sécurité de :
ü Procéder aux analyses de sécurité des réseaux ;
ü Réaliser des analyses de vulnérabilité sur le site et les applications web ;
· Examiner la sécurité physique ;
· Vérifier les erreurs humaines et les mauvaises configurations ;
· Faire des scans de vulnérabilité avec les outils suivants : Nessus, Nmap, Acunetix, GFI languard ;
· Prioriser les vulnérabilités ;
· Appliquer les résultats du scan au contexte technologique et économique.
· Effectuer la collecte d’informations à l’aide de l’outil OSINT pour confirmer les vulnérabilités trouvées ;
· Faire un rapport d’analyse.
ü Identifier les vulnérabilités des systèmes d’information et analyse de sécurité sur les nouvelles technologies avant leur implémentation en utilisant les moyens suivants :
· L’évaluation active : elle agit directement sur les hôtes, les services, etc.
· L’évaluation passive : elle se fait en reniflant le réseau pour regarder les éventuelles vulnérabilités.
· L’évaluation externe : elle se fait depuis l’extérieur du réseau.
· L’évaluation interne : elle se fait à l’intérieur du réseau.
· L’évaluation basée sur l’hôte : elle se fait sur un hôte spécifique (serveur web, serveur de base de données, etc.)
· L’évaluation d’un réseau : c’est le fait d’analyser directement la sécurité d’un réseau pour identifier les failles.
· L’évaluation d’une application : c’est le fait d’évaluer les vulnérabilités d’une application sur un serveur par exemple.
· L’évaluation d’un réseau sans fil : elle se fait sur le réseau sans fil.
ü Proposer des correctifs et solutions de manière priorisée à chaque faille identifiée ;
ü Rédiger le plan de sensibilisation annuel ;
ü Faire la sensibilisation à la sécurité informatique ;
ü Participer aux réunions de l’équipe opérationnelle et au comité de sécurité de la Direction Générale des Douanes.
IV- LIVRABLES
Les livrables attendus des Experts sont :
1- Pour l’Expert ISO 27001 et Expert auditeur :
- Les rapports trimestriels des réunions (équipe opérationnelle, comité de sécurité, Cellule de Sécurité Informatique) ;
- Un (01) rapport de diagnostics de la situation actuelle du système d’information par rapport à la norme avec les recommandations ;
- Les documents de présentation des exigences de la norme en fonction de l’évolution de l’implémentation du SMSI ;
- Le rapport annuel d’évaluation de la PSSI ;
- Le rapport de sensibilisation à la cyber sécurité ;
- Le plan d’action de mise en œuvre du SMSI.
2- Pour l’Expert des systèmes d’information et analyste de sécurité :
- Deux (02) rapports d’analyse de sécurité ;
- Deux (02) rapports d’analyse de vulnérabilité sur toutes les applications et le site web ;
- Deux (02) rapports de veille de sécurité sur les logiciels utilisés ;
- La liste de correctifs à appliquer pour chaque logiciel ;
- Un plan de sensibilisation ;
- Les rapports de sensibilisations ;
- Les rapports des réunions.
V- DUREE DE LA MISSION ET COUT DE LA PRESTATION
La durée prévisionnelle de la mission est estimée à un (01) an.
VI- PROCEDURE DE SELECTION
Les consultants seront sélectionnés suivant la procédure définie par les articles 117 et 118 du décret n° 2018/366 du 20 juin 2018 portant Code des Marchés Publics relativement aux modalités de recrutement des consultants individuels.
Le dossier technique sera évalué sur 100 points et selon les critères ci-après :
- Qualification et compétence du candidat : 40 points ;
- Expérience du candidat et pertinence pour la mission : 25 points,
- Matériel et logistique de travail : 10 points,
- Conformité du plan de travail, méthodologie d'exécution de la mission : 25 points.
A- EXPERIENCE DES EXPERTS
Pour participer à cette mission : (qualifications communes)
- Être un expert en sécurité informatique ayant une expérience avérée dans la sécurité informatique ;
- Être de nationalité camerounaise ;
- Avoir au moins cinq (05) ans d’expérience ;
- Avoir cinq (05) années d’expérience professionnelle en sécurité informatique
- Avoir une bonne expérience (justifier d'au moins trois (03) contrats) dans les missions similaires, d’audit ou d’analyse de sécurité ;
- Être ingénieur de conception (Baccalauréat +5).
En plus des qualifications communes, l’Expert en sécurité devra :
- Avoir des certifications dans le domaine de la sécurité : être certifie ISO 27001LI depuis au moins 5 ans ;
- Être certifié ISO27005 ;
- Avoir une certification dans la gestion des projets.
Pour l’Analyste de Sécurité :
- Être certifié dans les technologies Windows depuis au moins 5 ans ;
- Avoir des références en tant qu’ingénieur informaticien dans des missions de consistance et d’importance similaires ;
B- Références dans les domaines similaires ou de l’audit :
Elle consiste à présenter les pièces justificatives dans les missions de prestations similaires.
C- Présentation du dossier :
· Présentation (intercalaires, couverture, reliure, etc.)
· Lisibilité des documents présentés :
· Respect des formulaires (CV, etc.) :
La note de requalification est de 80/100.
Le financement de la mission sera assuré par la Redevance Informatique, Exercice 2023.
Les plis fermés contenant la manifestation d’intérêt et portant la mention :
« APPEL A SOLLICITATION A MANIFESTATION D’INTERET N°004/ASMI/MINFI/DGD DU 16 MAI 2023 POUR LE RECRUTEMENT DE DEUX (02) EXPERTS EN SECURITE INFORMATIQUE A LA DIRECTION GENERALE DES DOUANES ».
« A N'OUVRIR QU'EN SEANCE DE DEPOUILLEMENT »
doit être une seule enveloppe contenant les volumes 1 et 2 en six (06) exemplaires. Il sera déposé au plus tard le 08 JUIN 2023 à 13 heures à l’adresse suivante :
Direction Générale des Douanes, bâtiment annexe de Tsinga, Direction des Ressources et de la Logistique, Sous-Direction du Budget et du Matériel, 1er étage porte 108.
Les consultants intéressés à manifester leur intérêt pour la réalisation de la mission devront fournir, un (01) dossier technique rédigé en français ou en anglais sept (07) exemplaires dont un (01) original et six (06) copies marquées comme tel, le tout dans une seule enveloppe.
Volume 1 : Dossier administratif
Le dossier administratif et fiscal à jour du consultant (copie certifiée du plan de localisation, attestation d’immatriculation).
Volume 2 : Dossier technique
a) Le CV détaillé signé des Experts ;
b) La copie certifiée du diplôme en sécurité informatique par l’autorité compétente ;
c) Les références et pièces justificatives.