Afin de se conformer aux exigences de l’Etat en matière de sécurité des systèmes d’information, le CNCC sollicite l'assistance d'un cabinet externe pour l’accompagner dans cette démarche au travers de la réalisation d’un audit de sécurité de son système d’information. Cet audit permettra de mener une évaluation approfondie dont les objectifs seront de :

• Ressortir l’état du système d’information en toute objectivité et indépendance dans le respect des clauses de confidentialité et de non divulgation ;
• Analyser des risques qui pèsent sur le CNCC ;
• Déceler les failles de sécurité et proposer des solutions correctives à court, moyen et long terme ;
• Evaluer la robustesse des moyens de protection mis en place pour sécuriser le système d’information.
• Etablir des scénarii de réduction des risques ;
• Proposer un plan de mise en œuvre des recommandations dont l’objectif est de permettre au CNCC d’être résilient aux risques de sécurité de toute nature ;
• Mettre en œuvre les jalons d’un système de contrôle interne efficace et performant intégrant toutes les autres fonctions d’assurance.

Le Directeur Général du Conseil National des Chargeurs du Cameroun (CNCC) lance un Appel à Manifestation d’Intérêt pour la pré qualification des cabinets en vue de l’audit du système d’information du CNCC.

La présente mission a pour objet :

• D’Identifier les forces et les faiblesses du Système d’Information du CNCC ;
• De poser un diagnostic et une analyse des risques de sécurité Système d’Information du CNCC ;
• De proposer des recommandations permettant de traiter les risques identifiés et d’optimiser la sécurité du Système d’Information du CNCC.

Le principal résultat attendu à la fin de cette mission est un rapport d’audit de sécurité du système d’information du CNCC dont les composantes essentielles pourront être :

• l’audit organisationnel du système d’information du CNCC ;
• le diagnostic environnemental et physique du Système d’Information du CNCC ;
• l’évaluation de l’infrastructure et des services informatiques du CNCC ;
• l’analyse approfondie des contraintes légales et règlementaires dans le Système d’Information du CNCC ;
• le rapport de la mission d’audit renfermant tous les travaux de test et d’analyse effectués, ordonnant les failles et risques suivant leur niveau de criticité et assorti des moyens de les combler à l’immédiat, à court, à moyen terme et long terme.
• le plan d’actions correctives à mettre en œuvre à l’immédiat, à moyen et à long terme.

Méthodologies à mettre en œuvre

-          PCI DSS V3 ;

-          Norme ISO 20000 ;

-          Norme ISO/IEC 27001 ;

-          Norme ISO/IEC 27002 ;

-          Norme ISO/IEC 27005 ;

-          Owasp Testing Guide ;

-          Itaf ;

-          Le « Référentiel d’audit de sécurité des systèmes d’information » de l’ANTIC ;

-          Loi N°2010/012 relative à la cyber sécurité et à la cybercriminalité au Cameroun ;

-          Ebios;

-          Mehari;

-          Cobit 5 ;

-          Fair.

-          Outil pour les audits techniques

-          Owasp;

-          Wireshark ;

-          Nmap ;

-          Nessus ;

-          Netsparker ;

-          Network security auditor.

Livrables

Les livrables de la mission d’audit de sécurité du système d’information du CNCC :

• Livrable 0 : Le planning et la méthodologie à employer pour réaliser la mission ;
• Livrable 1 : Le Rapport d’audit de sécurité Système d’Information du CNCC ;
• Livrable 2 : Le Plan de Mise en œuvre des recommandations de l’audit de sécurité.

Le délai d'exécution est de deux (02) mois

La participation au présent Appel à Manifestation d’Intérêt est ouverte aux entreprises de droit camerounais installées au Cameroun et justifiant des capacités, compétences et expertise avérées dans le domaine. Elles devront également justifier d’un agrément délivré par l’ANTIC pour la réalisation des audits de sécurité des systèmes d’informations.

L’étude objet du présent Appel à Manifestation d’Intérêt est financée entièrement par le budget du Conseil National des Chargeurs du Cameroun (CNCC), exercice 2023.

Les offres rédigées en français ou en anglais en deux (02) exemplaires, dont  un (01) original et une (01) copie marquées comme telles, seront déposées à la Direction Générale du Conseil National des Chargeurs du Cameroun, au plus tard le

31 Août 2023 à 13h00, et devront porter la mention : 

APPEL À MANIFESTATION D’INTÉRÊT

N°02/AMI/CNCC/CIPM/2023 DU 10 AOÛT 2023

POUR L'AUDIT DU SYSTEME D'INFORMATION du CONSEIL NATIONAL

DES CHARGEURS DU CAMEROUN (CNCC)

« A N’OUVRIR QU’EN SEANCE DE DEPOUILLEMENT »

a)    Pièces administratives :

-       La Lettre de soumission;

-       Le certificat de non exclusion de l’ARMP relatif à l’Appel à Manifestation d’Intérêt N°03/AMI/CNCC/CIPM/2023 du 09 Août 2023 pour l’audit du système d’information du CNCC; 

-       L’attestation de non redevance des impôts datant de moins de trois(03) mois ;

-       L’attestation d’immatriculation accompagnée d’un plan de localisation.

b)    Dossier technique :

-      Qualification du cabinet

• Expérience générale sur des projets exécutés dans le management de la sécurité des systèmes d’informations (élaboration des politiques de sécurité des SI, réalisation des audits de sécurité des SI, renforcement des capacités en sécurité des systèmes d’information) au cours des cinq(05) dernières années (2018, 2019, 2020, 2021 et 2022) à justifier par trois contrats enregistrés (1er et dernière page, PV de réception) ;

• Expérience spécifique sur les projets exécutés sur l’audit des systèmes d’information avec une entité publique ou parapublique au cours des cinq(05) dernières années (2018, 2019, 2020, 2021 et 2022)  à justifier par 1 contrat enregistré (1er et dernière page, PV de réception).

-      Qualification du personnel

• Un (01) ingénieur de conception chef de mission

• Diplôme: BACC+5 au moins en sécurité des systèmes d’information (justifié par la photocopie du diplôme).
• Certification: Certification CISM ou CISA, Justifié par la photocopie de la certification
• Expérience : Avoir dirigé au moins deux (2) projet dans le management de la sécurité des SI (Elaboration des politiques de sécurité des SI, réalisation des audits de sécurité des SI, ou investigations numériques avec une administration publique ou parapublique) à justifier dans un CV signé et daté
• Années d’expérience: Au moins dix (10) ans d’expérience dans la conduite des opérations d’audit des systèmes d’information, à justifier dans un CV signé et daté

• Un (01) Expert en Sécurité Informatique

• Diplôme: BACC+5 au moins en informatique/télécommunication (justifié par la photocopie du diplôme) ;
• Certification: Certification CISM ou CISA, Justifié par la photocopie de la certification
• Expérience : Au moins deux (02) participations dans des projets de management de la sécurité des Systèmes d’Information (élaboration des politiques de sécurité des Systèmes d’Information, réalisation des audits de sécurité des Systèmes d’Information, ou tout autre projet en sécurité des Systèmes d’Information ) avec des entités publiques ou parapubliques, à justifier dans un CV signé et daté
• Années d’expérience: Huit (08) ans d’expérience au moins en sécurité des Systèmes d’Information, à justifier dans un CV signé et daté

• Un (01) Expert en sécurité des systèmes d’information

• Diplôme: BACC+5 au moins en informatique ou télécoms (justifié par la photocopie du diplôme) ;
• Certification: Certified Ethical Hacking (CEH) ou OSCP, Justifié par la photocopie de la certification
• Expérience : Au moins une (01) participation dans des projets de sécurité informatique, à justifier dans un CV signé et daté
• Années d’expérience: Cinq (05) ans d’expérience en sécurité informatique

-      Compréhension du travail et méthodologie proposées

• Compréhension du travail demandé
• Méthodologie de travail et planning de réalisation

   Critères éliminatoires

Les critères éliminatoires sont les suivants :

-       Offre administrative incomplète au terme d’un délai éventuel accordé ;

-       Fausse déclaration ou pièces falsifiées ;

-       Absence de justificatif d’au moins une expérience dans les prestations exigées dans la grille d’évaluation ;

-       Note de qualification inférieure à 80 points sur 100.

b)    Critèresessentiels

Les critères essentiels sont les suivants :

1-    Compréhension du travail et méthodologie proposées(20 points)

a-   Compréhension du travail demandé (10 points)

b-   Méthodologie de travail et planning de réalisation (10 points)

2-   Qualification du cabinet (50 points)

a-   .Expérience générale (40 points);

b-   Expérience spécifique (10 points).

3-   Personnel du Cabinet (25 points)

c-    Un (01) Ingénieur de conception chef de projet (10 points)

d-   Un (01) Expert en sécurité informatique (10 points)

e-    Un (01) Expert en système d'information (05 points)

Les renseignements complémentaires peuvent être obtenus aux heures ouvrables au Secrétariat du Directeur Général du Conseil National des Chargeurs du Cameroun à Douala, au Centre des Affaires Maritimes, 3ème étage Immeuble IGH. Tél. : 233 43 67 67 Fax : 233 43 70 17, dès publication du présent avis.

GRILLE DE NOTATION