La modernisation de la gestion du Fond Spécial d’Equipement et d’Intervention Intercommunal (FEICOM) est depuis plusieurs années, un des objectifs majeurs de l’organisme, d’où son inscription dans les différents documents de planifications. En effet, à la suite de plusieurs audits institutionnels, des recommandations fortes avaient été faites à l’équipe de gestion du FEICOM dans ce sens. En vue d’y apporter des solutions, l’entreprise a adopté une approche innovante de management en mettant en place notamment les Systèmes de Management de la Qualité et Environnemental, le Contrôle de Gestion, l’Audit Interne et l’Approche Risques.
Au niveau du Système d’Information (SI), plusieurs outils ont été déployés dès 2015 : l’ERP (Enterprise Ressources Planning) baptisé Axiome Solution FEICOM (ASOFEI), l’interconnexion de la Direction Générale avec les Agences Régionales, la téléphonie IP, la messagerie collaborative, etc.
Dans le souci de garantir la continuité des activités fortement dépendantes de son Système d’Information majoritairement digitalisé, il devient urgent pour le FEICOM de se doter d’un plan de continuité de l’ensemble de ses activités (PCA), afin de garantir la non interruption de ces dernières, celles-ci étant génératrices de valeurs. Le Plan de Reprise sur l’Incident (PRI) qui accompagne le premier, permettra à l’organisme de définir des actions de relance progressive des services informatiques en tenant compte de leur criticité et de nombreux paramètres techniques et organisationnels.
En vue d’y parvenir, le FEICOM a commencé par une étude lui permettant d’évaluer l’impact actuel de la digitalisation sur son fonctionnement. Cette approche offre l’avantage de donner à l’organisme une meilleure lisibilité sur le rapport entre les processus métiers et les outils numériques qui les porte. En plus, il identifie différents scénarios de risques et leur impact sur l’organisme en cas de crise ou de sinistre. Ces éléments servent d’entrée au processus d’élaboration du PCA/PRI.
 Cette étude préalable étant faite, le FEICOM souhaiterait passer à l’étape suivante relative à l’élaboration des outils cités supra. Dans ce sens, il est envisagé le recrutement d’un consultant individuel, expert en la matière pour accompagner l’organisme dans cette phase du projet.

A travers l’élaboration d’un plan de continuité d'activité (PCA) et d’un Plan de Reprise sur Incident (PRI), le FEICOM a pour objectif de décliner une stratégie et un ensemble de dispositions pour garantir la reprise et la continuité de ses activités à la suite d'un sinistre ou d'un événement perturbant gravement son fonctionnement. La finalité ici étant de réduire au maximum l’impact d’une crise liée au SI sur la mise en œuvre des missions de l‘organisme.  Ceci peut se traduire par les objectifs spécifiques suivants :
-    Définir une stratégie de continuité des services et de reprise, sur la base des résultats de l’étude d’impact sur l’activité réalisée précédemment.  
-    Proposer un ensemble d’outils et de procédures visant à garantir, en cas de sinistre, la disponibilité des activités majeures du FEICOM.
-    Définir les architectures d’infrastructure et applicatives optimales pour la reprise et la continuité des services.
-    Proposer un ensemble d’outils et de procédures à suivre afin de redémarrer le système informatique dans les meilleurs délais, et avec le minimum de perte de données, suite à un sinistre.
-    Sensibiliser et former les différents acteurs aux outils implémentés.
-    Transférer les compétences aux personnels de la CSI qui devront assurer le relais.

D’un point de vue opérationnel, les résultats suivants sont attendus de la mise en place du présent projet.
•    Un meilleur alignement du SI sur les éléments de contexte de l’organisme : par la description des objectifs et des obligations de l’entreprise, dont va découler la liste des activités essentielles pour les accomplir. Cette liste s’accompagne des différents processus nécessaires au fonctionnement desdites activités.
•    Une approche méthodologique et structurée de réponse aux risques les plus critiques : le PCA/PRI permet d’identifier quels sont les risques les plus graves pour la continuité des activités essentielles, accompagnés de plusieurs scénarios quant à leur survenance.
•    L’identification des rôles et responsabilités en cas de crise : le PCA/PRI met en place une organisation qui identifie les différentes personnes responsables, leur rôle et les procédures de la mise en œuvre du PCA, accompagnés des moyens associés pour pouvoir l’exécuter.
•    Une meilleure gestion de crise : l’opérationnalisation du PCA/PRI permet de définir les procédures de détection d’incident, de qualification, d’escalade, d’alerte, de mobilisation ou encore d’activation de la cellule de crise ainsi que des seuils de déclenchement des mesures du PCA et la communication associée.
•    La maintenance opérationnelle du PCA/PRI permet de maintenir l’entreprise en éveil.
Au niveau stratégique la mise en place d’un PCA/PRI contribuera à la performance du FEICOM à plus d’un titre :
•    Au niveau financier : le maintien des résultats financiers, l’anticipation de nouvelles dépenses induites par les crises ;
•    Au niveau de la relation client : le maintien de la confiance des clients et des partenaires, ainsi que des donneurs d’ordres et autres parties intéressées ;
•    Au niveau de la conformité : le respect des obligations légales et contractuelles ;
•    Au niveau de l’image et de la responsabilité : le PCA/PRI est une preuve de bonne gouvernance qui va accroître la visibilité de l’organisme et maintenir la confiance auprès des parties prenantes.

La présente mission devra être exécutée dans un délai de cent vingt (120) jours ouvrés. Ces délais sont automatiquement suspendus durant les phases de validation des livrables.
 Des ordres de service seront notifiés par l’Ingénieur du Marché à la fin de chaque période. Les rapports provisoires seront produits et validés dans les sept (07) jours suivant la réception et le rapport final dans les quatorze (14) jours maximums.

PROFIL DU CONSULTANT

Les consultants postulants doivent réunir les conditions suivantes :
•    Spécialisation dans la mission :
o    Détenir un agrément à jour de l’Agence Nationale des Technologies de l’Information et de la Communication (ANTIC) pour les audits des SI ;
o    Détenir un agrément à jour des organismes de certification pour la mise en place et l’audit de certification des SI aux normes ISO dans l’un des domaines ci-après :
    Système de Management de la Sécurité de l’Information ;
    Système de Management de la continuité de l'activité ;
    Système de Management de la gestion des Risques de l’Information.
o    Etre un consultant expert dans les domaines suivants : Gouvernance de l’Information, Risques, Gestion de la Sécurité de l’Information, cyber sécurité, enquêtes cybernétiques et stratégie de cyberdéfense.
•    Justifier des qualifications ci-dessous répertoriées :
o    Expérience dans les missions de mise en place de dispositifs de gouvernance SI : justifier de sept (07) ans au moins dans l’élaboration de stratégies, politiques, procédures et manuels dans les domaines de la sécurité de l’information et de la gouvernance des données (présenter justificatifs des projets menés) ;
o    Expérience dans les missions d’implémentation des SMSI : justifier d’au moins 03 missions d’implémentation des Systèmes de Management de la Sécurité de l’Information (SMSI) sur les cinq dernières années ;
o    Expérience dans les missions d’audit des SMSI : justifier d’au moins 03 missions d’audits de sécurité et d’évaluation des risques cybernétiques sur les cinq dernières années ;
o    Expérience dans les missions d’accompagnement ou d’implémentation des PCA/PRI : justifier d’au moins une mission d’implémentation d’élaboration et/ou d’implémentation d’une stratégie Data Protection and Data Recovery, sur les trois dernières années ;
o    Expérience dans les missions de cyber sécurité, cyberdéfenses et enquêtes cybernétiques ; apporter la preuve d’avoir mené au moins trois enquêtes cybernétiques d’envergure (pour une organisation d’au moins 150 employés) dans les deux dernières années ;
o    Qualifications du consultant
    Qualifications pour la mission (au minimum bac +5) en management des organisations, gestion des systèmes d’information, ou tout autre diplôme équivalent (CV détaillé, et copies de diplômes, etc.) ;
    Certifications requises pour la mission, au moins quatre des huit ci-après :
    Une certification ISO 27001 V2022, Lead auditor,
    Une certification ISO 27001 V2022, Lead implementer,
    Une certification ISO 27005 V2018,
    Une certification EC-Council Incident Handling (ECIH V2),
    Une certification EC-Council Computer Hacking Forensic Investigator (CHFI),
    Une certification EDRP V3,
    Une certification CEH (Ethical Hacking),
    Une certification CDPO (Certified Data Protection Officer).

Les prestations objet du présent Avis de sollicitation à manifestation d’intérêt seront financées par le budget du Fonds Spécial d’Equipement et d’Intervention Intercommunale, Exercice 2025.

. MENTION A INSCRIRE :
Les dossiers de manifestation d’intérêt devront parvenir en cinq (05) exemplaires en français ou en anglais, sous pli fermé et scellé, à l’adresse ci-après, au plus tard le07 mars 2025 à 10 heures, avec la mention suivante :
 « AVIS DE SOLLICITATION A MANIFESTATION D’INTERET N°002/ASMI/FEICOM/CIPM/2025                     DU14 février 2025 POUR LE RECRUTEMENT D’UN CONSULTANT INDIVIDUEL EN VUE DE L’ELABORATION D’UN PLAN DU CONTINUITE DE L’ACTIVITE ET D’UN PLAN DE REPRISE SUR INCIDENT IT DU FEICOM – EXERCICE 2025

4.    METHODOLOGIE

L’atteinte des objectifs cités plus haut, se fera par la mise en œuvre d’actions spécifiques, matérialisées par la production de livrables à chacune des étapes.
Ces actions pourraient se présenter en trois principales étapes que sont l’élaboration du plan de continuité de l’activité (PCA), l’élaboration du plan de reprise sur incident (PRI) ainsi que la Formation et le transfert de compétences bau personnel du FEICOM indiqué.





 
#    ACTIVITES    DESCRIPTION    LIVRABLES
ETAPE 1 : Plan de Continuité de l’Activité (PCA)
1    Appropriation et exploitation des éléments de sortie du BIA     Il s’agira d’analyser les livrables du BIA, d’en ressortir les éléments de contexte, identifier les risques, identifier les conséquences sur les activités ainsi que les mesures.     -    Proposition du périmètre du PCA
-    Analyse des exigences vis-à-vis des parties intéressées
-    Cartographie des risques optimisés
-    Mise à jour des livrables du BIA (Objectifs de Points de Récupération (RPO), Objectifs de Temps de Récupération (RTO), etc.)
2    Définition de la stratégie de continuité des activités    Elle permet de formaliser les mécanismes de continuité d’activité pour s’assurer que les activités critiques du périmètre puissent être menées en cas d’incident grave sur la SI.
Elle va permettre de définir un niveau minimal de service acceptable pour la CSI, afin de garantir l’atteintes des objectifs des métiers en cas de dysfonctionnement.     -    Listing des scénarii de risque à mitiger, et plan de réponse correspondant
-    Stratégie de continuité des activités en alignement avec celle de l’organisme et avec les objectifs des processus métiers.
3    Elaboration des outils de mise en œuvre et d’évaluation du PCA    Cette activité va consister à concevoir des outils (techniques, organisationnels, méthodologiques, etc.) pour la mise en œuvre d’u PCA. De même il s’agira d’élaborer des indicateurs d’évaluation, des procédures de tests et des mécanismes d’optimisation du PCA. Enfin des vérifications devront être effectuées pour s’assurer de la conformité réglementaire du PCA (code du travail, règlements sur la propriété intellectuelle, etc.).    -     Procédures et instructions de travail pour la continuité
-    Procédure de gestion de crise (Comité de crise, Rôles et responsabilités des acteurs)
-    Plan de communication de crise
-    Cellule de veille des incidents IT et instructions de travail
-    Proposition d’outils ou de technologies adaptés à l’environnement technique du FEICOM et aux exigences normatives.
ETAPE 2 : Plan de Reprise sur Incident (PRI)
4    Définition de la stratégie de Reprise sur Incidents    Elle permet de formaliser les mécanismes de fonctionnement en modes dégradés et de reprise technique, d’identifier au préalable les priorités, de définir le niveau de service à restaurer et les délais associés. Elle va également permettre l’identification préalable de l’ordre de priorité de reprise et de basculement progressif sur les systèmes normaux (site informatique, bâtiment, etc.)    -    Listing des scénarii de risque à mitiger identifiés, et plan de reprise correspondant
-     Stratégie de reprise des activités en alignement avec celle de l’organisme et avec les objectifs des processus métiers.
5    Elaboration des outils de mise en œuvre et d’évaluation du PRI    Des outils techniques et organisationnels (équipements, architecture technique, procédure, etc.) devront au cours de cette activité être proposés en vue de l’optimisation des mécanismes de sauvegardes de données, de restauration(architecture et équipements, site de reprise) et de tests de reprise sur incident IT.    -    Procédure de sauvegarde optimisées
-    Procédure de restauration
-    Procédure de tests de reprise
-    Architectures techniques et outils de reprise
-    Proposition d’équipements pour backup
-    Proposition de site de reprise
Etape 3 : Formation et transfert de compétences
6    Communication et Sensibilisation sur le PCA/PRI    -    La sensibilisation des responsables de structures aux notions de continuité et de reprise des activités
-    L’appropriation des points focaux des plans de continuité et de reprise élaborés    -    Plan de communication et sensibilisation
-    Supports de sensibilisation et communication (flyers, mini vidéos, etc.)
-    Supports de formation.
7    Formation et transfert des compétences techniques    Transfert de compétence et formation des responsables de la CSI à l’appréciation et au traitement des risques, ainsi qu’à la continuité des services IT    -    Supports de formation
-    Certificats de formation

Pour le Dossier Administratif, les pièces administratives suivantes sont requises :
-    Une lettre de manifestation d’intérêt timbrée ;
-    Une attestation de non exclusion des marchés publics délivrée par l’ARMP ;
-    Une copie certifiée de la carte de contribuable ;
-    Attestation et plan de localisation certifiés.
* NB : Toutes les pièces fiscales devront être datées de moins de trois mois.
Pour le Dossier Technique, les documents ci-dessous doivent être produits :  
a)    Chaque Consultant fournira :
Un dossier de références techniques présentant les documents certifiant la spécialisation du consultant pour la mission :
-    Agrément ANTIC ;
-    Agrément pour la mise en place et l’audit de certification aux normes ISO exigées ;
-    Expertise dans les domaines de la mission.
Un dossier d’Expérience du Consultant (Références du Consultant Qualification et Compétences
-    Expérience dans les missions de mise en place de dispositifs de gouvernance SI : ;
-    Expérience dans les missions d’implémentation des SMSI ;
-    Expérience dans les missions d’audit des SMSI ;
-    Expérience dans les missions d’accompagnement ou d’implémentation des PCA/PRI ;
-    Expérience dans les missions de cyber sécurité, cyberdéfenses et enquêtes cybernétiques ;
Un dossier comprenant les Qualifications du consultant ;
-    Qualifications pour la mission (CV, et copies de diplômes, etc.) ;
-    Certifications requises pour la mission (2 points par certification exigées) ;
-    Méthodologie et compréhension de la mission.
7. CRITERES D’EVALUATION DU DOSSIER TECHNIQUE
Critères d’évaluation    Répartition     Points
        Nombre     Sous total
PRESENTATION GENERALE     Format    1,5 pts    05 pts
    Respect de l’ordre des pièces    1,5 pts    
    Intercalaires    2 pts    
REFERENCES TECHNIQUES DU CONSULTANT    Agrément ANTIC ;    5 pts    15 pts
    Agrément pour la mise en place et l’audit de certification aux normes ISO exigées ;    5 pts    
    Expertise dans les domaines de la mission.    5 pts    
EXPERIENCE DU Consultant (Références du Consultant Qualification et Compétences Justifier les  contrats     Expérience dans les missions de mise en place de dispositifs de gouvernance SI : 10% ;    10    50 pts
    Expérience dans les missions d’implémentation des SMSI : 10% ;    10    
    Expérience dans les missions d’audit des SMSI : 10% ;    10    
    Expérience dans les missions d’accompagnement ou d’implémentation des PCA/PRI : 10% ;    10    
    Expérience dans les missions de cyber sécurité, cyberdéfenses et enquêtes cybernétiques : 10%.    10    
QUALIFICATIONS DU CONSULTANT    Diplômes certifiés plus CV signé et daté    5    10 pts
    Certifications requises pour la mission (2 points par certification exigées)    5    
METHODOLOGIE ET PLANNING D’EXECUTION DES PRESTATIONS ET COMPREHENSION DE LA MISSION    Méthodologie d’intervention :
*Bonne (12 pts)
*Moyenne (08 pts)
* Faible (05 pts)    12 pts    
20 pts
    Planning d’exécution conforme à la méthodologie :
*Bonne (04 pts)
*Moyenne (2 pts)
*Faible (01 Pts)    4 pts 
    -*Bonne compréhension (04 pts)
*Compréhension Moyenne (2 pts)
*Faible compréhension (01 Pts)
(au moins 3 observations)    4 pts   
TOTAL    100 pts
Seules les offres techniques ayant obtenu 80 points ou plus des points ouvriront droit à l'examen des offres financières.

DIRECTION GENERALE DU FEICOM
 Service des Marchés et Approvisionnements, Porte 11, Poste 217, sis à l’ancien siège du FEICOM
Quartier Mimboman BP 718 Yaoundé, FEICOM Rue 4.561, Mimboman Yde 4ème
Cameroun
Tel (237) 222 23 51 64- Fax (237) 222 23 17 59