Marché de maintien en conditions opérationnelles et en condition de sécurité du système d’informatique industriel de l’EPR de Flamanville 3

Brève description

Le présent marché couvre l’ensemble des besoins de l’unité EPR FLA3 concernant l’assistance technique relative aux opérations de maintenance corrective et/ou préventive ainsi que les prestations de maintien en condition de sécurité du Système d’informatique industriel (SII).
La prestation doit également couvrir l’assistance technique afin d’accompagner l’exploitant dans les évolutions à venir du SII.
Cette prestation concerne le niveau 3 du CNPE de Flamanville 3 – EPR.

Description du marché

La prestation attendue est une prestation de service permettant d’assurer le maintien en conditions opérationnelles et en conditions de sécurités d’une solution informatique industrielle dédiée à l’EPR de Flamanville 3.
La prestation couvre plusieurs périmètres:
— assistance de niveau 3 et 4 (norme AFNOR FD X 60-025 de décembre 2019) aux exploitants du système d’informatique industriel;
— maintenance logicielle, réseau et matériel;
— hébergement en France d’une plate-forme d’intégration du système d’informatique industriel;
— veille technologique et bilan d’obsolescence sur l’ensemble des logiciels et matériels concernés;
— gestion des vulnérabilités et analyse d’impact;
— expertise cybersécurité, réseau informatique et logicielle.

Liste et brève description des conditions

— le candidat doit fournir une déclaration sur l'honneur pour justifier qu'il n'entre dans aucun des cas mentionnés aux articles L. 2141-1 à L. 2141-5 et L. 2141-7 à L. 2141-11 du code de la commande publique notamment qu’il satisfait aux obligations concernant l’emploi des travailleurs handicapés définies aux articles L. 5212-1 à L. 5212-11 du code du travail. Cette déclaration est à produire par les candidats individuels, par chacun des membres d'un groupement candidat et, le cas échéant, par les sous-traitants présentés;
— le candidat doit remettre un extrait du registre pertinent tel qu’un extrait K-bis, ou, à défaut, un document équivalent, permettant d'identifier le candidat. Ce document est à fournir par les candidats individuels et par chacun des membres d'un groupement candidat;
— si le candidat est en redressement judiciaire, il doit produire la copie du ou des jugements prononcés pour justifier qu’il est habilité à poursuivre ses activités pendant la durée d’exécution du marché. Ce document est à fournir par les candidats individuels et par les membres concernés d'un groupement candidat;
— le candidat doit fournir les certificats délivrés par les administrations et organismes compétents prouvant qu’il a satisfait à ses obligations fiscales et sociales. Ces certificats sont à fournir par les candidats individuels et par chacun des membres d'un groupement candidat.

Liste et brève description des critères de sélection

Le candidat doit fournir les états financiers (bilans et comptes de résultats) des trois derniers exercices disponibles attestant de sa pérennité financière.
Si, compte tenu de la date de création de son entreprise, le candidat ne dispose pas de l'ensemble des informations, remettre des justificatifs équivalents.

Liste et brève description des critères de sélection

Le candidat doit fournir obligatoirement les engagements demandés ci-dessous sous forme de mémoire technique. Il doit fournir avec sa candidature les justificatifs mentionnés et l'intégralité des documents demandés.
EDF vérifiera l'exactitude des données fournies par le candidat; toute donnée erronée sera considérée comme éliminatoire.
I) Critères éliminatoires ci-après:
A) Références réseau, doit justifier la réalisation ou la maintenance d'au moins cinq projets justifiant les compétences suivantes:
1) analyse de protocole,
2) gestion de routage,
3) règles de firewall,
4) câblage fibre, cuivre.
B) Références sécurité, doit justifier la réalisation ou la maintenance d'au moins cinq projets justifiant les compétences suivantes:
1) gestion d'un annuaire LDAP;
2) mise en œuvre de solutions s'appuyant sur un radius;
3) conception d'architectures sécurisées.
C) Compétences et références solutions identifications fortes:
1) doit justifier la réalisation ou la maintenance d'au moins cinq projets justifiant ces compétences;
2) nécessité de disposer d'au moins deux experts du domaine (profils + présence de plus de six mois dans l'entreprise).
D) Capacité et références protection de l'information:
1) doit justifier de la réalisation d'au moins deux projets de sécurisation de SI sensibles;
2) doit justifier sa capacité à respecter et appliquer les règles relatives à la protection des informations relevant du secret de la défense nationale notamment ceux ayant la mention «spécial France» (application de l’instruction générale interministérielle n 1300/SGDN sur la protection du secret de la défense nationale, notamment son article 65 (mention «spécial France») et son annexe 3 relative aux règles de protection des informations ou supports portant la mention diffusion restreinte).
E) Compétences Cybersécurité (profils + présence de plus de six mois dans l'entreprise):
1) doit disposer de deux ingénieurs cybersécurité;
2) doit disposer de un expert cybersécurité ayant capacité à accéder à des données «diffusion restreinte spécial France».
F) Expériences en lien avec les milieux industriels (au moins trois projets justifiant ces connaissances):
1) doit justifier sa connaissance du fonctionnement des réseaux industriels en général, ainsi qu’une spécialisation dans un ou plusieurs secteurs d'OIV.
G) Connaissances réglementaires et normatives:
1) doit justifier ses connaissances du référentiel normatif en vigueur et des principales normes applicables au secteur du nucléaire (IEC 61513, IEC 60880, IEC 61226, IEC 62138, CEI 62645);
2) doit justifier ses connaissances du référentiel normatif en vigueur et des principales normes applicables aux technologies de l’information – techniques de sécurité (ISO 2700x);
3) doit justifier ses connaissances de la réglementation étatique, pour la protection des installations d’importance vitale, secteur du nucléaire plus particulièrement (code de la défense articles L/R 1332-1 et suivants, maîtrise des bonnes pratiques et guides de référence ANSSI).
H) Mise en œuvre opérationnelle de la sécurité de systèmes d’information industriels, doit justifier son savoir-faire en matière de sécurisation de systèmes industriels et de mise en œuvre de Maintien en conditions de sécurité (MCS), au travers de projets de réalisation permettant de démontrer la maîtrise de l'ensemble des activités suivantes:
1) réalisation d’analyses de risques en sécurité informatique;
2) définition de programme de sécurisation;
3) conception et/ou implémentation d’architectures sécurisées;
4) conduite d’audit de vulnérabilité;
5) analyse et validation de solutions COTS sécurité;
6) validation d'applicatifs et d'outils à déployer sur les systèmes et infrastructures en respect des schémas de sécurité en place (durcissement des configurations, authentification, confidentialité, imputabilité);
7) qualification d'évolutions techniques;
8) veille technologique sur l’évolution des système.

Conditions de participation (capacités techniques et professionnelles)

Critères éliminatoires(suite):
H) 10:10 — Mise en œuvre de plans d’action de renforcement de la sécurité.
I) Compétences et références traitement d'incidents, doit décrire sa participation à au moins deux crises cybersécurité en termes d'assistance à l'analyse et au traitement sur tout ou partie des activités suivantes:
1) qualification d'incident technique avancé dans le cadre d’une opération de cyberdéfense ou de crises majeures;
2) proposition et suivi d'actions techniques nécessaires à une investigation et à une résolution d’incidents;
3) soutien technique aux opérations d’investigation numérique (recueil et analyse d’images disques ou d’images mémoires, de journaux d’événements, de traces système, réseau et applicatives, rédaction des rapports, soutien technique et logistique aux opérations, etc.);
4) Contribution aux retours d’expériences sur les opérations de cyberdéfense et proposition d'axes d’améliorations;
J) Compétences et références Forensic, doit justifier la réalisation d'analyses d'investigation sur logs systèmes Windows et linux sur l'ensemble des activités suivantes:
1) Recueil d'éléments techniques nécessaires aux investigations numériques des incidents pour en évaluer la gravité;
2) Qualification et analyse des éléments (relevés techniques, d’images disques, d’images mémoires, de journaux d’événements et de traces système, réseau et applicatives, ainsi que l’analyse statique et dynamique de codes et documents malveillants) déterminer la cause de l’incident, le mode opératoire de l’attaque (vulnérabilités utilisées...), l’étendue et le périmètre de compromission;
3) Préconisation des mesures de remédiation pour limiter la compromission, enrayer l’activité de l’attaquant et assurer le durcissement de la sécurité du SI;
K) Compétence et référence en développement d'applications, nécessité de disposer d'au moins deux experts du domaine (profils + présence de plus de six mois dans l'entreprise). Doit justifier la réalisation ou la maintenance d'au moins cinq projets justifiant les compétences suivantes:
1) programmation C++;
2) programmation C;
3) conception base de données Postgre;
4) SQL;
5) systèmes d'exploitation linux (en particulier Red Hat 6 à 8) et Windows;
6) JSON, XML, Web services.
L) Compétences et références en veille technologique (justifier d'une expérience d'au moins cinq ans dans chacun des domaines précités):
1) A assuré le suivi sur plusieurs années de système d'exploitation, de logiciels, de matériel avec mise en œuvre de correctifs;
2) traitement des obsolescences;
3) restitutions de REX au minimum annuels.
M) Possibilité d'hébergement de quatre baies 42 U:
1) locaux situés en France, sécurisés (contrôle d'accès), climatisés, équipés d'une source d'énergie sécurisée.
N) Compétences et références KVM:
1) doit justifier la réalisation d'au moins cinq projets justifiant ces compétences;
O) Qualification & habilitation (les personnes référencées pour le projet devront disposer des titres nécessaires, fournir la liste):
1) doit justifier d’une qualification PASSI (Prestataires d’audit de la sécurité des systèmes d’information) délivrée par l’ANSSI (Agence nationale de la sécurité des SI) ou d’une qualification équivalente;
2) habilitations nécessaires pour accéder au CNPE (électrique, radioprotection...) (doit justifier d'au moins trois années d'intervention au sein des CNPE;
3) habilitation électrique nécessaires pour la maintenance des onduleurs (1B2 et 1B1);
4) certification ISO 9001 ou équivalent.
P) Compétence et référence en prévention sécurité (interventions dans le cadre des décrets 92 et/ou 94):
1) doit justifier la réalisation d'au moins cinq projets sur trois ans nécessitant des compétences de coactivités et/ou de travaux en milieu industriel;
Q) Cas test ci-dessous (Cf. § II) Critère avec notation):
1) nécessité de disposer d'au moins deux experts du domaine (profils + présence de plus de six mois dans l'entreprise).
II) Critère avec notation: cas test cf. § VI.3).

Principales conditions de financement et modalités de paiement et/ou référence aux dispositions pertinentes qui les régissent

Financement sur ressources propres.
Paiement à 60 jours à compter de la date d’émission de facture et versement d'acomptes correspondants aux prestations réalisées.

Forme juridique que devra revêtir le groupement d'opérateurs économiques attributaire du marché

EDF accepte les groupements d'entreprises conjoints ou solidaires. En cas de groupement, l’un des membres du groupement est désigné comme mandataire. Celui-ci est solidaire, pour l’exécution du marché, de chacun des membres du groupement pour ses obligations contractuelles à l’égard d’EDF.
Sans préjudice de l'article L. 2141-13 du code de la commande publique, la composition du groupement ne peut pas être modifiée entre la date de remise des candidatures et la date de signature du marché, sauf en cas de restructuration de société ou si le groupement apporte la preuve qu'un de ses membres se trouve dans l'impossibilité d'accomplir sa tâche pour des raisons qui ne sont pas de son fait.
Par ailleurs, un soumissionnaire, qui proposera une offre au titre d'un groupement d'entreprises, ne pourra pas remettre d'offre à titre individuel ou au titre d'un autre groupement.

— les candidats doivent manifester leur intérêt à l’avis de marché en se connectant au portail achats (https://pha.edf.com) et en accédant à la demande d'informations RFx_088379, ainsi que, le cas échéant, les autres modalités relatives au portail achats;
— l’entreprise intéressée souhaitant faire acte de candidature et n’étant pas inscrite à portail achats EDF, devra s’y enregistrer;
— un document intitulé «identification des membres du groupement et répartition des prestations – groupement momentané d'entreprises solidaire ou conjoint» est disponible dans l'espace collaboratif dédié aux fournisseurs du portail achats;
— EDF se réserve la possibilité d'attribuer le marché sur la base des offres initiales sans négociation;
— dans le cadre de la dématérialisation de ses procédures, EDF SA informe l'ensemble des soumissionnaires que la signature électronique des marchés est privilégiée, que ceux-ci soient attribués à une seule entreprise ou à un groupement d'entreprises;
— la consultation sera effectuée par e-tender via le portail achats électronique d’EDF (https://pha.edf.com);
— ci-après, texte complet de présentation du cas test (§ III.1.2) Critère avec notation) auquel le candidat doit répondre à l'avis de marché:
Cas test:
Merci de décrire précisément et de façon détaillée une solution de raccordement d’un serveur Red Hat 6 à un réseau industriel utilisant le protocole 802.1x.
Quelle méthode d’authentification allez-vous implémenter: détailler la solution et la qualifier.
Quelle sera la configuration du serveur: lister les applications et packages nécessaires.
Quelle sera la configuration du Switch devant authentifier le serveur (préciser la configuration du port ethernet, les paramètres de VLAN, les accesslists...) ?
De quels autres services aurez-vous besoin pour authentifier le serveur ?
Détailler le processus d’authentification du serveur sur le réseau en décrivant toute la chaîne de communication, les protocoles réseau utilisés.
Comment seront gérés les flux d’administration du serveur ?
Comment seront gérés les flux de données du serveur ?
Comment identifier l’exécution d’actions non autorisées sur le serveur ?
Quelle méthode utiliseriez-vous pour identifier et traiter les risques induits ?
Le serveur devra communiquer avec une machine cliente suivant un protocole de communication défini par EDF.
Il s’appuiera sur une application dédiée disposant d’une IHM graphique.
Sur quel langage de programmation allez-vous vous appuyer ?
Quelles seront les bibliothèques utilisées ?
Justifiez votre choix (avantages inconvénients).
Comment paramétriez-vous un firewall pour filtrer ce flux entre le serveur et le client ?
Listez les paramètres pour un firewall CISCO.
Listez les paramètres pour un firewall Stormshield.
Etes-vous certifié CISCO ?