Solution logicielle de sécurisation des endpoints (points de terminaison), et prestations associées, pour les besoins du Groupe La Poste | La Poste — Direction achats groupe (DHA Groupe)

Date	Document
2021-07-15	Avis de marché
2021-09-13	Informations complémentaires
2022-09-20	Avis d'attribution de marché

Brève description

La consultation se compose de trois lots.
Le besoin est décrit au sein du paragraphe II.2).
Tous les contrats sont destinés à couvrir les besoins du Groupe La Poste (branches et filiales).
Les filiales du Groupe pourront commander sur les contrats pour leurs besoins.
Il est rappelé qu’en sa qualité d’établissement bancaire, La Banque postale est soumise à des exigences de sécurité et de confidentialité renforcées, résultant d’obligations réglementaires (notamment l’arrêté du 3.11.2014 dans sa rédaction applicable au 13.1.2018, et des orientations EBA/GL/2019/02 de l’Autorité bancaire européenne relatives à l’externalisation applicables au 30.9.2019), auxquelles le candidat devra se soumettre.

Description du marché

Solution logicielle de sécurisation des postes de travail (fixes et portables), et prestations associées.
Volumétrie approximative: 190 000, à préciser suivant les fonctionnalités.
Fonctionnalités souhaitées pour la solution logicielle: Antimalware, contrôle et filtrage du surf web, prévention d'intrusion locale, pare-feu local, EDR, capacité d'intégration au SI La Poste (ticketing, SIEM, outils collaboratifs, etc.), prévention contre la fuite de données (Data-Loss Prevention), Cyber Threat Intelligence, analyse Forensic, audit de conformité, filtrage supports amovibles, contrôle applicatif (liste blanche).
Prestation associée: maintenance de la solution logicielle.
Prestation associée complémentaire (optionnelle), activée ou non par La Poste, en tout ou partie, suivant ses besoins:
Prestation de service et d'accompagnement à la mise en œuvre de la solution dont l'intégration avec les outils existants et l'assurance de continuité entre l'actuelle et la future solution.
Les candidats répondront à l'ensemble des prestations demandées (y compris optionnelle).
Les fonctionnalités souhaitées pourront être couvertes par une ou plusieurs solutions logicielles. En tout état de cause, le candidat ou le mandataire solidaire (en cas de groupement) se portera responsable vis à vis de La Poste de l’intégralité des solutions logicielles proposées dans son offre et de leur interopérabilité.
En cas d’hébergement des données chez le prestataire, l’hébergement devra impérativement être localisé au sein de l'Union européenne (UE), d’un pays de l’Espace économique européen (EEE), d’un pays reconnu comme adéquat par l’Union européenne. Le dossier de consultation qui sera envoyé aux prestataires sélectionnés précisera les éléments liés à cette exigence.

Description du marché

Solution logicielle de sécurisation des serveurs de fichiers, d'applications, d'infrastructures de bases de données, de virtualisation et de conteneurisation (physiques ou virtualisés), et prestations associées.
Volumétrie approximative: 22 000, à préciser suivant les fonctionnalités.
Fonctionnalités souhaitées pour la solution logicielle: Antimalware, contrôle et filtrage du surf web, prévention d'intrusion locale, pare-feu local, EDR, capacité d'intégration au SI La Poste (ticketing, SIEM, outils collaboratifs, etc.) prévention contre la fuite de données (Data-Loss Prevention), Cyber Threat Intelligence, analyse Forensic, audit de conformité, filtrage supports amovibles, contrôle applicatif (liste blanche).
Prestation associée: maintenance de la solution logicielle.
Prestation associée complémentaire (optionnelle), activée ou non par La Poste, en tout ou partie, suivant ses besoins:
Prestation de service et d'accompagnement à la mise en œuvre de la solution dont l'intégration avec les outils existants et l'assurance de continuité entre l'actuelle et la future solution.
Les candidats répondront à l'ensemble des prestations demandées (y compris optionnelle).
Les fonctionnalités souhaitées pourront être couvertes par une ou plusieurs solutions logicielles. En tout état de cause, le candidat ou le mandataire solidaire (en cas de groupement) se portera responsable vis à vis de La Poste de l’intégralité des solutions logicielles proposées dans son offre et de leur interopérabilité.
En cas d’hébergement des données chez le prestataire, l’hébergement devra impérativement être localisé au sein de l'Union européenne (UE), d’un pays de l’Espace économique européen (EEE), d’un pays reconnu comme adéquat par l’Union européenne. Le dossier de consultation qui sera envoyé aux prestataires sélectionnés précisera les éléments liés à cette exigence.

Description du marché

Solution logicielle de sécurisation des terminaux mobiles (smartphones, tablettes, flasheurs), et prestations associées.
Volumétrie approximative: 140 000, à préciser suivant les fonctionnalités.
Fonctionnalités souhaitées pour la solution logicielle: Antimalware, contrôle et filtrage du surf web, prévention d'intrusion locale, pare-feu local, EDR, capacité d'intégration au SI La Poste (ticketing, SIEM, MDM, outils collaboratifs, etc.), prévention contre la fuite de données (Data-Loss Prevention), Cyber Threat Intelligence, analyse Forensic, audit de conformité, filtrage supports amovibles, contrôle applicatif (liste blanche).
Prestation associée: maintenance de la solution logicielle.
Prestation associée complémentaire (optionnelle), activée ou non par La Poste, en tout ou partie, suivant ses besoins:
Prestation de service et d'accompagnement à la mise en œuvre de la solution dont l'intégration avec les outils existants et l'assurance de continuité entre l'actuelle et la future solution.
Les candidats répondront à l'ensemble des prestations demandées (y compris optionnelle).
Les fonctionnalités souhaitées pourront être couvertes par une ou plusieurs solutions logicielles. En tout état de cause, le candidat ou le mandataire solidaire (en cas de groupement) se portera responsable vis à vis de La Poste de l’intégralité des solutions logicielles proposées dans son offre et de leur interopérabilité.
En cas d’hébergement des données chez le prestataire, l’hébergement devra impérativement être localisé au sein de l'Union européenne (UE), d’un pays de l’Espace économique européen (EEE), d’un pays reconnu comme adéquat par l’Union européenne. Le dossier de consultation qui sera envoyé aux prestataires sélectionnés précisera les éléments liés à cette exigence.

Liste et brève description des conditions

Le candidat remettra, sur la plate-forme Provigis (https://www.provigis.com/), les documents indiqués ci-dessous:
1) un extrait K-bis ou équivalence;
2) s'il est en redressement judiciaire, la copie du ou des jugements prononcés;
3) une déclaration dûment datée et signée sur papier à en-tête du fournisseur, pour justifier qu'il n'entre dans aucun des cas mentionnés à l’article L. 2141-1 et au 1º et 3º de l’article L. 2141-4 du code de la commande publique;
4) les certificats délivrés par les administrations et organismes compétents attestant que le candidat ne se trouve pas dans un cas d'interdiction de soumissionner mentionné à l’article L. 2141-2 du code de la commande publique, c'est-à-dire:
— une attestation de vigilance délivrée par l'Urssaf;
— une attestation fiscale justifiant de la régularité de sa situation fiscale (paiement de la TVA, de l'impôt sur les sociétés ou de l'impôt sur le revenu);
— un certificat attestant de la régularité de sa situation au regard de l'obligation d'emploi des travailleurs handicapés;
5) le cas échéant, la liste nominative des salariés étrangers employés par le candidat et soumis à l'autorisation de travail mentionnée à l'article L. 5221-2 du code du travail, précisant pour chaque salarié, conformément à l'article D. 8254-2 du code du travail, sa date d'embauche, sa nationalité ainsi que le type et le numéro d'ordre du titre valant autorisation de travail. Les candidats établis à l'étranger fournissent les pièces prévues aux articles D. 8222-7 et D. 8254-3 du code du travail;
6) le cas échéant, les pièces prévues à l'article R. 1263-12 du code du travail en cas de détachement de salariés.

Liste et brève description des critères de sélection

La pérennité financière du candidat sera analysée au regard des liasses fiscales (bilans, comptes de résultats et annexes numérotées de 2050 à 2059 inclus) des deux derniers exercices fiscaux ou tout document équivalent.
(Critère pondéré à 15 % pour tous les lots).
À ce titre, le candidat transmettra les informations suivantes pour les deux derniers exercices fiscaux:
— capitaux propres,
— autres fonds propres,
— total passif,
— chiffre d'affaires nets,
— production stockée,
— production immobilisée,
— achats de marchandises (y compris droits de douane),
— variation de stock (marchandises),
— achats de matières premières et autres approvisionnements (y compris droits de douane),
— variation de stock (matières premières et approvisionnements),
— autres achats et charges externes,
— salaires et traitements,
— charges sociales,
— sous-traitance.
Si le candidat s'appuie sur les capacités d'autres opérateurs économiques il doit:
— justifier des capacités de ce ou ces opérateurs, et
— apporter la preuve qu'il en disposera pour l'exécution du marché.
Cette preuve peut être apportée par tout moyen approprié, notamment une attestation sur l'honneur de cet autre opérateur économique confirmant ses capacités et leur mise à disposition du candidat pendant l'exécution du marché.

Liste et brève description des critères de sélection

1) Effectifs et moyens du candidat:
(Critère pondéré à 35 % pour tous les lots).
Le candidat précisera:
— le nombre de collaborateurs totaux de la société, sur le territoire français et hors du territoire français, sur les trois dernières années;
— le nombre de collaborateurs totaux œuvrant sur «la sécurisation logicielle des postes de travail» (lot 1)/«la sécurisation logicielle des serveurs» (lot 2)/«la sécurisation logicielle des terminaux mobiles» (lot 3); sur le territoire français et hors du territoire français, en précisant le domaine d'activité (recherche et développement, maintenance, autres prestations).
Si le candidat s'appuie sur les capacités d'autres opérateurs économiques il doit:
— justifier des capacités de ce ou ces opérateurs, et
— apporter la preuve qu'il en disposera pour l'exécution du marché.
Cette preuve peut être apportée par tout moyen approprié, notamment une attestation sur l'honneur de cet autre opérateur économique confirmant ses capacités et leur mise à disposition du candidat pendant l'exécution du marché.
2) Références clients sur des problématiques similaires:
(Critère pondéré à 40 % pour tous les lots).
Le candidat devra fournir quatre références clients de moins de trois ans pour lesquels il a réalisé des prestations similaires.
Il précisera pour chacune des références clients présentées:
— le nom de la société;
— la direction cliente au sein de la société;
— le nom, la fonction, et les coordonnées d'un contact chez le client;
— l'année de signature du contrat;
— la durée du contrat;
— le rôle joué par le candidat (éditeur, revendeur, service et accompagnement, autre);
— une description succincte de la prestation (contexte, objectifs, populations concernées, etc.);
— le nom de la (les) solution(s) logicielle(s) déployée(s);
— le type de endpoint (postes de travail pour le lot 1, serveurs pour le lot 2, terminaux mobiles pour le lot 3);
— la volumétrie de endpoints sur lequel la (les) solution(s) logicielle(s) a ont été déployée(s);
— le périmètre fonctionnel couvert par la (les) solution(s) logicielle(s) parmi les fonctionnalités suivantes: Antimalware, contrôle et filtrage du surf web, prévention d’intrusion locale, pare-feu local, EDR, capacité d’intégration au SI du client (ticketing, SIEM, MDM, outils collaboratifs, etc.), prévention contre la fuite de données (Data-Loss Prevention), Cyber Threat Intelligence, analyse Forensic, audit de conformité, filtrage supports amovibles, contrôle applicatif (liste blanche);
— le mode technique de la (des) solution(s) logicielle(s) déployées (ex: SaaS, on premise, hybride).
Si le candidat s'appuie sur les capacités d'autres opérateurs économiques il doit:
— justifier des capacités de ce ou ces opérateurs, et
— apporter la preuve qu'il en disposera pour l'exécution du marché.
Cette preuve peut être apportée par tout moyen approprié, notamment une attestation sur l'honneur de cet autre opérateur économique confirmant ses capacités et leur mise à disposition du candidat pendant l'exécution du marché.
3) Certifications et mesures de gestion environnementale mises en œuvre au cours du marché.
(Critère pondéré à 10 % pour tous les lots).
Le Groupe La Poste est engagé dans la lutte contre le dérèglement climatique, et s'engage à limiter les impacts environnementaux générés par ses équipements, ses applications, et ses services.
Le candidat précisera:
— les mesures de gestion environnementale mises en œuvre pour l’exécution du marché, synthétisées dans un document d'une page étayé par des chiffres;
— s’il dispose de certification du management de l'énergie ou si une démarche est en cours (ex: ISO 50 001, ISO 14 001, ou équivalent). Le candidat remettra le document en sa possession.

Les documents demandés à la rubrique III.1.1) devront être remis sur la plate-forme Provigis (https://www.provigis.com/).
La demande de participation accompagnée des renseignements et documents demandés aux rubriques III.1.2) et III.1.3) (sur questionnaire d'information ou sous format libre) devront être remis sur le portail Fournisseurs (https://e-sourcing.extra.laposte.fr/web/login.html).
Tous les documents demandés aux rubriques III.1.1) à III.1.3) devront être remis avant la date et l'heure limites mentionnées à la rubrique IV.2.2).
Le candidat souhaitant répondre via le DUME le remettra au format pdf et au format xml dans un ZIP.
Si le candidat s'appuie sur les capacités d'autres opérateurs économiques (économiques/financières ou techniques/professionnelles), il doit:
— justifier des capacités de ce ou ces opérateurs, et
— apporter la preuve qu'il en disposera pour l'exécution du marché.
Cette preuve peut être apportée par tout moyen approprié, notamment une attestation sur l’honneur de cet autre opérateur économique confirmant ses capacités et leur mise à disposition du candidat pendant l’exécution du marché.
Conformément aux dispositions de articles R. 2143-13 du code de la commande publique, le candidat n'est pas tenu de fournir les documents et renseignements demandés dans le cadre du présent avis qui peuvent être obtenus via un système électronique de mise à disposition d'information administré par un organisme officiel ou d'un espace de stockage numérique accessible gratuitement par La Poste et ses filiales.
Dans ce cas, le candidat précisera dans le dossier de réponse toutes les informations nécessaires à la consultation de ce système ou de cet espace.