Dans le cadre de ses activités, le Domaine Cybersécurité souhaite s’appuyer sur des prestations d’expertise afin d’évaluer sa conformité à sa Politique Sécurité du Système d’Information (PSSI) ainsi que le niveau de sécurité des applications, des infrastructures et des intervenants du SI, via des audits de cybersécurité.
Date limite
Le délai de réception des offres était de 2023-05-17.
L'appel d'offres a été publié le 2023-04-20.
Avis de marché (2023-04-20) Pouvoir adjudicateur Nom et adresse
Nom: Grdf
Numéro d'enregistrement national: 444786511
Adresse postale: 6 rue Condorcet
Commune postale: Paris
Code postal: 75009
Pays: France 🇫🇷
Personne de contact: DAA - TP/IT (Sébastien ROYER)
Courrier électronique: sebastien.royer@grdf.fr📧
Région: France🏙️
URL: www.grdf.fr🌏
Adresse du profil d'acheteur: https://externe.secoia.grdf.fr/🌏 Communication
L'accès aux documents d'appel d'offres est restreint
URL des documents: www.grdf.fr🌏
Objet Champ d'application du marché
Titre: Audits Cyber Sécurité DSI GRDF (23-TPIT-033)
23-TPIT-033
Produits/services: Services d'assistance technique informatique📦
Brève description:
“Dans le cadre de ses activités, le Domaine Cybersécurité souhaite s’appuyer sur des prestations d’expertise afin d’évaluer sa conformité à sa Politique...”
Brève description
Dans le cadre de ses activités, le Domaine Cybersécurité souhaite s’appuyer sur des prestations d’expertise afin d’évaluer sa conformité à sa Politique Sécurité du Système d’Information (PSSI) ainsi que le niveau de sécurité des applications, des infrastructures et des intervenants du SI, via des audits de cybersécurité.
Afficher plus
Valeur estimée hors TVA: EUR 4 100 000 💰
Informations sur les lots
Des offres peuvent être soumises pour tous les lots
1️⃣ Champ d'application du marché
Titre: Lot 1 - Réalisation des audits de sécurité et de conformité
Titre
Numéro d'identification du lot: 1
Description
Produits/services supplémentaires: Services d'assistance technique informatique📦
Lieu d'exécution: France🏙️
Site principal ou lieu d'exécution:
“Les prestations seront majoritairement réalisées sur Paris et sa région. Toutefois, des déplacements en France métropolitaine, dans les DOM-TOM ou à...”
Site principal ou lieu d'exécution
Les prestations seront majoritairement réalisées sur Paris et sa région. Toutefois, des déplacements en France métropolitaine, dans les DOM-TOM ou à l’étranger pourront être occasionnellement demandés
Afficher plus
Description du marché:
“Partie I – Audits des applications et infrastructures
Les prestations liées à cette partie du lot s’inscrivent dans le cadre de la mise en place d’un...”
Description du marché
Partie I – Audits des applications et infrastructures
Les prestations liées à cette partie du lot s’inscrivent dans le cadre de la mise en place d’un service pour le contrôle et le suivi de la sécurité dans les projets et les changements (selon la méthodologie d’intégration de la sécurité dans les projets (ISP) et les évolutions (ISE) du Client). Ainsi, ce lot vise à :
· réaliser des audits de sécurité statiques et dynamiques des actifs à l’issue d’une phase de développement, avant leur mise en service dans le cadre de la mise en place d’un service pour le contrôle et le suivi de la sécurité dans les projets et évolutions ;
· réaliser des contrôles périodiques sur les applications les plus critiques dans le cadre des plans de contrôles annuels.
Les soumissionnaires sur cette partie du lot devront justifier de leur capacité à réaliser les prestations unitaires suivantes (décrites ci-après) :
· audits d’architecture ;
· audits de code source ;
· audits de configuration ;
· audits organisationnels, avec si nécessaire un volet RGPD ;
· audit spécifique type SecNumCloud ;
· audit Hardware ;
· scans semi-automatiques ;
· tests d’intrusion ;
· tests de matériel (IoT, BYOD, OT) ;
· expertise sur une technologie obsolète utilisée par GRDF ;
· audits de suivi.
Pour une prestation d’audit donnée, les différents types de prestations unitaires peuvent être combinés à la demande du Client. Une synthèse générale des résultats sera alors à produire par le Titulaire.
Partie II – Audits des sites physiques
Les prestations liées à cette partie du lot s’inscrivent dans le cadre de la mise en place d’un service récurent de contrôle :
· des sites d’hébergement des actifs GRDF (One-premise, PaaS, IaaS) ;
· des sites de prestataires interconnectés au réseau et datacenter de GRDF dans le cadre de leur homologation (certification site sûr) ;
· des sites de prestataires réalisant une prestation pour GRDF sans être interconnecté au réseau et datacenter de GRDF ;
· des sites GRDF.
Les Soumissionnaires sur cette partie du lot devront justifier de leur capacité à réaliser les prestations unitaires suivantes :
· audits d’architecture ;
· tests d’intrusion ;
· audits de configuration ;
· audits physiques ;
· audits d’ingénierie sociale.
Pour une prestation d’audit donnée, les différents types d’audit unitaire peuvent être combinés à la demande du Client.
Afficher plus Critères d'attribution
Le prix n'est pas le seul critère d'attribution et tous les critères ne sont énoncés que dans les documents de passation de marchés
Champ d'application du marché
Valeur totale estimée hors TVA: EUR 3 400 000 💰
Durée du contrat, de l'accord-cadre ou du système d'acquisition dynamique
Le délai ci-dessous est exprimé en nombre de mois.
Description
Durée de l'accord: 48
Informations sur les limites du nombre de candidats à inviter
Nombre de candidats envisagé: 8
Critères objectifs de sélection du nombre limité de candidats: Les 8 meilleurs candidatures au RFI
Ensuit cf Dossier de Candidature
Description
Informations complémentaires: Cd Dossier de Candidature
2️⃣ Champ d'application du marché
Titre: Lot 2 - Réalisation des audits industriels et matériels
Titre
Numéro d'identification du lot: 2
Description
Description du marché:
“Avec une part de plus en plus grande de l’informatique dans son outil de production, GRDF se doit de mener des audits de Cybersécurité sous l’angle...”
Description du marché
Avec une part de plus en plus grande de l’informatique dans son outil de production, GRDF se doit de mener des audits de Cybersécurité sous l’angle industriel.
Chaque prestation doit faire l’objet d’une qualification préalable entre le Client et le Titulaire pour :
• décrire le périmètre et les modalités de l’audit (jalons, livrables, objectifs, critères de l’audit, les types d’audit unitaire retenus ainsi que le niveau de complexité) ;
• préciser les noms, rôles, responsabilités des personnes désignées par le Titulaire, le Client et l’audité ;
• préciser les dispositions d’ordre logistique mises à disposition du Titulaire par l’audité (moyens matériels, humains, techniques, durée, plage horaire…) ;
• préciser le mode opératoire de la réalisation de l’audit ainsi que les limites fixées au déroulé des actions et les précautions prises pour ne pas impacter le SI du Client non concerné par l’audit.
Cette qualification de la prestation afin de valider avec le Client les jalons de l’audit et la nature des livrables devra être organisée et pilotée par le Titulaire retenu pour la prestation.
Le Titulaire devra notamment exposer au Client sa démarche et lister les prérequis nécessaires à la réalisation de l’audit.
Afficher plus Champ d'application du marché
Valeur totale estimée hors TVA: EUR 450 000 💰
Informations sur les limites du nombre de candidats à inviter
Nombre de candidats envisagé: 5
Critères objectifs de sélection du nombre limité de candidats: Les 5 meilleurs candidatures au RFI
Ensuite cf Dossier de Candidature
3️⃣ Champ d'application du marché
Titre: Lot 3 - Réalisation des audits d’intrusion
Titre
Numéro d'identification du lot: 3
Description
Description du marché:
“Les tests d’intrusion doivent permettre de qualifier la résistance d’un environnement par la simulation d’attaques qui porteront à la fois sur les couches...”
Description du marché
Les tests d’intrusion doivent permettre de qualifier la résistance d’un environnement par la simulation d’attaques qui porteront à la fois sur les couches infrastructures et applicatives, qu’il s’agisse de tout ou une partie du SI, chez GRDF ou non (hébergeur, SAAS…).
Chaque prestation doit faire l’objet d’une qualification préalable entre le Client et le Titulaire pour :
• décrire le périmètre et les modalités de l’audit (jalons, livrables, objectifs, critères de l’audit, les types d’audit unitaire retenus ainsi que le niveau de complexité) ;
• préciser les noms, rôles, responsabilités des personnes désignées par le Titulaire, le Client et l’audité ;
• préciser les dispositions d’ordre logistique mises à disposition du Titulaire par l’audité (moyens matériels, humains, techniques, durée, plage horaire…) ;
• préciser le mode opératoire de la réalisation de l’audit ainsi que les limites fixées au déroulé des actions et les précautions prises pour ne pas impacter le SI du Client non concerné par l’audit.
Cette qualification de la prestation afin de valider avec le Client les jalons de l’audit et la nature des livrables devra être organisée et pilotée par le Titulaire retenu pour la prestation.
Le Titulaire devra notamment exposer au Client sa démarche et lister les prérequis nécessaires à la réalisation de l’audit.
Afficher plus Champ d'application du marché
Valeur totale estimée hors TVA: EUR 250 000 💰
Informations sur les limites du nombre de candidats à inviter
Nombre de candidats envisagé: 4
Critères objectifs de sélection du nombre limité de candidats: Les 4 meilleurs candidatures au RFI
Ensuite cf Dossier de Candidature
Informations juridiques, économiques, financières et techniques Conditions de participation
Liste et brève description des conditions: Cf le dossier de candidature (https://externe.secoia.grdf.fr/)
Situation économique et financière
Liste et brève description des critères de sélection: Cf le dossier de candidature (https://externe.secoia.grdf.fr/)
Capacité technique et professionnelle
Liste et brève description des critères de sélection: Cf le dossier de candidature (https://externe.secoia.grdf.fr/)
Conditions de participation
Liste et brève description des règles et critères: Cf le dossier de candidature (https://externe.secoia.grdf.fr/)
Procédure Type de procédure
Procédure négociée avec mise en concurrence préalable
Informations sur un accord-cadre ou un système d'acquisition dynamique
Accord-cadre avec un seul opérateur
Informations administratives
Délai de réception des offres ou des demandes de participation: 2023-05-17
10:00 📅
Langues dans lesquelles les offres ou les demandes de participation peuvent être présentées: français 🗣️
“Pour les demandes de candidatures, merci d'adresser aux personnes suivantes Sébastien ROYER et Bruno DURAND via la plateforme : https://externe.secoia.grdf.fr/” Organe de révision
Nom: Tribunal de Grande Instance de Paris
Adresse postale: 4 boulevard du Palais
Commune postale: PARIS CEDEX 01
Code postal: 75055
Pays: France 🇫🇷
Téléphone: +33 144325151📞
URL: www.justice.gouv.fr🌏 Organisme responsable des procédures de médiation
Nom: Tribunal de Grande Instance de Paris
Adresse postale: 4 boulevard du Palais
Commune postale: PARIS CEDEX 01
Code postal: 75055
Pays: France 🇫🇷
Téléphone: +33 144325151📞
URL: www.justice.gouv.fr🌏 Service auprès duquel des informations sur la procédure de recours peuvent être obtenues
Nom: GRDF - Direction Juridique
Adresse postale: 6 rue de Condorcet
Commune postale: Paris
Code postal: 75009
Pays: France 🇫🇷
URL: www.grdf.fr🌏
Source: OJS 2023/S 081-245027 (2023-04-20)