Destinée à l’ensemble des entités du GPU SNCF, la présente consultation a pour objet la mise en place d’un accord-cadre, constituant un véhicule contractuel de référencement de prestations intellectuelles informatiques, à l’usage des acteurs SSI.
Cet accord-cadre a vocation à couvrir l’ensemble du cycle de vie des activités de la cybersécurité: phases d’émergence et de stratégie, de conception et de réalisation, de support et de maintien en conditions opérationnelles de sécurité, ainsi que de prestations complémentaires et d’expertises propres à la fonction SSI.
Date limite
Le délai de réception des offres était de 2024-02-19.
L'appel d'offres a été publié le 2024-01-23.
Objet Champ d'application du marché
Titre: Contrat-cadre cybersécurité 2025 PI SSI
2023DOS0752005
Produits/services: Services de technologies de l'information, conseil, développement de logiciels, internet et appui📦
Brève description:
“Destinée à l’ensemble des entités du GPU SNCF, la présente consultation a pour objet la mise en place d’un accord-cadre, constituant un véhicule contractuel...”
Brève description
Destinée à l’ensemble des entités du GPU SNCF, la présente consultation a pour objet la mise en place d’un accord-cadre, constituant un véhicule contractuel de référencement de prestations intellectuelles informatiques, à l’usage des acteurs SSI.
Cet accord-cadre a vocation à couvrir l’ensemble du cycle de vie des activités de la cybersécurité: phases d’émergence et de stratégie, de conception et de réalisation, de support et de maintien en conditions opérationnelles de sécurité, ainsi que de prestations complémentaires et d’expertises propres à la fonction SSI.
Afficher plus
Valeur estimée hors TVA: EUR 150 000 000 💰
Informations sur les lots
Des offres peuvent être soumises pour tous les lots
Nombre maximal de lots pouvant être attribués à un soumissionnaire: 5
Le lot 1 regroupe les métiers contribuant au pilotage de la démarche de sécurité, ainsi que les métiers visant à mettre en œuvre les projets de sécurité des SI.
Ce lot comprend des missions permettant de couvrir les opérations d’émergence des projets (identification des risques, définition des exigences de sécurité, mise en conformité réglementaire, cadrage contractuel, stratégie de test, recette), de concevoir les solutions adaptées aux besoins (urbanistes, architectes), d’intervenir en expertise sur les solutions mises en place ou d’évaluer des solutions de marché (ingénieur, experts). Des missions d’accompagnement métier (sensibilisation, formation, méthodologie, posture) y sont également couvertes.
On retrouvera également dans ce lot l’ensemble des activités d’Assistance à la Maîtrise d’Ouvrage aussi bien sous un angle gouvernance (conception de la stratégie, cartographie des risques, réalisation de référentiels, évolution de la PSSI, aide à la certification, etc.) que sous un angle technico fonctionnel (outils et solutions SSI dans le cadre de projet d’acquisition, d’intégration ou de développement, de Maintien en Condition Opérationnelle).
Les missions donnent lieu à un ou plusieurs livrables.
Ces missions peuvent être ponctuelles, ou couvrir un besoin pérenne par la mise en œuvre d’un dispositif dédié (Centre de Service et/ou d’expertise) afin de réduire les coûts et d’optimiser les délais de réponse aux demandes des clients internes du Groupe et de ses filiales.
Afficher plus Critères d'attribution
Le prix n'est pas le seul critère d'attribution et tous les critères ne sont énoncés que dans les documents de passation de marchés
Champ d'application du marché
Valeur totale estimée hors TVA: EUR 49 500 000 💰
Durée du contrat, de l'accord-cadre ou du système d'acquisition dynamique
Le délai ci-dessous est exprimé en nombre de mois.
Description
Durée de l'accord: 36
Durée du contrat, de l'accord-cadre ou du système d'acquisition dynamique
Ce contrat est susceptible d'être renouvelé ✅ Description
Description des renouvellements:
“Le marché peut être reconduit par période de 12 mois, et au maximum
trois fois. La durée maximale totale du contrat-cadre est de 72 mois.” Informations sur les limites du nombre de candidats à inviter
Nombre de candidats envisagé: 30
Critères objectifs de sélection du nombre limité de candidats:
“Les candidatures feront l'objet d'une notation sur les capacités
techniques, celles décrites en section III du présent avis.”
2️⃣ Champ d'application du marché
Titre: Conception et maintien du SI Sécurisé
Titre
Numéro d'identification du lot: 2
Description
Description du marché:
“Le lot 2 regroupe les métiers techniques qui assurent la prise en compte de la sécurité dans la conception des SI, l’expertise sur la sécurité d’un domaine...”
Description du marché
Le lot 2 regroupe les métiers techniques qui assurent la prise en compte de la sécurité dans la conception des SI, l’expertise sur la sécurité d’un domaine particulier, la définition d'architecture sécurisée, l’administration des solutions de sécurité, etc.
Ce lot comprend des missions prenant en compte les aspects de sécurité SI dans le cadre de la conception (design de l’architectures, paramétrages, choix des solutions techniques, des éditeurs, des fournisseurs et des stratégies de tests) et de la réalisation d’un projet informatique ou métier, des missions d’accompagnement et de formation Métier et/ou IT afin de vérifier que les solutions techniques et fonctionnelles proposées répondent aux exigences de sécurité identifiées.
Ce lot comprend également des missions de conseil, d’assistance, d’information, de formation et d’alerte, pouvant intervenir directement sur tout ou partie d’un projet qui relève d’un domaine d’expertise (système, réseau, postes de travail, composants industriels, IoT, Active Directory et IAM, code et solutions de développement, cloud, Intelligence Artificielle, etc.) que ce soit dans les phases d’étude, de mise en œuvre ou de maintien en conditions de sécurité.
On retrouvera également des missions d’audits et de contrôle des processus de sécurité assurant la conformité aux politiques internes et aux réglementations qui s’appliquent à l’organisation ; des missions contrôlant les politiques et règles de sécurité définies pour assurer que le maintien en conditions de sécurité sont mises en œuvre, respectées et efficaces ; des missions identifiant les vulnérabilités et proposant des actions de remédiation ; des missions collaborant avec les juristes et le DPO si le projet intègre le traitement de données à caractère personnel.
Les missions donnent lieu à un ou plusieurs livrables.
Ces missions peuvent être ponctuelles, ou couvrir un besoin pérenne par la mise en œuvre d’un dispositif dédié (Centre de Service et/ou d’expertise) afin de réduire les coûts et d’optimiser les délais de réponse aux demandes des clients internes du Groupe et de ses filiales."
Il peut être demandé de couvrir une astreinte pour certaines missions.
Afficher plus Champ d'application du marché
Valeur totale estimée hors TVA: EUR 49 500 000 💰
3️⃣ Champ d'application du marché
Titre: Audits et Conformité SSI
Titre
Numéro d'identification du lot: 3
Description
Description du marché:
“Le lot 3 regroupe des missions d’identification de menaces, de vulnérabilités, sur un objet technique du SI conventionnel (Application Web, Application...”
Description du marché
Le lot 3 regroupe des missions d’identification de menaces, de vulnérabilités, sur un objet technique du SI conventionnel (Application Web, Application mobile, Plateforme, environnements, etc.) hébergé OnPremise, dans le Cloud, ou chez un hébergeur partenaire, sur l’ensemble du Groupe et ses filiales.
Ces missions s’appuient sur la réalisation d’audits SSI applicatifs, d’audits de processus et/ou de configuration d’une cible ou d’un périmètre convenu à l’avance lors d’une réunion de cadrage avec le(s) projet(s) concerné(s), à la demande du RSSI/RCS responsable du périmètre SSI.
Les missions donnent lieu à un ou plusieurs livrables, désignant les menaces et vulnérabilités identifiées sur l’objet technique ciblé par l’audit, le score CVSS, la criticité, la priorité, l’exploitabilité et l’impact de chacune d’elles, ainsi que la ou les recommandation(s) associée(s) pour procéder à la mise en œuvre des remédiations.
Ces missions peuvent être ponctuelles, ou couvrir un besoin pérenne par la mise en œuvre d’un dispositif dédié (Centre de Service et/ou d’expertise) afin de réduire les coûts et d’optimiser les délais de réponse aux demandes des clients internes du Groupe et de ses filiales.
Afficher plus Champ d'application du marché
Valeur totale estimée hors TVA: EUR 15 000 000 💰
4️⃣ Champ d'application du marché
Titre: Gestion des incidents et des crises
Titre
Numéro d'identification du lot: 4
Description
Description du marché:
“Le lot 4 regroupe les métiers que l’on peut rencontrer au sein des entreprises spécialisées en cybersécurité : entreprises de conseil, entreprises de...”
Description du marché
Le lot 4 regroupe les métiers que l’on peut rencontrer au sein des entreprises spécialisées en cybersécurité : entreprises de conseil, entreprises de formation, laboratoires d’évaluation, éditeurs de produits de sécurité, intégrateurs de produits de sécurité, laboratoires et instituts de recherche.
Ces missions s’intègrent dans la division “Sécurité Opérationnelle” de la Direction Cybersécurité. Elles regroupent les activités d’anticipation (renseignement sur les menaces, gestion des vulnérabilités et de la surface d’attaque), de détection (supervision et détection d’évènement cybersécurité, qualification et priorisation des évènements en se basant sur des alertes ou des rapports, contribuer à l’amélioration continu de la détection) et de réaction (intervention d’urgence, traitement des incidents de cybersécurité, forensic, production de rapport d’incident, intervention dans le cadre de cellule de crise technique)
Il peut être demandé de faire de l’astreinte durant la mission.
Afficher plus Champ d'application du marché
Valeur totale estimée hors TVA: EUR 21 000 000 💰
Informations sur les limites du nombre de candidats à inviter
Nombre de candidats envisagé: 23
5️⃣ Champ d'application du marché
Titre: Cybersécurité industrielle
Titre
Numéro d'identification du lot: 5
Description
Description du marché:
“Le lot 5 regroupe les métiers qui contribuent au processus d’homologation cybersécurité, de la mise en place de préqualifications SSI, des analyses de...”
Description du marché
Le lot 5 regroupe les métiers qui contribuent au processus d’homologation cybersécurité, de la mise en place de préqualifications SSI, des analyses de risques SSI, du suivi des exigences et à la déclinaison de la méthode d’intégration de la cybersécurité dans les projets industriels ainsi que la réalisation d’audits Cyber Industriel.
Ce lot comprend des missions de préqualification des besoins de Cybersécurité DICT d’un projet, à la classification des Données au travers d’un questionnaire “facteurs de risques” ainsi que d’un accompagnement respectant les problématiques et les processus SSI et/ou nécessitant une aide à la rédaction de clauses SSI spécifique.
Ces missions s’appuient sur une analyse de risques qui permet de définir les exigences de cybersécurité complémentaires que les projets doivent respecter afin de réduire les risques.
Les missions donnent lieu à un ou plusieurs livrables, tels que le document Analyse de risques alimenté au fil de l’eau des entretiens, le document liste des exigences cybersécurité, la cartographie des risques mis à jour, les tableaux de bord reprenant toutes les informations nécessaires au suivi du projet, des référentiels, et la matrice de risques consolidant l’ensemble les risques du périmètre concerné,
Ces missions peuvent être ponctuelles, ou couvrir un besoin pérenne par la mise en œuvre d’un dispositif dédié (Centre de Service et/ou d’expertise) afin de réduire les coûts et d’optimiser les délais de réponse aux demandes des clients internes du Groupe et de ses filiales.
Afficher plus Champ d'application du marché
Valeur totale estimée hors TVA: EUR 15 000 000 💰
Informations sur les limites du nombre de candidats à inviter
Nombre de candidats envisagé: 15
Informations juridiques, économiques, financières et techniques Conditions de participation
Liste et brève description des conditions:
“Les candidats doivent joindre à leur acte de candidature les documents et les renseignements suivants (En cas de candidature groupée, chacune des pièces...”
Liste et brève description des conditions
Les candidats doivent joindre à leur acte de candidature les documents et les renseignements suivants (En cas de candidature groupée, chacune des pièces exigées ci-après doit être transmise par chacun des membres du groupement) :
- Justifier de l'existence légale de l'entreprise, avec le numéro d'immatriculation au Registre du Commerce et des Sociétés (ou équivalent)
- L'imprimé DC1 intitulé "Lettre de candidature - Désignation du mandataire par ses cotraitants" dûment complété
- L'imprimé DC2 intitulé "Déclaration du candidat individuel ou du membre du groupement" dûment complété
Ces documents sont à se procurer par internet à l’adresse suivante : https://www2.economie.gouv.fr/daj/formulaires-declaration-du-candidat
Si le candidat s'appuie sur les capacités d'un autre opérateur économique, il doit compléter la rubrique H du formulaire DC2 et fournir la preuve des moyens et compétences de l'entreprise tierce dont il se prévaut. Cette preuve doit prendre la forme d'une obligation juridiquement contraignante.
Pour les ESAT : l'agrément préfectoral relatif à la création de l'établissement ou pour les EA, le Contrat pluriannuel d’objectifs et de moyens (CPOM) ou le Contrat d’objectif triennal (COT) en cours de validité à la.date limite de remise des offres ou la preuve de la structure équivalente.
Afficher plus Situation économique et financière
Liste et brève description des critères de sélection:
“Les candidats devront remettre les éléments suivants:
- Le chiffre d'affaires annuel global des années 2021, 2022, 2023 en détaillant la part du chiffre...”
Liste et brève description des critères de sélection
Les candidats devront remettre les éléments suivants:
- Le chiffre d'affaires annuel global des années 2021, 2022, 2023 en détaillant la part du chiffre d'affaires
consacré aux prestations de cybersécurité.
- Une déclaration appropriée de banque ou preuve d'une assurance pour les risques professionnels.
Afficher plus Capacité technique et professionnelle
Liste et brève description des critères de sélection:
“1. Fournir une liste des principaux services fournis (5 maximum), réalisés au cours des trois dernières années (ou, en cas d’impossibilité, sur les 5...”
Liste et brève description des critères de sélection
1. Fournir une liste des principaux services fournis (5 maximum), réalisés au cours des trois dernières années (ou, en cas d’impossibilité, sur les 5 dernières années) en indiquant pour chacun d’eux : le montant, la date et le destinataire public ou privé.
Pourront être également mentionnés : le type de marché, dates de début et de fin de marché, domaine couvert (technologies et profils), volume, lieu et site, principales missions réalisées, contexte fonctionnel et technique, types d’engagement pris (Régie ou forfait), indicateurs de valeur ajoutée et / ou de gains sur les références présentées, volumétrie minimale/maximale/moyenne des missions traitées, effectif affecté aux prestations liées à cette référence, et toutes autres informations que le candidat jugera utiles.
Le candidat pourra :
-Dissocier clairement les prestations en cours des prestations achevées ;
-Préciser les prestations réalisées en cotraitance. Ces prestations devront être prouvées par des attestations de leur bénéficiaire (ou, à défaut, par une déclaration du candidat).
Cinq (5) attestations maximums peuvent être fournies en pièces jointes.
2. Indiquer les effectifs moyens annuels et l'importance du personnel d'encadrement, dédiés au lot considéré des années 2021, 2022 et 2023.
Des justificatifs pourront être demandés. En cas de production de faux renseignements ou documents sa candidature est déclarée irrecevable et le candidat est éliminé.
Afficher plus Conditions de participation
Liste et brève description des règles et critères:
“Pour chacun des lots, les candidats seront sélectionnés sur la base de leur capacité technique et professionnelle à réaliser le marché selon les critères...”
Liste et brève description des règles et critères
Pour chacun des lots, les candidats seront sélectionnés sur la base de leur capacité technique et professionnelle à réaliser le marché selon les critères précisés à la section III.1.3 "liste et description succincte des critères de sélection".
1 - Références détaillées : 70%
2 - Effectifs et personnels d'encadrement: 30%
Afficher plus
Principales conditions de financement et modalités de paiement et/ou référence aux dispositions pertinentes qui les régissent:
“Les offres doivent être exprimées en Euros. les prix sont fermes sur la durée initiale du marché (36 premiers mois) puis actualisables lors de la levée de...”
Principales conditions de financement et modalités de paiement et/ou référence aux dispositions pertinentes qui les régissent
Les offres doivent être exprimées en Euros. les prix sont fermes sur la durée initiale du marché (36 premiers mois) puis actualisables lors de la levée de chaque tranche optionnelle (3 tranches optionnelles, de 12 mois chacune).
Paiement net par virement à échéance fixé à 60 jours de la réception de la facture, émis après acceptation qualitative et quantitative des fournitures, prestations ou travaux et vérifications de la facture. Financement sur fonds propres SNCF.
Afficher plus
Forme juridique que devra revêtir le groupement d'opérateurs économiques attributaire du marché:
“Si le groupement est conjoint, le mandataire est solidaire, pour l'exécution du marché, de chacun des membres du groupement pour ses obligations...”
Forme juridique que devra revêtir le groupement d'opérateurs économiques attributaire du marché
Si le groupement est conjoint, le mandataire est solidaire, pour l'exécution du marché, de chacun des membres du groupement pour ses obligations contractuelles à l'égard de l'acheteur.
Afficher plus Conditions liées au contrat
Conditions d'exécution du contrat:
“Le marché comprendra une clause relative à l'insertion par l'activité économique.”
Procédure Type de procédure
Procédure négociée avec mise en concurrence préalable
Informations sur un accord-cadre ou un système d'acquisition dynamique
Accord-cadre avec plusieurs opérateurs
Informations administratives
Délai de réception des offres ou des demandes de participation: 2024-02-19
12:00 📅
Langues dans lesquelles les offres ou les demandes de participation peuvent être présentées: français 🗣️
Le délai ci-dessous est exprimé en nombre de mois.
Délai minimum pendant lequel le soumissionnaire doit maintenir l'offre: 12
Informations complémentaires Informations sur les flux de travail électroniques
Les commandes électroniques seront utilisées
La facturation électronique sera acceptée
Informations complémentaires
“La SA société nationale SNCF, émet cet avis de marché en son nom et pour son compte et au nom et pour
le compte de la SA SNCF Réseau / la SA SNCF Gares &...”
La SA société nationale SNCF, émet cet avis de marché en son nom et pour son compte et au nom et pour
le compte de la SA SNCF Réseau / la SA SNCF Gares & Connexions / la SA SNCF Voyageurs/SNCF Optim'services.
Les autres catégories d’acheteurs participant à l’accord cadre, et non nommément mentionnés, sont précisés dans le projet de contrat.
Le montant indiqué au champ II.1.5) Valeur totale estimée correspond au montant total maximum qui
pourra être commandé, sur la durée totale de l'accord-cadre, pour l'ensemble des attributaires.
La présente consultation est effectuée dans le cadre de la procédure avec négociation, objet du code de la
commande publique. Dans le cadre de cette procédure, la négociation n'est pas systématique. Il s'agit
d'une éventualité qui peut être mise en œuvre par l’acheteur selon le niveau des offres remises.
Les coordonnées e-mail du représentant habilité à soumissionner à la présente consultation sont à
mentionner dans le dossier de candidature.
Toute candidature envoyée par voie électronique doit être envoyée sur la plateforme EASI (cf. section I de
l’avis) par un représentant du candidat dûment habilité. Aucun envoi par e-mail n'est autorisé. Le candidat
doit être en mesure de justifier des pouvoirs de son représentant sur requête de l’entité
adjudicatrice.
Les documents génériques de capacité et attestations légales génériques devront être déposés sur Provigis
(plateforme de dématérialisation et de conformité). Une invitation est envoyée au fournisseur lors de sa
manifestation d’intérêt sur la plateforme EASI. En cas de non réception de l’invitation, le fournisseur est
invité à se rapprocher de l’acheteur dont les coordonnées sont précisées en section I.
Toute candidature électronique ne respectant pas le formalisme pré cité ou envoyée à une autre adresse
est rejetée sans être analysée. Pour toute difficulté d’ordre technique, le candidat peut se rapprocher du
support fournisseurs de la plateforme (accessible à partir de l’adresse indiquée en section I). Pour toute
autre question, le candidat doit contacter l'acheteur dont les coordonnées sont reprises au point I.1 du
présent avis.
Après examen des documents, l’entité adjudicatrice évalue la capacité du candidat et sélectionne les candidats aptes à présenter une offre.
Les conditions contractuelles générales applicables à l'accord-cadre sont précisées dans les documents de
la consultation joints au présent avis.
La candidature ainsi que tout échange d'informations doivent être rédigés en français.
Afficher plus Organe de révision
Nom: Tribunal judiciaire
Adresse postale: Parvis du Tribunal de Paris
Commune postale: Paris
Code postal: 75859
Pays: France 🇫🇷
Téléphone: +33 144325151📞
URL: https://www.tribunal-de-paris.justice.fr/75🌏 Procédure d'examen
Informations précises sur le(s) délai(s) des procédures d'examen:
“Les procédures de recours applicables sont :
- Le référé précontractuel (CPC, art 1441-1 et 1441-2) qui peut être exercé jusqu’à la signature du marché ;
-...”
Informations précises sur le(s) délai(s) des procédures d'examen
Les procédures de recours applicables sont :
- Le référé précontractuel (CPC, art 1441-1 et 1441-2) qui peut être exercé jusqu’à la signature du marché ;
- Le référé contractuel (CPC, art 1441-3 et 1441-3-1) qui peut être exercé dans un délai de :
- 31 jours à compter de la publication d’un avis d’attribution au JOUE ou, pour les marchés fondés sur un accord cadre, à compter de la notification de la conclusion du contrat ;
- 6 mois à compter du lendemain du jour de la conclusion du contrat si aucun avis d’attribution n’a été publié ou si aucune notification de la conclusion du contrat n’a été effectuée ;
Afficher plus Service auprès duquel des informations sur la procédure de recours peuvent être obtenues
Nom: Tribunal judiciaire
Adresse postale: Parvis du Tribunal de Paris
Commune postale: Paris
Code postal: 75859
Pays: France 🇫🇷
Téléphone: +33 144325151📞
URL: https://www.tribunal-de-paris.justice.fr/75🌏
Source: OJS 2024/S 019-052652 (2024-01-23)