Services - 434963-2021

27/08/2021    S166

France-Rennes: Services de technologies de l'information, conseil, développement de logiciels, internet et appui

2021/S 166-434963

Avis de marché

Services

Base juridique:
Directive 2014/24/UE

Section I: Pouvoir adjudicateur

I.1)Nom et adresses
Nom officiel: NEOTOA
Adresse postale: 41 Boulevard de Verdun - CS61121
Ville: RENNES
Code NUTS: FRH03 Ille-et-Vilaine
Code postal: 35011
Pays: France
Point(s) de contact: Pôle Juridique et Achats
Courriel: marches@neotoa.fr
Téléphone: +33 223482025
Adresse(s) internet:
Adresse principale: http://www.neotoa.fr
Adresse du profil d’acheteur: https://www.neotoa.fr/neotoa/les-marches-publics-neotoa
I.3)Communication
Les documents du marché sont disponibles gratuitement en accès direct non restreint et complet, à l'adresse: https://www.neotoa.fr/neotoa/les-marches-publics-neotoa
Adresse à laquelle des informations complémentaires peuvent être obtenues: le ou les point(s) de contact susmentionné(s)
Les offres ou les demandes de participation doivent être envoyées au(x) point(s) de contact susmentionné(s)
I.4)Type de pouvoir adjudicateur
Organisme de droit public
I.5)Activité principale
Logement et équipements collectifs

Section II: Objet

II.1)Étendue du marché
II.1.1)Intitulé:

CyberSécurité

Numéro de référence: 21DAF008
II.1.2)Code CPV principal
72000000 Services de technologies de l'information, conseil, développement de logiciels, internet et appui
II.1.3)Type de marché
Services
II.1.4)Description succincte:

Marché de cybersécurité décomposé en 5 lots :

- Lot 1-Organisation de la sécurité

- Lot 2-Détection et réponse aux incidents

- Lot 3-Sensibilisation

- Lot 4-Audits annuels

- Lot 5-Exercice annuel de gestion de crise

II.1.5)Valeur totale estimée
II.1.6)Information sur les lots
Ce marché est divisé en lots: oui
Il est possible de soumettre des offres pour tous les lots
II.2)Description
II.2.1)Intitulé:

1. Organisation de la sécurité

Lot nº: 1
II.2.2)Code(s) CPV additionnel(s)
72150000 Services de conseil en audit informatique et services de conseil en matériel informatique
72220000 Services de conseil en systèmes informatiques et conseils techniques
72222300 Services de technologies de l'information
72810000 Services d'audit informatique
72910000 Services de secours informatique
II.2.3)Lieu d'exécution
Code NUTS: FRH03 Ille-et-Vilaine
II.2.4)Description des prestations:

Néotoa recherche un prestataire pendant 3 ans pour organiser la sécurité de ses systèmes d'information par une approche par les risques.

Cette prestation devra comprendre :

• Une analyse complète des risques et un diagnostic technique de ses systèmes permettant de compléter et d'argumenter les scénarios de risques identifiés

• La définition d'une stratégie de cybersécurité sur 3 ans, tenant compte des résultats de l'analyse de risques, des exigences légales et réglementaires et des orientations stratégiques et contraintes internes de l'organisme

• Un accompagnement de type RSSI délégué afin, entre autres, de piloter et suivre les plans d'actions, de mettre en place un tableau de bord de la sécurité pour notamment évaluer en temps réel le niveau de sécurité et rendre compte de la progression vers l'atteinte des objectifs fixés.

Le candidat retenu pour ce lot devra obligatoirement être différent de celui des lots 2 et 4.

II.2.5)Critères d’attribution
Le prix n'est pas le seul critère d'attribution et tous les critères sont énoncés uniquement dans les documents du marché
II.2.6)Valeur estimée
II.2.7)Durée du marché, de l'accord-cadre ou du système d'acquisition dynamique
Durée en mois: 36
Ce marché peut faire l'objet d'une reconduction: oui
Description des modalités ou du calendrier des reconductions:

L'accord-cadre est reconduit tacitement jusqu'à son terme. Il y aura une période de reconduction de 1 an. La durée maximale du contrat, toutes périodes confondues, est de 4 ans.

II.2.9)Informations sur les limites concernant le nombre de candidats invités à participer
Nombre minimal envisagé: 3
Nombre maximal: 5
Critères objectifs de limitation du nombre de candidats:

Certifications / compétences requises :

• Analyse de risques ISO 27005/ Ebios RM / Ebios 2010 ou équivalent

• Certification ISO 27001 Lead Implementor : nombre de personnes possédant la certification dans la structure

• Nombre de projets d'accompagnement à la mise en place et ou mise en œuvre de PSSI et SMSI

• Références de missions de RSSI déléguées (dont modalités d'accompagnement) : CISSP

II.2.10)Variantes
Des variantes seront prises en considération: oui
II.2.11)Information sur les options
Options: non
II.2.13)Information sur les fonds de l'Union européenne
Le contrat s'inscrit dans un projet/programme financé par des fonds de l'Union européenne: non
II.2.14)Informations complémentaires
II.2)Description
II.2.1)Intitulé:

2. Détection et réponse aux incidents

Lot nº: 2
II.2.2)Code(s) CPV additionnel(s)
72000000 Services de technologies de l'information, conseil, développement de logiciels, internet et appui
72212730 Services de développement de logiciels de sécurité
II.2.3)Lieu d'exécution
Code NUTS: FRH03 Ille-et-Vilaine
II.2.4)Description des prestations:

Néotoa recherche un prestataire pendant 3 ans (renouvelable) pour mettre en place un service complet de surveillance et de réponse à incidents de cybersécurité (SOC et CSIRT).

Cette prestation devra comprendre a minima :

• La mise en œuvre et maintenance d'outils SIEM pour collecter, analyser et corréler les logs provenant de sources pertinentes pour détecter des incidents de sécurité,

• La mise en place d'un service managé 24/7 de traitement (prévention, de surveillance, de détection et d'alerte,…) de cyberattaques/incidents de sécurité se produisant sur le SI,

• La mise en place d'un service organisationnel et technique de réponse à incidents (équipe CSIRT) pour accompagner/aider NEOTOA dans la gestion des incidents cyber (stopper, éradiquer, rétablir, s'améliorer) qui peuvent survenir sur son SI.

• Un service de veille sécuritaire (vulnérabilités, menaces, …), complémentaire aux 2 précédents.

Le candidat retenu pour ce lot devra obligatoirement être différent de celui des lots 1, 4 et 5.

II.2.5)Critères d’attribution
Le prix n'est pas le seul critère d'attribution et tous les critères sont énoncés uniquement dans les documents du marché
II.2.6)Valeur estimée
II.2.7)Durée du marché, de l'accord-cadre ou du système d'acquisition dynamique
Durée en mois: 36
Ce marché peut faire l'objet d'une reconduction: oui
Description des modalités ou du calendrier des reconductions:

L'accord-cadre est reconduit tacitement jusqu'à son terme. Il y aura une période de reconduction de 1 an. La durée maximale du contrat, toutes périodes confondues, est de 4 ans.

II.2.9)Informations sur les limites concernant le nombre de candidats invités à participer
Nombre minimal envisagé: 3
Nombre maximal: 5
Critères objectifs de limitation du nombre de candidats:

Certifications / compétences souhaitées :

• GIAC GSOC/GCIH/GCFA/GDAT, EC-Council CHFI/CSA/CTIA

• Maitrise des outils SIEM/EDR/SOAR

• Sécurité de la plateforme SOC externalisée

• Capacité 24/7 (organisation et équipes)

• Matrice de compétences des équipes

• Références client existantes

II.2.10)Variantes
Des variantes seront prises en considération: oui
II.2.11)Information sur les options
Options: non
II.2.13)Information sur les fonds de l'Union européenne
Le contrat s'inscrit dans un projet/programme financé par des fonds de l'Union européenne: non
II.2.14)Informations complémentaires
II.2)Description
II.2.1)Intitulé:

3. Sensibilisation

Lot nº: 3
II.2.2)Code(s) CPV additionnel(s)
72000000 Services de technologies de l'information, conseil, développement de logiciels, internet et appui
80533100 Services de formation informatique
II.2.3)Lieu d'exécution
Code NUTS: FRH03 Ille-et-Vilaine
II.2.4)Description des prestations:

Neotoa souhaite sensibiliser l'ensemble de ses collaborateurs à la sécurité de l'information. Cette sensibilisation devra prendre la forme de plusieurs sessions en petits groupes abordant les bonnes pratiques et réflexes de sécurité ainsi que les notions du RGPD, et de tests de sensibilisation comme des campagnes de faux phishing ou des clés USB piégées par exemple. L'organisation d'une journée ludique (escape game, serious game, concours et autres jeux) est optionnelle mais serait très appréciée.

II.2.5)Critères d’attribution
Le prix n'est pas le seul critère d'attribution et tous les critères sont énoncés uniquement dans les documents du marché
II.2.6)Valeur estimée
II.2.7)Durée du marché, de l'accord-cadre ou du système d'acquisition dynamique
Durée en mois: 36
Ce marché peut faire l'objet d'une reconduction: oui
Description des modalités ou du calendrier des reconductions:

L'accord-cadre est reconduit tacitement jusqu'à son terme. Il y aura une période de reconduction de 1 an. La durée maximale du contrat, toutes périodes confondues, est de 4 ans.

II.2.9)Informations sur les limites concernant le nombre de candidats invités à participer
Nombre minimal envisagé: 3
Nombre maximal: 5
Critères objectifs de limitation du nombre de candidats:

Certifications / compétences requises :

• Références de missions de sensibilisation

• Programmes, exemples de supports

• Outils de test (campagnes de faux-phishing, …)

II.2.10)Variantes
Des variantes seront prises en considération: oui
II.2.11)Information sur les options
Options: non
II.2.13)Information sur les fonds de l'Union européenne
Le contrat s'inscrit dans un projet/programme financé par des fonds de l'Union européenne: non
II.2.14)Informations complémentaires
II.2)Description
II.2.1)Intitulé:

4. Audits annuels

Lot nº: 4
II.2.2)Code(s) CPV additionnel(s)
72000000 Services de technologies de l'information, conseil, développement de logiciels, internet et appui
72810000 Services d'audit informatique
II.2.3)Lieu d'exécution
Code NUTS: FRH03 Ille-et-Vilaine
II.2.4)Description des prestations:

Pour poursuivre dans sa démarche d'amélioration continue, Neotoa souhaite réaliser, à partir de 2023, des tests et des audits de sécurité. Il s'agit de :

1. Un audit technique (tests d'intrusion, conformité technique, scans de vulnérabilités, etc.) permettant d'identifier les vulnérabilités et failles de sécurité et identifiant les actions correctives.

2. Un audit organisationnel permettant d'évaluer la stratégie de cybersécurité mise en place, la conformité aux recommandations de l'ANSSI et à l'état de l'art, ainsi que la conformité aux exigences légales et réglementaires. Cet audit devra aboutir à l'élaboration de plans d'actions correctives.

Le candidat retenu pour ce lot devra être différent de celui des lots 1 et 2

II.2.5)Critères d’attribution
Le prix n'est pas le seul critère d'attribution et tous les critères sont énoncés uniquement dans les documents du marché
II.2.6)Valeur estimée
II.2.7)Durée du marché, de l'accord-cadre ou du système d'acquisition dynamique
Durée en mois: 36
Ce marché peut faire l'objet d'une reconduction: oui
Description des modalités ou du calendrier des reconductions:

L'accord-cadre est reconduit tacitement jusqu'à son terme. Il y aura une période de reconduction de 1 an. La durée maximale du contrat, toutes périodes confondues, est de 4 ans.

II.2.9)Informations sur les limites concernant le nombre de candidats invités à participer
Nombre minimal envisagé: 3
Nombre maximal: 5
Critères objectifs de limitation du nombre de candidats:

Certifications / compétences souhaitées :

o Audit technique : pentester, OSCP, CEH, GPEN

o Audit orga : ISO 27001 lead auditor, CISSP, RSSI délégué

o Références

o Matrice de compétences des équipes

II.2.10)Variantes
Des variantes seront prises en considération: oui
II.2.11)Information sur les options
Options: non
II.2.13)Information sur les fonds de l'Union européenne
Le contrat s'inscrit dans un projet/programme financé par des fonds de l'Union européenne: non
II.2.14)Informations complémentaires
II.2)Description
II.2.1)Intitulé:

Lot 5 - Exercice annuel de gestion de crise

Lot nº: 5
II.2.2)Code(s) CPV additionnel(s)
72150000 Services de conseil en audit informatique et services de conseil en matériel informatique
72220000 Services de conseil en systèmes informatiques et conseils techniques
72222300 Services de technologies de l'information
72910000 Services de secours informatique
II.2.3)Lieu d'exécution
Code NUTS: FRH03 Ille-et-Vilaine
II.2.4)Description des prestations:

Pour poursuivre dans sa démarche d'amélioration continue, Neotoa souhaite réaliser, à partir de 2023 un exercice de test de gestion d'un incident de sécurité permettant notamment de tester les procédures, les cellules de crise, la gestion de la continuité des activités et la communication interne et externe. Des indicateurs devront être définis pour évaluer cet exercice, recueillir les retours des participants et des axes d'améliorations devront être identifiés.

Le candidat retenu pour ce lot devra être différent de celui du lot 2.

II.2.5)Critères d’attribution
Le prix n'est pas le seul critère d'attribution et tous les critères sont énoncés uniquement dans les documents du marché
II.2.6)Valeur estimée
II.2.7)Durée du marché, de l'accord-cadre ou du système d'acquisition dynamique
Durée en mois: 36
Ce marché peut faire l'objet d'une reconduction: oui
Description des modalités ou du calendrier des reconductions:

L'accord-cadre est reconduit tacitement jusqu'à son terme. Il y aura une période de reconduction de 1 an. La durée maximale du contrat, toutes périodes confondues, est de 4 ans.

II.2.9)Informations sur les limites concernant le nombre de candidats invités à participer
Nombre minimal envisagé: 3
Nombre maximal: 5
Critères objectifs de limitation du nombre de candidats:

Certifications / compétences requises :

o Références de missions CSIRT et/ou de gestion de crise cyber

o Environnements table top et/ou outils digitaux de simulation

II.2.10)Variantes
Des variantes seront prises en considération: oui
II.2.11)Information sur les options
Options: non
II.2.13)Information sur les fonds de l'Union européenne
Le contrat s'inscrit dans un projet/programme financé par des fonds de l'Union européenne: non
II.2.14)Informations complémentaires

Section III: Renseignements d’ordre juridique, économique, financier et technique

III.1)Conditions de participation
III.1.2)Capacité économique et financière
Critères de sélection tels que mentionnés dans les documents de la consultation
III.1.3)Capacité technique et professionnelle
Critères de sélection tels que mentionnés dans les documents de la consultation

Section IV: Procédure

IV.1)Description
IV.1.1)Type de procédure
Dialogue compétitif
IV.1.3)Information sur l'accord-cadre ou le système d'acquisition dynamique
Le marché implique la mise en place d'un accord-cadre
Accord-cadre avec un seul opérateur
IV.1.8)Information concernant l’accord sur les marchés publics (AMP)
Le marché est couvert par l'accord sur les marchés publics: oui
IV.2)Renseignements d'ordre administratif
IV.2.2)Date limite de réception des offres ou des demandes de participation
Date: 27/09/2021
Heure locale: 14:00
IV.2.3)Date d’envoi estimée des invitations à soumissionner ou à participer aux candidats sélectionnés
IV.2.4)Langue(s) pouvant être utilisée(s) dans l'offre ou la demande de participation:
français
IV.2.6)Délai minimal pendant lequel le soumissionnaire est tenu de maintenir son offre
Durée en mois: 4 (à compter de la date limite de réception des offres)

Section VI: Renseignements complémentaires

VI.1)Renouvellement
Il s'agit d'un marché renouvelable: non
VI.3)Informations complémentaires:
VI.4)Procédures de recours
VI.4.1)Instance chargée des procédures de recours
Nom officiel: Tribunal administratif de Rennes
Adresse postale: 3, contour de la Motte - CS 44416
Ville: Rennes
Code postal: 35044
Pays: France
Courriel: greffe.ta-rennes@juradm.fr
Téléphone: +33 223212828
Fax: +33 99635684
Adresse internet: http://rennes.tribunal-administratif.fr/
VI.4.4)Service auprès duquel des renseignements peuvent être obtenus sur l'introduction de recours
Nom officiel: Greffe du Tribunal administratif de Rennes
Adresse postale: 3, contour de la Motte - CS 44416
Ville: Rennes
Code postal: 35044
Pays: France
Courriel: greffe.ta-rennes@juradm.fr
Téléphone: +33 223212828
Fax: +33 99635684
Adresse internet: http://rennes.tribunal-administratif.fr/
VI.5)Date d’envoi du présent avis:
24/08/2021