Description
:
Mode d’exécution (40/100) Pour le mode d’exécution, il est demandé au soumissionnaire de décrire la solution qu’il propose pour mener à bien les différentes missions qui lui seront confiées dans le cadre du « Contrôle et Audit » en sécurité pour chaque institution publique utilisatrice. . Cette solution devra couvrir l’ensemble des « requirements » repris dans le cahier spécial des charges pour le lot 2 en tenant compte des « requirements » définis pour le lot 1 et devra développer plus particulièrement, les objectifs suivants : A. L’Organisation des missions d’assurance sécurité (25 points): Le soumissionnaire décrira dans son offre, l’organisation à mettre en place pour aborder les deux types de missions d’assurance sécurité « Security Sanity Checks » et « Audits de Sécurité » qui lui seront confiées. Il explicitera pour chacun des types de mission, la méthodologie, le personnel, les compétences, les outils, le plan d’exécution de la mission, le plan de communication avec les services publiques, les livrables et tout autre élément nécessaire pour l’accomplissement de ces différentes missions Il précisera comment garantir l’efficacité, l’efficience, le respect des délais pour gérer l’urgence d’une demande de mission réalisée par une institution publique utilisatrice ainsi que , le cadre d’échanges et d’interactions à mettre en place avec le service public concerné. La description de cette organisation devra se tenir sur maximum 40 pages et à minima reprendre les aspects suivants : Cahier spécial des charges n° S&L/DA/2023/043-2 29 • La méthodologie adoptée pour réaliser les deux volets d’activités des « Security Sanity Checks » ainsi que celle à suivre pour répondre à une demande ponctuelle d’ « Audit de Sécurité» • La structure et l’organisation du soumissionnaire dans l’exécution des deux types de mission. • Les différents profils dans les différents domaines d’audit sécurité, « Pen-Testing », « Red Teaming », etc, pour mener à bien les deux types de missions d’assurance sécurité. • Les outils et méthodes utilisées pour réaliser les « Security Sanity Checks » et les « Audits de Sécurité ». • Le plan d’exécution envisagé (activités, ressources, communication, sur une ligne du temps) pour effectuer les différents types de missions. • Les moyens mis en œuvre pour pouvoir répondre rapidement à une demande ponctuelle d’« Audit de Sécurité ». • Le plan de communication (communication interne à la mission, interactions/échanges avec l’institution publique concernée et l’adjudicataire du lot1, réunions/interviews, points de contact, outils, escalation, etc). • Les livrables à fournir durant l’exécution de la mission et à l’issue de celle-ci pour les deux types de mission. • Les fourchettes de délais estimés en termes de durée et de ressources pour la mise en place d’une mission selon le scope de celle-ci et en fonction du type de mission (« Security Sanity Checks » ou « Audit de Sécurité »). • Le délai pour obtenir d’autres ressources que celles initialement proposées par l’adjudicateur pour accomplir la mission demandée dans le cas où ces ressources proposées seraient refusées par le pouvoir adjudicateur. B. Profils, compétences et expériences (15 points) : L’adjudicataire devra respecter les profils, compétences et expériences proposés dans son offre lors de l’exécution de la mission d’assurance sécurité à réaliser. Le soumissionnaire pourra fournir du personnel dont les compétences vont au-delà des exigences spécifiées aux points F.3.2. & F.3.3. Le soumissionnaire ne devra pas soumettre de CV dans son offre, mais décrire, dans une note de 7 pages maximum, les différents profils requis pour exécuter les différents types de missions d'assurance sécurité et leur expertise minimale à garantir. Le soumissionnaire précisera en complétant l’annexe G.9., les quantités de personnel au sein de sa société possédant ces expertises. Si une entreprise possède plusieurs succursales, seuls les experts de la succursale qui soumet l'offre seront pris en considération. L'expertise de toute autre succursale ou partenaire ne sera pas prise en compte dans l'évaluation