Contrat-cadre cybersécurité 2025 PI SSI

Description

Destinée à l’ensemble des entités du GPU SNCF, la présente consultation a pour objet la mise en place d’un accord-cadre, constituant un véhicule contractuel de référencement de prestations intellectuelles informatiques, à l’usage des acteurs SSI.​ Cet accord-cadre a vocation à couvrir l’ensemble du cycle de vie des activités de la cybersécurité: phases d’émergence et de stratégie, de conception et de réalisation, de support et de maintien en conditions opérationnelles de sécurité, ainsi que de prestations complémentaires et d’expertises propres à la fonction SSI. Lot 1: Gestion de la sécurité du SI, pilotage des projets SSI Le lot 1 regroupe les métiers contribuant au pilotage de la démarche de sécurité, ainsi que les métiers visant à mettre en œuvre les projets de sécurité des SI. Ce lot comprend des missions permettant de couvrir les opérations d’émergence des projets (identification des risques, définition des exigences de sécurité, mise en conformité réglementaire, cadrage contractuel, stratégie de test, recette), de concevoir les solutions adaptées aux besoins (urbanistes, architectes), d’intervenir en expertise sur les solutions mises en place ou d’évaluer des solutions de marché (ingénieur, experts). Des missions d’accompagnement métier (sensibilisation, formation, méthodologie, posture) y sont également couvertes. On retrouvera également dans ce lot l’ensemble des activités d’Assistance à la Maîtrise d’Ouvrage aussi bien sous un angle gouvernance (conception de la stratégie, cartographie des risques, réalisation de référentiels, évolution de la PSSI, aide à la certification, etc.) que sous un angle technico fonctionnel (outils et solutions SSI dans le cadre de projet d’acquisition, d’intégration ou de développement, de Maintien en Condition Opérationnelle). Les missions donnent lieu à un ou plusieurs livrables. Ces missions peuvent être ponctuelles, ou couvrir un besoin pérenne par la mise en œuvre d’un dispositif dédié (Centre de Service et/ou d’expertise) afin de réduire les coûts et d’optimiser les délais de réponse aux demandes des clients internes du Groupe et de ses filiales. Lot 2: Conception et maintien du SI Sécurisé Le lot 2 regroupe les métiers techniques qui assurent la prise en compte de la sécurité dans la conception des SI, l’expertise sur la sécurité d’un domaine particulier, la définition d'architecture sécurisée, l’administration des solutions de sécurité, etc. Ce lot comprend des missions prenant en compte les aspects de sécurité SI dans le cadre de la conception (design de l’architectures, paramétrages, choix des solutions techniques, des éditeurs, des fournisseurs et des stratégies de tests) et de la réalisation d’un projet informatique ou métier, des missions d’accompagnement et de formation Métier et/ou IT afin de vérifier que les solutions techniques et fonctionnelles proposées répondent aux exigences de sécurité identifiées. Ce lot comprend également des missions de conseil, d’assistance, d’information, de formation et d’alerte, pouvant intervenir directement sur tout ou partie d’un projet qui relève d’un domaine d’expertise (système, réseau, postes de travail, composants industriels, IoT, Active Directory et IAM, code et solutions de développement, cloud, Intelligence Artificielle, etc.) que ce soit dans les phases d’étude, de mise en œuvre ou de maintien en conditions de sécurité. On retrouvera également des missions d’audits et de contrôle des processus de sécurité assurant la conformité aux politiques internes et aux réglementations qui s’appliquent à l’organisation ; des missions contrôlant les politiques et règles de sécurité définies pour assurer que le maintien en conditions de sécurité sont mises en œuvre, respectées et efficaces ; des missions identifiant les vulnérabilités et proposant des actions de remédiation ; des missions collaborant avec les juristes et le DPO si le projet intègre le traitement de données à caractère personnel. Les missions donnent lieu à un ou plusieurs livrables. Ces missions peuvent être ponctuelles, ou couvrir un besoin pérenne par la mise en œuvre d’un dispositif dédié (Centre de Service et/ou d’expertise) afin de réduire les coûts et d’optimiser les délais de réponse aux demandes des clients internes du Groupe et de ses filiales." Il peut être demandé de couvrir une astreinte pour certaines missions. Lot 3: Audits et Conformité SSI Le lot 3 regroupe des missions d’identification de menaces, de vulnérabilités, sur un objet technique du SI conventionnel (Application Web, Application mobile, Plateforme, environnements, etc.) hébergé OnPremise, dans le Cloud, ou chez un hébergeur partenaire, sur l’ensemble du Groupe et ses filiales. Ces missions s’appuient sur la réalisation d’audits SSI applicatifs, d’audits de processus et/ou de configuration d’une cible ou d’un périmètre convenu à l’avance lors d’une réunion de cadrage avec le(s) projet(s) concerné(s), à la demande du RSSI/RCS responsable du périmètre SSI. Les missions donnent lieu à un ou plusieurs livrables, désignant les menaces et vulnérabilités identifiées sur l’objet technique ciblé par l’audit, le score CVSS, la criticité, la priorité, l’exploitabilité et l’impact de chacune d’elles, ainsi que la ou les recommandation(s) associée(s) pour procéder à la mise en œuvre des remédiations. Ces missions peuvent être ponctuelles, ou couvrir un besoin pérenne par la mise en œuvre d’un dispositif dédié (Centre de Service et/ou d’expertise) afin de réduire les coûts et d’optimiser les délais de réponse aux demandes des clients internes du Groupe et de ses filiales. Lot 4: Gestion des incidents et des crises Le lot 4 regroupe les métiers que l’on peut rencontrer au sein des entreprises spécialisées en cybersécurité : entreprises de conseil, entreprises de formation, laboratoires d’évaluation, éditeurs de produits de sécurité, intégrateurs de produits de sécurité, laboratoires et instituts de recherche. Ces missions s’intègrent dans la division “Sécurité Opérationnelle” de la Direction Cybersécurité. Elles regroupent les activités d’anticipation (renseignement sur les menaces, gestion des vulnérabilités et de la surface d’attaque), de détection (supervision et détection d’évènement cybersécurité, qualification et priorisation des évènements en se basant sur des alertes ou des rapports, contribuer à l’amélioration continu de la détection) et de réaction (intervention d’urgence, traitement des incidents de cybersécurité, forensic, production de rapport d’incident, intervention dans le cadre de cellule de crise technique) Il peut être demandé de faire de l’astreinte durant la mission. Lot 5: Cybersécurité industrielle Le lot 5 regroupe les métiers qui contribuent au processus d’homologation cybersécurité, de la mise en place de préqualifications SSI, des analyses de risques SSI, du suivi des exigences et à la déclinaison de la méthode d’intégration de la cybersécurité dans les projets industriels ainsi que la réalisation d’audits Cyber Industriel. Ce lot comprend des missions de préqualification des besoins de Cybersécurité DICT d’un projet, à la classification des Données au travers d’un questionnaire “facteurs de risques” ainsi que d’un accompagnement respectant les problématiques et les processus SSI et/ou nécessitant une aide à la rédaction de clauses SSI spécifique. Ces missions s’appuient sur une analyse de risques qui permet de définir les exigences de cybersécurité complémentaires que les projets doivent respecter afin de réduire les risques. Les missions donnent lieu à un ou plusieurs livrables, tels que le document Analyse de risques alimenté au fil de l’eau des entretiens, le document liste des exigences cybersécurité, la cartographie des risques mis à jour, les tableaux de bord reprenant toutes les informations nécessaires au suivi du projet, des référentiels, et la matrice de risques consolidant l’ensemble les risques du périmètre concerné, Ces missions peuvent être ponctuelles, ou couvrir un besoin pérenne par la mise en œuvre d’un dispositif dédié (Centre de Service et/ou d’expertise) afin de réduire les coûts et d’optimiser les délais de réponse aux demandes des clients internes du Groupe et de ses filiales.