9
Objet de l’appel d’offres Le présent appel d’offres a pour objet L’AUDIT DE SÉCURITÉ DES APPLICATIONS WEB DE LA CNPS. Clauses Techniques Cet appel d’offres est composé d’un lot unique dont les caractéristiques techniques sont décrites ci-après: Description de la mission Contexte Les applications web et les serveurs sont des cibles privilégiées et faciles pour les pirates. L’actualité du moment montre que les sites les plus connus au monde (Sony, Nintendo, Google, la Cia, Citigroup, etc) sont victimes de piratage. Quelque soit le mode de fonctionnement des sites par exemple offrir des services ou des informations aux usagers, les hackers n’hésiteront pas à s’attaquer aux applications web. Ils pourront par exemple : voler des données confidentielles, détruire partiellement ou complètement votre site héberger des fichiers illégaux (virus, phishing ou images pédophiles par exemple) installer des accès frauduleux sur l’infrastructure informatique (site et serveur web) bloquer les sites publiés envoyer du “spam” et les conséquences de ces actes malveillants : Image entachée Pertes financières Poursuites judiciaires Pour faire faces à ces menaces, un audit de sécurité des applications web (Extranet et intranet) s’avère nécessaire avant leur publication.

CDC Fatim

Embed Size (px)

DESCRIPTION

CDC appli

Citation preview

Objet de lappel doffres

Le prsent appel doffres a pour objet LAUDIT DE SCURIT DES APPLICATIONS WEB DE LA CNPS.Clauses Techniques Cet appel doffres est compos dun lot unique dont les caractristiques techniques sont dcrites ci-aprs:Description de la missionContexteLes applications web et les serveurs sont des cibles privilgies et faciles pour les pirates. Lactualit du moment montre que les sites les plus connus au monde (Sony, Nintendo, Google, la Cia, Citigroup, etc) sont victimes de piratage.Quelque soit le mode de fonctionnement des sites par exemple offrir des services ou des informations aux usagers, les hackers nhsiteront pas sattaquer aux applications web.Ils pourront par exemple: voler des donnes confidentielles, dtruire partiellement ou compltement votre site hberger des fichiers illgaux (virus, phishing ou images pdophiles par exemple) installer des accs frauduleux sur linfrastructure informatique (site et serveur web) bloquer les sites publis envoyer du spamet les consquences de ces actes malveillants : Image entache Pertes financires Poursuites judiciairesPour faire faces ces menaces, un audit de scurit des applications web (Extranet et intranet) savre ncessaire avant leur publication.

Objet de la mission

Lobjectif de laudit est didentifier les vulnrabilits dordre technique et fonctionnel, dvaluer leur niveau de criticit (facilit dexploitation, impact) et de dterminer la nature et le niveau de risque en regard des enjeux mtiers du systme audit.Le systme a audit sont les applications WEB suivantes: OBSRATMP, Contrle Mdical, Extranet, CNPS, IM2S.

Prestations demandes

Les prestations sujettes de cet appel doffre doivent au moins englober les composantes suivantes:

1. Analyse des composants applicatifs:Consiste vrifier entre autres: La protection des flux; La protection des ressources; Labsence dinformations permettant dobtenir des informations techniques; La prsence de composants superflus 2. Analyse de lapplicatif Web: Validation des entres utilisateur: Cross Site Scripting Injections diverses (SQL, LDAP, XML, commandes); Recherche des composants web prsents (analyse des enttes http, rpertoires connus, analyse du retour HTML,) Tentative de contournement de lauthentification, de la logique applicative Vrification de la stratgie de gestion des sessions, de la protection des modules dadministration et des ressources

3. Audit de configuration Audit systme, audit de base de donnes, audit de pare feu (ports ouverts, protocole utiliss)4. Audit de code Vrifier la prsence des mcanismes de scurit permettant de protger lapplication5. Tests dintrusion externes Le soumissionnaire doit mener les diffrentes phases suivantes: recherche dinformations, identifications des services et machines, recherche des vulnrabilits, et exploitation des failles.6. Tests dintrusion internes Consiste simuler le comportement dun utilisateur malveillant lintrieur de la CNPS7. Elaboration des recommandations et plan dactions Consiste dfinir les recommandations et le plan dactions scurit quil conviendrait de mettre en uvre compte tenu des enjeux, des faiblesses et des risques pralablement identifis.

Dlai dexcutionLes dlais de ralisation de lensemble de la prestation et le planning qui dtaille la dure ncessaire pour chaque action ainsi que la charge J/H estime, sont ceux proposs par le soumissionnaire retenu.

La dure globale ne doit en aucun cas dpasser 3 mois.

La dure de ralisation du projet commence courir ds validation du planning dfinitif et rception de lordre de service de commencement dexcution des prestations.Les temps de validation des documents/livrables par la CNPS ne sont pas comptabiliss.Comptences et aptitudes requises: Avoir une trs bonne exprience dans laudit de scurit des applications Web; Connaissances techniques et comprhension de l'environnement technologique; Comprhension des besoins, du cur de mtier de la CNPS; Techniques et procdures de diagnostic et de conduite de projet; Rigueur; Qualits relationnelles et de ngociation; Capacit grer les responsabilits, le stress, les dlais, les conflits.Contenu de l'offre technique

Loffre technique devra obligatoirement comprendre: La prsentation du soumissionnaire; la dmarche mthodologique propose pour la ralisation de la mission; les rfrences du soumissionnaire en matire daudit de scurit des applications web et de pentesteur. Ces rfrences devront tre attestes par des certificats de bonne excution. Les rfrences professionnelles des membres de lquipe de travailmontrant leur aptitude raliser la mission (joindre en annexe les CV); Le dlai de ralisation de laudit et le chronogramme dintervention; Transmettre le plan dtaill de laudit.

Autre version-----//Section 6. Termes de Rfrence1. Contexte Dans le cadre de la modernisation de la gestion de lEtat, le gouvernement ivoirien a entrepris un vaste projet, dnomm Gouvernance Electronique dont lobjectif principal est de doter lEtat dun outil performant de gestion de ses ressources par lutilisation des Technologies de linformation et de la Communication.LIntranet Gouvernemental fait partie des projets dits transversaux, visant la mise en place des services dannuaire, de messagerie lectronique, de communication unifie (vido et audio), de travail collaboratif ainsi que de suite bureautique.Dans sa phase initiale, le projet INTRANET GOUVERNEMENTAL a permis, partir de lanne 2012, la mise disposition des services ci-dessus cits aux cabinets ministriels (au nombre de 30) ainsi qu un certain nombre dinstitutions gouvernementales (au nombre de 08). (Voir Annexe pour les dtails).Le prsent document consiste dfinir les termes de rfrence visant lancer ltude de son extension ladministration, aux services dcentraliss ainsi quaux collectivits territoriales ivoiriennes.2. Objectif GnralLobjectif de cette tude est de dfinir terme une solution cible et une architecture pour lextension de lintranet gouvernemental, tendue toute ladministration, aux services dcentraliss ainsi quaux collectivits territoriales de ltat de Cte dIvoire. 2.1 Objectifs SpcifiquesLes objectifs spcifiques se dcrivent comme suit: La dfinition du primtre (entits concernes et nombres dutilisateurs estim) Etat des lieux de lexistant Benchmark comparatif avec dautres pays Elaboration de diffrents scnarios dextension Le choix de la solution adquate Elaboration de la stratgie de mise en uvre de ltude par phases Estimation budgtaire de la solution et roadmap de dploiement

3. Primtre du projet 3.1 Primtre gographiqueLe primtre gographique du projet stend ladministration ivoirienne, incluant les services dcentraliss et les collectivits territoriales.Ltude devra ainsi rfrencer: lensemble des entits bnficiaires le nombre estimatif des utilisateurs de lintranet gouvernemental.

3.2. Primtre technique Il sagit de : Raliser un tat des lieux fonctionnel de lexistant (messagerie, communication unifie, travail collaboratif, outils bureautiques) Raliser un tat des lieux technique de lexistant (tenant compte des capacits des Datacenter et du rseau disponible) Elaborer diffrents scnarii et possibilits technologiques (solutions propritaire ou open source, infrastructure priv ou cloud, solutions hybrides etc.) en dcrivant les avantages et inconvnients de chaque choix Raliser un Benchmark comparatif avec des rfrences de projets similaires dans dautres pays africains et non africains. Retenir le scnario adquat Concevoir larchitecture globale de la solution retenue Elaborer la stratgie de ralisation ltude par phases

3.3. Primtre fonctionnel Le primtre de ltude de lextension se dfini comme suit: Lannuaire gouvernemental La messagerie lectronique (en client lourd et en client lger) La suite bureautique (traitement de texte, tableur et prsentation) La communication unifie (messagerie instantane, audio et vido communication) Le travail collaboratif (gestion documentaire)

3.4. Primtre financier Il consistera identifier et valuer les diffrents cots (directs, indirects et induits) de la solution.

4. Rsultats attendus Les rsultats attendus au terme de cette tude sont les suivants : Le descriptif de ltat des lieux de lexistant; La dfinition du primtre cible (dimensionnement par entits bnficiaires et par utilisateurs) Le Benchmark comparatif incluant des rfrences de projets similaires (africains et non africains); Ltude des diffrents scnarii et possibilits technologiques; Le choix du scnario adquat la stratgie de ralisation de ltude par phases lestimation budgtaire de la solution

Le Consultant regroupera les conclusions de ses travaux dans un rapport. Par ailleurs, au dbut de la mission, le Consultant devra proposer la mthodologie utilise pour la ralisation de sa mission. 5. Dure La dure totale pour les services du Consultant est estime 60 jours.


Grafik CDC

Grafik CDC

Documents
Udothd:- CdC- CdC—108 10-15 edd Zoa3 : aa/ea.ao

Udothd:- CdC- CdC—108 10-15 edd Zoa3 : aa/ea.ao

Documents
Laporan Limbah Fatim TIHP Unair

Laporan Limbah Fatim TIHP Unair

Documents
CDC presentation

CDC presentation

Presentations & Public Speaking
Recomendaciones CDC

Recomendaciones CDC

Documents
Cdc congreso 2013

Cdc congreso 2013

Health & Medicine
CDC Simply Put

CDC Simply Put

Documents
AULA DE CDC

AULA DE CDC

Documents
CDC apresentação

CDC apresentação

Documents
Reforma cdc comeletronico_senado_06nov12_gv

Reforma cdc comeletronico_senado_06nov12_gv

Documents
Québec - CDC

Québec - CDC

Documents
M1 CdC CAMPUS Módulo 1 ¿Qué es el Club? CdC CAMPUS

M1 CdC CAMPUS Módulo 1 ¿Qué es el Club? CdC CAMPUS

Documents
Boletin CDC 2014

Boletin CDC 2014

Spiritual
Cdc comentado

Cdc comentado

Documents
Cdc qhpf 20150209

Cdc qhpf 20150209

Education
CDC Biodiversité

CDC Biodiversité

Documents
Dengue cdc

Dengue cdc

Documents
Bravo Fatim! - Le Coeur à lirelecoeuralire.com/.../2017/08/plume_septembre-2017.pdf · 2017. 8. 31. · Bravo Fatim! Elle a commencé par apprendre à lire et à écrire les lettres

Bravo Fatim! - Le Coeur à lirelecoeuralire.com/.../2017/08/plume_septembre-2017.pdf · 2017. 8. 31. · Bravo Fatim! Elle a commencé par apprendre à lire et à écrire les lettres

Documents
Serie CDC Konsolensätze für CDC - Windowdrives

Serie CDC Konsolensätze für CDC - Windowdrives

Documents
CDC - BioseguridadMicrobiología

CDC - BioseguridadMicrobiología

Documents
RT28 - CDC

RT28 - CDC

Documents
Apresentação CDC

Apresentação CDC

Documents
CDC ElPlanSupremo

CDC ElPlanSupremo

Documents
Catalogo Cdc Email

Catalogo Cdc Email

Documents
Uitvoeringsopdracht CDC-regeling

Uitvoeringsopdracht CDC-regeling

Documents
CDC Mutuelle

CDC Mutuelle

Documents
dossier CdC

dossier CdC

Documents
Refere 71291 CDC Banque Service Public Justice Rep DG CDC 1

Refere 71291 CDC Banque Service Public Justice Rep DG CDC 1

Documents
smklasallepj.edu.my...Tahunñingkatan Tahun 4 Tahun 5 Tahun 6 Penggunaan Jadual BMI dalam 2016 WHO 2007 CDC 2000 CDC 2000 WHO 2007 CDC 2000 CDC 2000 WHO 2007 CDC 2000 SEGAK 2017 WHO

smklasallepj.edu.my...Tahunñingkatan Tahun 4 Tahun 5 Tahun 6 Penggunaan Jadual BMI dalam 2016 WHO 2007 CDC 2000 CDC 2000 WHO 2007 CDC 2000 CDC 2000 WHO 2007 CDC 2000 SEGAK 2017 WHO

Documents
CDC Software

CDC Software

Technology