Avis de marché – secteurs spéciaux
Services
Section I: Entité adjudicatrice
Section II: Objet
Projet CRI
Pour lui permettre d’accomplir ses nombreuses missions d’opérateur majeur de transports en France et à l’étranger, le Groupe Public Unifié SNCF s’appuie sur un ensemble de services et de technologies numériques, qu’ils soient proposés par le GPU lui-même ou par des prestataires externes.
Dans ce cadre, le projet de la Cellule de Recherche d’Information (CRI) de la Direction de la Cybersécurité du Groupe SNCF est engagé depuis plusieurs années dans une réduction de la surface d’attaque de son système d’information sur internet et une chasse à la fuite de données dans le but de réduire le risque d’attaque informatique.
Le SI du Groupe SNCF comprend plusieurs centaines d’applications structurées par Directions Métiers, et plusieurs centaines de milliers d’actifs numériques (terminaux, serveurs, …) répartis physiquement à travers tout le territoire et à l’étranger.
Le projet CRI vise à mettre en œuvre, au travers d’une approche coordonnée de manière centralisée, des moyens permettant de détecter des éléments vulnérables exposés sur internet et pouvant faire l’objet d’une attaque, des éléments pouvant porter atteinte à l’image du Groupe SNCF sur internet, les publications sur les forum et réseaux sociaux de revendication ou préparation d’attaque sur nos SI et les fuites d’information confidentielles (accidentelles ou intentionnelle).
L’approche stratégique retenue pour le projet consiste à utiliser des méthodes de renseignement en source ouverte afin de détecter ces éléments et d’alerter les équipes concernées pour chacun des éléments détectés.
Le Groupe SNCF recherche une prestation de service managée de Threat Intelligence, il ne s’agit pas de fournir une solution logicielle ou matérielle. Le service fourni doit permettre d’anticiper, de détecter et d’alerter les équipes SNCF sur les menaces cyber liées à l’exposition de ressources et de données SNCF sur le Web.
Les principaux types de menaces identifiées à analyser sont les risques associés aux fuites de données liées à des marques SNCF et leur exposition publique, aux ressources exposées connues ou non connues (Shadow IT) par les équipes SI et leurs éventuels défauts de configuration, aux fraudes numériques ainsi que les risques associés à l’image des marques SNCF par une surveillance des réseaux sociaux et des forums.
Les missions cibles du projet CRI peuvent se résumer de la façon suivante :
Mise en place une surveillance stratégique pour prévenir des différentes attaques ;
Anticipation des risques de fraudes et d’usurpation de marque / identités sur tous les canaux possibles (réseaux anonymes, réseaux sociaux, …) ;
Maitrise de l’exposition du SI SNCF aux attaques ;
Détection de fuites d’informations (collaborateurs SNCF, clients SNCF, informations techniques ou confidentielles) ;
Identification des partenaires SNCF compromis ;
Rapport périodique sur l’état de la menace visant des entreprises françaises (entreprise de transports).
Locaux du Titulaire
Eléments à détecter :
FUITE DE DONNEES
La prestation doit permettre de détecter des publications contenant des données confidentielles d’entreprise ou personnelles relatives à des clients ou des collaborateurs du Groupe SNCF.
Quelques exemples :
FUITE DE DONNEES CLIENTS OU AGENTS, FUITE D’INFORMATIONS ENTREPRISE, FUITE DE DONNEES TECHNIQUES, …
CONFIGURATION RISQUEE
La prestation doit permettre d’identifier les actifs informatiques d’un périmètre donné présentant une configuration à risque pour un système d’information.
Quelques Exemples :
MAUVAISE CONFIGURATION SSL, DONNEES ACCESSIBLES SANS AUTHENTIFICATION, SERVICE SENSIBLE EXPOSE ET VULNERABLE, PORTAIL D’ADMINISTRATION ET PUBLICATIONS WEB HORS-PRODUCTION, …
PUBLICATION NON MAITRISEE
La prestation doit permettre d’identifier les actifs informatiques d’un périmètre donné présentés comme dangereux par un tiers ou bien présentant des vulnérabilités.
Quelques Exemples :
PUBLICATION D’UNE FAILLE SUR UN RESEAU SOCIAL OU SITE SPECIALISE, REVENDICATION D’UNE ATTAQUE OU ACTIF POTENTIELLEMENT COMPROMIS, …
FRAUDES, ESCROQUERIES
La prestation doit permettre d’identifier des publications présentant des techniques de fraude ainsi que des arnaques relatives au périmètre donné et pouvant impacter l’image du Groupe SNCF ou abusant des clients du Groupe SNCF.
Quelques Exemples :
VENTE DE TITRE DE TRANSPORT FRAUDULEUX OU VOLES, ANNONCE DE FRAUDE AU REMBOURSEMENT, VENTE DE DOCUMENTS PERSONNELS CONFIDENTIELS, ...
En plus de ces éléments à détecter, il est demandé la livraison d’un rapport de renseignement sur la menace périodique, spécifique au secteur d’activité « Transport ».
Prestations optionnelles :
SURVEILLANCE DE NOMS DE DOMAINE
Le soumissionnaire proposera une option portant sur la détection de noms de domaines potentiellement frauduleux relatifs au périmètre fourni est un plus. Il s’agit d’informer le Groupe SNCF de tout achat, vente ou modification de noms de domaine relatifs au périmètre dans le but de détecter, en avance de phase, de potentiels sites de phishing.
CATALOGUE DE PRESTATIONS « ON-DEMAND »
Le soumissionnaire proposera des exemples de prestations, dans le domaine de la Threat Intelligence, sous la dénomination ci-dessous :
Prestation simple : 2 heures à 6 heures de traitement ;
Volumétrie : 15
Prestation moyenne : 1 jour à 3 jours de traitement ;
Volumétrie : 10
Prestation complexe : 3 jours à 5 jours de traitement.
Volumétrie : 5
Toute volumétrie indiquée est purement indicative et non engageante pour le Groupe SNCF.
3 années optionnelles à lever par période de 12 mois, soit un marché potentiel total de 5 ans (60 mois)
* Chiffre d’affaires (CA) annuel du candidat supérieur à 1 M€ (critère éliminatoire)
* Capacité économique et financière (40%) :
- Pourcentage du chiffre d'affaires du candidat lié aux activités de cybersécurité par rapport son CA total (20%)
- Santé financière / score de défaillance site CreditSafe (20%)
* Capacité technique et professionnelle (60%) :
- Pertinence des principaux services fournis au cours des trois dernières années, mettant en évidence les prestations similaires à l’objet du marché (30%)
- Effectifs moyens annuels du candidat et importance du personnel d'encadrement pendant les trois dernières années, en mettant en évidence les effectifs liés à l’activité de Threat Intelligence (30%)
SURVEILLANCE DE NOMS DE DOMAINE
Le soumissionnaire proposera une option portant sur la détection de noms de domaines potentiellement frauduleux relatifs au périmètre fourni est un plus. Il s’agit d’informer le Groupe SNCF de tout achat, vente ou modification de noms de domaine relatifs au périmètre dans le but de détecter, en avance de phase, de potentiels sites de phishing.
CATALOGUE DE PRESTATIONS « ON-DEMAND »
Le soumissionnaire proposera des exemples de prestations, dans le domaine de la Threat Intelligence, sous la dénomination ci-dessous :
Prestation simple : 2 heures à 6 heures de traitement ;
Volumétrie : 15
Prestation moyenne : 1 jour à 3 jours de traitement ;
Volumétrie : 10
Prestation complexe : 3 jours à 5 jours de traitement.
Volumétrie : 5
Toute volumétrie indiquée est purement indicative et non engageante pour le Groupe SNCF.
Section III: Renseignements d’ordre juridique, économique, financier et technique
Les candidats doivent joindre à leur acte de candidature les documents et les renseignements suivants (En cas de candidature groupée, chacune des pièces exigées ci-après doit être transmise par chacun des membres du groupement) :
- Justifier de l'existence légale de l'entreprise, avec le numéro d'immatriculation au Registre du Commerce et des Sociétés (ou équivalent)
- L'imprimé DC1 intitulé "Lettre de candidature - Désignation du mandataire par ses cotraitants" dûment complété
- L'imprimé DC2 intitulé "Déclaration du candidat individuel ou du membre du groupement" dûment complété
Ces documents sont à se procurer par internet à l’adresse suivante : https://www2.economie.gouv.fr/daj/formulaires-declaration-du-candidat
Pour les ESAT : l'agrément préfectoral relatif à la création de l'établissement ou pour les EA, le Contrat pluriannuel d’objectifs et de moyens (CPOM) ou le Contrat d’objectif triennal (COT) en cours de validité à la.date limite de remise des offres ou la preuve de la structure équivalente.
Capacité économique et financière (40%) :
- Le pourcentage du chiffre d'affaires du candidat lié aux activités de cybersécurité vis-à-vis de son CA global (20%)
- Santé financière / score de défaillance Crédit Safe (20%)
Chiffre d’affaire annuel du candidat supérieur à 1 000 000 € (critère éliminatoire)
Capacité technique et professionnelle (60%) :
Le candidat fournira :
- Une liste des principaux services fournis au cours des trois dernières années, mettant en évidence les prestations similaires à l’objet du marché (30%)
- Une déclaration indiquant les effectifs moyens annuels du candidat et l'importance du personnel d'encadrement pendant les trois dernières années, en mettant en évidence les effectifs liés à l’activité de Threat Intelligence (30%)
Les candidats seront sélectionnés sur la base de leur capacité juridique, technique et financière à réaliser le marché. Ces éléments de capacité seront analysés sur la base des documents demandés dans le cadre du présent avis.
Les offres doivent être exprimées en Euros. Les prix sont révisables.
Paiement net par virement à échéance fixé à 60 jours de réception de la facture, émis après acceptation qualitative et quantitative des fournitures, prestations ou travaux et vérifications de la facture.
Financement sur fonds propres SNCF.
Les candidats ne sont pas autorisés à faire acte de candidature en agissant à la fois en qualité de candidats individuels et de membres d'un ou plusieurs groupements, ou en qualité de membres de plusieurs groupements.
Que le groupement soit solidaire ou conjoint, le mandataire est toujours solidaire de chacun des membres du groupement pour leurs obligations contractuelles.
Section IV: Procédure
Section VI: Renseignements complémentaires
La société nationale SNCF émet cet avis de marché en son nom et pour son compte.
La présente consultation est effectuée dans le cadre de la procédure avec négociation, objet du code de la commande publique. Dans le cadre de cette procédure, la négociation n'est pas systématique. Il s'agit d'une éventualité qui peut être mise en œuvre par l’acheteur selon le niveau des offres remises.
L’entité adjudicatrice consulte en ligne, par voie électronique. Les coordonnées e-mail du représentant habilité à soumissionner à la présente consultation sont à mentionner dans le dossier de candidature.
Toute candidature envoyée par voie électronique doit être envoyée sur la plateforme dont l’adresse est mentionnée en section I de l’avis, par un représentant du candidat dûment habilité. Aucun envoi par e-mail n'est autorisé. Le candidat doit être en mesure de justifier des pouvoirs de son représentant sur requête de l’entité adjudicatrice.
Les documents génériques de capacité et attestations légales génériques devront être déposés sur Provigis (plateforme de dématérialisation et de conformité). Une invitation est envoyée au fournisseur lors de sa manifestation d’intérêt sur la plateforme d’achats. En cas de non réception de l’invitation, le fournisseur est invité à se rapprocher de l’acheteur dont les coordonnées sont précisées en section I.
Toute candidature électronique ne respectant pas le formalisme pré cité ou envoyée à une autre adresse est rejetée sans être analysée.
Pour toute difficulté d’ordre technique, le candidat peut se rapprocher du support fournisseurs de la plateforme achats (accessible à partir de l’adresse indiquée en section I). Pour toute autre question, le candidat doit contacter l'acheteur dont les coordonnées sont reprises au point I.1 du présent avis.
Après examen des documents, l’entité adjudicatrice évalue la capacité du candidat et sélectionne les candidats aptes à présenter une offre.
Le marché sera soumis aux dispositions du cahier des clauses et conditions générales (CCCG) applicables aux marchés de prestations intellectuelles de la SNCF, disponible sur le site sncf.com : http://www.sncf.com/fr/groupe/fournisseurs/documents
La candidature ainsi que tout échange d'informations doivent être rédigés en français.
Les procédures de recours applicables sont :
- Le référé précontractuel (CPC, art 1441-1 et 1441-2) qui peut être exercé jusqu’à la signature du marché ;
- Le référé contractuel (CPC, art 1441-3 et 1441-3-1) qui peut être exercé dans un délai de :
- 31 jours à compter de la publication d’un avis d’attribution au JOUE ou, pour les marchés fondés sur un accord cadre, à compter de la notification de la conclusion du contrat ;
- 6 mois à compter du lendemain du jour de la conclusion du contrat si aucun avis d’attribution n’a été publié ou si aucune notification de la conclusion du contrat n’a été effectuée ;