1. Acheteur
1.1.
Acheteur
Nom officiel: La Poste
Forme juridique de l’acheteur: Entreprise publique
Activité de l’entité adjudicatrice: Services postaux
2. Procédure
2.1.
Procédure
Titre: Avis de sourcing relatif à la fourniture de solutions de Contrôles /Gestion des risques et de la conformité (GRC) et de la gestion des risques des fournisseurs tiers (TPRM) pour répondre aux besoins potentiels du Groupe La Poste
Description: La Poste réalise, au travers du présent avis, un sourcing afin d'identifier les acteurs du marché relatif aux solutions « Contrôles / Gestion des Risques et de la Conformité (GRC) et de la Gestion des Risques des Fournisseurs Tiers (TPRM) », et à estimer l’adéquation de ces solutions aux contraintes/ enjeux de la Direction Cybersécurité du Groupe La Poste. Afin de renforcer ce pilotage, d’harmoniser les pratiques au sein des différentes entités du Groupe La Poste et de disposer d’une vision consolidée et partageable avec les organes de gouvernance, la Direction Cyber Sécurité Groupe étudie l’opportunité de se doter d’une nouvelle solution / plateforme intégrée de type Contrôles, GRC & TPRM en remplacement de celle existante et qui couvre aujourd’hui : - La publication de la PSSI-G, les auto-évaluations ; - Le Plan de Contrôle Cybersécurité avec présentation de preuves ; - Le mapping entre la PSSI-G et d’autres référentiels (ISO, NIS2, ANSSI) ; - Le questionnaire de maturité SSI avec apport d’éléments probants. Cette nouvelle plateforme doit permettre de couvrir l’ensemble du cycle de vie des contrôles, des obligations de conformité, ainsi que la gestion de l’exposition aux risques tiers, en s’intégrant dans l’écosystème SI du Groupe La Poste et en répondant aux exigences élevées en matière de sécurité, de confidentialité et de conformité réglementaire.
Identifiant de la procédure: dfa344cb-c997-4422-b1e7-c7138ca08c8b
Type de procédure: Autre procédure en plusieurs étapes
2.1.1.
Objet
Nature principale du marché: Fournitures
Nomenclature principale (cpv): 48000000 Logiciels et systèmes d'information
2.1.2.
Lieu d’exécution
Pays: France
N’importe où dans le pays donné
2.1.4.
Informations générales
Informations complémentaires: Le présent appel à sourcing a pour objectif d'identifier les acteurs du marché relatif aux solutions de Contrôles /Gestion des risques et de la conformité (GRC) et de la gestion des risques des fournisseurs tiers (TPRM). Toutefois, le présent appel à sourcing ne constitue ni une consultation, ni un appel d’offres, ni un engagement de La Poste de lancer ultérieurement une consultation ayant le même objet. Réciproquement les réponses des opérateurs ayant manifesté leur intérêt ne constituent pas un engagement précontractuel ou contractuel de leur part et les échanges entre La Poste et les opérateurs ne constitueront pas des négociations. Les informations communiquées par les opérateurs ayant manifesté leur intérêt ne constituent pas des études remises à La Poste, ni ne relèvent d’une mission d’assistance à maîtrise d’ouvrage. Le sourcing se déroule comme suit: Les opérateurs intéressés manifestent leur intérêt en transmettant, au plus tard le 05/06/2026 (18h00) (heure de métropole, délai de rigueur), le dossier de réponse via le portail fournisseurs (https://e-sourcing.extra.laposte.fr/web/login.html). Le dossier mentionnera les coordonnées (à minima adresse courrier électronique) d’une personne référente au sein de l’opérateur qui pourra être contactée par La Poste dans le cadre du sourcing. Au regard des intérêts manifestés, La Poste pourra organiser des réunions d'échange avec les opérateurs (les dates précises seront indiquées ultérieurement). Chaque opérateur échangera pendant une durée identique avec La Poste. Aucune indemnité ne sera attribuée aux opérateurs en raison de leur participation au sourcing. Tous les échanges entre La Poste et les opérateurs se dérouleront en langue française. Les dossiers devront être rédigées de telle sorte que La Poste puisse utiliser librement les informations communiquées pour préparer une éventuelle consultation, sous réserve de ne pas fausser la concurrence et de ne pas diffuser d’informations relevant du secret industriel ou commercial des opérateurs.
Base juridique:
Directive 2014/25/UE
2.1.6.
Motifs d’exclusion
Sources des motifs d'exclusion: Avis
Motifs d’exclusion purement nationaux:
5. Lot
5.1.
Lot: LOT-0001
Titre: RFI - Avis relatif à la fourniture de solutions de Contrôles /Gestion des risques et de la conformité (GRC) et de la gestion des risques des fournisseurs tiers (TPRM) pour répondre aux besoins potentiels du Groupe La Poste
Description: Dans le cadre de l’amélioration de l’offre de la Direction Cybersécurité du Groupe La Poste, Le Groupe La Poste étudie la possibilité de se doter d’un outil de « Contrôles / Gestion des Risques et de la Conformité (GRC) et de la Gestion des Risques des Fournisseurs Tiers (TPRM) ». Le périmètre fonctionnel envisagé pour la solution comprend a minima les domaines suivants : - Cartographie des entités : Liste exhaustive des entités du Groupe La Poste par branche et filiale embarquant l’exhaustivité des informations (ex. CA, nombre de collaborateur, localisation, contacts, etc.) ; - Plan de Contrôle Cyber : Catalogue et gestion des contrôles, auto-évaluations et campagnes d’évaluation qu’elles soient récurrentes ou ponctuelles ; - Gestion des risques : Cartographie des risques cyber à différents niveaux (Groupe, branches, filiales, processus, projets, systèmes, tiers). Évaluation périodique des risques cyber et pilotage des plans de traitement ; - Gestion de la conformité : Référentiel d’exigences réglementaires, normatives et internes. Suivi du niveau de conformité et gestion des preuves ; - Gestion des tiers : Référentiel des tiers et évaluation de leur exposition au risque (questionnaires, score, plans de remédiation, réévaluations périodiques) sur l’ensemble du cycle de vie des relations fournisseurs et partenaires ; - Recommandations et plans d’actions : Mettre à disposition des outils de planification permettant aux entités, sur la base d’analyses et de recommandation, de mettre en œuvre des plans de remédiation ; - Rapports et indicateurs : Production de tableaux de bord et indicateurs consolidés et homogènes à tous les niveaux fonctionnels et organisationnel du Groupe La Poste à destination des différentes instances de gouvernance. Le Groupe La Poste attend du fournisseur, les informations suivantes qui seront à charger dans le cadre de réponse dédié sous la plateforme Fournisseurs du Groupe La Poste : Un Dossier de réponse en français incluant : A. Exigences fonctionnelles : - Gouvernance ; - Cartographie des entités ; - Plan de Contrôle Cybersécurité (Catalogue de contrôles, Planification des campagnes de contrôle, Collecte des résultats et statuts de contrôle, Plans d’actions associés aux contrôles) ; - Gestion des risques (Modélisation et cartographie des risques, Évaluation des risques, Appétence au risques et seuils d’acceptabilité, Plans de traitement des risques, Suivi et consolidation des risques) ; Gestion de la conformité (Gestion des référentiels normatifs et réglementaires, Cartographie des obligations de conformité, Référentiel documentaire, Gestion des versions et historique, Évaluation et suivi du niveau de conformité, Gestion des preuves de conformité, Pilotage règlementaire) ; - Gestion des tiers (Référentiel des tiers, Classification et criticité des tiers, Questionnaires et évaluations TPRM, Scoring et synthèse du risque tiers, Suivi contractuel et engagement de sécurité des tiers, Plans d’actions et réévaluations périodiques) ; - Recommandations et plans d’actions (Gestion des non-conformités, Gestion des exceptions et dérogation, Pilotage centralisé des plans d’actions, Priorisation) ; - Rapports et indicateurs (Tableaux de bord, Indicateurs, Fonctions d’export et de restitution) ; B. Exigences non fonctionnelles : - Gestion des accès, identités et habilitations (Intégration SSO et IAM, Gestion des profils, rôles et périmètres, Gestion des droits d’accès, Protection des comptes à privilèges, Workflows et notifications) ; - Sécurité et protection des données (Conformité réglementaire (RGPD, CNIL, ANSSI, NIS2, DORA), Chiffrement des données, Rétention, archivage et suppression des données) ; - Intégration et interopérabilité (Intégration au SI, APIs et connecteurs, Imports de données, Réversibilité, Automatisation / IA pour optimisation des fonctionnalités) ; - Expérience utilisateur et accessibilité (Interfaces utilisateur, Accessibilité et exigences ergonomiques, Documentation, formation et accompagnement, Documentation fonctionnelle et technique, Supports de formation et base de connaissances, Dispositif d’accompagnement au déploiement) ; - Modèle de licence (Tarifications, Coûts de mise en œuvre et de maintenance) ; C. Exigences complémentaires : - Hébergement et infrastructure (Localisation et qualification, Architecture globale, Cloisonnement et isolation des environnements, Protection contre les attaques d’origine cyber) ; - Performance (Volumétrie cible et montée en charge, Temps de réponse et performance transactionnelle) ; - Disponibilité (Mécanismes de haute disponibilité et tolérance aux pannes, Engagements de disponibilité (SLA), Objectifs de reprise d’activité (RPO / RTO), Sauvegardes et tests de restauration, Tests de PRA / PCA) ; - Supervision et gestion des incidents (Supervision des composants et remonté d’alertes, Processus de gestion des incidents, Support et hotline en français) ; - Traçabilité (Journaux d’audit). D. Le questionnaire d’information (Annexe 2) dûment complété en français. E. Tout autre document (en complément des points précédents), de préférence en français, qui pourrait présenter un intérêt pour la réalisation de son analyse. Ces documents sont à charger dans la rubrique « Pièces jointes complémentaires » du cadre de réponse. Il est à noter que le descriptif détaillé de ce dossier, ainsi que les fichiers annexes à compléter sont disponibles sur la plateforme Fournisseurs du Groupe La Poste https://e-sourcing.extra.laposte.fr
5.1.1.
Objet
Nature principale du marché: Fournitures
Nomenclature principale (cpv): 48000000 Logiciels et systèmes d'information
5.1.2.
Lieu d’exécution
Pays: France
N’importe où dans le pays donné
5.1.3.
Durée estimée
Durée: 1 Mois
5.1.4.
Reconduction
Nombre maximum de reconductions: 0
5.1.6.
Informations générales
Participation réservée:
La participation n’est pas réservée.
Les noms et les qualifications professionnelles du personnel chargé de l’exécution du marché doivent être mentionnés: Non requises
Projet de passation de marché non financé par des fonds de l’UE
Le marché relève de l’accord sur les marchés publics (AMP): oui
Le marché en question convient aussi aux petites et moyennes entreprises (PME): oui
5.1.9.
Critères de sélection
Sources des critères de sélection: Avis
Critère: Inscription à un registre du commerce
Description du critère de sélection: Le candidat fournira son numéro unique d'identification (numéro à 9 chiffres (SIREN) ou extrait KBIS ou autre document équivalent.)
5.1.11.
Documents de marché
Langues dans lesquelles les documents de marché sont officiellement disponibles: français
5.1.12.
Conditions du marché public
Conditions de soumission:
Soumission par voie électronique: Requise
Langues dans lesquelles les offres ou demandes de participation/candidatures peuvent être présentées: français
Catalogue électronique: Non autorisée
Variantes: Non autorisée
Les soumissionnaires peuvent présenter plusieurs offres: Non autorisée
Date limite de réception des demandes de participation/candidatures: 05/06/2026 18:00:00 (UTC+02:00) Heure de l'Europe orientale, heure d'été de l'Europe centrale
Conditions du marché:
Le contrat doit être exécuté dans le cadre de programmes d’emplois protégés: Non
Conditions relatives à l’exécution du contrat: Le présent appel à sourcing a pour objectif d'identifier les acteurs du marché relatif aux solutions de Contrôles / Gestion des risques et de la conformité (GRC) et de la gestion des risques des fournisseurs tiers (TPRM). Toutefois, le présent appel à sourcing ne constitue ni une consultation, ni un appel d’offres, ni un engagement de La Poste de lancer ultérieurement une consultation ayant le même objet. Réciproquement les réponses des opérateurs ayant manifesté leur intérêt ne constituent pas un engagement précontractuel ou contractuel de leur part et les échanges entre La Poste et les opérateurs ne constitueront pas des négociations. Les informations communiquées par les opérateurs ayant manifesté leur intérêt ne constituent pas des études remises à La Poste, ni ne relèvent d’une mission d’assistance à maîtrise d’ouvrage.
Un accord de confidentialité est requis: non
Facturation électronique: Non autorisée
La commande en ligne sera utilisée: non
Le paiement électronique sera utilisé: non
Forme juridique que doit revêtir un groupe de soumissionnaires auquel un marché est attribué: Les sociétés qui souhaitent présenter une réponse peuvent se fomer en groupement.
Arrangement financier: Financement du marché par les ressources propres de La Poste.
5.1.15.
Techniques
Accord-cadre:
Pas d’accord-cadre
Informations sur le système d’acquisition dynamique:
Pas de système d’acquisition dynamique
Enchère électronique: non
5.1.16.
Informations complémentaires, médiation et recours
Organisation chargée des procédures de médiation: Le Médiateur des entreprises
Organisation chargée des procédures de recours: Tribunal Judiciaire de Paris
Organisation qui fournit des informations complémentaires sur la procédure de passation de marché: La Poste
Organisation qui fournit un accès hors ligne aux documents de marché: La Poste
Organisation qui fournit des précisions concernant l’introduction des recours: Tribunal Judiciaire de Paris
Organisation qui reçoit les demandes de participation/candidatures: La Poste
Organisation qui traite les offres: La Poste
8. Organisations
8.1.
ORG-0001
Nom officiel: La Poste
Numéro d’enregistrement: 356000000
Adresse postale: 9 RUE DU COLONEL PIERRE AVIA
Ville: PARIS
Code postal: 75015
Subdivision pays (NUTS): Paris (FR101)
Pays: France
Point de contact: Hiba Lamine
Téléphone: +33 155440000
Rôles de cette organisation:
Acheteur
Organisation qui fournit des informations complémentaires sur la procédure de passation de marché
Organisation qui fournit un accès hors ligne aux documents de marché
Organisation qui reçoit les demandes de participation/candidatures
Organisation qui traite les offres
8.1.
ORG-0002
Nom officiel: Tribunal Judiciaire de Paris
Numéro d’enregistrement: 17750111101763
Adresse postale: PARVIS DU TRIBUNAL DE PARIS
Ville: PARIS CEDEX 17
Code postal: 75859
Subdivision pays (NUTS): Paris (FR101)
Pays: France
Téléphone: +33 144325151
Rôles de cette organisation:
Organisation chargée des procédures de recours
Organisation qui fournit des précisions concernant l’introduction des recours
8.1.
ORG-0003
Nom officiel: Le Médiateur des entreprises
Numéro d’enregistrement: MEDIATEUR_ENTREPRISES
Adresse postale: 98 -102 RUE DE RICHELIEU
Ville: PARIS
Code postal: 75002
Subdivision pays (NUTS): Paris (FR101)
Pays: France
Point de contact: Le médiateur des entreprises
Téléphone: +33 100000000
Rôles de cette organisation:
Organisation chargée des procédures de médiation
Identifiant/version de l’avis: ae699c89-9e5f-4ea6-8e1e-6c190a3d9d54 - 01
Type de formulaire: Mise en concurrence
Type d’avis: Avis de marché ou de concession – régime ordinaire
Sous-type d’avis: 17
Date d’envoi de l’avis: 07/05/2026 07:42:18 (UTC+00:00) Heure de l'Europe occidentale, GMT
Langues dans lesquelles l’avis en question est officiellement disponible: français
Numéro de publication de l’avis: 316141-2026
Numéro de publication au JO S: 89/2026
Date de publication: 08/05/2026
