Audit Atct3

ATCT Consultation N°12/2006
B- CLAUSES TECHNIQUES PARTICULIERES
Audit de la sécurité des systèmes informatiques et de communications 22

B- CLAUSES TECHNIQUES PATICULIERE
B- CLAUSES TECHNIQUES PARTICULIERES………………………. 22
I- CLAUSES TECHNIQUES 24
Article 1 : Les caractéristiques relatives à la réalisation de l’audit de
24
sécurité
Article 2 : Aspects de sécurité à étudier 24
Article 3 : Méthodologie adoptée 26
Article 4 : Conduite et déroulement de la mission 27
• 4.1- Phase de préparation de la mission 27
• 4.2- Phase d’audit sur terrain 28
• 4.3 - Synthèse des Recommandations, orientations et plans
31
d’actions
• 4.4- Accompagnement post-audit 31
Article 5 : Délivrables 31
Article 6 : Procédure de validation des rapports de la Mission 33
II- METHODOLOGIE DE DEPOUILLEMENT 33
Article 1 : Critères d’évaluation 33
Article 2 : Evaluation Technique 34
Article 3 : Evaluation Financière 34
Article 4 : Tableaux d’évaluations techniques 35
Tableau de Pondération Global 35
Critère 1 : Expérience et références du soumissionnaire 35
Critère 2 - Qualité des Moyens humains mis à la disposition de la
36
mission
• Tableau 2.1 - Compétence du chef de Projet 36
• Tableau 2.1 - Compétence du chef de Projet 36
• Tableau 2.2 - Qualité du personnel affecté à la mission 38
• Tableau 2.2.1- Compétence du chef d’équipe 38
• Tableau 2.2.2 - Qualité de l’équipe d’audit affectée à la mission 40
• Tableau 2.2.2.1 :: Compétence des Ingénieurs (ou équivalent) 41
• Tableau 2.2.2.2 :: Compétence des maîtrisards (ou équivalent) 42
• Tableau 2.2.2.3 ::Compétence des Techniciens (ou équivalents) 44
• Tableau 2.3 - Compétence des membres de l’équipe , affectés
45
aux missions de sensibilisation
• Tableau 2.4 - Compétence des consultants 47
Critère 3 - Méthodologie et conduite du projet 49

Tableau 3.1- Méthodologie suivie pour l’audit Organisationnel 49

Tableau 3.2 - Méthodologie suivie pour l’audit Technique 50
ARTICLE 5 - Classement Technique 50
ARTICLE 6 - Dépouillement financier 50
I - CLAUSES TECHNIQUES
Article 1 : Les caractéristiques relatives à la réalisation de

l’audit de sécurité
L’Agence Tunisienne de Coopération Technique désigné ci-

après par ATCT, se propose de lancer une consultation pour
l’audit sécurité des ses systèmes informatiques et de
communication décrites dans l’article 2 des clauses techniques.
L’objet de cet audit devra se conformer, au minimum, aux
dispositions énoncées dans le décret N°2004-1250 et être, au
moins, piloté par, au moins, un chef de projet certifié par l’ANSI,
conformément au décret N° 2004-1249 du 25 mai 2004.
Cet audit devra prendre comme référentiel de base la
norme ISO 1 7799 et suivre une approche méthodologique aussi
proche que possible de ce référentiel.
La mission d’audit, objet de cette consultation, devra

indiquer clairement et sans équivoque toutes les failles de
sécurité recensées à l’issue de l’audit et proposer une solution de
sécurité tout en indiquant clairement les axes d’améliorations et
les mesures à entreprendre en vue d’assurer la sécurisation de
l’ensemble des systèmes d’information audités aussi bien les
aspects physiques (sécurité de l’environnement),
organisationnels (politique de sécurité, procédures d’exploitation,
structures administratives dédiées à la sécurité, suivi et pilotage
internes, etc.) que les aspects informationnels des systèmes
informatiques et de communication (logiciels et équipements
réseaux spécifiques à la sécurité, dispositifs et accessoires, etc.
…).
Cette mission devra donc cibler tous les aspects touchant à

la sécurité des systèmes informatiques et des réseaux de
communication.
Article 2 : Aspects de sécurité à étudier

La mission concernera tous les systèmes informatiques de

L’ATCT, tels que les serveurs, ordinateurs de bureau, potables,
borne interactive, routeurs, systèmes d’exploitation, réseau local,
câblage, messagerie interne , Connexion Internet, etc.…
Une description sommaire de ces systèmes informatiques est
présentée à l’annexe A de la présente consultation.
Le prestataire est tenu d’évaluer la politique de sécurité de

la structure objet de l’audit notamment les aspects de sécurité
suivants :
 Sécurité physique des matériels et des locaux :

- Vérifier la performance des contrôles d’accès à la salle des
équipements informatiques et des serveurs
- Examiner les procédures et les dispositifs de protection
physique des matériels, logiciels et locaux contre l’incendie et
l’inondation (détection, prévention, portes blindées…..).
 Supports des données (Disquettes, CD, DVD,etc…) :

- Examiner les conditions d’usage des supports des
données (disquettes, CD, DVD) ;
- Examiner les conditions de rangement et de conservation
des supports de données ( les copies, la conservation, locaux,
les armoires ignifuges, …).
 Sécurité logique :
- Examiner les mesures de sécurité passives contre les
risques de perte et de malveillance ;
- Vérifier la séparation des tâches et les risques de leur cumul
dans les cas observés.
 Sécurité des données :

- Vérifier l’existence des procédures de sauvegardes et de
restauration des données en cas de défaillance ou de panne ;
- Vérifier le degré d’application des antivirus ;
- Examiner le plan et les moyens prévus pour assurer la
continuité du fonctionnement de l’exploitation des ressources
informatiques en cas de défaillance d’une partie importante ou
de la totalité du système ;
- Vérifier la confidentialité des informations dans les
domaines de transmission des données.

 Profils utilisateurs et droit d’accès :

Etudier la sécurité dévolue aux droits d’accès et la pertinence
des mots de passe utilisés à tous les niveaux des utilisateurs
qui exploitent les applications informatiques ou bureautiques
et évaluer la fiabilité des mécanismes d’authentifications.
 Sécurité des applications et des logiciels mis en

exploitation :
 Concernant les applications informatiques : la mission
consiste notamment à expertiser les points suivants au
niveau de chacune des applications en exploitation :
o Conformité d’utilisation des mesures de sécurité ;
o Evaluer les écarts entre les besoins réels en
matière de sécurité et la prestation fournie par les
applications informatiques ;
o Evaluer l’usage des mesures de sécurité fournis
par les applications informatiques (contrôles d’accès aux
données et aux traitements, sauvegarde des données) ;
o Evaluer le degré de sécurité dans les
environnements bureautiques.
 Formalisme de maintenance des applications :

o Examiner le formalisme de maintenance des
applications et les risques encourus sur la sécurité et la
pérennité de leur exploitation ;
o Analyser l’organisation, les moyens de la
maintenance (changements externes, demandes des
utilisateurs, correction d’erreurs etc..) .
 Sécurité des programmes et de la documentation :
o Evaluer les risques de divulgation, modification et
perte totale ou partielle des programmes d’origine
accidentelle ou intentionnelle et le niveau de récupération
à partir des supports magnétiques ou de la
documentation.
 Gestion des versions des applications et des logiciels :

o Vérifier l’existence d’une procédure
d’identification des versions des applications
informatiques et analyser sa consistance et sa gestion
(mise à jour) par rapport aux standards ;

o Evaluer l’homogénéité des versions bureautiques

utilisées.
 Etude des aspects d’architecture, de configuration et de

technologie réseau
o Procéder à une étude de l’infrastructure réseau
projeté touchant le paramétrage et la configuration des
équipements et logiciels de filtrage, de détection et de
refoulement à mettre en place..
o Les risques menaçant la pérennité de l’activité de

la structure devront être précisés
Article 3 : Méthodologie adoptée

Pour la réalisation de la mission, le soumissionnaire devra
emprunter une approche méthodologique, en indiquant les
références de la méthodologie adoptée, tout en gardant comme
référentiel normatif la norme ISO27001/PNT73-115 (ISO17799) .
La méthodologie proposée devra être adaptée à la réalité

métier et aux dimensions des entités auditées et devra permettre
d’aboutir à l’élaboration de bilans, de recommandations et
solutions pragmatiques et pertinentes, qui tiennent compte, pour
les plus urgentes, de la réalité humaine et matérielle de l’entité,
et en la corrélant à la gravité des failles décelées et à l’efficacité,
urgence et faisabilité des actions à mener.
Ainsi, le soumissionnaire est appelé à présenter, clairement
dans son offre, les éléments suivants :
 La méthodologie d’audit qu’il envisage de mettre en
oeuvre. L’ATCT tiendra compte dans son évaluation de la
consistance de la méthodologie proposée, ou partie de cette
méthodologie et ce à chaque phase ainsi que de son
adéquation à la réalité de l’entité et du temps imparti.
 La qualité des moyens techniques et humains qui seront
déployés lors de la mise en œuvre de cette méthodologie.
 Les différentes phases de l’audit qu’il envisage

entreprendre. De même, il indiquera les actions et
méthodes relatives à chaque phase :

- Méthode de mise en œuvre du volet physique et

organisationnel et les structures recensées utiles à
interviewer, ainsi que les outils logiciels accompagnant la
mise en oeuvre de cette méthodologie,
- Méthode de mise en œuvre du volet technique, en
spécifiant les types de tests techniques à effectuer et leurs
objectifs, ainsi que les outils utilisés.
 La Séquence des actions (interviews, tests techniques,

synthèse, rédaction de rapports, …) et une estimation de la
volumétrie Homme/Jour de chaque action.
 La liste nominative des équipes qui interviendront pour

chaque composant (site, structure) avec référence de
l’expérience dans la mise en œuvre de la méthodologie et
outils consignés. Il est à noter que toute modification des
personnes initialement proposées est une cause de rupture
du contrat ou de disqualification, sauf cas exceptionnel, via
l’octroi de l’accord préalable et écrit de l’ATCT (avec
insertion de ces écrits dans le rapport final).
 Une présentation des CVs des intervenants, relativement au

modèle fourni dans l’annexe 4 du présent cahier de charges.
Toute fausse déclaration entraînera la pure et simple
élimination du soumissionnaire avec notification du fait aux
instances concernées.
Dans le volet financier de l’offre, le soumissionnaire est prié de
préciser le coût Homme/Jour par catégorie d’intervenant et par
lieu avec résumé du coût global.
Article 4 : Conduite et déroulement de la mission

Cette mission sera décomposée en quatre phases :
4.1- Phase de préparation de la mission :
Au lancement de la mission, le titulaire du marché devra
solliciter auprès des structures à auditer tout détail, information
ou document nécessaire pour l’exercice de sa mission.
Une réunion préparatoire de la mission sera organisée au
début de la mission, dont l’objet sera de finaliser, sur la base des
documents préparés par le titulaire du marché, les détails de
mise en œuvre de la mission.

Elle concernera, sans s’y limiter, la finalisation des détails

suivants :
• Désignation des chefs de projets et des interlocuteurs,
côté ATCT et titulaire du marché.
• Fourniture des détails complémentaires, relatifs au
domaine de l’audit,
• Fourniture des documents requis pour l’audit et examen
des problèmes relatifs à la documentation.
• Examen des détails des interviews à réaliser par le
titulaire du marché.
• Affinement des plannings d’exécution (planning des
actions, plannings des réunions de coordination et de
synthèse, ….).
• Eventuellement : liste des rapports intermédiaires et
procédures de validation.
Cette réunion débouchera, entre autre, sur la synthèse des
plannings précis et détaillés de mise en œuvre de la mission.
Les résultats de cette réunion seront consignés dans un procès
verbal.
De plus et dans l’objectif de sensibilisation, au moins une
réunion avec les responsables et acteurs des systèmes
d’information devrait être proposée. Le titulaire du marché, devra
inclure dans son offre, une description de la matière de
sensibilisation (documents / maquettes, …) qui sera utilisée.
Cette réunion aurait pour objectif :
• Une sensibilisation aux dangers cybernétiques et aux risques
cachés encourus.
• L’octroi de la transparence et collaboration des utilisateurs,
en spécifiant l’objectif de l’audit, les bienfaits attendus, ainsi
que la confidentialité des données reçues.
4.2- Phase d’audit sur terrain :

C’est la phase d’audit proprement dite, elle couvrira
principalement deux volets :
• Un volet d’audit organisationnel et physique,
• Un volet d’audit technique.
4.2.1- Audit organisationnel et physique :

Il s’agit, pour ce volet d’évaluer les aspects organisationnels de

gestion de la sécurité de la structure objet de l’audit, d’estimer
les risques et de proposer les recommandations appropriées pour
la mise en place des mesures organisationnelles et d’une
politique sécuritaire adéquate. On s’intéressera aux aspects de
gestion et d’organisation de la sécurité, sur les plans
organisationnels, humains et physique.
Cet audit devra prendre comme référentiel tous les chapitres de
la norme PNT73-115 (ISO17799), en insistant particulièrement
sur les chapitres suivants :
1. Politique de sécurité,
2. Sécurité organisationnelle,
3. Sécurité physique et sécurité de l’environnement,
4. Gestion des communications et des opérations,
5. Contrôle des accès,
6. Acquisition, Développement et maintenance des systèmes,
7. Gestion de la continuité des activités de l’ATCT
8. Conformité.
9. Gestion des incidents liés à la sécurité de l’information.
Cette phase touchera ainsi à l’évaluation des aspects physiques

et architecturaux (sécurité physique et architecture de sécurité),
celles de gestion des tâches de sécurité (administration des
systèmes et des outils de sécurité, plans de réaction et de
continuité, …) et celles de l’organisation des fonctions de
sécurité. Elle devra aboutir à une première évaluation des risques
et à des recommandations concernant tous ces aspects
(procédures d’exploitation, structures dédiées à la sécurité, suivi
et pilotage, etc.).
4.2.2- Audit technique :

Ce volet concerne l’audit technique de l’architecture de
sécurité. Il s’agit de procéder à une analyse très fine de
l’infrastructure sécuritaire des systèmes informatiques et de
communication. Cette analyse devra faire apparaître les risques
d’intrusion actives entre autre les risques de tentatives de
fraude, d’accès illicites ou malintentionnés…, ainsi que celles
passives (contaminations virales, ...), et ce suite à divers tests de
vulnérabilité conduites dans le cadre de cette mission, qui
peuvent englober des opérations de simulation d’attaques,

d’intrusions, de cracking (craquage) de mots de passe, de

tentatives d’interception et de modification d’informations et tout
autre test permettant d’apprécier la robustesse de la sécurité des
systèmes d’information et leur capacité à préserver les aspects
de confidentialité, d’intégrité, de disponibilité et d’autorisation.
Au cours de cette étape, le titulaire du marché devra, en réalisant
des audits techniques, tests et simulations d’attaques réelles :
• dégager les écarts entre l’architecture réelle et celle
décrite lors des entretiens ou dans la documentation,
ainsi qu’entre les procédures techniques de sécurité
supposées être appliquées (interviews) et celles
réellement mises en œuvre.
• évaluer, la vulnérabilité et la solidité des mécanismes
d’administration et de gestion de la sécurité et des
plates-formes matérielles et logicielles utilisées, contre
toutes les formes de fraude et d’attaques connues par les
spécialistes du domaine au moment où l’audit est
conduit, et touchant les aspects de confidentialité,
d’intégrité et de disponibilité des informations (et le cas
échéant, celles des mécanismes d’autorisation
« authentification, certification, .. » et de non
répudiation).
Elle devra aussi inclure une évaluation des mécanismes et

outils de sécurité présentement implémentés et permettra le
diagnostic et le test de toutes leurs failles architecturales, ainsi
que les lacunes en matière d’administration de ces outils.
Les tests réalisés ne devront pas mettre en cause la
continuité du service du système audité. Les tests critiques,
pouvant provoquer des effets de bord, devront être notifiés au
chef de projet (coté ATCT) et devront, si nécessaire, être réalisés
sous sa supervision, conformément à un planning pré-établi, qui
pourra concerner des horaires de chôme.
4.2.3- Outils utilisés :
Lors des audits techniques, l’utilisation d’outils commerciaux
devra être accompagnée de la présentation d’une copie de la
licence originale et nominative, permettant leur usage correct
pour de telles missions (inexistence de restrictions quant à leur
usage pour les audits : plages d’adresses ouvertes, ...).

De plus, étant donné qu’aucun produit commercial ne

saurait prétendre á lui seul, á une complétude totale, les outils
disponibles dans le domaine des logiciels libres (essentiellement
utilisés par les attaquants) devront être savamment déployés
pour assurer une complétude correcte de cette phase, en
s’appuyant, quand cela est possible, sur des scripts riches de
mise en oeuvre savante et combinée de ces outils.
Les outils proposés devront inclure, au minimum, les
catégories d’outils suivants :
• Outils de sondage et de reconnaissance du réseau.
• Outils de test automatique de vulnérabilités du réseau.
• Outils spécialisés dans l’audit des équipements réseau
(routeurs, switchs, ).
• Outils spécialisés dans l’audit de chaque type de plate-
formes système.
• Outils spécialisés dans l’audit des SGBD,
• Outils d’analyse et d’interception de flux réseaux,
• Outils de test de la solidité des outils de sécurité réseau :
firewalls, IDS, outils d’authentification,….
• Outils de scan de connexions à des réseaux distants.
Et tout autre type d’outil, recensé nécessaire, relativement
aux spécificités du système d’information audité.
Le fournisseur devra donner la référence et une description
concise (résumé de la liste des fonctionnalités offertes) des outils
et scripts qu’il compte utiliser, en spécifiant l’objectif, lieu (phase
de l’audit) et types de fonctionnalités de l’outil ou script qui
seront mises en œuvre (Voir modèle en annexe 5)
4.3 - Synthèse des Recommandations, orientations et

plans d’actions :
Le titulaire du marché est invité, à la fin de la phase d’audit
sur terrain de réaliser une synthèse, permettant d’indiquer la
liste des failles (classées par ordre de gravité et d’impact), ainsi
qu’une évaluation de leurs risques et une synthèse des
recommandations conséquentes.
Les recommandations devront inclure au minimum :

• Les actions détaillées (organisationnelles et techniques)

urgentes à mettre en œuvre sur le court terme, pour parer aux
défaillances les plus graves, ainsi que la proposition d’une
politique de sécurité à instaurer dans l’immédiat.
• Les actions organisationnelles, physiques et techniques à
mettre en œuvre sur le moyen terme (jusqu’à la date du
prochain audit), englobant entre autres :
 les premières actions et mesures à entreprendre
en vue d’assurer la sécurisation de l’ensemble du système
audité, aussi bien sur le plan physique que sur le plan
organisationnel (structures et postes à créer, opérations de
sensibilisation et de formation à intenter, procédures
d’exploitation sécurisées à instaurer,…) et technique (outils
et mécanismes de sécurité à mettre en oeuvre, incluant une
référence aux opportunités et options offertes par les outils
disponibles dans le monde du logiciel libre ), ainsi
qu’éventuellement des aménagements architecturaux de la
solution de sécurité existante.
 Une estimation des formations requises et des
ressources humaines et financières supplémentaires
nécessitées.
• La proposition de l’esquisse d’un premier schéma
directeur cadre (sur trois années).
4.4- Accompagnement post-audit
Le soumissionnaire devra offrir des Hommes/Jour
supplémentaires ayant pour objectif l’accompagnement de
l’ATCT durant les trois premiers mois de l’après audit (examen de
l’efficacité des premières mesures urgentes mise en œuvre et
correction de la démarche et toute autre action
d’accompagnement, jugée utile par le soumissionnaire), ainsi que
son assistance en vue de formuler les caractéristiques techniques
du matériel et logiciel de sécurité à acquérir. Ces actions
devraient être consignées dans le rapport d’audit final et un
premier planning d’intervention devrait y être proposé.
Article 5 : Délivrables
Un ou plusieurs rapports devront ainsi livrés à la fin de la
mission, dans lesquels on présentera clairement, au minimum :
• Une évaluation de la vulnérabilité du système
d’information audité. Cette évaluation sera accompagnée

d’une estimation des impacts et risques encourus, ainsi que

par la présentation d’un état exhaustif des failles et des
anomalies décelées, classées selon leur gravité.
• Les actions physiques, techniques et éventuellement
organisationnelles, à mettre en œuvre dans l’immédiat pour
pallier aux insuffisances les plus graves.
• La proposition d’un plan d’actions à moyen terme, ainsi
que l’esquisse d’un schéma directeur sur trois années,
permettant la mise en œuvre d’une stratégie de sécurisation
sur le moyen et long terme, et qui tiennent compte de la
réalité et de l’évolution de l’institution et qui englobe une
évaluation des ressources techniques et financières
nécessitées.
Le document final devra inclure les chapitres ou rapports

suivants :
1. Un rapport d’audit couvrant les différents aspects cités ci-

dessus et qui devra comprendre en particulier les sections
suivantes :
a) Une section relative à l’audit organisationnel et physique,
fournissant une estimation des risques et incluant la liste
des recommandations et la stratégie de sécurité à appliquer
sur le moyen terme (jusqu’au prochain audit) et tenant
compte des spécificités de l’entité, de la classification des
systèmes (criticité) et de la réalité des moyens.
b) Une section relative à l’audit technique, indiquant les
vulnérabilités existantes, leur impact sur la pérennité des
systèmes d’information et de communication de la
structure, en incluant des recommandations techniques à
appliquer sur le moyen terme (jusqu’au prochain audit),
concernant les moyens de correction des failles applicatives
décelées, ainsi que les nécessaires déploiements d’outils et
d’architectures de sécurité (basées entre autres sur l’option
d’usage d’outils open-source). Tous les travaux de test et
d’analyse effectués devront être consignés dans une
annexe, en les ordonnant selon leur sévérité.
c) Le plan d’action immédiat, comprenant des
recommandations précises quant aux mesures à prendre
dans l’immédiat (importants patchs à appliquer, importants
réaménagements physiques, organisationnels et

techniques) afin de pallier aux failles et insuffisances les

plus graves.
Il devra préciser le détail (volumétrie, objet, planning
estimatif, forme d’engagement) des mesures
d’accompagnement et de suivi, ayant pour objectif
l’accompagnement de l’ATCT durant les trois premiers mois
de l’après audit ainsi que son assistance en vue de formuler
les caractéristiques techniques du matériel et logiciel de
sécurité à acquérir. L’accompagnement et l’assistance
doivent figurer séparément dans les offres techniques et
financières.
2. L’esquisse d’un premier schéma directeur sur trois années.
3. Un rapport de synthèse, destiné à la direction générale, qui

inclura les importants résultats de l’estimation des risques, un
résumé succinct des importantes mesures organisationnelles,
physiques et techniques préconisées sur le moyen terme
(jusqu’au prochain audit), ainsi que les grandes lignes du
schéma directeur proposé.
Article 6 : Procédure de validation des rapports de la
mission
L’ATCT, donnera son approbation ou refus du contenu des
rapports suite à leur remise par le titulaire du marché et
conformément au planning pré-établi lors de la réunion
préparatoire, toutefois, L’ATCT doit formuler ses remarques dans
un délai ne dépassant pas vingt jours à partir de la date de
réception des rapports. Les réserves formulées par L’ATCT
devront être consignés par écrit au titulaire du marché.
II - METHODOLOGIE DE DEPOUILLEMENT
ARTICLE 1 – CRITERES D’EVALUATION
S’agissant d’un marché d’études à caractère complexe, les

critères d’évaluation portent essentiellement, sur :
La consistance des démarches et méthodologies proposées,

ainsi que la compétence des équipes proposées pour ce
marché.
• L’offre financière proposée.

Le dépouillement des offres se fera selon les étapes

suivantes :
1. Examen préliminaire des offres : Cette étape portera sur la

vérification de la conformité de chacune des offres aux
exigences demandées dans ce document. Toute offre ne
répondant pas à l’un des critères d’élimination (Article 2
ci-dessous) sera éliminée.
2. Evaluation technique des offres : Les offres retenues à la

suite de l’étape précédente seront évaluées techniquement,
conformément à la méthodologie énoncée dans l’article 3 et
seront classées sur la base d’une note technique (NT)
obtenue.
3. Evaluation financière des offres : Les offres relatives à chaque

lot et qui retenues pour cette étape seront évaluées
financièrement selon la méthodologie énoncée dans l’article
6 , Partie III et sont classées sur la base de la note financière
(NF) qu’elles auront obtenues.
4. Classement technique et financier : Les offres sont enfin

classées sur la base d’une note générale (NG) calculée
comme suit :
NG* = 0.70NT +
0.3NF
ARTICLE 2 – CRITERES DE CONFORMITE TECHNIQUE
Les critères de conformité technique (éliminatoires) sont :

• Non présentation pour le chef du projet de certificat,
en cours de validité, délivré par l’Agence Nationale de
Sécurité Informatique ou non emploi à plein temps par
le soumissionnaire du chef de projet certifié.
• Absence de Curriculum Vitae de(s) équipe(s)
intervenante(s) proposée(s) dans l’offre .
• Absence de présentation de la méthodologie de
conduite du projet ou inadéquation totale des

méthodologies proposées avec le référentiel normatif

ISO 1 7799.
• Simultanément, Absence totale d’expérience de
l’équipe proposée par le soumissionnaire en matière
de sécurité informatique ET Absence totale de
références du Chef de projet en matière d’audits en
sécurité informatique, sauf en cas de spécialisation
exclusive du soumissionnaire dans le domaine des
audits de sécurité informatique (dans ce cas, prière de
fournir une copie du registre de commerce, précisant
la spécialisation exclusive dans cette activité)
Il est à noter que ces critères sont éliminatoires.
ARTICLE 3 – EVALUATION TECHNIQUE

L’évaluation des propositions sera faite conformément à la
méthodologie suivante :
Critères Quantitatifs :
Voir Barèmes, au niveau des Tableaux d’évaluation.
Critères Qualitatifs :
L’évaluation des critères qualitatifs sera effectuée conformément
au tableau suivant :
Appréciation Note sur 10
Excellent 10
Très bien 8à9

Bien 6à7
Moyen 3à5
Faible 1à2
Très Insuffisant 0
La note technique NT est la moyenne pondérée des notes Ti

attribuées aux différents critères. Le tableau de pondération est
comme suit :
Tableau de Pondération Global
Ordr Pondérati Critère Natur

e on e
1 40 Expérience et références du soumissionnaire Qn

Qualité des Moyens humains mis à la
2 30 Ql
disposition du projet
Qualité de la Méthodologie de conduite du
3 30 Ql
projet
Qn : Quantitatif Ql : Qualitatif
La note attribuée à chaque critère est la somme pondérée des
notes attribuées aux sous-critères, relativement aux modèles ci-
après.
Critère 1 : Expérience et références du soumissionnaire

Ordr Pondérat Sous-critère Nature
e ion
1 20 Spécialisation de l’entreprise • Exclusive : 10

dans l’activité d’audit sécurité • Partielle (activité
majeure) :8
• Partielle (activité
mineure) :4
• Non : 0
2 20 Nombre de missions de Calculé au prorata
l’entreprise dans l’activité de suivant la règle :
la sécurité Informatique Noteréf*Valoffre/Valmax
(Intégration, Conseil,
formation, ….)
3 20 Nombre des missions d’audit
sécurité , conformes au décret
N° 2004-1250, de plus de 10
Jours, effectuées durant les
deux dernières années.
4 15 Effectif global du personnel
Ingénieur (ou équivalent),
affecté aux missions de
sécurité informatique et
d’audit
5 10 Effectif global d’analystes (ou
équivalent) affectés aux
missions de sécurité
informatique et d’audit

6 5 Effectif global des techniciens,

affectés aux missions de
sécurité informatique et
d’audit
7 5 Chiffre d’affaires global, durant
les deux dernières années
8 5 Effectif technique global de
l’entreprise
Seules les missions effectuées par le soumissionnaire (seul

ou avec des partenaires) et justifiées par des P.V. de
réception ou attestations du client seront considérées dans
l’évaluation.
Critère 2 - Qualité des Moyens humains mis à la disposition de la

mission
Ordr Pondérati Sous-critère Nature
e on
Compétence du chef de (voir tableau
1 30
Projet, affecté au projet 2.1)
2 30 Qualité du personnel affecté à (voir tableau
la mission 2.2 )
Compétence des (voir tableau
intervenants, affectés à la 2.3)
3 20
(aux) mission(s) de
sensibilisation
Compétence des consultants, (voir tableau
4 20
affectés à la mission 2.4)
Tableau 2.1 - Compétence du chef de Projet

e on
1 20 Expérience générale du chef du

• Plus de
projet (en nombre d‘années)
10 : 10
• Entre 6 et
9:8
• Entre 3 et

5 :6
• Entre 2 et 3
:4
• Une seule :
2
2 20 Expérience en matière de Ql
sécurité informatique
3 20 Nombre de Missions d’audit (de

• Plus de
plus de … jours et conformes au
10 :10
décret N° 2004-1250 conduits
sous sa gestion directe en • Entre 6 et
Tunisie ou à l’étranger, durant 9:8
les deux dernières années. • Entre 3 et
5:6
• Entre 2 et
3 :4
• Une seule :2

4 20 Certifications et formations Ql
 Certifications obtenues en
audit sécurité
 Certifications obtenues dans
d’autres domaines de la
sécurité informatique, en
relation avec la mission
des domaines en relation
avec la mission ( Plates-
formes, Equipements
réseau, méthodologies…)
 Formations, non certifiantes,
suivies en audit sécurité
suivies dans d’autres
domaines de la sécurité
informatique, en relation
avec la mission
suivies dans des domaines
en relation avec la mission
( Plates-formes,
Equipements réseau,
méthodologies…)
5 10 Diplôme universitaire • Ingénieur

(ou
équivalent)
en
Informatiqu
e ou
Télécoms
ou
équivalent :
10
• Maîtrise en
Informatiqu
e ou

Télécoms
ou
équivalent :
8
6 10 Expérience du chef du projet en

• Plus de
tant que membre dans des
10 : 10
opérations d’audit (en nombre
de missions) • Entre 6 et
9 :8
• Entre 3 et
5 :6
• Entre 2 et 3
:4
• Moins que
2 :2
Tableau 2.2 - Qualité du personnel affecté à la mission
Sous-critère Nature Pondératio

n
Compétence du chef d’équipe (voir tableau 20

(Chef d’équipe physiquement 2.2.1)
impliqué à plein temps dans la
mission).
Qualité de l’équipe d’audit (voir tableau 60

(équipe physiquement impliquée à 2.2.2)
plein temps dans la mission).
Qualité des plannings (distribution Ql 20

des charges et des volumes
homme/jour )
Tableau 2.2.1- Compétence du chef d’équipe


e on
1 20 Expérience générale du chef • Plus de

d’équipe (en nombre d‘années) 10 :10
• Entre 6 et
9 :8
• Entre 3 et
5 :6
• Entre 2 et 3
:4
• Une seule :
2
3 20 Nombre de Missions d’audit (de • Plus de

plus de … jours et conformes au 10 :10
décret 1250-2004) conduits
• Entre 6 et
sous sa supervision directe en
9 :8
tant que chef d’équipe, durant
les deux dernières années. • Entre 3 et
5:6
• Entre 2 et 3
:4
• Une
seule : 2
• Aucune :0

audit sécurité
avec la mission
( Plates-formes,
méthodologies…)
5 10 Diplôme universitaire • Doctorat en

Informatiqu
e ou
Télécoms
ou
équivalent :
10
• Ingénieur
(ou
équivalent)
en
Informatiqu
e ou
Télécoms
ou
équivalent :
8
• Maîtrise en

Informatiqu
e ou
Télécoms
ou
équivalent :
6
• Autre :
6 10 Expérience du chef d’équipe en • Plus de

tant que membre dans des 10 : 10
opérations d’audit (en nombre
• Entre 6 et
de missions)
9:8
• Entre 3 et
5 :6
• Entre 2 et
3 :4
Tableau 2.2.2 - Qualité de l’équipe d’audit affectée à la mission

e on
1 20 Nombre des Ingénieurs (ou • Plus de 3

équivalent) affectés à la Ingénieurs :
mission 10
• Entre 2 et 3
Ingénieurs :
8
• 1
Ingénieur:6
• 0
Ingénieur:0
2 20 Compétence des Ingénieurs (ou Voir sous-

équivalent) proposés, en tableau
matière d’audit 2.2.2.1
3 15 Nombre des analystes (ou • Plus de 3

équivalents) affectés à la analystes :1

mission 0
• Entre 2 et 3
analystes :
8
• 1 analyste :
6
• 0 analyste :
0
4 15 Compétence des analystes Voir sous-

proposés, en matière d’audit tableau
2.2.2.2
5 10 Nombre des techniciens

affectés à la mission
6 10 Compétence des techniciens Voir sous-

(ou équivalents) proposés, en tableau
matière d’audit 2.2.2.3
7 10 Adéquation de la distribution Ql
des tâches et consistance de
l’encadrement

Tableau 2.2.2.1 :: Compétence des Ingénieurs (ou équivalent)
Pour chaque Ingénieur :

e on
1 30 Date du Diplôme et Expérience • Plus de

générale 10 :10
• Entre 6 et
9:8
• Entre 3 et
5 :6
• Entre 2 et 3
:4
• Une seule
:2
3 20 Nombre de Missions d’audit (de • Plus de

plus de … jours et conformes au 10 : 10
décret …) conduites durant les
• Entre 6 et
deux dernières années.
9 :8
• Entre 3 et
5 :6
• Entre 2 et
3 :4
• Une seule :2
• Aucune : 0

obtenues
audit sécurité
formes, Equipements
avec la mission
( Plates-formes,
méthodologies…)
Tableau 2.2.2.2 :: Compétence des maîtrisards (ou équivalent)
Pour chaque maîtrisard (ou équivalent) :

e on
1 30 Diplôme et Expérience • Plus de

générale 10 :10
• Entre 6 et

9:8
• Entre 3 et
5 :6
• Entre 2 et
3 :4
• Une seule
:2
3 20 Nombre de Missions d’audit • Plus de

(de plus de … jours et 10 :10
conformes au décret …)
• Entre 6 et
conduites durant les deux
9:8
dernières années.
• Entre 3 et
5 :6
• Entre 2 et
3 :4
• Une seule
:2
• Aucune : 0
audit sécurité
 Certifications obtenues
dans d’autres domaines de
la sécurité informatique,
dans des domaines en
( Plates-formes,
méthodologies…)

 Formations, non
certifiantes, suivies en
audit sécurité
 Formations, non
certifiantes, suivies dans
 Formations, non
formes, Equipements

Tableau 2.2.2.3 ::Compétence des Techniciens (ou

équivalents)
Pour chaque technicien (ou équivalent)
Ordr Pondératio Sous-critère Nature

e n
1 30 Diplôme et Expérience • Plus de

générale 10 :10
• Entre 6 et
9:8
• Entre 3 et
5 :6
• Entre 2 et
3 :4
• Une seule
:2
3 20 Nombre de Missions d’audit • Plus de

(de plus de … jours et 10 :10
conformes au décret …)
• Entre 6 et
conduits durant les deux
9:8
dernières années.
• Entre 3 et
5 :6
• Entre 2 et
3 :4
• Une seule
:2
• Aucune : 0

audit sécurité
dans d’autres domaines
de la sécurité
avec la mission
(Plates-formes,
méthodologies…)
 Formations, non
certifiantes, suivies en
audit sécurité
 Formations, non
 Formations, non
avec la mission (Plates-
formes, Equipements
Tableau 2.3 Compétence des membres de l’équipe , affectés

aux missions de sensibilisation

e on
1 20 Expérience générale (en • Plus de

nombre d‘années) 10 :10
• Entre 6 et

9 :8
• Entre 4 et 5 :6
• Moins que 4 :4
3 20 Nombre de Missions de • Plus de 10 :

sensibilisation (Interventions 10
dans des séminaires de
• Entre 6 et
sensibilisation en sécurité,
9 :8
cours de formation en sécurité
effectués,…) conduits en • Entre 3 et
Tunisie ou à l’étranger, durant 5:6
les quatre dernières années. • Entre 2 et 3 :4
• Une seule :2
4 20 Compétence pédagogique : • Enseignant

universitaire,
spécialisé en
sécurité
informatique :1
0
• Enseignant
professionnel,
spécialisé en
sécurité
informatique :
8
• Auditeur
certifié :6
• Pas de
compétence
pédagogique
spéciale :0

 Certifications obtenues en audit

sécurité
o Certifications obtenues
dans d’autres domaines de la
o Certifications obtenues
( Plate-formes, Equipements
o Formations non
certifiantes, suivies (ou
réalisées) en sécurité

Informatique
ou Télécoms
ou équivalent :
10
• Ingénieur (ou
équivalent) en
Informatique
ou Télécoms
ou équivalent :
8
• Maîtrise en
Informatique
ou Télécoms
ou
équivalent :6
Tableau 2.4 Compétence des consultants

Ordr Pondérati Sous critère Nature
e on
1 20 Expérience générale du • Plus de 10 :

consultant (en nombre 10

d‘années) • Entre 6 et 9
:8
• Entre 3 et 5 : 6
• Moins que 3 :4
2 10 Expérience en matière de
3 10 Nombre de Missions d’audit (de • Plus de 10 :

plus de … jours et conformes au 10
decret N° 2004-1250) conduits • Entre 6 et 9
avec sa supervision directe en :8
Tunisie ou à l’étranger, durant
les deux dernières années. • Entre 3 et 5
:6
• Entre 2 et 3 :4
• Une seule :2
4 10 Pertinence de l’apport du • Apport très

consultant : pertinent :10
• Apport
moyennement
pertinent :8
• Apport
profitable :6
• Apport Non
pertinent :0
5 10 • Implication avec le • Contractuelle :

soumissionnaire 10
• Occasionnelle :
6
6 10 • Adéquation du profils du • Bonne

consultant aux tâches de adéquation :10
consultation qui leur sont
• Adéquation
affectées, au sein de la mission
moyenne :6
• Non
Adéquat :0

Certifications obtenues en audit
sécurité
Certifications obtenues dans
Certifications obtenues dans
des domaines en relation avec
la mission ( Plates-formes,
méthodologies…)
Formations, non certifiantes,
informatique, en relation avec
la mission
suivies dans des domaines en
( Plates-formes, Equipements

Informatique
ou Télécoms
ou équivalent :
10
• Ingénieur (ou
équivalent) en
Informatique
ou Télécoms
ou équivalent :
8
• Maîtrise en
Informatique
ou Télécoms

ou
équivalent :6
• Autre :4
9 10 Expérience générale du • Plus de

consultant (Nombre de missions 10 :10
de consultation, tâches de
• Entre 6 et
consultation ou de supervision
9 :8
consistantes réalisées dans des
missions ou projets reliés au • Entre 3 et
domaine de la sécurité. 5 :6
• Entre 2 et 3 :4
Critère 3 - Méthodologie et conduite du projet

e on
1 25 Qualité de la méthodologie suivie (voir

pour l’audit organisationnel tableau
3.1)
2 25 Qualité de la méthodologie suivie (voir

pour l’audit Technique tableau
3.2)
3 25 Qualité du planning d’exécution Ql (annexe

de la mission 3)
4 25 Qualité des opérations de Ql (annexe

sensibilisation 6)
Tableau 3.1 - Méthodologie suivie pour l’audit Organisationnel

Ordr Pondérat Sous-critère Nature

e ion
1 20 Adéquation de la méthodologie Ql
proposée, avec la nature de la
mission
2 20 Qualité des interviews à effectuer Ql

(en fournir une copie électronique
ou papier)
3 20 Qualité des inspections à réaliser Ql
4 20 Qualité des outils Ql

d’accompagnement utilisés
(traitement automatisé des
interviews, …)
5 20 Qualité de la méthodologie de Ql
calcul de risques
Tableau 3.2 - Méthodologie suivie pour l’audit Technique
Ordre Pondérat Sous-critère Nature

ion
1 20 Adéquation de la méthodologie Ql
proposée avec la nature de
l’infrastructure
2 20 Qualité des tests à effectuer Ql
3 20 Qualité des inspections à réaliser Ql

(inspection topologique et
physique)
4 20 Qualité des outils et scripts utilisés Ql

5 20 Qualité de la méthodologie Ql
d’analyse et de report des failles
ARTICLE 5 - Classement Technique
Le classement technique des offres sera effectué sur la base

des notes techniques (NT) calculées conformément à la
procédure énoncée dans l’article précédent.
ARTICLE 6 - Dépouillement financier
La note financière (NF) est attribuée à chaque offre,

conformément au calcul suivant :
NF = OPMD / OPS * 100
Où: OPMD: Offre de Prix la Moins Disante

et OPS: Offre de Prix du Soumissionnaire.

Audit Atct3

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Audit Atct3

Enviado por

Direitos autorais:

Formatos disponíveis

ATCT Consultation N°12/2006

B- CLAUSES TECHNIQUES PARTICULIERES

Audit de la sécurité des systèmes informatiques et de communications 22

B- CLAUSES TECHNIQUES PATICULIERE

B- CLAUSES TECHNIQUES PARTICULIERES………………………. 22

Audit de la sécurité des systèmes informatiques et de communications 23

Tableau 3.1- Méthodologie suivie pour l’audit Organisationnel 49

Article 1 : Les caractéristiques relatives à la réalisation de

L’Agence Tunisienne de Coopération Technique désigné ci-

La mission d’audit, objet de cette consultation, devra

Cette mission devra donc cibler tous les aspects touchant à

Article 2 : Aspects de sécurité à étudier

Audit de la sécurité des systèmes informatiques et de communications 24

La mission concernera tous les systèmes informatiques de

Le prestataire est tenu d’évaluer la politique de sécurité de

 Sécurité physique des matériels et des locaux :

 Supports des données (Disquettes, CD, DVD,etc…) :

 Sécurité des données :

Audit de la sécurité des systèmes informatiques et de communications 25

 Profils utilisateurs et droit d’accès :

 Sécurité des applications et des logiciels mis en

 Formalisme de maintenance des applications :

 Gestion des versions des applications et des logiciels :

Audit de la sécurité des systèmes informatiques et de communications 26

o Evaluer l’homogénéité des versions bureautiques

 Etude des aspects d’architecture, de configuration et de

o Les risques menaçant la pérennité de l’activité de

Article 3 : Méthodologie adoptée

La méthodologie proposée devra être adaptée à la réalité

 Les différentes phases de l’audit qu’il envisage

Audit de la sécurité des systèmes informatiques et de communications 27

- Méthode de mise en œuvre du volet physique et

 La Séquence des actions (interviews, tests techniques,

 La liste nominative des équipes qui interviendront pour

 Une présentation des CVs des intervenants, relativement au

Article 4 : Conduite et déroulement de la mission

Audit de la sécurité des systèmes informatiques et de communications 28

Elle concernera, sans s’y limiter, la finalisation des détails

4.2- Phase d’audit sur terrain :

4.2.1- Audit organisationnel et physique :

Audit de la sécurité des systèmes informatiques et de communications 29

Il s’agit, pour ce volet d’évaluer les aspects organisationnels de

Cette phase touchera ainsi à l’évaluation des aspects physiques

4.2.2- Audit technique :

Audit de la sécurité des systèmes informatiques et de communications 30

d’intrusions, de cracking (craquage) de mots de passe, de

Elle devra aussi inclure une évaluation des mécanismes et

Audit de la sécurité des systèmes informatiques et de communications 31

De plus, étant donné qu’aucun produit commercial ne

4.3 - Synthèse des Recommandations, orientations et

Audit de la sécurité des systèmes informatiques et de communications 32

• Les actions détaillées (organisationnelles et techniques)

Audit de la sécurité des systèmes informatiques et de communications 33

d’une estimation des impacts et risques encourus, ainsi que

Le document final devra inclure les chapitres ou rapports

1. Un rapport d’audit couvrant les différents aspects cités ci-

Audit de la sécurité des systèmes informatiques et de communications 34

techniques) afin de pallier aux failles et insuffisances les

2. L’esquisse d’un premier schéma directeur sur trois années.

3. Un rapport de synthèse, destiné à la direction générale, qui

ARTICLE 1 – CRITERES D’EVALUATION

S’agissant d’un marché d’études à caractère complexe, les

La consistance des démarches et méthodologies proposées,

Audit de la sécurité des systèmes informatiques et de communications 35