13 pages

Français

CCTP AUDIT SECURITE

Maceb - Pierrel

Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

13 pages

Français

Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

A propos
Informations
Extrait

Description

AUDIT ET MISE EN ŒUVRE D'EQUIPEMENTS RELATIFS A LA SECURITE INFORMATIQUE ET A LA MESSAGERIE DU CENTRE DE GESTION CDG 64 n°01-2010 CCTP Audit sécurité et matériel informatique 2010 1 Cahier des Clauses Techniques Particulières SSOOMMMMAAIIRREE 1 INTRODUCTION-PRESENTATION GENERALE 3 2 PRESENTATION DE LA CONSULTATION___________________________________________ 3 2.1. L'organisation du projet ___________________________________________________________________ 3 2.2. Les interlocuteurs du projet________________________________________________________________________ 4 2.3. Planning prévisionnel_____________________________________________________________________________ 4 3 SITUATION ACTUELLE – ARCHITECTURE__________________________________________________ 4 3.1. Serveurs et équipements centraux__________________________________________________________________ 4 3.2. L'environnement des postes de travail__________________________________________________________________ 6 3.3. L'infrastructure réseau______________________________________________________________________________ 7 4 CONTENU ET OBJECTIFS DU PROJET ____________________________________________________ 7 4.1. Présentation générale___________________________________________________________________________ 7 4.2. Attendus techniques et ...

Informations

Publié par	Maceb
Nombre de lectures	516
Langue	Français

Extrait

CDG 64 n°01-201 0CCPTA dutis céitureté at mieérni lmrofqita2 eu 010 1 IT ET MI AUD ERVQE'DE ESU NRES TILAPEUINTMEIRETESUCL ASFA E ETTIQUORMA INFEIREGASSEM AL A GEE DRENTCEU D

IOST N

CGD6 4°n10tirucés tam te éCC0 01-2itud ATP10 0eu2 l inérieatiqform 2

S O MMAIRE 1 INTRODUCTION-PRESENTATION GENERALE 3 ___________________________________________ 2 PRESENTATION DE LA CONSULTATION 3 2.1. L'organisation du projet ___________________________________________________________________ 3 2.2. Les inter s du locuteur projet ________________________________________________________________________ 4 .3. Plan visionnel 2 ning pré _____________________________________________________________________________ 4 3 SITUATION ACTUELLE ARCHITECTURE 4 __________________________________________________ 3.1. Serveurs et équipements centraux___ _______________________________________________________________ 4 3.2. L'environnement des postes de travail__________________________________________________________________ 6 _______________________________________________________________________ 3.3. L'infrastructure réseau _______ 7 ______________ ______________________________________ 4 CONTENU ET OBJECTIFS DU PROJET 7 4.1. Présentation générale________________ ___________________________________________________________ 7 4.2. Attendus techniques et fonctionnels______ _________________________________________________________ 8 4.3. Tableau de spécification des serveurs_________________________________________________________ 10 ___________ ______________________________________________________ 5 PRESTATIONS ATTENDUES 11 5.1. Contenu__________________________ ____________________________________________________________ 11 5.2. Transfert de compétences_____________________ __________________________________________________ 11 5.3. Garantie et maintenance _______ ___________________________________________________________________ 12 nement ___________________________________________________________ 5.4. Interventions sur panne ou dysfonction 12 5.5. Organisations et moyens __________________________________________________________________________ 12 5.6. Formations_______________________________________________________________________________________ 13 5.7. Assistance à la mise en œuvre et au démarrage________________________________________________________ ___ 13 5.8. Documentation _____________________________ _______ ________________________________________________ 13

2.1. L' ORGANISATION DU PROJET La consultation consiste en la réalisation d'un audit relatif à la sécurité informatique du Centre de Gestion, à la fourniture de solutions matérielles, logicielles et à la mise en oeuvre de formations destinées aux administrateurs du réseau. Cet audit est le document de référence des techniciens informatiques du Centre de Gestion mais également des prestataires pouvant intervenir ultérieurement sur nos équipements. Le soumissionnaire remet des propositions garantissant un fonctionnement optimal des services c'est-à-dire comportant des procédures éprouvées de continuité du service en cas d'incident majeur d'un équipement central. La proposition décrit de manière détaillée les différentes phases de la mise en œuvre des solutions retenues. Le soumissionnaire désigne un interlocuteur technique unique. Ce dernier fait intervenir en fonction des besoins d'autres collaborateurs mais il reste le coordinateur des prestations attendues par le client et il en assure le suivi. Cet interlocuteur assure le lien avec les interlocuteurs du client désignés ci-dessous sur tous les aspects les concernant.

1. I NTRODUCTION -PRESENTATION GENERALE Le C ENTRE DE G ESTION DE LA F ONCTION P UBLIQUE T ERRITORIALE DES P YRENEES -A TLANTIQUES est un établissement public local administratif crée par la loi. Il existe un Centre de Gestion par Département. Son rôle consiste à accompagner les collectivités locales dans la gestion de leur personnel. Pour remplir l'ensemble des missions obligatoires et facultatives, le Centre de Gestion s’appuie sur une quarantaine d'agents employés dans les locaux de la Maison des Communes ainsi que sur une quinzaine d'agents itinérants (médecins du travail, service remplacement-renfort-archives).

2. P RESENTATION DE LA CONSULTATION

A dutis 10 0CCPTet matérécurité n°4 -201C 6DG 2 10 0 rmatiqueiel info

d'un unitrôleur ni eC"GDuq eodamNDWIS OW snts ou,300noc VRES2 REsontire onnaestiodamC eGP.Ll A'oppre lntdo" 64g el te eriatéirgrséd na snu easlle climatisée emepistne ed élétonph siet onbehéne ttâmi 1es : •r forveuonnanctieémref t eéutis s-ou sau bdul sonegAP ece )4'l t (onG6CD GdetiesC nert eel s :eLprincipauctures uqé sel euq isni arseurvses Le. GP)L eA(colanoL estide Gque ublinoRe ir 6BP 609C seummo sen euRis à la Maison d nisetu inuq,es eréb hs"tr s 2gesed nosienummoC bâti Le "Mament AP0460ED.X UEC

Phase Échéance Consultation en procédure adaptée Mi novembre 2009 otification du marché Début mars 2010 Remise de l'audit Début avril 2010 Iœnustvarlel,a ttriaonn sfehrot rds e cmoemsspaégteernice e(sd) éploiement, mise enMi avril à début juin 2010 Mise en œuvre de la messagerie Septembre à Octobre 2010

3. S ITUATION ACTUELLE -ARCHITECTURE

2.2. L ES INTERLOCUTEURS DU PROJET Les interlocuteurs sont : • Pierre SBIHI, Responsable du Secrétariat Général traitera des questions administratives ou financières • Pierre LEVEL, Responsable informatique traitera des questions techniques • Hervé PINARD, Ingénieur informatique traitera des questions techniques

2.3. P LANNING PREVISIONNEL

ocpmni el seerdnétirucés tiduA Pnf ielritémat eDC G CCT2010°01-64 n ormatique 2010 43.1. rreTrotielaised ioctPun iqbl ueqieu socpmroetu Pyrénées Atlant STNEMEPXUARTNECRSEURVSEUIEQT Enod seitF no eal Cen Lede Gtre

• 1 système de téléphonie (autocommutateur PABX MATRA "MC 6540", un ordinateur fonctionnant sous WINDOWS XP PRO pour la gestion de l'autocommutateur et de la taxation et un ordinateur sous UNIX pour gestion du répondeur et des boîtes vocales). • L'APGL mettra en place dans les quelques mois un nouveau serveur de messagerie propre à leurs besoins (gestion des BAL des collectivités du département). Le système d'exploitation sera probablement une version non Microsoft et le système de messagerie ne sera pas un système EXCHANGE. L'ensemble des serveurs informatique (hormis le PABX) est protégé des virus, malveillants et des intrusions via un anti-virus et un pare-feu fourni par TREND (version 8), ces produits étant gérés par l'APGL . Le serveur EXCHANGE 2007 de l'APGL possède en outre un outil anti-spam du même éditeur. Ces équipements centraux du CDG64 sont protégés par un onduleur; sa capacité lui permet de se voir adjoindre 3 serveurs supplémentaires; son autonomie est d'environ 10 minutes, les équipements centraux de l'APGL disposant de leur propre onduleur.

utilisateurs de l'APGL et ceux du CDG64. Ce serveur réalise du DHCP avec réservation d'adresses fixes pour certains matériels comme les imprimantes réseau par exemple, DNS et WINS. 1 serveur EXCHANGE 2007 fonctionnant sous WINDOWS SERVER 2003, dont le propriétaire • et le gestionnaire sont l'APGL ; cet équipement héberge les messageries et éléments partagés des 2 structures principales et fait également fonction de contrôleur secondaire du domaine. Ce serveur réalise également du DHCP avec réservation d'adresses fixes pour certains matériels comme les imprimantes réseau par exemple, DNS et WINS. Le volume de la base de données de la messagerie du CDG 64 est de 10 Go, la taille maximum de certaines BAL est limitée à 500 Mo. • 1 serveur de fichier fonctionnant sous MAC OS 10, propriété de l'APGL gérant les fichiers du Service Technique Intercommunal de l'APGL. • 1 serveur de fichier fonctionnant sous WINDOWS SERVER 2000 et gérant les principales applications (SGBD SQL SERVER 2000, gestion des carrières, médecine professionnelle, comptabilité, paye) et la bureautique du CDG 64. La taille des 2 disques RAID ULTRA SCSI est de 25 et de 75 Go, 65 % sont occupés; le processeur INTEL double cœur est de type XEON cadencé à 1,2 Mhz, la taille mémoire est de 1,5 Ghz). • 1 serveur fonctionnant sous WINDOWS SERVER 2003 gérant la production documentaire du service de la gestion des carrières du CDG64 (Serveur TOMCAT et SGBD MYSQL). La taille des 2 disques RAID ULTRA SCSI est de 250 Go, 75 % sont occupés; un disque SATA de 500 Go est occupé à 25 %;le processeur INTEL double cœur est de type XEON cadencé à 1,6 Mhz, la taille mémoire de 4 Ghz). • Il existe un disque externe (ports USB2 et Ethernet 100 Mb d'une capacité de 1 Go). • 1 serveur fonctionnant sous WINDOWS SERVER 2003 gérant l'organisation des concours et des traitements liés à des développements locaux du CDG64. La taille des 2 disques RAID ULTRA SCSI est de 250 Go, 45 % sont occupés, le processeur INTEL double cœur est de type XEON cadencé à 1,6 Mhz, la taille mémoire de 4 Ghz). NB : Les serveurs du CDG64 sont automatiquement mis à jour (systèmes d'exploitation, suites bureautiques, produits ADOBE, suite JAVA).

és tiduA PTCC 01201-°0 n64G CDamituq elei fnrot matéricurité e 1020

La sauvegarde de la totalité des applications et des fichiers bureautiques du CDG64 est effectuée journellement sur support de type "LTO" d'une capacité 200 Gb à l'aide du logiciel ARC-SERVE version 11. Les copies sont stockées dans un coffre-fort ignifuge; nous possédons une copie journalière (sur une période d'une semaine), une copie mensuelle (sur une période de 4 mois) et des copies annuelles (6 années).

3.2. L ' ENVIRONNEMENT DES POSTES DE TRAVAIL

Les postes de travail fonctionnent en environnement de travail "WINDOWS XP PRO" et sont dotés de la suite bureautique "OFFICE PRO", dans ses versions 2002, 2003 et 2007. Quatre postes du service "gestion des carrières" et le poste du service informatique disposent d'ACROBAT versions 5 et 7. Les ordinateurs des services sont connectés au réseau et automatiquement identifiés par le contrôleur de domaine qui leur attribue une adresse IP; le poste client télécharge automatiquement les dernières définitions de virus à l'ouverture de la session. L'accès à Internet des ordinateurs de la Maison des Communes est ouvert sans restriction. Cet accès vers l'extérieur est effectué via la liaison paloise en fibre optique. Les postes sont automatiquement mis à jour (systèmes d'exploitations, suite bureautiques, produits ADOBE, outils JAVA). Les utilisateurs sont régulièrement sensibilisés aux problèmes de sécurité informatique. L'enregistrement de la totalité des fichiers bureautiques est effectué dans des dossiers partagés du serveur de fichiers du CDG64. Dix micro-ordinateurs portables fonctionnent en environnement de travail "WINDOWS XP PRO" et "WINDOWS VISTA PRO" et sont dotés de la suite bureautique "OFFICE", dans ses versions 2000, 2002 et 2003 ; ils équipent les agents des services itinérants comme les archivistes et les médecins. Des copieurs et imprimantes réseau départementaux sont disponibles à chaque niveau du bâtiment. Des imprimantes bureautiques à jet d'encre ou laser équipent la majorité des postes. Des applications "métier" sont accédées par certains services :

• Le logiciel de gestion des carrières; • Un logiciel spécifique de GED (Service des carrières); • Un logiciel de gestion des concours (Logiciel AT PLUS); • Le logiciel de gestion des indemnités chômage "INDEM"; Le logiciel de médecine professionnelle "STETHO"; • • Les logiciels de la gamme "COLORIS" pour le traitement de la comptabilité, du budget et des payes;

n°4 6DGCet mité écurit sA duCCPT10 0102-atériel informatqieu2 10 0

°0 n201- C10P CTDC46 Gfnrolei étir tamté ecurit séAudi 1020e qutima

• Le logiciel "AVENIO" pour la gestion des archives; • Des développements locaux pour la gestion des facturations, de la prévention, des convocations à la médecine professionnelle, du suivi du recrutement, de la gestion des CV, des télé-déclarations, de la gestion des congés et de certains autres traitements annexes des Commissions Administratives Paritaires (CAP) etc. Ces applications sont principalement conçues autour des bases de données "SQL SERVER 2000" et "MYSQL", les développements locaux autour d'ACCESS, du langage "VISUAL BASIC" et en langage "PHP . "

4. C ONTENU ET OBJECTIFS DU PROJET

3.3. L’ INFRASTRUCTURE RESEAU La Maison des Communes comporte 2 structures principales : Le Centre de Gestion dénommée dans le présent document "CDG64" et l'Agence Publique de Gestion Locale dénommée "APGL"; ces 2 structures, partagent un réseau "Gigabit Ethernet et 100 Base T" fonctionnant sous protocole TCP/IP ainsi qu'un accès Internet via un CISCO " PIX 515 E " connecté sur la fibre optique. Cet équipement doté de manière native de fonctions "firewall", permet de gérer les flux entrant/sortant (Internet et des connections VPN). Les postes client sont interconnectés par des commutateurs Gigabit/100 Mbits. De façon extrêmement ponctuelle (une demi-journée par semestre environ) un point d'accès WIFI non crypté est connecté sur le réseau Ethernet de la Maison des Communes afin de permettre à des participants externes de se connecter au réseau Internet. L'APGL dispose de points d'accès WIFI protégés par clé WEP et restriction par adresse MAC.

4.1. PRESENTATION GENERALE La mission du soumissionnaire consiste à auditer la sécurité informatique existante au CDG64, de proposer des solutions aux éventuels problèmes repérés, de répondre aux demandes exposées par le client au chapitre 4.2 et de proposer la mise en place d'un système de messagerie au CDG64. Dans tous les cas, le soumissionnaire procède à un transfert de compétences auprès des deux interlocuteurs techniques. Le contenu, la méthode sont exposés de manière détaillée par le soumissionnaire.

La finalité du présent projet est de renforcer la sécurité informatique pour les équipements du Centre de gestion ; les équipements en place ne semblent pas suffisants, même si la sécurité absolue n'existe pas. Pour permettre cette mise en place il semble nécessaire de cloisonner les équipements informatiques des deux structures principales de la Maison des Communes; ceci pourrait être réalisé par une solution de type VLAN. Compte tenu de ce qui est indiqué au chapitre suivant, il sera nécessaire d'équiper un des serveurs du CDG64 d'une fonction de contrôleur de domaine principal et dans la seconde étape de se doter d'un équipement dédié à la mise en place d'un serveur de messagerie propre au CDG64. Comme indiqué au chapitre 3.1. le système de téléphonie "PABX MATRA MC 6540 " en place depuis 2000 est également partagé par les 2 structures; à moyen terme ce système sera remplacé par un équipement de type "VOIP". Des possibilités de fonctionnement sécurisé de ce futur système respectant le partage des entités CDG64 et APGL seront présentées par le soumissionnaire. Dans le cadre de la dématérialisation, des projets à court et moyen terme (de 2 à 6 ans) d'échange de données avec les collectivités du département adhérentes au CDG64 nécessiteront la mis en place d'un serveur WEB au sein du réseau local; cette mise en œuvre impliquera l'application de mesures de sécurité complémentaires auxquelles le soumissionnaire doit répondre (isolation du sous réseau, zone "DMZ",). Comme indiqué au chapitre 4.2. La mise en place du serveur de messagerie au sein du réseau local impliquera l'application de mesures de sécurité complémentaires auxquelles le soumissionnaire doit répondre (isolation du sous réseau, zone "DMZ",). Le soumissionnaire devra intégrer ses propositions avec l'existant du Client.

4.2. ATTENDUS TECHNIQUES ET FONCTIONNELS

1 ère étape : • Évaluer la sécurité informatique en place - Apporter toutes propositions jugées complémentaires à celles figurant dans le présent document. Proposer et mettre en œuvre une solution permettant de délimiter les structures APGL et CDG64. • • Mettre en place des contrôleurs de domaines (principaux et secondaires) sur les équipements existants. • Installer, paramétrer une solution anti-virus & anti spywares & pare-feu pour les serveurs et postes fixes des clients connectés. • Migrer à partir du domaine géré par l'APGL les comptes "Active Directory" (environ une soixantaine de comptes) à partir du serveur fonctionnant sous WINDOWS SERVER 2003 vers un des serveurs contrôleur du domaine du CDG64. • Permettre la mise en place en tête du réseau de système(s) physique(s) de type pare-feu (routage, filtrage des paquets, fermeture de certains ports). Le prestataire étudie au préalable la capacité de l'équipement en place afin d'effectuer les tâches préconisées.

2 10 0 niofei lqieumrtaité écuratéret mPTCC 010s tiduA 6DGC-201n°4

DG 6C102- 4°nCCPT10 0ud A siturécé itm teréta leiofnirmatique 2010

• Mise en place, paramétrage, test de la sauvegarde, de l'anti-virus, de l'anti-spam et des règles relatives à ces outils. Le logiciel anti-spam proposé est un logiciel éprouvé, dont les règles de paramétrage sont suffisamment précises et élaborées afin de permettre un filtrage efficace. Cette procédure mise au point en compagnie des Administrateurs du client ne doit pas être d'une complexité trop importante et ne doit pas générer des interventions continuelles de ceux-ci sur le serveur de messagerie ou sur les postes clients.

2 ème étape (à compter de septembre 2010) : Mise en place d'un serveur de messagerie de type EXCHANGE ou équivalent permettant de gérer une soixantaine de BAL et dossiers publics En ce qui concerne ce serveur de messagerie (équipé de son propre système de sauvegarde - matériel et logiciel), le soumissionnaire précisera les spécifications requises (chapitre 4.3.) au client. Il procède à la mise en place d'une plate-forme de test dédiée aux opérations de maintenance et de mises à jour auxquelles le Client devra procéder en phase d'exploitation.

• Procéder à la migration du serveur de fichiers vers un nouveau serveur fonctionnant sous système d'exploitation récent de la même famille. Une possibilité de migration des bases de données SQL SERVER en place est sommairement étudiée avec le client. La migration du système de sauvegarde en place est également effectuée. Le soumissionnaire remet des propositions afin d'intégrer dans l'architecture réseau du CDG64 ce serveur de fichiers (par exemple, contrôleur de domaine ou bien système de backup). En ce qui concerne l'acquisition de matériels supplémentaires, le soumissionnaire précise les spécifications requises (chapitre 4.3.); le soumissionnaire peut également proposer lui-même ces matériels. REMARQUE : A l'issue de première phrase, le CDG64 devra toujours accéder, jusqu'à l'issue de la phase suivante, au système de messagerie géré par l'APGL.

Cet (ces) équipement(s) gèrera (ont) le trafic entrant et sortant et autorisera (ont) au minimum 10 connexions VPN simultanées. L'architecture réseau ainsi sécurisée combinera des éléments d'analyse de trafic, d'analyse de signatures et d'anomalies de protocoles. • Proposer la mise en place d'outils anti-intrusions (par exemple SNORT, système de type IDS ou IPS), voire de leurre (par exemple HONEY D). Dans tous les cas, lors d'une tentative d'intrusion une alerte est automatiquement transmise aux administrateurs. • Mettre au point des procédures sécurisées de partages de quelques informations entre le CDG64 et l'APGL (par exemple celles relatives au paramétrage de la téléphonie hébergées sur un dossier réseau partagé entre les 2 structures). • Afin que la continuité du fonctionnement des services soit maintenue, proposer des solutions (par exemple backup en temps réel des serveurs, backup du noyau système, images disque, réplication) permettant, en cas d'incident (hors structure réseau filaire ou fibre optique) une reprise de l'activité. Le délai de basculement via la solution de secours n'excède pas 8 heures. Cette solution peut s'envisager par la mise en place de serveur(s) supplémentaire(s).

01 2 0 tamreuqi leiofni GD6 C102- 4°nTPCC0 01 situd A étirucérétam te

• Migration des Boîtes aux lettres des utilisateurs, règles, dossiers publics à partir du serveur EXCHANGE 2007 de l'APGL (environ une soixantaine de BAL). Pour information, le volume de la base de données de la messagerie du CDG 64 est de 10 Go, la taille maximum de certaines BAL est limitée à 500 Mo. • Mise en place de procédures sécurisées permettant d'automatiser l'échange de certaines listes de diffusion telles : "Tous les agents de la Maison des Communes", "Tous agents APGL", "Tous agents CDG"

Remarques Forme (Tour, rack, lame) Modèle, type (mono, bi, quadri) et marque du processeur Cadence Type, taille, évolution possible WINDOWS SERVER 2008 - Licence 30 utilisateurs Système MIRRORING souhaité (RAID 1) Alimentation, carte réseau Serveur dédié (Oui/Non) Durée et conditions de la garantie Conditions d'installation et délai de livraison

4.3. Tableau de spécification des serveurs Le soumissionnaire décrit les spécifications requises pour les serveurs à l'aide du tableau ci-dessous : Description Marque et modèle Unité centrale Processeur(s) Évolutivité Vitesse d'horloge RAM Système d'exploitation Nombre de disques maximum Capacité Sécurisation RAID Redondance de certains composants Autres