Mise en œuvre d'un centre opérationnel de sécurité externalisé unifié

Métropole Aix-Marseille-Provence
Voir la source
Date limite
29 janvier 2026 à 11 h
Localisation
Aix-Marseille-Provence (13)
Durée
2 ans, reconductible une fois 2 ans (durée maximale 4 ans)
Budget
Estimation: 165 000 €

Mise en œuvre, exploitation et maintien d'un SOC externalisé unifié

Objectif fonctionnel

  • Implémentation d'un SOC externalisé unifié pour centraliser et orchestrer les briques de cybersécurité : EPP/EDR, NDR, SIEM, CTI et SOAR.

Collecte, détection et corrélation

  • Collecte centralisée des flux et logs (EPP/EDR, NDR, pare-feux, proxy, AD/Entra ID, PAM, cloud, applications critiques).
  • Normalisation et corrélation des événements dans le SIEM, couverture MITRE ATT&CK, conception et tuning des règles de détection, réduction des faux positifs.
  • Rétention des logs : 30 jours à chaud, 30 jours à froid, puis conservation spécifique des données liées aux incidents avérés pendant 1 an.

Investigation, orchestration et réponse

  • Qualification et investigation via consoles EPP/EDR, NDR et SIEM ; tri par criticité et gestion des scénarios.
  • Orchestration via SOAR : conception, maintien et exécution de playbooks automatisés et guidés, intégration API avec SIEM, EDR, NDR, pare-feu, AD/Entra ID, proxy et GLPI.
  • Actions de réponse automatisées ou assistées : confinement/isolement d'équipements, suppression de fichiers, blocage d'accès, déconnexion de comptes, recommandations de remédiation.

Exploitation, gouvernance et indicateurs

  • Comités opérationnels et comités de pilotage (fréquence hebdomadaire en construction puis mensuelle), suivi des KPI (détection, incidents, tendances, faux positifs, SLA), tableaux de bord opérationnels et budgétaires.
  • Processus d'amélioration continue : analyse trimestrielle des KPI, tests de non-régression, exercices annuels de simulation d'incident.

Services d'opération et MCO

  • Supervision 24/7/365, mises à jour et correctifs, maintenance proactive des agents EPP/EDR et composants SOC, documentation d'exploitation (SOP, procédures), disponibilité et redondance des consoles.
  • Gestion des licences (EPP/EDR, SIEM, SOAR, CTI, NDR) : suivi des échéances et renouvellements.

Qualité, recette et réversibilité

  • Campagne de tests avant mise en service : vérifications de configuration, scénarios d'incident, tests d'alerte, cahier de recette détaillé et recette utilisateur.
  • Plan de réversibilité complet : restitution des logs et données dans format exploitable, transfert de compétences et documentation pour un repreneur.

Migration et évolutions

  • Études et plans de migration pour changement de solution EPP/EDR : désinstallation assistée, déploiement, intégration SIEM/SOAR/GLPI, transfert de droits et continuité de supervision.

Cyber Threat Intelligence (CTI)

  • Fourniture d'une CTI opérationnelle et contextualisée pour enrichissement des règles SIEM et playbooks SOAR, intégration de sources internes/externes et open-source.

Livrables clés

  • Plan projet et architecture cible, cartographies des flux, cahier de recette, livrables d'installation et de configuration, documents d'exploitation, rapports KPI et plan d'amélioration continue.

Contraintes techniques complémentaires

  • Hébergement et traitement des données requis dans l'Union européenne / EEE ; modalités de redondance et haute disponibilité attendues.

Tous les détails du marché

Gagnez du temps, toutes les infos des documents sont déjà analysées: cahier des charges, infos clés, budget, contact, etc

Préparez votre réponse

Critères d'évaluation

PondérationCritère

Tous les détails du marché

Gagnez du temps, toutes les infos des documents sont déjà analysées: cahier des charges, infos clés, budget, contact, etc

Posez vos questions sur le marché

Notre IA a lu l'intégralité du DCE et répond à toutes vos questions sur ce marché.