Élaboration de la politique de sécurité des systèmes d'information

Centre de Gestion du Morbihan
Voir la source
Date limite
2 septembre 2026 à 15 h
Localisation
Vannes (56)
Durée
6 mois d'exécution; validité du marché 9 mois
Budget
Non précisé

Élaboration de la PSSI

Objectif général

Rédiger un corpus documentaire cohérent et applicable de politique de sécurité des systèmes d'information couvrant gouvernance, mesures techniques, procédures opérationnelles, chartes et feuille de route priorisée, en traduction des risques identifiés par une étude de risque préalable.

Périmètre couvert

  • Périmètre technique : l'ensemble du système d'information (infrastructure de virtualisation, serveurs, postes, VDI, réseau, wifi, réseaux des centres, services web, accès distants, sauvegarde, Active Directory, tenant 365, etc.).
  • Périmètre physique : sites principaux et sites annexes (centres médicaux).
  • Périmètre organisationnel : organigramme complet incluant fonctions de gouvernance et élus.

Phasage et livrables attendus

  • Phase 1 — Analyse et cadrage : note de cadrage technique et organisationnelle fondée sur l'étude de risques.
  • Phase 2 — PSSI cadre : document de principes stratégiques pour la direction et l'instance de gouvernance.
  • Phase 3 — PSSI opérationnelle : règles techniques détaillées (processus, contrôles, configurations de sécurité).
  • Phase 4 — Charte utilisateurs : document synthétique et pédagogique pour l'ensemble des agents.
  • Phase 5 — Charte prestataires : règles et exigences contractuelles pour prestataires et sous-traitants.
  • Phase 6 — Plan d'action : feuille de route priorisée avec estimation des coûts et délais par action.

Exigences techniques et sujets obligatoires

  • Gestion des identités et des accès : architecture tiering, séparation stricte des comptes d'administration/infrastructure critique, MFA pour accès distants et comptes privilégiés, usage de certificats avec attestation TPM.
  • PKI et confiance numérique : architecture PKI avec autorité racine hors ligne et autorités subordonnées en ligne, sécurisation des flux PKI et gestion complète du cycle de vie des certificats.
  • Sauvegarde et stratégie anti-ransomware : application de la règle 3-2-1-1-0, sauvegardes immuables et air-gapped.
  • Durcissement et gestion des correctifs : matrices de flux, politique de patch management, lignes de base de sécurité (ex. ANSSI-BP-028, CIS Level 1) et durcissements serveurs/postes.
  • Résilience opérationnelle : définition et intégration de PCA/PRA, continuité des services essentiels.
  • Surveillance, audits et tests : modalités de supervision, journaux, détection d'incidents et calendriers d'audit.
  • Sensibilisation et formation : contenus ciblés et supports pour parcours utilisateurs et équipes techniques.

Livrables méthodologiques et contractuels

  • Méthodologie de conduite (phases, ateliers, interlocuteurs), planning et estimation de charge présentés sous forme de tableaux.
  • Preuves d'expertise : profils de l'équipe, CV, références et niveaux de certification/partenariat.
  • Documents de gouvernance opérationnelle et fiches actions associées à chaque risque identifié.

Tous les détails du marché

Gagnez du temps, toutes les infos des documents sont déjà analysées: cahier des charges, infos clés, budget, contact, etc

Préparez votre réponse

Critères d'évaluation

PondérationCritère

Tous les détails du marché

Gagnez du temps, toutes les infos des documents sont déjà analysées: cahier des charges, infos clés, budget, contact, etc

Marchés similaires

Autres appels d'offres proches encore ouverts.

Posez vos questions sur le marché

Notre IA a lu l'intégralité du DCE et répond à toutes vos questions sur ce marché.