Élaboration de la politique de sécurité des systèmes d'information
Élaboration de la PSSI
Objectif général
Rédiger un corpus documentaire cohérent et applicable de politique de sécurité des systèmes d'information couvrant gouvernance, mesures techniques, procédures opérationnelles, chartes et feuille de route priorisée, en traduction des risques identifiés par une étude de risque préalable.
Périmètre couvert
- Périmètre technique : l'ensemble du système d'information (infrastructure de virtualisation, serveurs, postes, VDI, réseau, wifi, réseaux des centres, services web, accès distants, sauvegarde, Active Directory, tenant 365, etc.).
- Périmètre physique : sites principaux et sites annexes (centres médicaux).
- Périmètre organisationnel : organigramme complet incluant fonctions de gouvernance et élus.
Phasage et livrables attendus
- Phase 1 — Analyse et cadrage : note de cadrage technique et organisationnelle fondée sur l'étude de risques.
- Phase 2 — PSSI cadre : document de principes stratégiques pour la direction et l'instance de gouvernance.
- Phase 3 — PSSI opérationnelle : règles techniques détaillées (processus, contrôles, configurations de sécurité).
- Phase 4 — Charte utilisateurs : document synthétique et pédagogique pour l'ensemble des agents.
- Phase 5 — Charte prestataires : règles et exigences contractuelles pour prestataires et sous-traitants.
- Phase 6 — Plan d'action : feuille de route priorisée avec estimation des coûts et délais par action.
Exigences techniques et sujets obligatoires
- Gestion des identités et des accès : architecture tiering, séparation stricte des comptes d'administration/infrastructure critique, MFA pour accès distants et comptes privilégiés, usage de certificats avec attestation TPM.
- PKI et confiance numérique : architecture PKI avec autorité racine hors ligne et autorités subordonnées en ligne, sécurisation des flux PKI et gestion complète du cycle de vie des certificats.
- Sauvegarde et stratégie anti-ransomware : application de la règle 3-2-1-1-0, sauvegardes immuables et air-gapped.
- Durcissement et gestion des correctifs : matrices de flux, politique de patch management, lignes de base de sécurité (ex. ANSSI-BP-028, CIS Level 1) et durcissements serveurs/postes.
- Résilience opérationnelle : définition et intégration de PCA/PRA, continuité des services essentiels.
- Surveillance, audits et tests : modalités de supervision, journaux, détection d'incidents et calendriers d'audit.
- Sensibilisation et formation : contenus ciblés et supports pour parcours utilisateurs et équipes techniques.
Livrables méthodologiques et contractuels
- Méthodologie de conduite (phases, ateliers, interlocuteurs), planning et estimation de charge présentés sous forme de tableaux.
- Preuves d'expertise : profils de l'équipe, CV, références et niveaux de certification/partenariat.
- Documents de gouvernance opérationnelle et fiches actions associées à chaque risque identifié.
Tous les détails du marché
Gagnez du temps, toutes les infos des documents sont déjà analysées: cahier des charges, infos clés, budget, contact, etc
Préparez votre réponse
Critères d'évaluation
| Pondération | Critère |
|---|---|
Tous les détails du marché
Gagnez du temps, toutes les infos des documents sont déjà analysées: cahier des charges, infos clés, budget, contact, etc
Marchés similaires
Autres appels d'offres proches encore ouverts.
Assistance expertise informatique et cybersécurité
OPCO Mobilités
Cybersécurité : expertise, sensibilisation, GRC et détection
Toulouse Métropole
Expertise et exploitation des systèmes d'information
Agence centrale des organismes de sécurité sociale
Posez vos questions sur le marché
Notre IA a lu l'intégralité du DCE et répond à toutes vos questions sur ce marché.