Professional Documents
Culture Documents
Fourniture et mise en uvre dun dispositif de scurit coupe-feu multifonctions de type UTM
1/21
1. 2.
OBJET DU DOCUMENT ............................................................................................... 4 DISPOSITIONS -GENERALITES ................................................................................ 4 2.1. INTRODUCTION ............................................................................................................ 4 2.2. OBJET DU MARCHE - GENERALITES ............................................................................ 4 2.3. DUREE DU MARCHE .................................................................................................... 5 2.4. COORDINATION AVEC LES AUTRES PRESTATAIRES EVENTUELS ................................... 5 2.5. CONNAISSANCE DES LIEUX ET DU DOSSIER .................................................................. 5 2.6. CONTENU DES PRIX ..................................................................................................... 5 2.7. PROPOSITION TARIFAIRE ............................................................................................. 5 2.8. MEMOIRE TECHNIQUE DESCRIPTION DU SERVICE PROPOSE ....................................... 6 2.9. FACTURATION ET GESTION .......................................................................................... 6 2.10. LIVRAISON ET INSTALLATION .................................................................................. 6 2.10.1. Lieu de Livraison et dinstallation ..................................................................... 6 2.10.2. organisation de la livraison et de linstallation ................................................. 6
3.
PRESENTATION DE LEXISTANT ............................................................................ 7 3.1. ARCHITECTURE DU SYSTEME DINFORMATION ........................................................... 7 3.2. POSTES CLIENTS .......................................................................................................... 7 3.2.1. Clients lgers...................................................................................................... 7 3.2.2. Micro-ordinateurs .............................................................................................. 8 3.3. COMMUTATION ET ROUTAGE ....................................................................................... 8 3.4. ARCHITECTURE DACCES A INTERNET ET SECURITE PERIMETRIQUE ............................ 8
4.
NATURE DES TRAVAUX ET ETENDUE DES PRESTATIONS........................... 10 4.1. FOURNITURE ............................................................................................................. 10 4.2. REPRISE DU MATERIEL EN PLACE ............................................................................... 10 4.3. PRESTATIONS ............................................................................................................. 10 4.3.1. installation et paramtrage .............................................................................. 10 4.3.2. transfert de comptences .................................................................................. 11 4.4. LIVRABLES ................................................................................................................ 11 4.5. GARANTIE , MAINTENANCE, SUPPORT ET ASSISTANCE............................................... 11 4.5.1. Garantie des matriels ..................................................................................... 11 4.5.2. Maintenance Logicielle .................................................................................... 12 4.5.3. Assistance et support........................................................................................ 12 4.5.4. Engagements de qualit de service .................................................................. 13
5.
DEFINITIONS, QUANTITATIFS, CARACTERISTIQUES MINIMALES .......... 13 5.1. CARACTERISTIQUES GENERALES ............................................................................... 13 5.2. CADRE REGLEMENTAIRE ........................................................................................... 14 5.3. DROITS DUSAGE ....................................................................................................... 14 5.4. CARACTERISTIQUES FONCTIONNELLES MINIMALES ................................................... 14 5.4.1. Performances ................................................................................................... 14 5.4.2. Rseau .............................................................................................................. 15 5.4.3. Filtrage............................................................................................................. 15 5.4.4. Dtection et Prvention dintrusion ................................................................. 15 5.4.5. VPN Ipsec et SSL.............................................................................................. 15 5.4.6. Fonctionnalits complmentaires .................................................................... 16 5.4.7. Administration.................................................................................................. 16 5.5. CARACTERISTIQUES MATERIELLES ........................................................................... 16 5.6. HAUTE DISPONIBILITE - TOLERANCE DE PANNE ........................................................ 16 2/21
CONTRAINTES GLOBALES........................................................................................... 17
ANNEXES....................................................................................................................... 18 ANNEXE N1 : BORDEREAU DE PRIX UNITAIRE ...................................................... 18 ANNEXE N2 : COMPLEMENT BORDEREAU DE PRIX ............................................... 19
3/21
1. Objet du document
Le prsent document a pour but de fournir un cahier des charges pour la fourniture et la mise en uvre dun dispositif de scurit primtrique coupefeu multifonctions de type UTM (Unified Threat Management) permettant la protection du rseau informatique LE MANS HABITAT, dans un contexte de forte continuit de service par redondance.
2. Dispositions -Gnralits
2.1. Introduction
A loccasion du renouvellement de son Firewall, LE MANS HABITAT souhaite mettre en place une solution de scurit permettant de remplacer celui-ci par un dispositif moderne, puissant et redondant bas sur des boitiers de type UTM. Les principaux objectifs recherchs sont : Modernisation du systme Accroissement des performances Accroissement du niveau de scurit Tolrance aux pannes Simplification de ladministration Apport de fonctionnalits supplmentaires. La solution propose permettra donc doffrir lensemble des 230 utilisateurs minimum de Le Mans Habitat des services internet scuriss valeur ajoute, tout en garantissant la scurit et la confidentialit des donnes du systme dinformation. Un dispositif de concentrateurs VPN Cisco PIX 515 existant est reprendre dans le cadre du march.
o o o o o
Fourniture des matriels et logiciels Installation et mise en uvre Transfert de comptences Maintenance matrielle et logicielle Livrables
4/21
5/21
La livraison et linstallation auront lieu directement au sige de LE MANS HABITAT et imprativement avant fin dcembre 2009.
2.10.2.
Planning
La livraison se fera date et horaire planifis en accord avec le service Gestion des systmes dinformation de Le Mans Habitat. Le soumissionnaire proposera un planning prvisionnel de mise en uvre dont le point de dpart sera la signature du bon de commande.
6/21
3. Prsentation de lexistant
3.1. Architecture du Systme dInformation
Le systme dinformations de Le Mans Habitat est un systme centralis bti autour du concept de client lger. Tous les serveurs sont situs au sige de Le Mans Habitat, le protocole de communication est TCP/IP sur Ethernet. Larchitecture est Multi-sites : 1 site central (Sige) 4 antennes de gestion dcentralise 1 agence commerciale 1 atelier 50 loges de gardiens dimmeubles. Tous les sites sont situs sur Le Mans intra-muros, ils communiquent travers un rseau priv virtuel (VPN) opr bas sur les technologies xDSL et Fibre Optique. Les utilisateurs du sige comme des sites distants sont quips de terminaux lgers sous Linux qui fournissent un accs aux applications publies sur les serveurs Citrix Mtaframe XPe / Windows 2000 situs sur le site central (Sige) via le protocole ICA. Lensemble des applications bureautiques et mtier sont publies et mises disposition des utilisateurs via le client citrix (y compris Internet Explorer). Les accs Internet se font exclusivement au travers dun lien fibre optique situ au sige. Un lien de secours utilisant un autre support (SDSL) pourrait toutefois tre envisag terme. Les serveurs, les postes de travail et les utilisateurs sont fdrs au sein dun domaine Active Directory sous Windows 2003. Le systme de messagerie est Lotus Notes 6.5.6
7/21
3.2.2. Micro-ordinateurs
Ils reprsentent 5 % des postes de travail Les postes fixes et sont tous situs au Sige Des ordinateurs portables permettent des connexions mobiles au travers de la collecte Ipsec du VPN opr. Systme dexploitation : Windows 2000 pro SP4 ou Windows XP SP2 Navigateur : IE6 SP1 minimum
8/21
9/21
CISCO
28/07/2003
4.3. prestations
Lensemble des prestations dcrites au prsent paragraphe sont dues
4.4. Livrables
Seront fournies : Une documentation utilisateur pour chacun des matriels et logiciels fournis Une documentation technique dcrivant : Les procdures dinstallation et de paramtrage dtailles devant permettre une rinstallation autonome complte pour : o chacun des utilitaires installs, o chaque matriel install, Les procdures dexploitation Ces documentations devront tre produites en langue franaise, et en support lectronique si elles existent.
11/21
Sur site ou distance, le diagnostic se fera avec lassistance des spcialistes des domaines concerns par lincident et permettra de dterminer lorigine du disfonctionnement Les dplacements Le soumissionnaire fournira la localisation de son service SAV oprationnel le plus proche et celle des quipes techniques susceptibles dintervenir. La ou les pices changes Le mainteneur remplacera les pices dfaillantes de la machine par des pices en bon tat de fonctionnement, par des pices dorigine ou quivalentes et homologues par le constructeur de la machine. Un prt de matriel quivalent est d si une solution nest pas trouve dans le dlai dintervention se rfrant lengagement de qualit de service. Les mise jour et correctifs des logiciels, firmwares, ou bios des lments ou pices changes La main duvre associe la prestation
La rdaction dun rapport dintervention Il devra au minimum comporter les lments suivants : o Site dintervention o Date et heure dappel, o Nom de la personne qui a lanc lappel, 12/21
o o o o
Identification du matriel concern, Date et heure de rsolution du problme, Nom de la personne ayant ralise lintervention, Description prcise de laction ralise,
installes une ou plusieurs suites logicielles sappuyant sur un systme dexploitation conventionnel. Le dispositif aura la puissance et les fonctionnalits ncessaires pour permettre de couvrir les besoins de lensemble des 230 utilisateurs minimum, dassurer une redondance et atteindre les objectifs gnraux suivants : Assurer les fonctions classiques de coupe-feu (Firewall) apporter des fonctionnalits complmentaire valeur ajoute : o dtection et prvention dintrusion IDS/IPS o concentrateur VPN Ipsec et SSL o autorit de certification (PKI) o toute autre fonctionnalit complmentaire susceptible damliorer le niveau de scurit du rseau ou den allger les charges dexploitation et dadministration. Permettre la production de rapports personnalisables Etre administrable simplement de faon centralise et scurise au travers dun navigateur Ne pas dgrader les performances du rseau Sadapter aux rgles de fonctionnement interne de LE MANS HABITAT
Seront prciss dans fiche technique en annexe N : 2 Dbit Firewall avec IPS activ Nb de connexions simultanes admises Nb de nouvelles connexions par seconde admises Nb de tunnels maximum 14/21
Dbit VPN maximum en Mbps Nb maximum de connexions SSL simultanes Nb de Vlans 802.1Q support Capacit de stockage disque dur
5.4.2. Rseau
Gestion dau minimum 3 zones distinctes Support des translations NAT et PAT Garantie / Limitation de la bande passante Gestion de bande passante par priorit Support de la redondance de liens WAN Support des configuration en mode transparent (pont) ou routage
5.4.3. Filtrage
Filtrage par port source et/ou destination Filtrage par adresse IP source et/ou destination Filtrage par protocole Filtrage par interface Filtrage de base (niveau 3 et couche IP) tats (Stateful) Filtrage applicatif (niveau 7) en standard pour les protocoles courants (http, ftp, dns, smtp, pop3, h323, sip, ssh , telnet) Authentification transparente des utilisateurs Active Directory Support des authentifications Radius, LDAP
Seront prciss dans fiche technique en annexe N : 2 Les mthodes d analyse utilises La frquence de mise jour des ventuelles bases de signatures Les types dattaques dtectes
VPN SSL o Ne ncessitant pas dinstallation de client o Offrant un portail daccs Web captif scuris o Permettant laccs aux applications Web Intranet de lentreprise
Seront prciss dans fiche technique en annexe N : 2 toute autre fonctionnalit complmentaire susceptible damliorer le niveau de scurit du rseau ou den allger les charges dexploitation et dadministration.
5.4.7. Administration
Interface dadministration en mode Web scurise permettant de configurer et superviser la solution propose, Possibilit dAnalyse en temps rel des vnements Analyse a postriori des vnements Outil de gestion de rapports danalyse Mise jour automatique des donnes contextuelles ou dynamiques (Signatures, listes de rputation, etc ) Alertes mel Agent snmp pour la supervision
Redondance matrielle base sur deux boitiers UTM de puissances qales Mode actif / passif Basculement sans perte de session Basculement sans perte des donnes de configuration
Le soumissionnaire sassurera de la compatibilit de sa solution avec lexistant. Il vrifiera notamment que les matriels et logiciels en place correspondent ses pr requis et supportent les fonctions ncessaires au bon fonctionnement de lensemble. continuit de service Les modifications apportes au rseau de Le Mans Habitat devront se faire en totale transparence pour les utilisateurs La migration sera donc progressive et prvoira des phases de validations. Le soumissionnaire dtaillera clairement sa gestion de la migration des services actuel vers les services retenus et fournira un planning prvisionnel de mise en uvre. Le soumissionnaire indiquera les ventuelles tches incombant au personnel de Le Mans Habitat.
17/21
6. ANNEXES
Ce bordereau nest pas exhaustif, le prestataire peut le complter et fournir son propre bordereau en complment.
Quantit
1
Prix Unit.
Total H.T.
Prestation
(prciser le Nb de jours prvisionnel par phase) Phase Livraison installation, Phase Paramtrage et mise en production Phase Transfert de comptence
Garanties et interventions
Garantie pour le matriel (minimum 1 an prciser le nombre dannes ) Garantie Logicielle 1 an (correctifs, volutions, versions, mises jour listes de signatures) Si non inclus dans le cot des licences GTI GTR Assistance et Support 1 an
Reprise des Firexwall PIX 515 existants( (prciser un montant ou si inclus dans la remise globale) Total
Prciser dans loffre les modalits et cots indicatifs de renouvellement lissue de la priode couverte.
18/21
Caractristiques Gnrales
Marque et modle botier UTM1 Marque et modle botier UTM2 Puissance lectrique totale consomme Dissipation thermique totale maximale 1 1
Droits dusage
Nombre dutilisateurs minimum 230
Performance
Interfaces Ethernet 10/100/1000 Disque dur (prciser la capacit de stockage) ASIC VPN Dbit Maxi Firewall avec IPS activ Nb de connexions simultanes admises Nb de nouvelles connexions par seconde admises Nb de tunnels maximum 3 oui oui
Dbit VPN maximum en Mbps Nb maximum de connexions SSL simultanes Nb de Vlans 802.1Q support
Rseau
Nb de zones gres Support NAT Support PAT Garantie / Limitation de la bande passante Gestion de bande passante par priorit Support de la redondance de liens WAN Support des configuration en mode transparent (pont) ou routage 3 Oui Oui Oui Oui Oui Oui
19/21
Filtrage
Nb maximum de rgles de filtrage par port source et/ou destination par adresse IP source et/ou destination par protocole par interface Filtrage de base (niveau 3 et couche IP) tats (Stateful) Filtrage par utilisateur ou groupe dutilisateur Filtrage applicatif (niveau 7) en standard pour les protocoles courants Prciser les protocoles Authentification transparente des utilisateurs Active Directory Autres mthodes dauthentification supportes Oui Oui Oui Oui Oui Oui Oui
mthodes d analyse utilises frquence de mise jour des ventuelles bases de signatures Types dattaques dtectes
VPN Ipsec
Mode passerelle passerelle Mode mobile passerelle Oui Oui
algorithmes et cls de chiffrement supports algorithmes et cls dauthentification supports Support des cls pr-partages et PKI Compatibilit avec clients mobiles autres constructeurs Oui Oui
20/21
VPN SSL
Ne ncessite pas linstallation dun client Portail daccs Web captif scuris Accs aux applications Web de lintranet Oui Oui Oui
Haute disponibilit
Mode actif / passif Basculement sans perte de session Basculement sans perte des donnes de configuration Redondance des composants internes (HD, Ventilateurs, etc .. ) prciser lesquels Oui Oui Oui
Administration
Interface dadministration Web Analyse en temps rel des vnements Analyse a postriori des vnements Mise jour automatique des donnes contextuelles ou dynamiques (Signatures, listes de rputation, etc ) Outil de gestion de rapports danalyse Alertes mel Agent snmp Oui Oui Oui
Autres fonctionnalits
Proxies ( prciser les protocoles ) PKI et autorit de certification intgre Autres fonctionnalit inclues dans loffre SMTP, POP3, HTTP, FTP Oui
21/21