POSER UNE QUESTION A L'ACHETEUR PUBLIC A PROPOS DE LA CONSULTATION

Réponse

Réponse

Bonjour,

Vous trouverez ci-dessous la réponse apportée à la question n°9.

Il n' y a pas de véhicule au CCAS, cela concerne uniquement la Ville

Bonne réception,

Cordialement,

Liste des questions

Question n°9

Bonjour, Vous demandez une facturation par entité dans le lot flotte. Pourriez-vous nous donner les immatriculations qui appartiennent au CCAS? Cette information n'est pas indiqué dans le tableau récapitulatif des véhicules. Merci par avance,

Réponse

Bonjour,

Vous trouverez dans le document en pièce jointe les réponses apportées à la question n°6.

Bonne réception,

Cordialement,

Liste des questions

Question n°6

Bonjour,
Merci de bien vouloir nous communiquer une adresse e-mail afin de vous transmettre notre questionnaire cyber, ou de le télécharger via le lien suivant :
https://we.tl/t-BsM96RehMA
Nous vous remercions de bien vouloir finir de compléter le questionnaire cyber et nous le retourner dans les temps.
Ces éléments techniques nous sont indispensables pour élaborer notre offre tarifaire pour le Lot Cyber.
A vous lire
Bien cordialement

Réponse

Bonjour,

Voici la réponse apportée à la question n°8 :

Oui, la VILLE et le CCAS partagent le même système informatique.
Oui, les réponses aux questions concernent bien la VILLE et le CCAS.
Oui, le budget indiqué de 14 530 125,00 € correspond bien au budget de la VILLE et du CCAS.

Cordialement,

Liste des questions

Question n°8

LOT 8 CYBER
Merci de nous confirmer que la VILLE et le CCAS partage le même système informatique ?
Les réponses aux questions concernent bien la VILLE et le CCAS ?
Le budget indiqué de 14 530 125,00 € correspond bien au budget de la VILLE et du CCAS ?

Réponse

Bonjour,

Vous trouverez ci-dessous la réponse apportée à la question n°7.

Non, la Ville et le CCAS de Tarare n'ont pas des activités dans ces domaines.

Bonne réception,

Cordialement,

Le service commande publique

Liste des questions

Question n°7

LOT CYBER
Avez-vous des activité dans les domaines suivants : transports aériens ou maritimes (y compris aéroports et ports) ; entreprises de production et de distribution d'eau, de gaz et d'électricité ?

Bonjour,

Vous trouverez en pièces jointes les documents concernant les réponses aux questions 4 et 5.

Bonne réception,

Cordialement,

La Ville de Tarare

Réponse

Bonjour,

Vous trouverez ci-dessous les réponses apportées aux 5 questions posées.

Réponse à la question n°1 :

Les réponses aux questions sont en bleu dans le texte ci-dessous.

LOT CYBER

Fiche de Déclaration du Risque
Société / Collectivité : Ville de Tarare
SIRET : 216 902 437 00013
Contact Société / Collectivité : Collectivité Territoriale Commune de Tarare
Nombre d'employés : 191 (108 CNRACL)
Chiffre d'affaires / Budget de fonctionnement : BP 2024 :  14 530 125
Code NAF : APE 84.11Z
Nom de domaine : ville-tarare.fr + (tarare.fr)
Nom du représentant dûment autorisé par la société : Bruno Peylachon

Sécurité des applications :
1) Les logiciels et OS que vous utilisez sont-ils toujours maintenus par leurs éditeurs ? (ex : pas de version Windows antérieure à Windows 10) ? Si Non, pouvez-vous lister les éventuels systèmes non maintenus avec la politique de sécurité associée.

Non, une serveur avec les historiques de comptabilité et RH dans l'ancien logiciel n'est plus maintenu (contrat de maintenance terminé). Le serveur n'est utilisé plus que pour de la consultation. Il est déconnecté d'internet et n'est accessible que par un nombre restreint d'agents. 3 sauvegardes différentes sont réalisées quotidiennement. Pour l'ensemble des autres serveurs oui.
2) Tous vos équipements sont-ils équipés d'un antivirus à jour ? Oui
? Vos postes de travail Windows ? Oui
? Vos serveurs Windows ? Oui
3) Avez-vous mis en place une solution d'anti-phishing (ex : identification et blocage des emails de phishing) ? Si oui, précisez la solution utilisée. Oui, Vadésecure
4) Avez-vous activé un pare-feu sur tous vos systèmes exposés à l'extérieur de votre réseau ? Si oui, précisez la solution utilisée. Très peu de systèmes sont exposés sur l'extérieur, mais la solution Stormshield est utilisée.
5) A quelle fréquence effectuez-vous les mises à jour de sécurité pour l'ensemble des logiciels que vous utilisez ?

Les mises à jour Windows des serveurs sont effectuées mensuellement et les mises à jour applicatives sont réalisées lorsqu'une nouvelle version nous est signalée.

Précisions des logiciels qui ont une politique de mise à jour moins fréquente.
Sauvegarde des données et restauration :
6) A quelle fréquence effectuez-vous des sauvegardes de vos données sur des supports déconnectés et isolés de votre réseau une fois les sauvegardes effectuées ?Précisions éventuelles sur votre système de sauvegarde.

1 fois par jour, 1 fois par semaine et 1 fois par mois. Les sauvegardes quotidiennes sont dupliquées sur des cassettes LTO avec un robot de sauvegarde qui les mets hors ligne. Une copie de la sauvegarde quotidienne est également réalisé sur NAS disposé sur un site distant.

7) A quelle fréquence effectuez-vous des tests de restauration à partir de vos sauvegardes ? Précisions éventuelles sur les tests de restauration.

Une fois tous les 2 mois.

Sécurité des systèmes :
8) Disposez-vous d'une journalisation (logs) des évènements de sécurité (ex : accès des utilisateurs aux applications, attribution de nouveaux droits d'accès, création de nouveaux utilisateurs, etc.) pour l'ensemble de vos ordinateurs et serveurs sur une durée d'au moins 15 jours ? Oui
9) Avez-vous mis en place une solution centralisée de remontée et de corrélation des évènements de sécurité (logs) pour vos ordinateurs et serveurs (ex : EDR, XDR, etc.) ? Non

Sécurité des accès :
10) Avez-vous mis en place une authentification multi facteurs (MFA) pour l'ensemble de vos systèmes critiques internes et externes et vos accès distants ? Si Non, listez les systèmes critiques qui ne disposent pas de MFA et la politique d'accès associée.

Les administrateurs du système informatique (agents de la communauté d'agglomération) disposent tous d'accès avec la double authentification (VPN SSL, Messagerie, ..). Les agents ne disposent pas de double authentification pour les accès.

11) Avez-vous mis en place différents niveaux de droits d'accès en fonction des besoins métier de vos utilisateurs sur l'ensemble de vos systèmes critiques ? Si Non, listez les systèmes critiques sans droits d'accès limités et la politique de sécurité associée.

Oui, les accès applicatifs et fichiers disposent de droits adaptés au besoin des utilisateurs, sur le principe du strict nécessaire.

12) Limitez-vous les privilèges "administrateurs" exclusivement aux utilisateurs qui en ont besoin ? Aucun utilisateur n'a d'accès administrateur, ces droits sont réservés à certains agents du service informatique de la communauté d'agglomération.
13) Confirmez-vous que vos utilisateurs ne sont pas administrateurs de leurs postes de travail ? Oui
14) Chaque utilisateur dispose-t-il de compte nominatif pour se connecter au système d'information, aux applications métier et aux systèmes critiques de l'entreprise ? Oui
15) Imposez-vous une connexion par VPN pour tous les accès distants à vos systèmes critiques ? Oui
16) L'ensemble de vos mots passe sont-ils robustes (min 15 caractères incluant des capitales, minuscules, chiffres et caractères spéciaux.) ? Non, le caractère spécial n'est pas encore imposé et les mots de passes se limitent à 8 caractères.
17) Les ports RDP (Remote Desktop Protocol) de votre réseau sont-ils fermés ? Non, car encore utilisé en attendant la finalisation de l'outil Wallix Bastion.

Gouvernance :
18) Avez-vous inventorié l'ensemble de votre parc informatique (équipements, logiciels, données, accès, interconnexions avec l'extérieur, etc.) ? Oui pour les équipements, logiciels, accès et interconnexions.
19) Quel volume de données traitez-vous ? non connu
Volumes donnés à caractère personnel sensibles ? non connu
? Volume données bancaires ? Non connu
? Volume données de santé ? Non connu
20) Listez les mesures de protection mises en place pour sécuriser vos données (DLP, chiffrement des données, classification des données, blocage des ports USB, etc.)

Vérification par l'antivirus de tous les périphériques externes connectés. Les nouveaux ordinateurs disposent de disques durs chiffrés et tous les agents ont été sensibilisés aux risques cyber en début d'année 2024.

Réponse à la question n°2 :

Concernant le lot n°6 "Droits statutaires", la garantie Maladie ordinaire n'est pas demandée.

Réponse à la question n°3 :

Les mini-bus servent pour les activités des centres de Loisirs pendant les vacances, les mercredis et parfois en soirée mais aussi pour la cantine et l'atelier cartable.

Réponse à la question n°4 :

Vous trouverez en pièces jointes les PV des commissions de sécurité des ERP visités par les pompiers.

Les gymnases sous alarme et télésurveillance sont JOURLIN PERRIER et 3 VALLEES, le théâtre sera sous alarme.

Réponse à la question n°5 :

Confère réponse à la question n°4.

Bonne réception,

Cordialement,

La Ville de Tarare

Liste des questions

Question n°1

LOT CYBER
Merci de répondre aux questions ci-dessous :
Fiche de Déclaration du Risque
Société / Collectivité :
SIRET :
Contact Société / Collectivité :
Nombre d'employés :
Chiffre d’affaires / Budget de fonctionnement :
Code NAF :
Nom de domaine :
Nom du représentant dûment autorisé par la société :
Sécurité des applications :
1) Les logiciels et OS que vous utilisez sont-ils toujours maintenus par leurs éditeurs ? (ex : pas de version Windows antérieure à Windows 10) ? Si Non, pouvez-vous lister les éventuels systèmes non maintenus avec la politique de sécurité associée.

2) Tous vos équipements sont-ils équipés d’un antivirus à jour ?
? Vos postes de travail Windows ?
? Vos serveurs Windows ?

3) Avez-vous mis en place une solution d'anti-phishing (ex : identification et blocage des emails de phishing) ? Si oui, précisez la solution utilisée.

4) Avez-vous activé un pare-feu sur tous vos systèmes exposés à l’extérieur de votre réseau ? Si oui, précisez la solution utilisée.

5) A quelle fréquence effectuez-vous les mises à jour de sécurité pour l'ensemble des logiciels que vous utilisez ? Précisions des logiciels qui ont une politique de mise à jour moins fréquente.
Sauvegarde des données et restauration :
6) A quelle fréquence effectuez-vous des sauvegardes de vos données sur des supports déconnectés et isolés de votre réseau une fois les sauvegardes effectuées ? Précisions éventuelles sur votre système de sauvegarde.

7) A quelle fréquence effectuez-vous des tests de restauration à partir de vos sauvegardes ? Précisions éventuelles sur les tests de restauration.

Sécurité des systèmes :
8) Disposez-vous d’une journalisation (logs) des évènements de sécurité (ex : accès des utilisateurs aux applications, attribution de nouveaux droits d’accès, création de nouveaux utilisateurs, etc.) pour l’ensemble de vos ordinateurs et serveurs sur une durée d’au moins 15 jours ?

9) Avez-vous mis en place une solution centralisée de remontée et de corrélation des évènements de sécurité (logs) pour vos ordinateurs et serveurs (ex : EDR, XDR, etc.) ?

Sécurité des accès :
10) Avez-vous mis en place une authentification multi facteurs (MFA) pour l'ensemble de vos systèmes critiques internes et externes et vos accès distants ? Si Non, listez les systèmes critiques qui ne disposent pas de MFA et la politique d'accès associée.

11) Avez-vous mis en place différents niveaux de droits d'accès en fonction des besoins métier de vos utilisateurs sur l'ensemble de vos systèmes critiques ? Si Non, listez les systèmes critiques sans droits d'accès limités et la politique de sécurité associée.

12) Limitez-vous les privilèges "administrateurs" exclusivement aux utilisateurs qui en ont besoin ?

13) Confirmez-vous que vos utilisateurs ne sont pas administrateurs de leurs postes de travail ?

14) Chaque utilisateur dispose-t-il de compte nominatif pour se connecter au système d'information, aux applications métier et aux systèmes critiques de l'entreprise ?

15) Imposez-vous une connexion par VPN pour tous les accès distants à vos systèmes critiques ?

16) L'ensemble de vos mots passe sont-ils robustes (min 15 caractères incluant des capitales, minuscules, chiffres et caractères spéciaux.) ?

17) Les ports RDP (Remote Desktop Protocol) de votre réseau sont-ils fermés ?

Gouvernance :
18) Avez-vous inventorié l'ensemble de votre parc informatique (équipements, logiciels, données, accès, interconnexions avec l'extérieur, etc.) ?

19) Quel volume de données traitez-vous ?
• Volumes donnés à caractère personnel sensibles ?
? Volume données bancaires ?
? Volume données de santé ?

20) Listez les mesures de protection mises en place pour sécuriser vos données (DLP, chiffrement des données, classification des données, blocage des ports USB, etc.)

Question n°2

Bonjour,

Concernant le lot n°6 droits statutaires, nous aurions besoin des statistiques internes du nombre de jour d’arrêt en maladie ordinaire, année par année, ce depuis 2020.

Cordialement,

Service des marchés.

Question n°3

Bonjour,

Afin de répondre au mieux au lot flotte auto / mission, pourriez vous nous préciser la destination des mini bus présent dans le parc.

En effet, dans la présentation jointe au DCE, il est indiqué que vous n'assurez pas de transport de personne.

En vous remerciant,

Cordialement

Question n°4

Bonjour,

Pouvez-vous transmettre les PV de commission de sécurité des batiments classés ERP s'il vous plaît ?
Les bâtiments sportifs et socioculturels sont ils sous alarme intrusion ? Y a t-il également une télésurveillance ?

Merci par avance.
Bien cordialement.

Question n°5

Bonjour,

Pouvez-vous transmettre les PV de commission de sécurité des batiments classés ERP s'il vous plaît ?
Les bâtiments sportifs et socioculturels sont ils sous alarme intrusion ? Y a t-il également une télésurveillance ?

Merci par avance.
Bien cordialement.