POSER UNE QUESTION A L'ACHETEUR PUBLIC A PROPOS DE LA CONSULTATION

Consultation

Acheteur : Syndicat Mixte des Transports en Commun de l'Hérault - Hérault Transport

Remise limite : 29/07/2024 à 12h00

Référence : 24M05

Objet : Souscription des contrats d’assurance pour Hérault Transport

Signature : Non demandée

Service DUME : Cette consultation bénéficie du Service DUME.

Aide : Documentation sur les dépôts

Attention :

Si vous avez l'intention de soumissionner il est important que vous fassiez en sorte de vérifier que vous disposez de toutes les éventuelles modifications de dossier avant de déposer; pour cela retirez à nouveau le dossier une semaine avant la remise limite pour vérifier s'il y a eu des changements, et prendre connaissance de la correspondance éventuelle.

Correspondance

03/07/24 à 05h52 Compilation des correspondances et pièces jointes

Réponses et messages publiés par l'acheteur

28/06/24 à 13h49 : Message aux entreprises :

Réponse

Bonjour,

Les réponses à vos questions vont vous être adressées par mail et seront transmises par mail à tout soumissionnaire qui en fera la demande, pour des raisons de sécurité liées aux informations transmises.

Bien cordialement,

Le service commande publique

Liste des questions

Question n°4

LOT CYBER
- Réalisez-vous des sauvegardes de vos données et des éléments critiques de votre système informatique au minimum tous les 7 jours, sur un élément déconnecté du système (par exemple sur un élément physique déconnecté ou une solution de cloud) ? (Toutes ces solutions doivent vous permettre de récupérer une version précédente de vos données et éléments critiques (avant le chiffrement par exemple). Vos informations de connexion (identifiants et mots de passe) utilisées pour accéder à ces environnements doivent être différentes de celles utilisées pour accéder de votre système informatique. Les prestataires : Yandex Cloud, Mail.ru – Cloud solutions, Alibaba Cloud et Huawei – 3data cloud, sont exclus).

- Disposez-vous d’un antivirus mis à jour régulièrement (au plus tard 7 jours après la publication officielle de la mise à jour) sur tous les postes de travail Windows et serveurs Windows ?

27/06/24 à 15h32 : Message aux entreprises :

Réponse

Bonjour,

Les réponses aux questionnaires seront adressées par mail à tout soumissionnaire qui en fera la demande, pour des raisons de sécurité liées aux informations transmises.

Bien cordialement,

Le service commande publique

Liste des questions

Question n°1

LOT CYBER
Fiche de Déclaration du Risque
Société / Collectivité :
SIRET :
Contact Société / Collectivité :
Nombre d'employés :
Chiffre d’affaires / Budget de fonctionnement :
Code NAF :
Nom de domaine :
Nom du représentant dûment autorisé par la société :
Activité dans les domaines suivants : transports aériens ou maritimes (y compris aéroports et ports) ; entreprises de production et de distribution d'eau, de gaz et d'électricité :
Sécurité des applications :
1) Les logiciels et OS que vous utilisez sont-ils toujours maintenus par leurs éditeurs ? (ex : pas de version Windows antérieure à Windows 10) ? Si Non, pouvez-vous lister les éventuels systèmes non maintenus avec la politique de sécurité associée.

2) Tous vos équipements sont-ils équipés d’un antivirus à jour ?
? Vos postes de travail Windows ?
? Vos serveurs Windows ?

3) Avez-vous mis en place une solution d'anti-phishing (ex : identification et blocage des emails de phishing) ? Si oui, précisez la solution utilisée.

4) Avez-vous activé un pare-feu sur tous vos systèmes exposés à l’extérieur de votre réseau ? Si oui, précisez la solution utilisée.

5) A quelle fréquence effectuez-vous les mises à jour de sécurité pour l'ensemble des logiciels que vous utilisez ? Précisions des logiciels qui ont une politique de mise à jour moins fréquente.
Sauvegarde des données et restauration :
6) A quelle fréquence effectuez-vous des sauvegardes de vos données sur des supports déconnectés et isolés de votre réseau une fois les sauvegardes effectuées ? Précisions éventuelles sur votre système de sauvegarde.

7) A quelle fréquence effectuez-vous des tests de restauration à partir de vos sauvegardes ? Précisions éventuelles sur les tests de restauration.

Sécurité des systèmes :
8) Disposez-vous d’une journalisation (logs) des évènements de sécurité (ex : accès des utilisateurs aux applications, attribution de nouveaux droits d’accès, création de nouveaux utilisateurs, etc.) pour l’ensemble de vos ordinateurs et serveurs sur une durée d’au moins 15 jours ?

9) Avez-vous mis en place une solution centralisée de remontée et de corrélation des évènements de sécurité (logs) pour vos ordinateurs et serveurs (ex : EDR, XDR, etc.) ?

Sécurité des accès :
10) Avez-vous mis en place une authentification multi facteurs (MFA) pour l'ensemble de vos systèmes critiques internes et externes et vos accès distants ? Si Non, listez les systèmes critiques qui ne disposent pas de MFA et la politique d'accès associée.

11) Avez-vous mis en place différents niveaux de droits d'accès en fonction des besoins métier de vos utilisateurs sur l'ensemble de vos systèmes critiques ? Si Non, listez les systèmes critiques sans droits d'accès limités et la politique de sécurité associée.

12) Limitez-vous les privilèges "administrateurs" exclusivement aux utilisateurs qui en ont besoin ?

13) Confirmez-vous que vos utilisateurs ne sont pas administrateurs de leurs postes de travail ?

14) Chaque utilisateur dispose-t-il de compte nominatif pour se connecter au système d'information, aux applications métier et aux systèmes critiques de l'entreprise ?

15) Imposez-vous une connexion par VPN pour tous les accès distants à vos systèmes critiques ?

16) L'ensemble de vos mots passe sont-ils robustes (min 15 caractères incluant des capitales, minuscules, chiffres et caractères spéciaux.) ?

17) Les ports RDP (Remote Desktop Protocol) de votre réseau sont-ils fermés ?

Gouvernance :
18) Avez-vous inventorié l'ensemble de votre parc informatique (équipements, logiciels, données, accès, interconnexions avec l'extérieur, etc.) ?

19) Quel volume de données traitez-vous ?
• Volumes donnés à caractère personnel sensibles ?
? Volume données bancaires ?
? Volume données de santé ?

20) Listez les mesures de protection mises en place pour sécuriser vos données (DLP, chiffrement des données, classification des données, blocage des ports USB, etc.)

Question n°2

Bonjour,
Merci de bien vouloir nous communiquer une adresse e-mail afin de vous transmettre notre questionnaire cyber, ou de le télécharger via le lien suivant :
https://we.tl/t-eVtiBAJrsm
Nous vous remercions de bien vouloir le compléter et nous le retourner dans les temps. Ces éléments techniques nous sont indispensables pour élaborer notre offre tarifaire pour le Lot Cyber.
A vous lire
Bien cordialement

18/06/24 à 16h25 : Message aux entreprises :

Réponse

Bonjour,

Il n'y a pas de contrat de protection juridique actuellement. Il s'agit d'un nouveau lot, il n'y a pas de sinistres connus à ce jour (Article II du CCP lot 7).

Bien cordialement,

Le service commande publique

Liste des questions

Question n°3

Bonjour,

Sauf erreur de notre part, il n'y a pas de liste des sinistres pour le lot 7. Pourriez-vous la mettre en ligne ?

Cordialement,

Attention, vos questions doivent respecter 3 règles :

Aucun démarchage n'est autorisé via les questions. Dans ce cas nous nous réservons la possibilité de supprimer votre compte.
Vous ne devez pas vous identifier dans votre question, vous le serez automatiquement par la plateforme.
Votre question ne doit comporter aucun secret technique ou commercial, car elle sera retransmise en automatique à tous les candidats avec la réponse à votre question.

Votre question :

Avenue Web Systèmes - 38 Rue de la Tuilerie - 38170 Seyssinet-Pariset - support-entreprises@aws-france.com
Editeur de solutions de dématérialisation - Marchés Publics - Contrôle de Légalité