AWS-Achat
POSER UNE QUESTION A L'ACHETEUR PUBLIC A PROPOS DE LA CONSULTATION
VILLE DE GOUSSAINVILLE
23/08/2024 à 12h00
24FS-CP-0476-Q
Passation de marchés d’assurances pour les besoins de la ville et du CCAS de GOUSSAINVILLE
Non demandée
Si vous avez l'intention de soumissionner il est important que vous fassiez en sorte de vérifier que vous disposez de toutes les éventuelles modifications de dossier avant de déposer; pour cela retirez à nouveau le dossier une semaine avant la remise limite pour vérifier s'il y a eu des changements, et prendre connaissance de la correspondance éventuelle.
Compilation des correspondances et pièces jointes
Pièce jointe: SMACL_20240705_2024_07_03_522_2023007054L_______E92000012077_24185_p78f1d55j190776f7748j3c65.pdf (574 ko)
Pièce jointe: SHAM_Sinistralite_Ville_de_Goussainville.pdf (682 ko)
24FS-CP-0476-Q : Passation de marchés d’assurances pour les besoins de la ville et du CCAS de GOUSSAINVILLE
Avis rectificatif : Attention !
La consultation en référence a fait l'objet d'une modification, consultez l'avis rectificatif en cliquant sur le lien ci-dessous et mettez vos éléments à jour (DCE, avis...) le cas échéant.
Lien vers l'avis rectificatif
AWS-Achat
Avenue Web Systèmes SASU - 38 Rue de la Tuilerie - 38170 Seyssinet-Pariset
Réponse
Madame, Mosieur,
Vous trouverez ci-apres les reponses aux questions posées sur la plateforme.
Reponse Q1 / Afin de permettre la preparation d'une offre en periode estivale, la date de remise des plis est reportée au 23/08/2024
Reponse Q2 / Vous trouverez en pièce jointe le rapport d'expertise. Il s'agit bien d'un dommage causé par les racines d'arbres, la SMACL est à ce jour dans l'attente de la réclamation chiffrée de l'assureur de la partie adverse, afin d'émettre ses conclusions.
Reponse Q4 / Vous trouverez en annexe les statisques client.
Reponse Q3 / Vous trouverez les reponses dans le DCE, nous vous invitons à le lire attentivement. Vous trouverez tout de meme les reponses à vos questions.
Nombre d'employés :
Chiffre d'affaires / Budget de fonctionnement : 57 488 370.93€.
Code NAF : 84.11Z
Nom de domaine : Mairie de Goussainville
Nom du représentant dûment autorisé par la société : Abdelaziz HAMIDA, Maire
Activités :
Exercez vous une activité dans les domaines suivants :
- plateformes de monnaie virtuelle et de crypto-monnaie : NON
- organisations de jeux de hasard et d'argent : NON
- divertissements pour adultes :NON
- vente d'armes, de drogue, vente de substances et produits illicites : NON
- transports aériens ou maritimes (y compris aéroports et ports) : NON
- entreprises de production et de distribution d'eau, de gaz et d'électricité ; sociétés de télécommunications : NON.
Sécurité des applications :
1) Les logiciels et OS que vous utilisez sont-ils toujours maintenus par leurs éditeurs ? OUI
(ex : pas de version Windows antérieure à Windows 10) ? Si Non, pouvez-vous lister les éventuels systèmes non maintenus avec la politique de sécurité associée.
2) Tous vos équipements sont-ils équipés d'un antivirus à jour ? OUI
? Vos postes de travail Windows ? OUI
? Vos serveurs Windows ? OUI
3) Avez-vous mis en place une solution d'anti-phishing (ex : identification et blocage des emails de phishing) ? Si oui, précisez la solution utilisée : OUI - Mailinblack
4) Avez-vous activé un pare-feu sur tous vos systèmes exposés à l'extérieur de votre réseau ? Si oui, précisez la solution utilisée : OUI Firewall Palo Alto
5) A quelle fréquence effectuez-vous les mises à jour de sécurité pour l'ensemble des logiciels que vous utilisez ? Précisions des logiciels qui ont une politique de mise à jour moins fréquente.
Progiciels : En fonction de la disponibilité des nouvelles versions des éditeurs
Systèmes Exploitation : Chaque trimestre sauf si une alerte est publiée, dans ce cas les patchs sont installés en urgence
Sauvegarde des données et restauration :
6) A quelle fréquence effectuez-vous des sauvegardes de vos données sur des supports déconnectés et isolés de votre réseau une fois les sauvegardes effectuées ? Précisions éventuelles sur votre système de sauvegarde : Chaque jour - Système de Backup Veeam
7) A quelle fréquence effectuez-vous des tests de restauration à partir de vos sauvegardes ? Précisions éventuelles sur les tests de restauration : Une fois par mois
Sécurité des systèmes :
8) Disposez-vous d'une journalisation (logs) des évènements de sécurité (ex : accès des utilisateurs aux applications, attribution de nouveaux droits d'accès, création de nouveaux utilisateurs, etc.) pour l'ensemble de vos ordinateurs et serveurs sur une durée d'au moins 15 jours ? Une solution doit être déployée avant la fin de l'année 2024
9) Avez-vous mis en place une solution centralisée de remontée et de corrélation des évènements de sécurité (logs) pour vos ordinateurs et serveurs (ex : EDR, XDR, etc.) ? NON
Sécurité des accès :
10) Avez-vous mis en place une authentification multi facteurs (MFA) pour l'ensemble de vos systèmes critiques internes et externes et vos accès distants ? Si Non, listez les systèmes critiques qui ne disposent pas de MFA et la politique d'accès associée : Un système MFA a été déployé, il n'est utilisé que pour les personnes en télétravail.
11) Avez-vous mis en place différents niveaux de droits d'accès en fonction des besoins métier de vos utilisateurs sur l'ensemble de vos systèmes critiques ? Si Non, listez les systèmes critiques sans droits d'accès limités et la politique de sécurité associée. OUI
12) Limitez-vous les privilèges "administrateurs" exclusivement aux utilisateurs qui en ont besoin ?
Aucun utilisateur ne dispose des droits d'administrateur, ces droits sont réservés au service informatique
13) Confirmez-vous que vos utilisateurs ne sont pas administrateurs de leurs postes de travail ? OUI
14) Chaque utilisateur dispose-t-il de compte nominatif pour se connecter au système d'information, aux applications métier et aux systèmes critiques de l'entreprise ? OUI
15) Imposez-vous une connexion par VPN pour tous les accès distants à vos systèmes critiques ?
Notre système Citrix n'utilise pas de connexion par VPN mais une Gateway sécurisée et couplée avec le système de double authentification Thalès
16) L'ensemble de vos mots passe sont-ils robustes (min 15 caractères incluant des capitales, minuscules, chiffres et caractères spéciaux.) ? OUI, nous avons prévu le déploiement d'une nouvelle stratégie de gestion des mots de passe plus l'utilisation du logiciel Keepass à partir du mois de juillet 2024
17) Les ports RDP (Remote Desktop Protocol) de votre réseau sont-ils fermés ? NON, seuls les administrateurs peuvent se connecter
Gouvernance :
18) Avez-vous inventorié l'ensemble de votre parc informatique (équipements, logiciels, données, accès, interconnexions avec l'extérieur, etc.) ? Nous utilisons le logiciel GLPI pour l'inventaire automatique
19) Quel volume de données traitez-vous ? environ 30 To
Volumes donnés à caractère personnel sensibles ?
? Volume données bancaires ? Nous avons simplement les comptes bancaires des agents de la collectivité pour la paie soit environ 700 personnes et ceux des tiers dans l'application de gestion financière, pratiquement 19000 comptes.
? Volume données de santé ? Toutes les données de santé sont hébergées par un prestataire respectant la norme HDS
20) Listez les mesures de protection mises en place pour sécuriser vos données (DLP, chiffrement des données, classification des données, blocage des ports USB, etc.)
- Architecture centralisée Citrix
- Clients légers sans OS Windows sauf postes de télétravail
- blocage des ports USB
Liste des questions
Question n°1
Bonjour,
Afin de permettre une étude optimisée de ce marché, je vous remercie de bien vouloir décaler la date de remise des plis à la rentrée
Cordialement
Question n°2
Lot 2 RC - Sinistre 2023007054L - Chute d'arbre - Règlement 870 € provision 11 235 €
Merci de nous indiquer les circonstances et les dégâts, la position de l'assureur sur la responsabilité et le détail des règlements effectués
Cordialement
Question n°3
LOT 6 CYBER
Bonjour,
Nous vous remercions de nous communiquer vos éléments de réponse aux questions suivantes :
Nombre d'employés :
Chiffre d’affaires / Budget de fonctionnement :
Code NAF :
Nom de domaine :
Nom du représentant dûment autorisé par la société :
Activités :
Exercez vous une activité dans les domaines suivants :
- plateformes de monnaie virtuelle et de crypto-monnaie ;
- organisations de jeux de hasard et d’argent ;
- divertissements pour adultes ;
- vente d'armes, de drogue, vente de substances et produits illicites ;
- transports aériens ou maritimes (y compris aéroports et ports) ;
- entreprises de production et de distribution d'eau, de gaz et d'électricité ; sociétés de télécommunications.
Sécurité des applications :
1) Les logiciels et OS que vous utilisez sont-ils toujours maintenus par leurs éditeurs ? (ex : pas de version Windows antérieure à Windows 10) ? Si Non, pouvez-vous lister les éventuels systèmes non maintenus avec la politique de sécurité associée.
2) Tous vos équipements sont-ils équipés d’un antivirus à jour ?
? Vos postes de travail Windows ?
? Vos serveurs Windows ?
3) Avez-vous mis en place une solution d'anti-phishing (ex : identification et blocage des emails de phishing) ? Si oui, précisez la solution utilisée.
4) Avez-vous activé un pare-feu sur tous vos systèmes exposés à l’extérieur de votre réseau ? Si oui, précisez la solution utilisée.
5) A quelle fréquence effectuez-vous les mises à jour de sécurité pour l'ensemble des logiciels que vous utilisez ? Précisions des logiciels qui ont une politique de mise à jour moins fréquente.
Sauvegarde des données et restauration :
6) A quelle fréquence effectuez-vous des sauvegardes de vos données sur des supports déconnectés et isolés de votre réseau une fois les sauvegardes effectuées ? Précisions éventuelles sur votre système de sauvegarde.
7) A quelle fréquence effectuez-vous des tests de restauration à partir de vos sauvegardes ? Précisions éventuelles sur les tests de restauration.
Sécurité des systèmes :
8) Disposez-vous d’une journalisation (logs) des évènements de sécurité (ex : accès des utilisateurs aux applications, attribution de nouveaux droits d’accès, création de nouveaux utilisateurs, etc.) pour l’ensemble de vos ordinateurs et serveurs sur une durée d’au moins 15 jours ?
9) Avez-vous mis en place une solution centralisée de remontée et de corrélation des évènements de sécurité (logs) pour vos ordinateurs et serveurs (ex : EDR, XDR, etc.) ?
Sécurité des accès :
10) Avez-vous mis en place une authentification multi facteurs (MFA) pour l'ensemble de vos systèmes critiques internes et externes et vos accès distants ? Si Non, listez les systèmes critiques qui ne disposent pas de MFA et la politique d'accès associée.
11) Avez-vous mis en place différents niveaux de droits d'accès en fonction des besoins métier de vos utilisateurs sur l'ensemble de vos systèmes critiques ? Si Non, listez les systèmes critiques sans droits d'accès limités et la politique de sécurité associée.
12) Limitez-vous les privilèges "administrateurs" exclusivement aux utilisateurs qui en ont besoin ?
13) Confirmez-vous que vos utilisateurs ne sont pas administrateurs de leurs postes de travail ?
14) Chaque utilisateur dispose-t-il de compte nominatif pour se connecter au système d'information, aux applications métier et aux systèmes critiques de l'entreprise ?
15) Imposez-vous une connexion par VPN pour tous les accès distants à vos systèmes critiques ?
16) L'ensemble de vos mots passe sont-ils robustes (min 15 caractères incluant des capitales, minuscules, chiffres et caractères spéciaux.) ?
17) Les ports RDP (Remote Desktop Protocol) de votre réseau sont-ils fermés ?
Gouvernance :
18) Avez-vous inventorié l'ensemble de votre parc informatique (équipements, logiciels, données, accès, interconnexions avec l'extérieur, etc.) ?
19) Quel volume de données traitez-vous ?
• Volumes donnés à caractère personnel sensibles ?
? Volume données bancaires ?
? Volume données de santé ?
20) Listez les mesures de protection mises en place pour sécuriser vos données (DLP, chiffrement des données, classification des données, blocage des ports USB, etc.)
Question n°4
Bonjour,
Nous constatons que les FMX déclarés en 2023 pour la MAIRIE de GOUSSAINVILLE sont très importants, pourriez-vous en justifier la raison ?
Merci infiniment par avance pour votre retour,
Bien cordialement,
Fichier joint : SMACL_20240705_2024_07_03_522_2023007054L_______E92000012077_24185_p78f1d55j190776f7748j3c65.pdf, SHAM_Sinistralite_Ville_de_Goussainville.pdf
Avenue Web Systèmes - 38 Rue de la Tuilerie - 38170 Seyssinet-Pariset -
support-entreprises@aws-france.com
Editeur de solutions de dématérialisation - Marchés Publics - Contrôle de Légalité