Offres
API
Connexion
Documents similaires
Déliberation - 2025 014
Déliberation - 2024 014
Déliberation - DEC 2025 281 AVENANT N 3 AU MARCHE 95120 22 014 A
Déliberation - 2023 014
Déliberation - 2023 014
Déliberation - 2024 014
Déliberation - 1 Liste des deliberations CA du 17 mars 2023
Conseil Municipal - DELV 2025 06 30 26 AUDIT ET RENOUVELLEMENT DE L IN
Déliberation - DEC 2025 216 CONTRAT RELATIF AU MARCHE DE NETTOYA
Déliberation - Deliberation 2026 014
Déliberation - 2025 014
Document publié le Mercredi 5 février 2025 par la commune d'Ermont.
Lien du pdf (Déliberation - 2025 014)
Thèmes du document : Cybersécurité, Télécommunications et internet, Investissement et développement économique,
RÉPUBLIQUE FRANÇAISE
DEPARTEMENT
VAL D'OISE
ARRONDISSEMENT
D’ARGENTEUIL EXTRAIT DU REGISTRE DES
mn DÉLIBÉRATIONS DU CONSEIL MUNICIPAL
COMMUNE DE LA COMMUNE D'ERMONT
D'ERMONT
= SÉANCE DU 05 FÉVRIER 2025
L'an deux mille vingt-cinq, le cinq du mois de février à 19 H 00
OBJET: ATTRACTIVITE DU TERRITOIRE ET CADRE DE VIE
Approbation de la souscription au lot 4 Interconnexions, Internet, Infrastructures Systèmes, Réseaux et Télécommunications, Sécurité des Systèmes d’Information (marché 2020100) dans le cadre du groupement de commande avec le SIPPEREC
Le Conseil Municipal dûment convoqué par Monsieur le Maire, le 29 janvier 2025, s'est assemblé au lieu ordinaire de ses séances sous la présidence de M. Xavier HAQUIN.
N°2025/014
Présents :
M. Xavier HAQUIN, Maire
M. BLANCHARD, M. NACCACHE, Mme MEZIERE, M. LEDEUR, M.RAVIER, Mme CASTRO-FERNANDES, Mme CHESNEAU MUSTAFA, Adjoints au Maire
M. CARON, Mme APARICIO TRAORE, M. ANNOUR, Mme DEHAS, Mme GUEDJ, Mme GUTIERREZ, Mme BENLAHMAR, M. GODARD, M. LAROZE, Mme YAHYA, Mme DE CARLI, Mme LAMBERT, M. KNOBLOCH, Mme CAUZARD, M. HEUSSER, Mme LACOUTURE, Mme BARIL, M. PERROT, M. MELO DELGADO, M. BAY, M. KHINACHE, Mme DAHMANI, Conseillers Municipaux
Absents excusés ayant donné pouvoir :
Le nombre des Conseillers Mme DUPUY (pouvoir à M. HAQUIN) Municipaux en exercice est Mme LEMARCHAND (pouvoir à Mme DEHAS)
de 35 (la condidtion de Mme SANTA CRUZ BUSTAMANTE (pouvoir à M. BLANCHARD)
quorum est de 18 membres M. KEBABTCHIEFF (pouvoir à Mme CASTRO FERNANDES)
présents). Mme THYS (pouvoir à M. GODARD)
Déposée en Sous-Préfecture le : 07| 0%|25
Publiéelg :,/9\0)\ 25
f Les Conseillers présents formant la majorité des membres en exercice,
airé, conformément à l'Article L. 2121-15 du Code Général des Collectivités PATES Territoriales, il a été procédé à la nomination d'un secrétaire pris
Ve, dans le sein du Conseil : M KNOBLOCH ayant obtenu la majorité \des suffrages, a été désigné pour remplir ces fonctions qu’il a acceptées.
is &vbies de recor NU f
{ irez contester la prèseñte défision, vous pouvez saisir le Tribunal Administratif de Cergy —Pontoise compétent d’un recours contentieux dans les deux
mois à pAür de la notification de la décision attaquée. Vous pouvez également saisir d’un recours gracieux, l’auteur de la décision. Cette démarche prolonge le ours qui doit alors être introduit dans les deux mois suivant la réponse (l’absence de réponse au terme des deux mois valant rejet).
Accusé de réception en préfecture
095-219502192-20250205-2025-014-DE
Date de télétransmission : 07/02/2025
Date de réception préfecture : 07/02/2025Délibération N° 2025/014
OBJET :
ATTRACTIVITE DU TERRITOIRE ET CADRE DE VIE
Approbation de la l’adhésion au lot 4 Interconnexions, Internet, Infrastructures
Systèmes, Réseaux et Télécommunications, Sécurité des Systèmes d’Information
(marché 2020100) dans le cadre du groupement de commande avec le SIPPEREC
Sur la proposition du Maire,
VU le Code Général des Collectivités Territoriales, notamment son article L.2121-29 ;
VU ie Code de la commande publique ;
VU la délibération n°2019/15 du Conseil municipal du 13 février 2019 relative à l’adhésion à la centrale d’achat « SIPP’n°CO » ;
VU l'avis de la Commission Attractivité du territoire et Cadre de vie du 21 janvier 2025 ;
CONSIDÉRANT l'adhésion de la Commune d’Ermont au SIPPEREC depuis 2005 et à sa centrale d’achat en 2019 :
CONSIDERANT les missions du lot 4 « Interconnexions, Internet, Infrastructures Systèmes, Réseaux et Télécommunications, Sécurité des Systèmes d’Information » de cette centrale d’achat ;
CONSIDÉRANT que la candidature de la commune d’Ermont a été retenue dans le cadre du parcours sécurité (audit des installations et travaux de mise en conformité et renforcement de la sécurité) de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information),
autorité nationale en matière de cybersécurité et le versement de subventions pour les deux phases de ce parcours ;
CONSIDÉRANT que l’ANSSI valide le versement de sa subvention pour la phase « audit des installations » par la société Orange Cyberdéfense, principal prestataire du SIPPEREC pour la mise en œuvre du lot 4 de sa centrale d’achat « Interconnexions, Internet, Infrastructures Systèmes, Réseaux et Télécommunications, Sécurité des Systèmes d'Information » ;
CONSIDÉRANT que la souscription à ce marché permettrait à la Commune d’Ermont de bénéficier de services supplémentaires tels que la location de liens fibrés dits « fibre noire », la transition vers la fin des technologies à support cuivré et la résolution des problématiques liées à l’interconnexion réseau et téléphonique,
Après en avoir délibéré,
LE CONSEIL MUNICIPAL
- APPROUVE la souscription au lot 4 «Interconnexions, Internet, Infrastructures Systèmes, Réseaux et Télécommunications, Sécurité des Systèmes d’Information » (marché 2020100) dans le cadre du groupement de comfngnde avec le SIPPEREC ;
- AUTORISE le Maire à signer tout document y afféréOrange Cyberdefense
=.
-=À é
--e
ibération
_ i
ue
:
PacklInitial
it
Ville
d'Ermont
:
Proposition
technique
et
commerciale
Marché
SIPPEREC
- Accord
cadre
n°2020100
Services
de
sécurité
des
infrastructures
de
communications
électroniques
Confidentiel 15
octobre
2024
orangeCabinet
de
conseil
spécialisé
en
Gestion
des
Risques
et
Sécurité
de
l'Information,
la
division
Conseil
et
Audit
d'Orange
Cyberdefense
propose
son
savoir-faire
et
son
expertise
à
la
ville
d’'Ermont
pour
la conduite
du
pack
initial
du
plan
de
sécurisation
FRANCE
RELANCE.
VOS
CONTACTS
Romain
BOUCHER
Ingénieur
Commercial
2
Mobile
: +33
6 38
48
38
86
E-mail
: romain.boucher@orange.com
Florian
GUERIN
Ingénieur
commercial
Mobile
: +33
6
74
05
63
86
E-mail :
florin.guerin@orange.com
Confidentiel
Massyl
AIT-MOHAND
Ingénieur Avant-Vente
Ethical
Hacking
Mobile
: +33
6 07
80
33
43
E-mail
: massyl.aitmohand@orange.com
Youness
BENCHRIFA
Expert
cybersécurité
Mobile
: +33
6
81
92
25
74
E-mail
: youness.benchrifa@orange.com
15
octobre
2024Sommaire
Présentation
d'Orange
Cyberdefense
Notre
compréhension
de
vos
besoins
et
nos
atouts
Prestations
proposées
Conditions
d'intervention
= IRL 3 Orange
Cyberdefense
- ConfidentielCyberdefense,
en
bref
En
tant
que
leader
européen
de
prestations
de
services
de
sécurité,
nous
vous
accompagnons
dans
le
monde
entier.
RON:
4.072
Milliard
CA
2023
+
11%
de
Croissance
Qualifié PASSI PDIS Pris
(@)
() GlobalData.
24/7/1365 Capacité
de
services
en
«
Follow
the
Sun
»
GartnerLeader
européen
avec
une
présence
mondiale.
Norvège
Eee
ca
Suède
Pologne
Danemark
Russie
Canada
ne
an
d
…
pain
_\\
#
Allemagne
SA
7
De
>
ë
:
<
”
PET
,
"#
$
4
Malaisie
.
Steel)
nn
sf
Afrique
du
Sud
#
7
dd
17 SOC répartis dans le
11 CyberSOC qui analysent
4 CERT qui opèrent
Dr
JE
monde
qui
réagissent
aux
la menace
en
24/7/365
en
continu
Per
DDos
évènements
en
24/7/365
5
Orange
Cyberdefense
—
ConfidentielNotre
expertise
pour
vous
accompagner
en
360
6
Anticiper Connaître
et anticiper
les
menaces
émergentes,
pouvoir
les
caractériser
et anticiper
leur
évolution.
identifier Identifier
vos
expositions
face
aux
risques,
avoir
une
bonne
vision
de
vos
intérêts
et priorités.
Prévenir,
former
et
sensibiliser.
Orange
Cyberdefense
- Confidentiel
Protéger Protéger
vos
actifs
critiques
au
travers
d'un
arbitrage
sur
les
choix
de
solutions
techniques
et le
budget
à
associer.
2e
Détecter Surveiller,
détecter
et analyser
les
événements
de
sécurité.
] |
Reaair intervenir
en
cas
de
crise
avérée
et
réagir
à
l'incident
:
le comprendre, le contenir
et y
remédier.Orange
Cyberdefense
Nos
pôles
de
compétences
Conseil
& Audit
Audit et
Contrôle
de
conformité
Sécurité
du
cloud
Procède
à
un
état
des
lieux
du
niveau
de
A
t
éval
|
écurité
d
sécurité,
évalue
la
conformité
du
SI
vis-à-vis
EE
Rs
ei
Pre
ne
ere
rs
d'une
norme
/ réglementation,
propose
un
plan
modèles
laaS/PaaS/CaaS/FaaS/SaaS,
sur
les
d'action
priorisé
aspects
à
la fois
techniques
et organisationnels
Gouvernance
et
pilotage
de
la
cybersécurité
Définit
les
standards
de
sécurité,
met
en
place
et
pilote
les
SMSI,
intègre
la
sécurité
dans
les
projets
ÎT.
Propose
la
gouvernance
du
SI
et
des
projets
par
les
risques,
accompagne
le RSSI
Cyber
résilience
Cartographie
les
actifs
sensibles.
Propose
et
déploie
un
dispositif
organisationnel,
fonctionnel
et
technique
permettant
d'assurer
la
continuité
en
cas
de
crise
majeure
(ex
: sinistre,
cyberattaque,
etc.).
Exerce
et
forme
les
acteurs.
Droit
de
la
cybersécurité
et conformité réglementaire
Prend
en
compte
les
obligations
légales
et
réglementaires
(GDPR,
réglementations
sectorielles,
gestion
des
traces/preuves,
chartes,
contrats...)
Formation
et
sensibilisation
Définit
et
met
en
œuvre
un
cadre
de
formation
à
la
sécurité
ou
des
mesures
de
sensibilisation
selon
une
stratégie
répondant
à vos
objectifs.
Conseil
technologique
en
sécurité
Propose
des
études
de
cadrage,
de
choix
technologiques,
accompagne
l’organisation
RFP
{SIEM,
DLP,
vulnérabilité
assessment,
IDS...)
Sécurité
des
SI
industriels
et
loT
Sensibilise
à
la cybersécurité,
audite
et
matérialise
les
risques
cyber
dans
le
secteur
industriel,
propose
des
plans
d'action
et
accompagne
à
la
mise
en
conformité
(LPM).
1
Orange
Cyberdefense
- ConfidentielLa
recherche et
le
menaGes ot vuinérabiités,
co qui Vous
re
n
S
e
| g
n
e
m
e
nt
S
U
r
rc
Limensce
at de prioriser
la
menace
font
partie
ce
qu’il
est
essentiel
de
protéger.
de
notre
ADN.
Mi
+250
20%
50
AG
experts
dédiés
à
la
du
temps
de
nos
jours
d'avance
dans
“WI
l'innovation
et à la
auditeurs-pentesteurs
la détection
des
recherche
sur
la
est
dédié
à
la
menaces.
menace.
recherche.
+80
2500
30
publications
et
articles
indicateurs
IOC*
connus
CVE**
nous
sont
soutenus
lors
de
d'aucune
autre
source
attribués
par
le
conférences
cyber
l'an
alimentent
notre
base
MITRE**,
dernier.
de
Threat
Intelligence.
* Indicator
Of
Cornpromise,
uitilisés
pour
la
détection
des
tentatives
d'attaques
**
Common
Vuinérability
Exposure:
failles
de
sécurité
découvertes,
répertoriées
par
le
MITRE
***
MITRE
organisme
supervisant
la liste des
CVESommaire
Présentation
d'Orange
Cyberdefense
Notre
compréhension
de
vos
besoins
et
nos
atouts
Prestations
proposées
*
Conditions
d'intervention
Be SN = 9 Orange
Cyberdefense
- ConfidentielContexte,
périmètre
et
objectifs
*
Conscient
de
la
nécessité
de
protéger
son
activité,
ses
utilisateurs
et
son
image
dans
*
L'accompagnement
portera
sur
un
contexte
d'évolution
des
cybermenaces
et
de
renforcement
des
contraintes
l'ensemble
votre
Système
réglementaires,
vous
nous
avez
sollicité
pour
vous
faire
accompagner
dans
la
mise
en
d'Information
et vos
activités
œuvre
du
pack
initial
de
l'offre
France
Relance
portée
par
l'ANSSI.
*
Il s'agira
de
notamment
traiter
:
*
De
l’organisation
et de
la
*
Cet
accompagnement
s’articulera
principalement
autour
de
2 aspects
:
gouvernance
*
La
réalisation
d’un
état
des
lieux
de
la sécurité
de
votre
Sl
*
Des
outils
et de
l'architectures
*
La
formalisation
d’un
plan
de
sécurisation
incluant
la
définition
d’une
stratégie
de
"
Des
pratiques
de
sécurité
sensibilisation
et
l’organisation
de
sessions
de
sensibilisation
au
profit
de
populations
identifiées
Etat
des
lieux
sécurité
Plan
de
sécurisation
SSI
"Identifier
les
besoins
et
enjeux
en
matière
de
sécurité
des
systèmes
d'information,
pour
déterminer
la cible
à atteindre
"
Consolider
les
travaux
d'analyse
de
l'existant,
déterminer
et
analyser
les
chantiers
afin
de
construire
le plan
de
sécurisation
du
SI
"
Réaliser
un
état
des
lieux
organisationnel
et
technique
des
pratiques,
architectures
et
solutions
de
sécurité
en
place,
et
mesurer
l'écart
vis-à-vis
de
la cible
"
Accompagner
la
commune
d'Ermont
dans
la
mise
en
œuvre
des
mesures
urgentes
identifiées
lors
de
l’état
des
lieux
sécurité
"
Définir
une
stratégie
de
sensibilisation
des
personnels
répondant
aux
Construire
une
cartographie
des
risques
permettant
d'identifier
ses
exigences
propres
à
votre
contexte
zones
de
vulnérabilités
10
Confidentiel
15
octobre
2024Le
dispositif
France
Relance
est
structuré
en
trois
phases
Evaluation
de
l'indice
de
cybersécurité
Définition
du
contenu
du
pack
initial
Plan
de
sécurisation
Éliseie
RP INES
!
avancé
Mise
à jour
du
plan
de
sécurisation
ere
Identification
du
parcours
cible
fondation
Identification
d’un
prestataire
terrain
et
contractualisation
par
le
bénéficiaire
Mnelee
3 k
:
ï
i
Mise
en
œuvre
d'actions
!
de
sécurisation
1 3
Î ! 4 } ' '
LU L Ü Ces.
CRIE
TT
US
@
Packinitial
ET
OI
TER
gestion
Chargé
de
dossier
.
,
La
prestation
proposée
ne
Prestataire
accompagnateur
correspond
a
la
partie
« Pack
Initial
» du
Réalisation
[CC
reorseran
7]
« Prestataires
terrain
»
Financement
intégral
Financ
t'intégral
de
l'ANSSI
vi
Fi
t
partiel
de
l’ANSSI
Modes
de financement
rec
de ANS
nee
oaienre
M
aunmnnrnne bénéficiaire
11
Confidentiel
15
octobre
2024Pourquoi
choisir
Orange
Cyberdefense
?
Une
expertise
et
des
savoir-faire
Un
acteur
local,
prêt
à vous
reconnus,
par
des
grandes
accompagner
au
quotidien
et
à
être
structures
comme
par
de
petites
présent
à
vos
côtés
pour
tous
les
entités
jalons
importants
La
force
et
les
ressources
d’un
grand
groupe,
alliés
à
la
flexibilité
d’une
petite
structure
Une
démarche
bien
cadrée,
à
la
fois
rigoureuse
et
efficace
De
nombreuses
références
de
missions
similaires
mais
aussi
complémentaires,
chez
des
acteurs
de
toutes
tailles,
publics
comme
privés
Une
capacité
à
vous
accompagner
sur
ce
sujet
et
au-delà,
sur
la
mise
en
œuvre
de
vos
projets
12
Orange
Cyberdefense
- ConfidentielSommaire > NS LE
Présentation
d'Orange
Cyberdefense
Notre
compréhension
de
vos
besoins
et
nos
atouts
Prestations
proposées
Conditions
d'intervention
Orange
Cyberdefense
- Confidentiel
em
—
—
—
@Démarche
générale PHASE
2:
BEC
ETe
organisationnel
et
technique
LdC
ACIER
Compréhension
du
contexte
et des
enjeux
Construction
du
plan
de
sécurisation
SSI
LIRE LUS
Tel)
Lis LEE
”
Mise
en œuvre
des
mire
SE
STE
LEE
Ve
=
Réaliser
la réunion
»
Réaliser
un
état
des
"
Consolider
les
de
lancement
lieux
organisationnels
résultats.
=
_[dentifier
le contexte
*
Réaliser
un
état
des
»
Elaborer
d'un
plan
et
les
enjeux
métiers
|
lieux
techniques
d'actions.
"
Consolider
et
planifier
les
actions
"
Cartographier
les
zones
de
vulnérabilités
Re
|
|
Œœ
Support
.
Œ
Rapport
d'audit
d'initialisation
organisationnel
et
Œœ
Contextes
et enjeux
technique
de
la
structure
PHASE 3
: LIVRABLES
Plan
d'actions
consolidé
Œ
Cartographie
des
zones
de
vulnérabilités.
14
Confidentiel
Restituer
les
conclusions
de
l’état
des
lieux
à
l'équipe
projet Restituer
/
Sensibiliser
les
administrateurs
du
SI,
des
agents
service
RH
et
des
|
agents
du
service
achats
Accompagner
à
la
|
°
mise
en
œuvre
des
mesures
urgentes
sensibiliser
l'équipe
dirigeante
aux
questions
de
sécurité
Œ
Restitution
de
l'étude
|
+
Rédiger
le plan
de
sensibilisation
DIE
P RTE
ENN
T-T TRS
PHASE
5 ; LIVRABLES
PHASE
6 : LIVRABLES
Œ
Plan
de
F2
CR
d'intervention
ns
sensibilisation
15
octobre
2024Détail
de
la
phase
1
Compréhension
du
contexte
et
des
enjeux
ER =“ Lancer
le
projet
et impliquer
l’ensemble
des
acteurs
concernés
*
Valider
les
éléments
indispensables
à
l'atteinte
des
objectifs
fixés
»*
|dentifier
le contexte
et les
enjeux
métiers
principaux
du
client
LIVRABLES
*
Support
d’initialisation
"
Contextes
et
enjeux
de
la structure
EEE = La
réunion
de
lancement
réunit
les
acteurs
et permet
:
=
De
présenter
les
objectifs,
le planning
et
les
livrables
“
D'échanger
sur
le cadrage
de
la
mission,
sa
motivation,
et ses
enjeux
“*
D'identifier
et de
collecter
les
éléments
d'entrée
=
D'identifier
les
tests
techniques
à
réaliser
“
D'identifier
et planifier
les
entretiens
pertinents
à
réaliser
*
A
l'issue
de
cette
réunion,
Orange
Cyberdefense
organisera
des
ateliers
de
présentation
du
contexte
et de
compréhension
des
enjeux.
Au
cours
de
ces
points,
nous
pourrons
:
=
Déterminer
les
besoins
sécurité
et les
principales
menaces
=
Identifier
les
attentes
métier
vis-à-vis
de
la
cybersécurité
=
Relever
les
principaux
actifs
critiques
du
client
(actuels
ou
à venir)
=
Echanger
sur
les
plans
de
sécurisation
et les
évolutions
SI
et SSI
à venir
15
Confidentiel
POINTS
D'ATTENTION
|
*
Une
réunion
de
lancement
(1h)
*
2 à
3
réunions
de
présentation
du
contexte
et de
compréhension
des
enjeux
(2h)
»
La
liste
des
personnes
à
rencontrer
lors
des
ateliers
sera
finalisée
avec
vous
durant
la
réunion
de
lancement
15
octobre
2024Détail
de
la
phase
1
Exemples
de
documents
utiles
à
l’analyse
documentaire
Documents
utiles
pour
l'analyse
documentaire
*
Organigramme
métier
/
DSI
»
Documents
de
sécurité
(politiques,
chartes,
procédures,
etc.)
Cartographie
physique
et logique
du
réseau
Inventaire
et/ou
cartographie
des
applications
Résultats
de
précédentes
analyses
de
risques
ÎT
Résultats
de
précédents
audits
de
sécurité
Rapports
d'incidents
de
sécurité
Plan
de
sauvegarde
Présentation
de
sensibilisation
à la
sécurité
du
SI
Plan
de
sensibilisation
de
la
DSI
Echelles
de
sécurité
Et/ou
tout
autre
document
jugé
pertinent
pour
le déroulement
de
la
mission
16
Orange
Cyberdefense
- ConfidentielDétail
de
la
phase
2
Etape
1
: Diagnostic
organisationnel
—RER *
Etude
de
l'existant
organisationnel
LIVRABLES
*
Questionnaire
complété
=
La
prise
de
connaissance
de
l'existant
est
réalisée
sur
la
base
de
réunions
de
travail,
le
recueil
de
la
documentation,
en
se
basant
sur
questionnaire
de
maturité
France
Relance
=
Entretiens
individuels
ou
groupes
de
travail
(en
fonction
de
votre
organisation)
pour
:
"
Recueillir
les
informations
nécessaires
à
l'étude
(usage
de
questionnaires)
=
Valider
et
compléter
éventuellement
les
informations
recueillis
=
[dentifier
les
manques
et
réactualiser
la
liste
des
composants
à
diagnostiquer
=
Analyse
de
la
documentation
existante
(Cf.
page
précédente)
"
Analyse
des
résultats
=
En
fonction
des
enjeux
et des
objectifs
de
sécurité
la
phase
d'entretiens
permet
de
déterminer
le différentiel
entre
le
niveau
de
sécurité
cible
et celui
qui
est
constaté
17
Confidentiel
FANSSI pour
l'audit
organisationnel
POINTS
D'ATTENTION
*
Orange
Cyberdefense
s'appuiera
sur
les
modèles
de
documents
fournis
par
*
4
réunions
prévues
(d'environ
2
heures)
15
octobre
2024Détail
de
la
phase
2
Etape
1
: Etat
des
lieux
organisationnel
»*
Utilisation
du
questionnaire
France
Relance
(240+
questions)
#i
Volet
cyber
de
France
Relance
: Questionnaire
d'analyse
18
Catégorie
Question
Quest le responsable
de la Séourté des Systèmes
d'infonmation
au sein de votre organisation ?
IA qui est raitsohé
le RSS17
]Gueles sont les ressoumoes en ETP {Equivalent
Temps Plein}
dédiées
à la réalsation
des
activité
de operséourité ?
Frhbakx pas
les sobnicreteurs
des
hzctuceres)
Aner-vous des ressources
dédiées à la sécurté
opérationnelle
2
ns mate cm
EMREeS
à mettre en œuvre aul
sein de uotre organiradon
? Auer-vous déterminé kes
compétences, les rôbes et responsabilités
25500165 ? Les
responsabilités
ont-eles été réparties entra les équipes {par
ecemple au travers d'un FAC
?
Confidentiel
Commentaires
améhorstion
continue
Score sctuel
après
plan
d'actions
Store
après
plen
d'ections
Aide
à ls notation
ne
tarte
le sut:
+02:
0 D
et
remorable de fact
de
le 55)
+06: Un Référent
SS] eat nommé
#1: Un RSS] [Besponsable
SSI
sat nommé
0: Pas de
RSSI
+0.4: Le RSS] dispose de
moyens et d'appui hiérarchique
pour faire
sppliquer et respecter sea décisions
+06
: RSSI est
rattaché à un riveau hiérarchique proche du
niveau
décisionnel
[e.
a. N-1 du
DSi]
0: Ratio de
E TP SS
pour
plus de 2000 agents
+02: Ratio de
ETF SSI pour 2000 agents ou moins
+04 : Fato de
€ TP SSI pour 1600 sgents ou moine
+08
: Ratio de
€ TP SSI pour 1200 agents ou mans
+1: Ratio de
E TP SSI pour 800 aaent ou
moins
9: Aucun
ETF n'est
totalement dédié
à la sécurité
opérationnelle de :Raéo de
TP SSI dédié
à la sécurité opérationnelle pour
Les processus SSI
à mettre
en
cœuvre ne sont pas
raie
+02 :
Les
processus
SSI
sont
partiellement
identifiés
+0,5:
Tous
les procsssus SS) sont identifiés
+03: Les rôles, compétences
et responsabilités par
processus
SSI sont idenkifiés
+02: Les responsabilités
ont été attribuées au soin des
Commentaire
15
octobre
2024Détail
de
la
phase
2
Etape
1
: Etat
des
lieux
organisationnel
Exemple
de
livrables
complémentaires
pour
la synthèse
des
enjeux
et l'état des
lieux
organisationnel
19
Am
tt 00 pr enattne mural cute
pont
ous
es
teen
ere
IR
« mme
+
ss.
2
mar]
+
+
nee
L'on
en
4175%8
+
-
mn
©
-lt
Un
cmt
me ptit
0
de
Mine e U
CUS
Ge
Tate
de
à
te
ee
pen.
à
(4
à
ne
Moon
CNE
0
®
CE
EEE
en
usées
an
à 7
oo
un
ln mes
Ne
108
Ge
ee
ne
Me
ee
©
die
Font
de cr
D
come
+.
-
mes
de
“ligé.
—
mes
+
tedl
Un.
out
fn
€
©
gt,
20
©
er
“Mes
€
—
ehhe
ee
es
Guns
en
pote
“np
dt.
ne
où
6
te
À
gemmes
fe
ut
ee
fl
Guen
em
mnt
fps
©
mt
pus
|
ue
+
©
+
Me
6
"40
©
as
nn
Me
nctbnstm—
-
es.
Mu
ce ph
ms
mme.
dun
© me
en
ee cattas
Cut Goes
flame
0
motion
ee cn.
me
ee
nt
©
0
cime
ecdlugs
®
"
sers
=
st
me
mms
dm
Eu
MO
mat
me
D
Len
Orange
Cyberdefense
- Confidentiel
—
_—
—
HR
gs
pe
se
me
pe
-
=
2
_
.
>
DE
|
Analyse des enjeux RP
Dr
RUES
MER
++
4
MOD
Li
dee
D»
Fe
RER
.
Rene
Sœu—t
©
RS
RUE
+
+
re
ee
ne
em
Oct
Put
de
mon
one
© GE
CORRE
mn
mr
eme
©
mr
=
neDétail
de
la
phase
2
Etape
2
: Diagnostic
technique
/ test
d’'intrusion
—ES *
Fournir
un
diagnostic
complémentaire
sur
la surface
d'exposition
aux
risques
depuis
l'interne
ou
l'extérieur
*
Evaluer
ce(s)
composant(s)
supplémentaire(s)
dans
une
optique
d’Ethical
Hacking
LIENS
»
Side
la
mairie
d'Ermont
*
Les
approches
techniques
choisies
seront
discutées
lors
de
la
réunion
d’initialisation
:
*
Diagnostic
technique
sur
5 à
10
adresses
IP
publiques.
=
Cette
prestation
permet
d'identifier
les
services
disponibles
dans
des
conditions
identiques
à celles
d'un
attaquant
souhaitant
s’introduire
dans
le
réseau
du
client
*
Diagnostic
technique
sur
un
SI
interne
*
Le
diagnostic
a
pour
but
d'évaluer
la sécurité
interne
de
l’entreprise
=
L'auditeur
explore
le
réseau
local
depuis
une
prise
réseau
et tente
d'accéder
aux
serveurs,
services
ou
données
protégées
=
Périmètres
et actions
prioritaires :
*
Cloisonnement
interne
et
interconnexions
entre
réseau
Ecole
et réseau
Mairie
*
Active
Directory
"
Tentative
d'élévation
de
privilège
et de
mouvement
latéraux
*
Accès
aux
serveurs
et données
critiques
LIVRABLES
*
Rapport
du
diagnostic
identifiant
les
failles
identifiées
POINTS
D'ATTENTION
*
Le
périmètre
et la
nature
des
tests
techniques
seront
affinés
lors
de
la
réunion
de
lancement
*
10 jours
sont
prévus
au
diagnostic
technique
20
Confidentiel
45
octobre
2024Détail
de
la
phase
2
Etape
2
: Diagnostic
technique
/ test
d’intrusion
*
Analyse
technique
: exemple
de
synthèse
Points
pasitif
es
Vulnérabilités
découvertes
nées
IE
Commentaires
Risque
Les
postes
clients
sont
configurés
pour
vérifier
que
tes
Points d'accès WIFI: Vérification de
| points
d'ascès
0
et XXX
présentent
un certificat
MODERÉ
l'identité
du
sérveur
valide.
C'est
une
configuration
conforme
aut
bonnes
|
pratiques.
£
8
ii
ee
œ
ON
>
Points
à améliorer
Critques
mportantes
Modérése
Faibles
CLR
ue
Tr
Commentaires
De
très
nombreux
éléments
non
à
[our
où
même
obsolêtes
ant été identfiés
sur
le système
d'information.
Gestion
de
l'obsolesoence
et des
mises |
De
plus un
très prend
nombre
d'entre
eux
sont
impactés
à jour
par
des
vunérabilités
critiques
publiquement
p
et parfois
QUr ëtre
loitécs
por dev
matwarso.
m
ea
=
LE
Répartition desrecommandations
De
nombreux
manquement
aux bonnes
pratiques
!lées à
la
gestion
des
comptes
utilisateurs
at
administrateurs
ont
pu
étre
notés.
|} s’agit
entra
autre
de
comptes
utilisateurs
administrateur
de
leur poste,
des
nombreux
Gestion
des comptes
comptes
administrateurs
du
domaine
et
plus
globalement
de
comptés
avec
des
mots
de
passe
falbles ou par défauts.
s—#
Des
Interfaces
d'administration
accessibles
sens
Aocës
sans
restriction
à des éléments
|
authentification
ou
avec
des
comptes
par
défaut
sensibies
permettre
de
prendre
le
contrôle
total
des
serveurs
Rémas
Système
concemés.
Éoupe
s$curt
21
Confidentiel
15
octobre
2024Détail
de
la
phase
2
Etape
2
: Diagnostic
technique
/ test
d’intrusion
*
Analyse
technique
: exemple
de
détail
de
vulnérabilité
Comptes
et mots
de
passe
falbles
Critique
eh
CRE
CES RE le
Les
consoles
d'administration
des
serveurs
sont
accessible
et possédent
des
mots
de
passe
trivieux
(faibles ou par défauti,
LES
MUC
tel
Probabilté
Enollité teohnique
d'exploitation
Facilité de découverts
+...
..6
Probable
Lin
SRE dite
10
Impact
global
Disponibilité
intégrité
Coteques
Confidentialité
Preuve
Recommandations
Modifier
les
mots
de
passe
des
comptes
st
mettre
en
place
un
changement
systématique
des
mois
de passe
par défaut.
BAPE
22
Confidentiel
e
DESCRIPTION
L'utfisetion
de mots de
passe forts est l'une des
briques de base
dans
|s sécurisation d'un
système
d'informetion. Cependant cette
étape
ast souvent oubliée, sinai
il ent fréquent de
trouver des comptes
avec des
mots de prase trivisux, sans mot de passe
ou
avec
des mots de
passe
par défaut.
Un
mot
de
passes
fort
est
un
mot
de
passe
qui
est
difficile
à
retrouver,
mère
à
l'aide
d'outils
Butomatisés. La
force d'un
mot
de
passe dépend
de sa
longueur
et du nombre de possibilités
axistantss pour
chaque
caractère
ls
composant.
En
effet,
un mot ds
passe
constilué
de
minuscules, de majuscules,
de
caractères
spéciaux
et
de chiffres est
techniquement
plus
difficile
à cécouvrir
qu'un
mot
de
passe
constitué
uniquement
d2
minuscules.
®
ÉTAT CONSTATÉ
Lors
de
in réniisetion des tests, nous
ayons
constaté
128 élérrents
suivants:
Tomcat
edmin
admin
XJOCX :808G
Tamest
eme
dermest
IEXX:8080
Application X
admin
admin
XXXXE100
:
il
ES
mn
ge 30
- Acces
à
frtarface cl'achrnistraton J3rum
5 AmauEs Le
risque
principal
sst
qu'un
ste
qui
soit
en
mesure
d'obtenir
des
informations
de
connexion
valides
puisse
'
et
te
è
(ex:
déni
de
service,
faisfication des données,compromission d'autres corrptes,
etc}, voir les
20écan0s c'intnuimon,
C RECOMMANDATIONE À court
terme, tous
les mots de pesse fables
ou par défaut doivent être changés.
À moyen
terre,
f
set recommandé de penser en
revue
l\
ble des
les
d'
bles
sn de
limiter
les ncoès aux seutes
iséss
fci
t réseau par
le) et de mettre
æn
place
une
politque de
complexité des
mots de
pesse,
En
général,
pour
un
administrateur
le
mot
de passe doit &trs su moins de
12 caractères
(alphanumériques at spéciaux),
De
plus,
sur
le long
terme,
il est
nécsssmre
d’utiliser
un
système
d'authentfication
forte
per
le bies
d'un
ioken
RSA
ou
dun
certificat
client.
Ce
système
requiet
au
moins
deux
facteurs
d'authentificeton
(le
mot
de
passe
et
le
certificat
client
par
mwemple}
et smpêchere
les
attaques
ds
brute
forces permettant en
générels de trouver
ls mots de passe
faibles.
15
octobre
2024Détail
de
la
phase
2
Etape
3
: Cartographie
des
zones
de
vulnérabilités
|
.
_
|
*
Cartographie
des
zones
de
*
Fournir
une
cartographie
des
zones
de
vulnérabilités
techniques
et
organisationnelles
Me
te
EU
te
R
Re
MENT
Te lt
»
4
atelier
de
validation
de
la
= Sur
la
base
des
éléments
techniques
et
organisationnels
identifiés,
Orange
cartographie
Cyberdefense
complète
et
détaille
la
cartographie
des
zones
de
vulnérabilités
du
Système
d'Information
du
client
,
.
*
Orange
Cyberdefense
s’appuiera
sur
le
modèle
de
cartographie
fourni
par
*
Cette
cartographie
est
soumise
au
client
pour
échange
et validation
France
Relance
23
Confidentiel
15
octobre
2024Détail
de
la
phase
3
Etape
3
: Cartographie
des
zones
de
vulnérabilités
*
Exemple
de
cartographie
s'appuyant
sur le guide
de
référence
de
l'ANSSI
«
es
:
L
ra
&
2007007
500
:
®
@
us
_.
2...
_—_
er —
ca
TE
à
.
a
'
ü
="
-
On
à
o
FOUT
*
ms
n
=
ES
|
LE
2...
+
mr
L2
DOC
EC
ppm
D
|
"
van
MO
em
sd
EE
—
©
À
2
Que
ane
|
qu
01
Lu
T
à:
.
Fo
Î
non
———
DA
qu
—-
ei
—
mn
ne
=.
z
EL —
ZE
+
FO
0g
estesnes
nm
"mn
r
…
l
ra
—
1:
|.
un
val
rer
=
=
+
‘
‘
|
é
.
e
Le
[
AIN
,
”
L4
à
LT
|
:
L
}
mn
Couper
15
octobre
2024
24
ConfidentielDétail
de
la
phase
3
Définition
du
plan
de
sécurisation
SSI
TS
LIVRABLES
*
Consolider
les
résultats
=
Intégrer
et
planifier
les
actions
dans
le
plan
de
sécurisation
SSI
*
Elaborer
le
plan
de
sécurisation
*
Plan
de
sécurisation
ER * Élaboration
d’un
plan
de
sécurisation :
*
Analyse
du
niveau
de
maturité
suite
aux
diagnostics
organisationnels
et
techniques
»*
Identification
des
actions
correctives
à
mettre
en
œuvre
(durée,
contraintes
techniques/organisationnelles,
charges
financières,
ordonnancement)
*
Identification
des
«
quick
wins
»
*
Priorisation
et
planification
des
chantiers
selon
leur
criticité
sur
le Sl
=
Construction
et validation
du
plan
de
sécurisation
avec
la commune
d'Ermont
POINTS
D'ATTENTION
*
2
à
3
réunions
de
construction
et
validation
de
priorisation
des
actions/chantiers
SSI
(2h)
*
1 à 2
réunions
de
construction
et de
validation
du
plan
de
sécurisation
(2h)
*
Orange
Cyberdefense
s'appuiera
sur
les
modèles
de
documents
fournis
par
le
prestataire
accompagnateur
25
Confidentiel
15
octobre
2024Détail
de
la
phase
3
Définition
du
plan
de
sécurisation
SSI
*
Modèle
du
plan
de
sécurisation
SSI
France
Relance
26
LE
ne
see
(es) La
de
France
Relance
Chantier
Rappai
de
Is question
est
le responsable
de 13 Sécurité
des
Systèmes
au
sein
de votre organisation
?
est rattaché Je RSSI
?
sont
les
ressources
en
ETP
{Equivaient Temps
Plein)
à 12 réalisation
des activité de cybersécurité
?
Les administrateurs
des
infrastructures)
des
ressources
dédises
à
la sécurité
opérationneîle
:
identifié
formellement
tes
processus
551!
le.0.
des incidents,
gestion
des
sauvegardes,
gestion
des:
gestion
des
vulnérabilités.)
à mettre
en
œuvre
au
de votre orgonisation
? Avez-vous déterminé fes
les
rôles
et responsabilités
associés
? Les
ont-elles été
réparties
entre
les équipes
(par
Bu travers € un RAC
quelle
moyens
le disponibilité
des
ressources
Hées
à la SS!
est-elle garantie
(sg.
mdondonce
ressources
internes, oppel
à des prestations...
? Yat-il
des
sans
compétences
SSI
au
sein
de
l'organisation
à des
congés
par
exemple)
? Des
astreintes
sont-elles
an
place
en
heures
non
ouvrées
Rôles
et les
responsabilités
en
matlève
de
cybersérurhié
Confidentiel
15
octobre
2024Détail
de
la
phase
4
Restitution | »
Restituer
les
conclusions
de
l'état
des
lieux
à
l'équipe
projet
*
Restitution
de
l'étude
|
-*
Restituer
/ sensibiliser
l'équipe
dirigeante
aux
questions
de
sécurité
*
Sensibilisation
des
dirigeants
|
=
Présentation
des
résultats
à
l'équipe
projet
:
=
Missions
principales,
besoins
de
sécurité
et évènements
redoutés
RER
POINTS
D'ATTENTION
|
»
Résultats
de
l'évaluation
des
risques.
|
»
Synthèse
de
l'analyse
du
niveau
de
maturité
SSI
=
1
réunion
de
présentation
|
=
Restitution
et
validation
du
plan
de
sécurisation
SSI
|
*
Présentation
des
résultats
et
sensibilisation
à la
SSI
pour
l'équipe
dirigeante
:
*
1 réunion
de
sensibilisation/restitution
|
=
Synthèse
managériale
de
l’état
des
lieux
organisationnel
et
technique
aux
dirigeants
|
»
Menaces
sur
le
SI
et
cas
d'attaques
réelles
*
Plan
de
sécurisation
SSI
*
Présentation
des
bonnes
pratiques
SSI
27
Confidentiel
15
octobre
202428 Détail
de
la
phase
4
Restitution Le
Fè s
Position
de
votre
organisation
vis-s-vis
des
sutres
entités
du
secteur
public
*
Exemple
de
slides
de
restitution
des
travaux
menés
enFar É Tests
techniques
: synthèse
Rappel des cart: réalisée
et dus périmètres coerverts
&
e
+ Tests d'intrusion axbemes
: Cartagranhie
rs informations
nccenibles
sur intenel
Tous
d
ré
dans
v_
Pécimbtre ciblé
: Los torts ont #46 rrumnés ur
l'environnement
de
Production Apprecbe
be
genesb
Vaitier dispose d'authertifiant utisareur) pour
La phone Interne,
COLE)
mA
ce
ES CTI
LA
ù
11
pin)
ETC
ri
PT
PE
Principaux
constats
réslisés dans
ln cadre
des tests tachnéques
Lis ADS
DE. k Bt ph impertents
25 ph imperiarts
La systèma d'information est slobelament maintenu
à jour
incite
ne 4
Menthe
Confidentiel
Les interfaces du matème d'information axpesées sur Internet
|
ex aan
A
2
tpectat
des systèrers
d'exploitation n'a pu
être ieneiiiée
.»
gue,
+ Le résouns interne est corresterment
olalegnné H nest
pas posé
SE
Care)
©
qu'à un nombre
mit
de ressources du rétseu dapel
er
|: point donné.
poypi
P2
P3
Cartographie
du
systéma
d'information
- Vulnérabilités
intarnes
[audit
technique)
- Exemple
26
13
8
s
Coit/Charge
:
CrÂt/Charge:
Cole/Cherge
:
Caët/Charge
:
RE
pee
125 jh
55 jh
41jh
29 jh
$os
66k€c
SLK€
Z4K€
i1€
Planning
: T4 2021
Planning
: T1 2022
Planning
: T2
2022
=
:
—
E—
Se
Set
indice de cybersécurité
hatuet
AprésPObP1
Aprés POàPS
5
15
octobre
2024Détail
de
la
phase
5
Mise
en
œuvre
des
mesures
urgentes
TO
SE
LEUR Accompagner
à
la
mise
en
œuvre
des
mesures
urgentes
=
“
#
tu
€:
RATER 12
2
=
ble
fl
En
fonction
des
chantiers
à
mettre
en
œuvre,
et
sur
la
base
d’un
échange
avec
la
commune
d'Ermont,
Orange
Cyberdefense
mobilise
des
experts
afin
d'accompagner
la
mise
en
œuvre
des
mesures
urgentes
Pour
chaque
besoin,
la commune
d’'Ermont
fait
une
demande
à Orange
Cyberdefense
qui
identifie
et
mobilise
la bonne
ressource
29
Confidentiel
* Chaque
besoin
sera
évalué
par
OCD
pour
définir
les
ressources
à
mobiliser
et de
charge
nécessaire
4 jours
sont
identifiés
pour
cette
phase
15
octobre
2024Détail
de
la
phase
6
Sensibilisation
LIVRABLES
*
Supports
de
présentation
*
Plan
de
sensibilisation
ETC
POINTS
D'ATTENTION
»
1
atelier
de
sensibilisation
des
administrateurs
du
SI
*
Sur
la
base
des
supports
fournis
par
le
prestataire
accompagnateur,
Orange
»
1
atelier
de
formation
de
votre
référent
Cyberdefense
animera :
SSI
*
1
session
de
sensibilisation
des
administrateurs
du
SI
pe
.
«
*
1 formation
de
votre
référent
SSI
Abe
besoin d élaboration
de
la stratégie
de
sensibilisation
n'a
pas
été
retenu
par
la
mairie
d'Ermont
»*
Réaliser
des
actions
de
sensibilisation
et de
formation
des
agents
30
Confidentiel
45
octobre
2024Détail
de
la
phase
6
Sensibilisation Exemple
de
stratégie
de
sensibilisation
Déplotarnent
prévisionrme
L_ 2
Tue
ce
canaris
tee son0e
u
.
|
Planification
des
actions
de
Identification
des
vecteurs
de
sensibilisation
communications
adaptés
aux
populations
Identification
des
thèmes
à
traiter
par
rapport
aux
populations
S
be
che ln
senailtiieatior
.
#
CNE
+
+
+
.
.
.
.
.
+
*
+
-
#
CS
|
#
*
_*
#
.
#
*
+
*
*
=
x
*
+
+
#
*
*
#
*
#
6
OO
#
+
+
M
+
+
»*
#
LI
#
*
æ
#
+
»
*
#
*
+
*
+
+
*
#
à
+
.
X
+
+
»
*
*
Ù
KE
Os
«
ae
*
+
»
4
+
*
#
E
+
+
C2
*
»
%
Æ
#Æ
#
+
#
#*
#*
+
#
+
*
à
*
#
#
+
CS
|
#“
ss
x
*
M
+
*
4
#
#
*
#
+
*
#
*
*
*
+
#
«
*
.
#
+
.
=
*
+
#*
+
» 1
31
Orange
Cyberdefense
- ConfidentielSommaire
Présentation
d'Orange
Cyberdefense
Notre
compréhension
de
vos
besoins
et
nos
atouts
Prestations
proposées
Conditions
d'intervention
BSD = 32 Orange
Cyberdefense
- ConfidentielConditions
d'intervention
Organisation
de
la
mission
33
OPôles de compétence
Orange
Cyberdefense
Mairie
d’'Ermont
(an!
Chef
de
projet
VE Consultants / Formateur
Confidentiel
15
octobre
2024Conditions
d'intervention
La
charge
estimée
pour
réaliser
la
mission
est
de
32
jours
Chef
de
mission
PTT
Consultant
(A
Re
ee
TE
TL
Auditeur
organisationnel
Formateur
Rd pds
Auditeur
e
technique
organisationnel
Technique
SI-CONS-TJM-CPE
SI-CONS-TJM-CC
SERV-TJM-FES
SI-CONS-TJM-CPE
SI-CSR-TJM-AUS
(1143,42
€
HT)
(827,475
€ HT)
(1203,6
€ HT)
(1143,42
€ HT)
(902,7
€ HT)
Activité
TOTAUX
€
HT
Contexte,
enjeux
et
diagnostic
organisationnel
1
(cartographie
incluse),
plan
17
6
11
7”
-
-
15
962,745
€
de
sécurisation
et
restitution
2
Diagnostic
technique
10
-
-
-
-
10
9
027,000
€
Sensibilisation
2
-
-
2
-
-
2
407,200
€
Mesures
urgentes
3 430,260
€
3
-
-
-
3
-
34
Confidentiel
15
octobre
2024Conditions
d'intervention
Planning
prévisionnel
Compréhension
du
contexte
et
des
principaux
enjeux
Initialisation
des
travaux
et
présentation
de
la démarche
e État
des
lieux
technique
SSI
Définition
d’un
plan
de
sécurisation
Accompagnement
à la mise
en
œuvre
des
mesures
urgentes
Sensibilisation
/ Formation
État
des
lieux
organisationnel
SSI
/ Cartographie
des
zones
de
vulnérabilités
Restitutions
35
Confidentiel
15
octobre
2024Conditions
financières
Chrdtione
fihanctéral
Pour
les
taux
journaliers
des
profils
indiqués
ci-dessus,
Orange
Cyberdefense
utilise
les
tarifs
des
UO
correspondantes
de
la grille
SIPPEREC
Les
charges
du
projet
et
le
planning
Prix
HT:
30
827,
20
€
indicatif
sont
présentés
aux
2
pages
Prix
TTC:
36
992,64
€
précédentes
Les
frais
de
déplacement
en
région
parisienne
sont
inclus
dans
la
présente
proposition
Conditions
de
La
facturation
se
fera
en
3 temps
: Facturation
à
100%
de
chaque
lot à
100%
de
leur
facturation
réalisation.
Pilotage
Un
point
de
pilotage
bimestriel
(30’)
pourra
être
organisé
avec
le client
afin
de
partager
sur
de
la
mission
l'avancement
de
la
prestation.
36Conditions
d'intervention
Bon
pour
commande
et
pour
facturation
Date
:
Nom
et
Qualité
du
Signataire
:
Bon
Pour
Commande
Indiquer
la mention
«
bon
pour
commande
et
pour
facturation
» :
Diagnostic
et
de
la
formalisation
du
plan
de
sécurisation 30
827,20
€HT
Signature :
Cachet
de
l'entreprise
:
36
992,64€
TTC
37
Confidentiel
15
octobre
2024Conditions
d'intervention
Lieu
de
déroulement,
validation
des
livrables
Lieu
de
déroulement
de
la
mission
*
La
mission
se
déroulera
dans
les
locaux
d'Orange
Cyberdefense
(réunions,
entretiens,
rédaction
des
livrables,
...).
*
Pour
les
travaux
identifiés
comme
devant
se
dérouler
dans
les
vos
locaux
(ateliers,
présentations,
….),
la
commune
d'Ermont
mettra
à
disposition
des
consultants
d'Orange
Cyberdefense
un
espace
de
travail
pouvant
accueillir
des
personnes
équipées
d'un
ordinateur
portable.
Documents
et
livrables
Les
documents
sont
échangés
avec
la commune
d’'Ermont
par
messagerie
électronique
en
utilisant
des
conteneur
Zed
(demande
de
l'ANSSI).
Les
livrables
seront
établis
en
français,
réalisés
à
partir
de
la suite
MS
Office
et fournis
au
format
PDF
pour
les
supports
de
présentation.
Chaque
étape
du
projet
est
close
par
la
remise
des
livrables
et
leur
validation
par
le
RSSI
de
la commune
d'Ermont.
Les
livrables
comprendront
un
numéro
de
version.
Pour
chaque
étape,
Orange
Cyberdefense
vous
propose
un
délai
de
relecture
de
5 jours
ouvrés
ce
qui
permet
d'atteindre
les
objectifs
de
planning
fixés.
En
l'absence
de
remarques
de
votre
part
au-delà
de
ce
délai
de
relecture,
le
livrable
est
considéré
comme
validé.
38
Confidentiel
15
octobre
2024Conditions
d'intervention
Nos
engagements
Garantir
la
confidentialité
Es
1
J
des
informations
Client
GET
eur
"Notre
champ
d'intervention
recouvre
des
processus,
des
données
et des
informations
qui
peuvent
être
hautement
sensibles
pour
nos
clients
en
termes
de
confidentialité.
Nous
=
L'une
des
clés
majeures
du
succès
d’un
projet
de
conseil
est
la
nous
engageons
à conserver
les
documents
du
Client
dans
des
composition
de
l’équipe
projet
sélectionnée.
Les
profils
proposés
espaces
de
stockage
protégés
et
à utiliser
uniquement
les
ont
l'habitude
de
travailler
ensemble
et
sont
choisis
pour
la
informations
strictement
nécessaires
à notre
mission.
complémentarité
de
leurs
compétences.
lis
font
de
la
gestion
des
risques
projet
leur
quotidien.
Ils sont
tous
expérimentés
et
“A
la
fin
de
la
mission,
à votre
demande,
les
données
et
‘
TOUQIE
:
passionnés
par
la
Sécurité
de
l'Information.
documents
clients
seront
détruits
de
manière
sécurisée.
C'est
pour
nous
la
base
incontournable
d’une
relation
de
confiance
avec
nos
clients.
(eets
ll
Mile
teint
ele le
lell
il
at
LEE
*
Toutes
nos
actions
et nos
préconisations
sont
élaborées
dans
un
=
Votre
satisfaction
n’est pas
seulement
un
indicateur de
souci
permanent
de
pragmatisme
et d'indépendance
afin de
performance
pour
notre
Tableau
de
Bord
d'entreprise.
C'est
garantir
leur
pleine
efficacité
au
sein
du
SI
et de
l'organisation
du
notre
première
source
de
motivation.
Notre
préoccupation
est
de
Client.
livrer à temps,
dans
les budgets
et avec votre satisfaction.
=
Elles sont également conçues
pour garantir la pérennité
dans
le
temps
de
leurs
effets
bénéfiques
sur
la sécurité
du
SI.
39
Confidentiel
15
octobre
2024Conditions
d'intervention
L'engagement
de
Orange
Cyberdefense
dans
le
développement
durable
Engagement
quotidien
de
Orange
Cyberdefense
Notre
engagement
quotidien
est
le respect
des
individus
et de
l'environnement,
à
la
mesure
de
notre
activité
Nous
incitons
ainsi
notamment
nos
collaborateurs
aux
téléréunions
et à
l’utilisation
des
transports
en
commun,
à
l'usage
permanent
de
papier
géré
durablement,
l'impression
lorsqu'elle
est
nécessaire
et
le recyclage
de
conteneurs
(toners,
eau...)
Une
politique
d'économie
d'énergie
est
de
plus
en
place
sur
l’ensemble
de
nos
équipements
informatiques
Nos
bureaux
sont
équipés
de
points
de
collecte
pour
le
papier
et nous
avons
une
politique
de
recyclage
sécurisé
(destruction
des
documents
papier
clients)
40
Confidentiel
Engagements
pour
cette
mission
_
Les
Pour
les
préconisations
:
*
Notre
indépendance
vis-à-vis
de
tout
fournisseur
de
matériel
ou
logiciel
garantit
des
préconisations
raisonnées
Pour
les
réunions
et déplacements :
*
La
tenue
de
téléconférences
ou
de
web-conférences
est |
privilégiée
pour
les
réunions
et entretiens
auxquels
la
présence
physique
apporte
peu
de
valeur
ajoutée
*
L'envoi
préalable
des
documents
et
l’utilisation
de
vidéoprojecteurs
permettent
de
limiter
les
impressions
15
octobre
202441
. ANNEXE Références Exemples
de
profils
types
pour
cette
mission
Orange
Cyberdefense
15/10/2024Chef
de
mission
et
auditeur
1
YBE
Consultant
en
sécurité
des
systèmes
d'information,
diplômé
d'un
master
en
cryptologie
et
codage
de
“
11
années
d'expérience.
l'information.
Avant
de
rejoindre
Orange
Cyberdéfense,
il a
eu
une
première
expérience
de
4
ans
en
tant
que
consultant
en
développement
des
systèmes
critiques.
“"
Team
Leader.
YBE
a
un
profil
pluridisciplinaire
qui
lui
permet
travailler
sur
des
sujets
aussi
bien
techniques
“
SO
27001
Lead
Auditor.
qu'organisationnelles.
Il à
participé
à
des
missions
d'audit,
de
conseil
en
gouvernance
de
la
sécurité
et
gestion
des
risques,
et des
missions
techniques
de
sécurisation
de
systèmes
et de
réseaux.
“
[SO
27005
Risk
Management
Partitionner.
De
plus,
il a
participé
à
plusieurs
missions
de
sécurisation
des
environnements
hébergés
dans
le cloud
(Azure
10365,
AWS).
DOMAINES
DE
COMPÉTENCES
QUELQUES
EXPÉRIENCES
MARQUANTES
Compét
foncti
Il
ompétences
fonctionnelles .
|
pee
"Réalisation
des
audits de
sécurité
et de
conformité
organisationnelle:
"Intégration
de la sécurité dans les projets.
PASS
SA
Œ
>
18027001,
guide
d'hygiènes
ANSSI,
SI
industriel,
plan
d'assurance.
sécurité,
="
Évaluation
du
niveau
de
maturité
de
la sécurité
des
SI.
|
France
Relance.
.
A5
>
Charge
> 49
audits.
=
Mise en place d'un SMCA
ISO
22301.
ere
"Mise
en place d'un SMSI
ISO 27001.
co
=
Pilotage/réalisation d'études en cybersécurité:
="
Analyses
de
risques
: EBIOS
RM,
15027005.
ns
+
Étude
de
la
stratégie
d'implémentation
et
les
mesures
de
sécurité
de
Zero
Trust
Network
Access.
“
Audit
de
sécurité
18027001 L
pee
d'hygiènes
ANSSI,
SI
industriel,
plan
>
Etude
de
la sécurité de
la conteneurisation
d'assurance
sécurité,
France
Relänce.
+
Cartographie
et élaboration
d'un
guide
de
sécurité
des
relations
d’approbations
“Animation
de
sessions
de
sensibilisation
et de
formation.
AD.
.
.
|
+
Étude
de
la sécurité
pour
la
mise
en
place
des
réseaux
SD-WAN.
Compétences
techniques
+
Élaboration
d’un
standard
de
sécurité
pour les raccordements
des
SI.
=
Design
d'infrastructure/réseau
sécurisés.
=
Mise en place du processus
DevSecOps
*_
Sécurisation
des
infrastructures
Cloud.
+
Conseil
pour la mise en place des outils DevSecOps
Sécurisation
de
l'environnement
Office
365.
|
:
+
Cartographie
des
processus
et
définition
du
RACI
=“ Référentiséaurité diofedQrsngeeElexible
SDWAN
Fortinet
Sécurisation
des
systèmes
(Windows,
Linux,
Oracle,
autres.….).
Audit
de
configuration
des
systèmes.
Développement
logiciel.
PP
9
=
Implémentation
de SMSI
pour plusieurs clients
>
Rédaction
PSSI,
procédures
de
sécurité,
BCP/DRPAuditeur
2
Biriangan
est
diplômé
d'un
Master
en
Systèmes
d'Information
à
l'Université
Paris
1
Panthéon-
Sorbonne,
il est
certifié
LEAD
Implementer
ISO
27001
et
Risk
Manager
ISO
27005.
Au
cours
de
ses
différentes
expériences,
Biriangan
a participé
à différents
projets
liés
à la cybersécurité
notamment
des
projets
liés
à
la
cyber-résilience,
à
de
la
conformité
ISO
27001,
à
de
l'homologation
RGS.
1 a
réalisé
ces
projets
pour
de
grandes
entreprises
de
différents
secteurs
notamment
le
secteur
Sa
dernière
mission
portait
sur
l’homologation
RGS
du
parc
applicatif
d'une
direction
de
l'administration
QUELQUES
EXPÉRIENCES
MARQUANTES
D
Accompagnement
à
un projet
d'homologation
RGS.
Réalisation
d'homologations
sur
le parc
applicatif de
l'administration
publique
selon
la
Accompagnement
à une
campagne
BIA
sur
un
périmètre
de
10
Directions
métiers.
Réalisation
d'une
analyse
de
risques
sur
les
actifs
informatiques
Accompagnement
à
un
programme
de
cyber-résilience.
Réalisation
d'une
BKU
É
=
Consultant
confirmé
s
*
4 années
d'expérience
|
public, de l'automobile et de l'énergie.
=
=
Certifié
ISO27001
Lead
Implémenter
/
ISO
s
27005
RM
publique.
ë æ]
DOMAINES
DE
COMPÉTENCES
nn...
dd
Compétences
“Intégration
de
la sécurité
dans
les
projets
F
“_
SMSI:1S027001
et 27002
A
rence
= Continuité d'activité (tests DRP, BIA)
ou...
—#etErPIERP EN
"
Gestion
de
projet
FINANCES
PUBLIQUES
*
Sensibilisation
à la Cybersécurité
=
Suivi
plan
d'action
audit
(ISO
27001)
«Homologation
RGS
REP
*
Analyses
de
risques
: ISO
27008,
EBIOS
RM
CNGICG
identifiés
comme
sensibles.
*
Gestion
des
alertes
de
sécurité
(MCAS)
Home Services Renault
Group Your
wery
to PEOPiE
SUCCESS
démarche
de
BIA
sur
un
périmètre
14
fonctions
métiers
et organisation
des
tests
DRP
sur
le parc
applicatif du
Groupe
Assistance
RSSI
sur
un
projet
de
certification
[SO
27001.
Accompagnement
dans
la mise
en
place
d’un
SMSI
{Analyse
de
risques,
rédaction
et
mise
à jour
de
politiques
et
procédures
de
sécurité,
sensibilisation
à
la sécurité,
veille cyber,
suivi
du
programme
d'audit)POLAR
n late (et
LL)F4LS > =— = = Œ Œ =).
GSC #
Pentester
confirmé
et
chef
de
projet
=
5 ans
d'expérience
*
OSCP
(Offensive
Security
Certified
Professional)
=“
CRTP
(Certified
Red
Team
Professional)
DOMAINES
DE
COMPETENCES
GSC
est
diplômé
de
l'École
d'ingénieurs
UTT
(Université
de
Technologie
de
Troyes).
Spécialisé
dans
les
Réseaux
et
les
Télécommunications
ainsi
que
la
Sécurité
des
Systèmes
et
des
Communications.
Il
à
rejoint
le
pôle
Ethical
Hacking
d'Orange
Cyberdefense
après
avoir
effectué
son
stage
de
fin
d'études. Grâce
à
ses
compétences
polyvalentes,
GSC
intervient
aujourd’hui
chez
OCD
en
tant
que
pentester
confirmé.
Il
réalise
principalement
des
tests
d'intrusion
externe
(OSINT,
OWASP),
interne
(Active
Directory,
Wi-Fi},
cloud
{Azure,
AWS)
et
mobile
(Android).
MISSIONS
SIGNIFICATIVES
—_
Tests
d’intrusion
Réseau
interne:
cartographie,
attaques
AD,
rebond.
Infrastructures
externes:
OSINT,
scan
de
reconnaissance,
exploitation
de
services
vulnérables.
Applications
Web
et OWASP.
Environnements
Cloud:
Azure,
AWS
Mobile:
analyse
statique
et dynamique
Android,
API
mobile.
Postes
de
travail:
attaques
physiques
et logiciels.
Wi-Fi:
contournement
des
protections
et des
segmentations
réseau.
Audit
de
configuration:
benchmark
CIS.
Chefferie
de
projet
Qualification
: compréhension
du
besoin
auprès
des
commanditaires
et des
métiers,
estimation
de
la charge
associée,
définition
du
périmètre
et
initialisation
d’audit
;
Pilotage
de
missions
et suivi
d'audits ;
Restitution
: synthèse
managériale
et/ou
technique,
explication
et
accompagnement
aux
remédiations.
pp
Tests
d'intrusion internes
"
Réalisation
de
multiples
tests
d'intrusion
inteme
pour
divers
clients
(secteur
publique,
industriel,
etc.)
“
Compromission
totale
des
SI
via
un
simple
accès
réseau
en
boite
noire
=
Audit
technique
des
postes
utilisateurs
(poste
du
stagiaire)
pour
évaluer
la robustesse
des
postes
utilisateurs
Tests
d’intrusion externes
"
Test
d’intrusion
externe
(boîte
noire)
d'une
entreprise
de
service
afin
d'identifier
l'exposition
globale
de
cette
dernière
=
Rebond
sur
le
réseau
interne
par
la compromission
d’un
services
web
=
Récupération
de
droits
d'administration
du
domaine
interne
depuis
le
réseau
externe
Audit
WiFi
a
Test
d'intrusion
sur
l'infrastructure
WiFi
d’un
grand
client
de
la finance
"
Vérification
des
sécurités
mises
en
place
"=
Contoumement
des
accès
visiteurs
afin
de
compromettre
le
réseau
inteme
et
le SI
Audit
mobile
“
Analyse
statique
et
dynamique
L
Audit
des
API
mobile
"
Contournement
de
durcissement
MDMFormateur
[el < Le?= = æ 1 = olCa œŒ =
BBO =
Consultant
principal
=
20
années
d'expérience
=
Certifié
IS027K1
Lead
Implementor
et
ISO27K5
Risk
manager DOMAINES
DE
COMPÉTENCES
BBO
a été
diplômé
de
Telecom
Sud-Paris
en
2004.
Avec
20
ans
d'expérience
dans
le conseil
dans
les
secteurs
Telecom
et
bancaire,
dont
4
dans
le
conseil
en
cybersécurité,
il
a
acquis
de
nombreuses
compétences
en
assistance
technique
et en
gestion
de
projet.
BBO
a
rejoint
le
pôle
Conseil
d'Orange
Cyberdefense
après
avoir
participé
à
des
missions
d'audit,
de
pilotage
de
plan
de
remédiation,
et
de
conseil
et
sensibilisation
à
la
sécurité
dans
les
développements
applicatifs. Dernièrement,
BBO
a réalisé
des
analyses
de
risque
EBIOS,
et a accompagné
des
RSSI
dans
la mise
à
jour
de
leur
PSSI,
à améliorer
la sécurité
de
postes
de
travail,
et
à
intégrer
des
applications
métier
dans
un
outil
d'IAM.
QUELQUES
EXPÉRIENCES
MARQUANTES
sn
—
Compétences
techniques
Audits
de
sécurité
Sécurité
applicative
Sécurité
des
architectures
Gestion
des
identités
et accès
(IAM)
Sécurité
des
postes
de
travail
(HIPS,
Bitlocker)
Compétences
fonctionnelles
SMSI
: ISQ
27001
et 27002
Analyse
de
risques
: ISO
27005,
EBIOS
v3
et RM
Plan
d'audit
et de
remédiation
Droit
de
la cybersécurité
: GDPR
PMO
/ Tableaux
de
bord
/ Suivi
budgétaire
Coordination
d'équipes
transverses
Pilotage
de
RFP
Sensibilisation
à la sécurité
applicative
Schéma
directeur
de cit
Nr
mm”
RSSI
à temps
partagé:
Définition,
mise
en
œuvre
et
pilotage
d’un
schéma
directeur
à 3 ans,
expert
sécurité
sur
les
projets,
mise
en
place
d'une
gouvernance
sécurité
STELLÉANTIS
Référent
sécurité
sur
un
programme
assurantiel
EF
:
Analyses
de
risque
EBIOS
v3
/ EBIOS
RM.
Accompagnement
à
MINISTÈRE
l'homologation de sécurité
DU
TRAVAIL
AM:
Politiques
d'habilitation
et recertification,
enrôlement
d'applications
Run
pe”
BNP
PARIBAS
sécurité
métier:
Analyse
de demandes
d'extractions
et dérogation,
analyse
de
risques Assistance
RSSI:
Diagnostic
ISO
27002,
Rédaction
de
PSSI,
Tableaux
de
bord
stratégique
SSI
LA
POSTE
Sécurisation
des
applications
: Suivi
des
tests
d'intrusion
et
plans
d'action
-
SOCIETE
Assistance
renforcée
à
la
correction
de
failles
applicative)
-
PMO
du
plan
GENERALE
d'audit
et
remédiation
(Suivi
budgétaire,
Tableaux
de
bord)
- Présentation
des
=
”
risques
audit
aux
métiers
- Sensibilisation
au
développement
sécurisé:
Orange
.
Cyberdefense
LL
és |
Merci https://orangecyberdefense.com/
e
—.——..—..——
LD
—
orange 46
ConfidentielANNEXE N°1
SELECTION DES BOUQUETS
Un bouquet représente 20% de la participation fixe, soit le_prix par bouquet selon la typologie de votre structure, sachant que ce prix est susceptible d'évoluer en fonction de l'offre de marchés par bouquet conformément à l'article 5.2 de la convention
d'adhésion.
Liste des bouquets :
NUMERO DU NOM DU BOUQUET ER ne ET
BOUQUET
L PERFORMANCE ENERGETIQUE n
2 MOBILITE PROPRE ol
, TELEPHONIE FIXE ET MOBILE .
, RESEAUX INTERNET ET -
INFRASTRUCTURES
; SOLUTIONS INTELLIGENTES DE :
SECURITE ET DE SURETE
, SERVICES NUMERIQUES AUX -
CITOYENS
, VALORISATION DE L'INFORMATION L GEOGRAPHIQUE
; PRESTATIONS TECHNIQUES POUR LE L
PATRIMOINE DE LA VILLE
“Adhérent qui n'adhère qu'à ce bouquet et à aucun autre ne paie ni la participation annuelle fixe, ni la participation annuelle additionnelle.
Date_ : Pour l'Adhérent
Sipr'n'co Oipperec fee L'achat mutualisé au service de vos projets fre e
Accusé de réception en préfecture
095-219502192-20250205-2025-014-DE
Date de télétransmission : 07/02/2025
Date de réception préfecture : 07/02/2025