Ausschreibung: Systemdienstleistungen und Unterstützungsdienste - FR-Montrouge Systemdienstleistungen und Unterstützungsdienste Dokument Nr...: 307100-2020 (ID: 2020070109154723767) Veröffentlicht: 01.07.2020 * FR-Montrouge: Systemdienstleistungen und Unterstützungsdienste 2020/S 125/2020 307100 Auftragsbekanntmachung Sektoren Dienstleistungen Rechtsgrundlage: Richtlinie 2014/25/EU Abschnitt I: Auftraggeber I.1)Name und Adressen Offizielle Bezeichnung: EDF SA Direction des achats groupe Agence achats ingénierie Île-de-France Nationale Identifikationsnummer: 552081317 Postanschrift: 97 avenue Pierre Brossolette Ort: Montrouge NUTS-Code: FR105 Hauts-de-Seine Postleitzahl: 92120 Land: Frankreich Kontaktstelle(n): EDF SA Direction des achats groupe Agence achats ingénierie Île-de-France M. Jacky Rousselle E-Mail: [6]jacky.rousselle@edf.fr Telefon: +33 761076252 Internet-Adresse(n): Hauptadresse: [7]www.edf.fr Adresse des Beschafferprofils: [8]https://pha.edf.com I.2)Informationen zur gemeinsamen Beschaffung I.3)Kommunikation Der Zugang zu den Auftragsunterlagen ist eingeschränkt. Weitere Auskünfte sind erhältlich unter: [9]https://pha.edf.com Weitere Auskünfte erteilen/erteilt die oben genannten Kontaktstellen Angebote oder Teilnahmeanträge sind einzureichen elektronisch via: [10]https://pha.edf.com I.6)Haupttätigkeit(en) Strom Abschnitt II: Gegenstand II.1)Umfang der Beschaffung II.1.1)Bezeichnung des Auftrags: Marché de maintien en conditions opérationnelles et en condition de sécurité du système dinformatique industriel de lEPR de Flamanville 3 II.1.2)CPV-Code Hauptteil 72250000 Systemdienstleistungen und Unterstützungsdienste II.1.3)Art des Auftrags Dienstleistungen II.1.4)Kurze Beschreibung: Le présent marché couvre lensemble des besoins de lunité EPR FLA3 concernant lassistance technique relative aux opérations de maintenance corrective et/ou préventive ainsi que les prestations de maintien en condition de sécurité du Système dinformatique industriel (SII). La prestation doit également couvrir lassistance technique afin daccompagner lexploitant dans les évolutions à venir du SII. Cette prestation concerne le niveau 3 du CNPE de Flamanville 3 EPR. II.1.5)Geschätzter Gesamtwert II.1.6)Angaben zu den Losen Aufteilung des Auftrags in Lose: nein II.2)Beschreibung II.2.1)Bezeichnung des Auftrags: II.2.2)Weitere(r) CPV-Code(s) II.2.3)Erfüllungsort NUTS-Code: FR FRANCE Hauptort der Ausführung: Flamanville 3. II.2.4)Beschreibung der Beschaffung: La prestation attendue est une prestation de service permettant dassurer le maintien en conditions opérationnelles et en conditions de sécurités dune solution informatique industrielle dédiée à lEPR de Flamanville 3. La prestation couvre plusieurs périmètres: assistance de niveau 3 et 4 (norme AFNOR FD X 60-025 de décembre 2019) aux exploitants du système dinformatique industriel; maintenance logicielle, réseau et matériel; hébergement en France dune plate-forme dintégration du système dinformatique industriel; veille technologique et bilan dobsolescence sur lensemble des logiciels et matériels concernés; gestion des vulnérabilités et analyse dimpact; expertise cybersécurité, réseau informatique et logicielle. II.2.5)Zuschlagskriterien Der Preis ist nicht das einzige Zuschlagskriterium; alle Kriterien sind nur in den Beschaffungsunterlagen aufgeführt II.2.6)Geschätzter Wert II.2.7)Laufzeit des Vertrags, der Rahmenvereinbarung oder des dynamischen Beschaffungssystems Laufzeit in Monaten: 96 Dieser Auftrag kann verlängert werden: nein II.2.9)Angabe zur Beschränkung der Zahl der Bewerber, die zur Angebotsabgabe bzw. Teilnahme aufgefordert werden Geplante Mindestzahl: 3 Höchstzahl: 5 Objektive Kriterien für die Auswahl der begrenzten Zahl von Bewerbern: Après l'application des critères éliminatoires, EDF appliquera le critère noté suivant (cf: III.1.3)): cas test. II.2.10)Angaben über Varianten/Alternativangebote Varianten/Alternativangebote sind zulässig: nein II.2.11)Angaben zu Optionen Optionen: ja Beschreibung der Optionen: La durée du marché mentionnée à la rubrique II.2.7) comprend les options de durée: huit options de six mois. II.2.12)Angaben zu elektronischen Katalogen II.2.13)Angaben zu Mitteln der Europäischen Union Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm, das aus Mitteln der EU finanziert wird: nein II.2.14)Zusätzliche Angaben Abschnitt III: Rechtliche, wirtschaftliche, finanzielle und technische Angaben III.1)Teilnahmebedingungen III.1.1)Befähigung zur Berufsausübung einschließlich Auflagen hinsichtlich der Eintragung in einem Berufs- oder Handelsregister Auflistung und kurze Beschreibung der Bedingungen: le candidat doit fournir une déclaration sur l'honneur pour justifier qu'il n'entre dans aucun des cas mentionnés aux articles L. 2141-1 à L. 2141-5 et L. 2141-7 à L. 2141-11 du code de la commande publique notamment quil satisfait aux obligations concernant lemploi des travailleurs handicapés définies aux articles L. 5212-1 à L. 5212-11 du code du travail. Cette déclaration est à produire par les candidats individuels, par chacun des membres d'un groupement candidat et, le cas échéant, par les sous-traitants présentés; le candidat doit remettre un extrait du registre pertinent tel quun extrait K-bis, ou, à défaut, un document équivalent, permettant d'identifier le candidat. Ce document est à fournir par les candidats individuels et par chacun des membres d'un groupement candidat; si le candidat est en redressement judiciaire, il doit produire la copie du ou des jugements prononcés pour justifier quil est habilité à poursuivre ses activités pendant la durée dexécution du marché. Ce document est à fournir par les candidats individuels et par les membres concernés d'un groupement candidat; le candidat doit fournir les certificats délivrés par les administrations et organismes compétents prouvant quil a satisfait à ses obligations fiscales et sociales. Ces certificats sont à fournir par les candidats individuels et par chacun des membres d'un groupement candidat. III.1.2)Wirtschaftliche und finanzielle Leistungsfähigkeit Auflistung und kurze Beschreibung der Eignungskriterien: Le candidat doit fournir les états financiers (bilans et comptes de résultats) des trois derniers exercices disponibles attestant de sa pérennité financière. Si, compte tenu de la date de création de son entreprise, le candidat ne dispose pas de l'ensemble des informations, remettre des justificatifs équivalents. Möglicherweise geforderte Mindeststandards: Le candidat doit disposer d'un chiffre d'affaires annuel moyen sur les trois derniers exercices disponibles supérieur à 5 000 000 dEUR en cas de candidature. III.1.3)Technische und berufliche Leistungsfähigkeit Auflistung und kurze Beschreibung der Eignungskriterien: Le candidat doit fournir obligatoirement les engagements demandés ci-dessous sous forme de mémoire technique. Il doit fournir avec sa candidature les justificatifs mentionnés et l'intégralité des documents demandés. EDF vérifiera l'exactitude des données fournies par le candidat; toute donnée erronée sera considérée comme éliminatoire. I) Critères éliminatoires ci-après: A) Références réseau, doit justifier la réalisation ou la maintenance d'au moins cinq projets justifiant les compétences suivantes: 1) analyse de protocole, 2) gestion de routage, 3) règles de firewall, 4) câblage fibre, cuivre. B) Références sécurité, doit justifier la réalisation ou la maintenance d'au moins cinq projets justifiant les compétences suivantes: 1) gestion d'un annuaire LDAP; 2) mise en uvre de solutions s'appuyant sur un radius; 3) conception d'architectures sécurisées. C) Compétences et références solutions identifications fortes: 1) doit justifier la réalisation ou la maintenance d'au moins cinq projets justifiant ces compétences; 2) nécessité de disposer d'au moins deux experts du domaine (profils + présence de plus de six mois dans l'entreprise). D) Capacité et références protection de l'information: 1) doit justifier de la réalisation d'au moins deux projets de sécurisation de SI sensibles; 2) doit justifier sa capacité à respecter et appliquer les règles relatives à la protection des informations relevant du secret de la défense nationale notamment ceux ayant la mention «spécial France» (application de linstruction générale interministérielle n^o 1300/SGDN sur la protection du secret de la défense nationale, notamment son article 65 (mention «spécial France») et son annexe 3 relative aux règles de protection des informations ou supports portant la mention diffusion restreinte). E) Compétences Cybersécurité (profils + présence de plus de six mois dans l'entreprise): 1) doit disposer de deux ingénieurs cybersécurité; 2) doit disposer de un expert cybersécurité ayant capacité à accéder à des données «diffusion restreinte spécial France». F) Expériences en lien avec les milieux industriels (au moins trois projets justifiant ces connaissances): 1) doit justifier sa connaissance du fonctionnement des réseaux industriels en général, ainsi quune spécialisation dans un ou plusieurs secteurs d'OIV. G) Connaissances réglementaires et normatives: 1) doit justifier ses connaissances du référentiel normatif en vigueur et des principales normes applicables au secteur du nucléaire (IEC 61513, IEC 60880, IEC 61226, IEC 62138, CEI 62645); 2) doit justifier ses connaissances du référentiel normatif en vigueur et des principales normes applicables aux technologies de linformation techniques de sécurité (ISO 2700x); 3) doit justifier ses connaissances de la réglementation étatique, pour la protection des installations dimportance vitale, secteur du nucléaire plus particulièrement (code de la défense articles L/R 1332-1 et suivants, maîtrise des bonnes pratiques et guides de référence ANSSI). H) Mise en uvre opérationnelle de la sécurité de systèmes dinformation industriels, doit justifier son savoir-faire en matière de sécurisation de systèmes industriels et de mise en uvre de Maintien en conditions de sécurité (MCS), au travers de projets de réalisation permettant de démontrer la maîtrise de l'ensemble des activités suivantes: 1) réalisation danalyses de risques en sécurité informatique; 2) définition de programme de sécurisation; 3) conception et/ou implémentation darchitectures sécurisées; 4) conduite daudit de vulnérabilité; 5) analyse et validation de solutions COTS sécurité; 6) validation d'applicatifs et d'outils à déployer sur les systèmes et infrastructures en respect des schémas de sécurité en place (durcissement des configurations, authentification, confidentialité, imputabilité); 7) qualification d'évolutions techniques; 8) veille technologique sur lévolution des système. Möglicherweise geforderte Mindeststandards: Critères éliminatoires(suite): H) 10:10 Mise en uvre de plans daction de renforcement de la sécurité. I) Compétences et références traitement d'incidents, doit décrire sa participation à au moins deux crises cybersécurité en termes d'assistance à l'analyse et au traitement sur tout ou partie des activités suivantes: 1) qualification d'incident technique avancé dans le cadre dune opération de cyberdéfense ou de crises majeures; 2) proposition et suivi d'actions techniques nécessaires à une investigation et à une résolution dincidents; 3) soutien technique aux opérations dinvestigation numérique (recueil et analyse dimages disques ou dimages mémoires, de journaux dévénements, de traces système, réseau et applicatives, rédaction des rapports, soutien technique et logistique aux opérations, etc.); 4) Contribution aux retours dexpériences sur les opérations de cyberdéfense et proposition d'axes daméliorations; J) Compétences et références Forensic, doit justifier la réalisation d'analyses d'investigation sur logs systèmes Windows et linux sur l'ensemble des activités suivantes: 1) Recueil d'éléments techniques nécessaires aux investigations numériques des incidents pour en évaluer la gravité; 2) Qualification et analyse des éléments (relevés techniques, dimages disques, dimages mémoires, de journaux dévénements et de traces système, réseau et applicatives, ainsi que lanalyse statique et dynamique de codes et documents malveillants) déterminer la cause de lincident, le mode opératoire de lattaque (vulnérabilités utilisées...), létendue et le périmètre de compromission; 3) Préconisation des mesures de remédiation pour limiter la compromission, enrayer lactivité de lattaquant et assurer le durcissement de la sécurité du SI; K) Compétence et référence en développement d'applications, nécessité de disposer d'au moins deux experts du domaine (profils + présence de plus de six mois dans l'entreprise). Doit justifier la réalisation ou la maintenance d'au moins cinq projets justifiant les compétences suivantes: 1) programmation C++; 2) programmation C; 3) conception base de données Postgre; 4) SQL; 5) systèmes d'exploitation linux (en particulier Red Hat 6 à 8) et Windows; 6) JSON, XML, Web services. L) Compétences et références en veille technologique (justifier d'une expérience d'au moins cinq ans dans chacun des domaines précités): 1) A assuré le suivi sur plusieurs années de système d'exploitation, de logiciels, de matériel avec mise en uvre de correctifs; 2) traitement des obsolescences; 3) restitutions de REX au minimum annuels. M) Possibilité d'hébergement de quatre baies 42 U: 1) locaux situés en France, sécurisés (contrôle d'accès), climatisés, équipés d'une source d'énergie sécurisée. N) Compétences et références KVM: 1) doit justifier la réalisation d'au moins cinq projets justifiant ces compétences; O) Qualification & habilitation (les personnes référencées pour le projet devront disposer des titres nécessaires, fournir la liste): 1) doit justifier dune qualification PASSI (Prestataires daudit de la sécurité des systèmes dinformation) délivrée par lANSSI (Agence nationale de la sécurité des SI) ou dune qualification équivalente; 2) habilitations nécessaires pour accéder au CNPE (électrique, radioprotection...) (doit justifier d'au moins trois années d'intervention au sein des CNPE; 3) habilitation électrique nécessaires pour la maintenance des onduleurs (1B2 et 1B1); 4) certification ISO 9001 ou équivalent. P) Compétence et référence en prévention sécurité (interventions dans le cadre des décrets 92 et/ou 94): 1) doit justifier la réalisation d'au moins cinq projets sur trois ans nécessitant des compétences de coactivités et/ou de travaux en milieu industriel; Q) Cas test ci-dessous (Cf. § II) Critère avec notation): 1) nécessité de disposer d'au moins deux experts du domaine (profils + présence de plus de six mois dans l'entreprise). II) Critère avec notation: cas test cf. § VI.3). III.1.4)Objektive Teilnahmeregeln und -kriterien III.1.5)Angaben zu vorbehaltenen Aufträgen III.1.6)Geforderte Kautionen oder Sicherheiten: III.1.7)Wesentliche Finanzierungs- und Zahlungsbedingungen und/oder Hinweise auf Vorschriften, in denen sie enthalten sind: Financement sur ressources propres. Paiement à 60 jours à compter de la date démission de facture et versement d'acomptes correspondants aux prestations réalisées. III.1.8)Rechtsform, die die Unternehmensgruppe, der der Auftrag erteilt wird, haben muss: EDF accepte les groupements d'entreprises conjoints ou solidaires. En cas de groupement, lun des membres du groupement est désigné comme mandataire. Celui-ci est solidaire, pour lexécution du marché, de chacun des membres du groupement pour ses obligations contractuelles à légard dEDF. Sans préjudice de l'article L. 2141-13 du code de la commande publique, la composition du groupement ne peut pas être modifiée entre la date de remise des candidatures et la date de signature du marché, sauf en cas de restructuration de société ou si le groupement apporte la preuve qu'un de ses membres se trouve dans l'impossibilité d'accomplir sa tâche pour des raisons qui ne sont pas de son fait. Par ailleurs, un soumissionnaire, qui proposera une offre au titre d'un groupement d'entreprises, ne pourra pas remettre d'offre à titre individuel ou au titre d'un autre groupement. III.2)Bedingungen für den Auftrag III.2.1)Angaben zu einem besonderen Berufsstand III.2.2)Bedingungen für die Ausführung des Auftrags: La sous-traitance est limitée au rang 1. III.2.3)Für die Ausführung des Auftrags verantwortliches Personal Abschnitt IV: Verfahren IV.1)Beschreibung IV.1.1)Verfahrensart Verhandlungsverfahren mit vorherigem Aufruf zum Wettbewerb IV.1.3)Angaben zur Rahmenvereinbarung oder zum dynamischen Beschaffungssystem Die Bekanntmachung betrifft den Abschluss einer Rahmenvereinbarung Rahmenvereinbarung mit einem einzigen Wirtschaftsteilnehmer IV.1.4)Angaben zur Verringerung der Zahl der Wirtschaftsteilnehmer oder Lösungen im Laufe der Verhandlung bzw. des Dialogs IV.1.6)Angaben zur elektronischen Auktion IV.1.8)Angaben zum Beschaffungsübereinkommen (GPA) Der Auftrag fällt unter das Beschaffungsübereinkommen: ja IV.2)Verwaltungsangaben IV.2.1)Frühere Bekanntmachung zu diesem Verfahren IV.2.2)Schlusstermin für den Eingang der Angebote oder Teilnahmeanträge Tag: 27/07/2020 Ortszeit: 15:00 IV.2.3)Voraussichtlicher Tag der Absendung der Aufforderungen zur Angebotsabgabe bzw. zur Teilnahme an ausgewählte Bewerber IV.2.4)Sprache(n), in der (denen) Angebote oder Teilnahmeanträge eingereicht werden können: Französisch IV.2.6)Bindefrist des Angebots IV.2.7)Bedingungen für die Öffnung der Angebote Abschnitt VI: Weitere Angaben VI.1)Angaben zur Wiederkehr des Auftrags Dies ist ein wiederkehrender Auftrag: nein VI.2)Angaben zu elektronischen Arbeitsabläufen Die elektronische Rechnungsstellung wird akzeptiert VI.3)Zusätzliche Angaben: les candidats doivent manifester leur intérêt à lavis de marché en se connectant au portail achats ([11]https://pha.edf.com) et en accédant à la demande d'informations RFx_088379, ainsi que, le cas échéant, les autres modalités relatives au portail achats; lentreprise intéressée souhaitant faire acte de candidature et nétant pas inscrite à portail achats EDF, devra sy enregistrer; un document intitulé «identification des membres du groupement et répartition des prestations groupement momentané d'entreprises solidaire ou conjoint» est disponible dans l'espace collaboratif dédié aux fournisseurs du portail achats; EDF se réserve la possibilité d'attribuer le marché sur la base des offres initiales sans négociation; dans le cadre de la dématérialisation de ses procédures, EDF SA informe l'ensemble des soumissionnaires que la signature électronique des marchés est privilégiée, que ceux-ci soient attribués à une seule entreprise ou à un groupement d'entreprises; la consultation sera effectuée par e-tender via le portail achats électronique dEDF ([12]https://pha.edf.com); ci-après, texte complet de présentation du cas test (§ III.1.2) Critère avec notation) auquel le candidat doit répondre à l'avis de marché: Cas test: Merci de décrire précisément et de façon détaillée une solution de raccordement dun serveur Red Hat 6 à un réseau industriel utilisant le protocole 802.1x. Quelle méthode dauthentification allez-vous implémenter: détailler la solution et la qualifier. Quelle sera la configuration du serveur: lister les applications et packages nécessaires. Quelle sera la configuration du Switch devant authentifier le serveur (préciser la configuration du port ethernet, les paramètres de VLAN, les accesslists...) ? De quels autres services aurez-vous besoin pour authentifier le serveur ? Détailler le processus dauthentification du serveur sur le réseau en décrivant toute la chaîne de communication, les protocoles réseau utilisés. Comment seront gérés les flux dadministration du serveur ? Comment seront gérés les flux de données du serveur ? Comment identifier lexécution dactions non autorisées sur le serveur ? Quelle méthode utiliseriez-vous pour identifier et traiter les risques induits ? Le serveur devra communiquer avec une machine cliente suivant un protocole de communication défini par EDF. Il sappuiera sur une application dédiée disposant dune IHM graphique. Sur quel langage de programmation allez-vous vous appuyer ? Quelles seront les bibliothèques utilisées ? Justifiez votre choix (avantages inconvénients). Comment paramétriez-vous un firewall pour filtrer ce flux entre le serveur et le client ? Listez les paramètres pour un firewall CISCO. Listez les paramètres pour un firewall Stormshield. Etes-vous certifié CISCO ? VI.4)Rechtsbehelfsverfahren/Nachprüfungsverfahren VI.4.1)Zuständige Stelle für Rechtsbehelfs-/Nachprüfungsverfahren Offizielle Bezeichnung: Tribunal judiciaire de Paris Postanschrift: parvis du Tribunal de Paris Ort: Paris Cedex 17 Postleitzahl: 75859 Land: Frankreich Telefon: +33 144325151 Internet-Adresse: [13]https://www.tribunal-de-paris.justice.fr VI.4.2)Zuständige Stelle für Schlichtungsverfahren VI.4.3)Einlegung von Rechtsbehelfen VI.4.4)Stelle, die Auskünfte über die Einlegung von Rechtsbehelfen erteilt Offizielle Bezeichnung: Greffe du tribunal judiciaire de Paris Postanschrift: parvis du Tribunal de Paris Ort: Paris Cedex 17 Postleitzahl: 75859 Land: Frankreich Telefon: +33 144325151 Internet-Adresse: [14]https://www.tribunal-de-paris.justice.fr VI.5)Tag der Absendung dieser Bekanntmachung: 26/06/2020 References 6. mailto:jacky.rousselle@edf.fr?subject=TED 7. http://www.edf.fr/ 8. https://pha.edf.com/ 9. https://pha.edf.com/ 10. https://pha.edf.com/ 11. https://pha.edf.com/ 12. https://pha.edf.com/ 13. https://www.tribunal-de-paris.justice.fr/ 14. https://www.tribunal-de-paris.justice.fr/ OT: 01/07/2020 S125 Services - Avis de marché - Procédure négociée France-Montrouge: Services de maintenance des systèmes et services d'assistance 2020/S 125-307100 Avis de marché secteurs spéciaux Services Base juridique: Directive 2014/25/UE Section I: Entité adjudicatrice I.1)Nom et adresses Nom officiel: EDF SA Direction des achats groupe Agence achats ingénierie Île-de-France Numéro national d'identification: 552081317 Adresse postale: 97 avenue Pierre Brossolette Ville: Montrouge Code NUTS: FR105 Hauts-de-Seine Code postal: 92120 Pays: France Point(s) de contact: EDF SA Direction des achats groupe Agence achats ingénierie Île-de-France M. Jacky Rousselle Courriel: [6]jacky.rousselle@edf.fr Téléphone: +33 761076252 Adresse(s) internet: Adresse principale: [7]www.edf.fr Adresse du profil dacheteur: [8]https://pha.edf.com I.2)Informations sur la passation conjointe de marchés I.3)Communication L'accès aux documents du marché est restreint. De plus amples informations peuvent être obtenues à l'adresse suivante: [9]https://pha.edf.com Adresse à laquelle des informations complémentaires peuvent être obtenues: le ou les point(s) de contact susmentionné(s) Les offres ou les demandes de participation doivent être envoyées par voie électronique via: [10]https://pha.edf.com I.6)Activité principale Électricité Section II: Objet II.1)Étendue du marché II.1.1)Intitulé: Marché de maintien en conditions opérationnelles et en condition de sécurité du système dinformatique industriel de lEPR de Flamanville 3 II.1.2)Code CPV principal 72250000 Services de maintenance des systèmes et services d'assistance II.1.3)Type de marché Services II.1.4)Description succincte: Le présent marché couvre lensemble des besoins de lunité EPR FLA3 concernant lassistance technique relative aux opérations de maintenance corrective et/ou préventive ainsi que les prestations de maintien en condition de sécurité du Système dinformatique industriel (SII). La prestation doit également couvrir lassistance technique afin daccompagner lexploitant dans les évolutions à venir du SII. Cette prestation concerne le niveau 3 du CNPE de Flamanville 3 EPR. II.1.5)Valeur totale estimée II.1.6)Information sur les lots Ce marché est divisé en lots: non II.2)Description II.2.1)Intitulé: II.2.2)Code(s) CPV additionnel(s) II.2.3)Lieu d'exécution Code NUTS: FR FRANCE Lieu principal d'exécution: Flamanville 3. II.2.4)Description des prestations: La prestation attendue est une prestation de service permettant dassurer le maintien en conditions opérationnelles et en conditions de sécurités dune solution informatique industrielle dédiée à lEPR de Flamanville 3. La prestation couvre plusieurs périmètres: assistance de niveau 3 et 4 (norme AFNOR FD X 60-025 de décembre 2019) aux exploitants du système dinformatique industriel; maintenance logicielle, réseau et matériel; hébergement en France dune plate-forme dintégration du système dinformatique industriel; veille technologique et bilan dobsolescence sur lensemble des logiciels et matériels concernés; gestion des vulnérabilités et analyse dimpact; expertise cybersécurité, réseau informatique et logicielle. II.2.5)Critères dattribution Le prix n'est pas le seul critère d'attribution et tous les critères sont énoncés uniquement dans les documents du marché II.2.6)Valeur estimée II.2.7)Durée du marché, de l'accord-cadre ou du système d'acquisition dynamique Durée en mois: 96 Ce marché peut faire l'objet d'une reconduction: non II.2.9)Informations sur les limites concernant le nombre de candidats invités à participer Nombre minimal envisagé: 3 Nombre maximal: 5 Critères objectifs de limitation du nombre de candidats: Après l'application des critères éliminatoires, EDF appliquera le critère noté suivant (cf: III.1.3)): cas test. II.2.10)Variantes Des variantes seront prises en considération: non II.2.11)Information sur les options Options: oui Description des options: La durée du marché mentionnée à la rubrique II.2.7) comprend les options de durée: huit options de six mois. II.2.12)Informations sur les catalogues électroniques II.2.13)Information sur les fonds de l'Union européenne Le contrat s'inscrit dans un projet/programme financé par des fonds de l'Union européenne: non II.2.14)Informations complémentaires Section III: Renseignements dordre juridique, économique, financier et technique III.1)Conditions de participation III.1.1)Habilitation à exercer l'activité professionnelle, y compris exigences relatives à l'inscription au registre du commerce ou de la profession Liste et description succincte des conditions: le candidat doit fournir une déclaration sur l'honneur pour justifier qu'il n'entre dans aucun des cas mentionnés aux articles L. 2141-1 à L. 2141-5 et L. 2141-7 à L. 2141-11 du code de la commande publique notamment quil satisfait aux obligations concernant lemploi des travailleurs handicapés définies aux articles L. 5212-1 à L. 5212-11 du code du travail. Cette déclaration est à produire par les candidats individuels, par chacun des membres d'un groupement candidat et, le cas échéant, par les sous-traitants présentés; le candidat doit remettre un extrait du registre pertinent tel quun extrait K-bis, ou, à défaut, un document équivalent, permettant d'identifier le candidat. Ce document est à fournir par les candidats individuels et par chacun des membres d'un groupement candidat; si le candidat est en redressement judiciaire, il doit produire la copie du ou des jugements prononcés pour justifier quil est habilité à poursuivre ses activités pendant la durée dexécution du marché. Ce document est à fournir par les candidats individuels et par les membres concernés d'un groupement candidat; le candidat doit fournir les certificats délivrés par les administrations et organismes compétents prouvant quil a satisfait à ses obligations fiscales et sociales. Ces certificats sont à fournir par les candidats individuels et par chacun des membres d'un groupement candidat. III.1.2)Capacité économique et financière Liste et description succincte des critères de sélection: Le candidat doit fournir les états financiers (bilans et comptes de résultats) des trois derniers exercices disponibles attestant de sa pérennité financière. Si, compte tenu de la date de création de son entreprise, le candidat ne dispose pas de l'ensemble des informations, remettre des justificatifs équivalents. Niveau(x) spécifique(s) minimal/minimaux exigé(s): Le candidat doit disposer d'un chiffre d'affaires annuel moyen sur les trois derniers exercices disponibles supérieur à 5 000 000 dEUR en cas de candidature. III.1.3)Capacité technique et professionnelle Liste et description succincte des critères de sélection: Le candidat doit fournir obligatoirement les engagements demandés ci-dessous sous forme de mémoire technique. Il doit fournir avec sa candidature les justificatifs mentionnés et l'intégralité des documents demandés. EDF vérifiera l'exactitude des données fournies par le candidat; toute donnée erronée sera considérée comme éliminatoire. I) Critères éliminatoires ci-après: A) Références réseau, doit justifier la réalisation ou la maintenance d'au moins cinq projets justifiant les compétences suivantes: 1) analyse de protocole, 2) gestion de routage, 3) règles de firewall, 4) câblage fibre, cuivre. B) Références sécurité, doit justifier la réalisation ou la maintenance d'au moins cinq projets justifiant les compétences suivantes: 1) gestion d'un annuaire LDAP; 2) mise en uvre de solutions s'appuyant sur un radius; 3) conception d'architectures sécurisées. C) Compétences et références solutions identifications fortes: 1) doit justifier la réalisation ou la maintenance d'au moins cinq projets justifiant ces compétences; 2) nécessité de disposer d'au moins deux experts du domaine (profils + présence de plus de six mois dans l'entreprise). D) Capacité et références protection de l'information: 1) doit justifier de la réalisation d'au moins deux projets de sécurisation de SI sensibles; 2) doit justifier sa capacité à respecter et appliquer les règles relatives à la protection des informations relevant du secret de la défense nationale notamment ceux ayant la mention «spécial France» (application de linstruction générale interministérielle n^o 1300/SGDN sur la protection du secret de la défense nationale, notamment son article 65 (mention «spécial France») et son annexe 3 relative aux règles de protection des informations ou supports portant la mention diffusion restreinte). E) Compétences Cybersécurité (profils + présence de plus de six mois dans l'entreprise): 1) doit disposer de deux ingénieurs cybersécurité; 2) doit disposer de un expert cybersécurité ayant capacité à accéder à des données «diffusion restreinte spécial France». F) Expériences en lien avec les milieux industriels (au moins trois projets justifiant ces connaissances): 1) doit justifier sa connaissance du fonctionnement des réseaux industriels en général, ainsi quune spécialisation dans un ou plusieurs secteurs d'OIV. G) Connaissances réglementaires et normatives: 1) doit justifier ses connaissances du référentiel normatif en vigueur et des principales normes applicables au secteur du nucléaire (IEC 61513, IEC 60880, IEC 61226, IEC 62138, CEI 62645); 2) doit justifier ses connaissances du référentiel normatif en vigueur et des principales normes applicables aux technologies de linformation techniques de sécurité (ISO 2700x); 3) doit justifier ses connaissances de la réglementation étatique, pour la protection des installations dimportance vitale, secteur du nucléaire plus particulièrement (code de la défense articles L/R 1332-1 et suivants, maîtrise des bonnes pratiques et guides de référence ANSSI). H) Mise en uvre opérationnelle de la sécurité de systèmes dinformation industriels, doit justifier son savoir-faire en matière de sécurisation de systèmes industriels et de mise en uvre de Maintien en conditions de sécurité (MCS), au travers de projets de réalisation permettant de démontrer la maîtrise de l'ensemble des activités suivantes: 1) réalisation danalyses de risques en sécurité informatique; 2) définition de programme de sécurisation; 3) conception et/ou implémentation darchitectures sécurisées; 4) conduite daudit de vulnérabilité; 5) analyse et validation de solutions COTS sécurité; 6) validation d'applicatifs et d'outils à déployer sur les systèmes et infrastructures en respect des schémas de sécurité en place (durcissement des configurations, authentification, confidentialité, imputabilité); 7) qualification d'évolutions techniques; 8) veille technologique sur lévolution des système. Niveau(x) spécifique(s) minimal/minimaux exigé(s): Critères éliminatoires(suite): H) 10:10 Mise en uvre de plans daction de renforcement de la sécurité. I) Compétences et références traitement d'incidents, doit décrire sa participation à au moins deux crises cybersécurité en termes d'assistance à l'analyse et au traitement sur tout ou partie des activités suivantes: 1) qualification d'incident technique avancé dans le cadre dune opération de cyberdéfense ou de crises majeures; 2) proposition et suivi d'actions techniques nécessaires à une investigation et à une résolution dincidents; 3) soutien technique aux opérations dinvestigation numérique (recueil et analyse dimages disques ou dimages mémoires, de journaux dévénements, de traces système, réseau et applicatives, rédaction des rapports, soutien technique et logistique aux opérations, etc.); 4) Contribution aux retours dexpériences sur les opérations de cyberdéfense et proposition d'axes daméliorations; J) Compétences et références Forensic, doit justifier la réalisation d'analyses d'investigation sur logs systèmes Windows et linux sur l'ensemble des activités suivantes: 1) Recueil d'éléments techniques nécessaires aux investigations numériques des incidents pour en évaluer la gravité; 2) Qualification et analyse des éléments (relevés techniques, dimages disques, dimages mémoires, de journaux dévénements et de traces système, réseau et applicatives, ainsi que lanalyse statique et dynamique de codes et documents malveillants) déterminer la cause de lincident, le mode opératoire de lattaque (vulnérabilités utilisées...), létendue et le périmètre de compromission; 3) Préconisation des mesures de remédiation pour limiter la compromission, enrayer lactivité de lattaquant et assurer le durcissement de la sécurité du SI; K) Compétence et référence en développement d'applications, nécessité de disposer d'au moins deux experts du domaine (profils + présence de plus de six mois dans l'entreprise). Doit justifier la réalisation ou la maintenance d'au moins cinq projets justifiant les compétences suivantes: 1) programmation C++; 2) programmation C; 3) conception base de données Postgre; 4) SQL; 5) systèmes d'exploitation linux (en particulier Red Hat 6 à 8) et Windows; 6) JSON, XML, Web services. L) Compétences et références en veille technologique (justifier d'une expérience d'au moins cinq ans dans chacun des domaines précités): 1) A assuré le suivi sur plusieurs années de système d'exploitation, de logiciels, de matériel avec mise en uvre de correctifs; 2) traitement des obsolescences; 3) restitutions de REX au minimum annuels. M) Possibilité d'hébergement de quatre baies 42 U: 1) locaux situés en France, sécurisés (contrôle d'accès), climatisés, équipés d'une source d'énergie sécurisée. N) Compétences et références KVM: 1) doit justifier la réalisation d'au moins cinq projets justifiant ces compétences; O) Qualification & habilitation (les personnes référencées pour le projet devront disposer des titres nécessaires, fournir la liste): 1) doit justifier dune qualification PASSI (Prestataires daudit de la sécurité des systèmes dinformation) délivrée par lANSSI (Agence nationale de la sécurité des SI) ou dune qualification équivalente; 2) habilitations nécessaires pour accéder au CNPE (électrique, radioprotection...) (doit justifier d'au moins trois années d'intervention au sein des CNPE; 3) habilitation électrique nécessaires pour la maintenance des onduleurs (1B2 et 1B1); 4) certification ISO 9001 ou équivalent. P) Compétence et référence en prévention sécurité (interventions dans le cadre des décrets 92 et/ou 94): 1) doit justifier la réalisation d'au moins cinq projets sur trois ans nécessitant des compétences de coactivités et/ou de travaux en milieu industriel; Q) Cas test ci-dessous (Cf. § II) Critère avec notation): 1) nécessité de disposer d'au moins deux experts du domaine (profils + présence de plus de six mois dans l'entreprise). II) Critère avec notation: cas test cf. § VI.3). III.1.4)Règles et critères objectifs de participation III.1.5)Informations sur les marchés réservés III.1.6)Cautionnement et garanties exigés: III.1.7)Modalités essentielles de financement et de paiement et/ou références aux textes qui les réglementent: Financement sur ressources propres. Paiement à 60 jours à compter de la date démission de facture et versement d'acomptes correspondants aux prestations réalisées. III.1.8)Forme juridique que devra revêtir le groupement d'opérateurs économiques attributaire du marché: EDF accepte les groupements d'entreprises conjoints ou solidaires. En cas de groupement, lun des membres du groupement est désigné comme mandataire. Celui-ci est solidaire, pour lexécution du marché, de chacun des membres du groupement pour ses obligations contractuelles à légard dEDF. Sans préjudice de l'article L. 2141-13 du code de la commande publique, la composition du groupement ne peut pas être modifiée entre la date de remise des candidatures et la date de signature du marché, sauf en cas de restructuration de société ou si le groupement apporte la preuve qu'un de ses membres se trouve dans l'impossibilité d'accomplir sa tâche pour des raisons qui ne sont pas de son fait. Par ailleurs, un soumissionnaire, qui proposera une offre au titre d'un groupement d'entreprises, ne pourra pas remettre d'offre à titre individuel ou au titre d'un autre groupement. III.2)Conditions liées au marché III.2.1)Information relative à la profession III.2.2)Conditions particulières d'exécution: La sous-traitance est limitée au rang 1. III.2.3)Informations sur les membres du personnel responsables de l'exécution du marché Section IV: Procédure IV.1)Description IV.1.1)Type de procédure Procédure négociée avec appel à la concurrence préalable IV.1.3)Information sur l'accord-cadre ou le système d'acquisition dynamique Le marché implique la mise en place d'un accord-cadre Accord-cadre avec un seul opérateur IV.1.4)Informations sur la réduction du nombre de solutions ou d'offres durant la négociation ou le dialogue IV.1.6)Enchère électronique IV.1.8)Information concernant laccord sur les marchés publics (AMP) Le marché est couvert par l'accord sur les marchés publics: oui IV.2)Renseignements d'ordre administratif IV.2.1)Publication antérieure relative à la présente procédure IV.2.2)Date limite de réception des offres ou des demandes de participation Date: 27/07/2020 Heure locale: 15:00 IV.2.3)Date denvoi estimée des invitations à soumissionner ou à participer aux candidats sélectionnés IV.2.4)Langue(s) pouvant être utilisée(s) dans l'offre ou la demande de participation: français IV.2.6)Délai minimal pendant lequel le soumissionnaire est tenu de maintenir son offre IV.2.7)Modalités douverture des offres Section VI: Renseignements complémentaires VI.1)Renouvellement Il s'agit d'un marché renouvelable: non VI.2)Informations sur les échanges électroniques La facturation en ligne sera acceptée VI.3)Informations complémentaires: les candidats doivent manifester leur intérêt à lavis de marché en se connectant au portail achats ([11]https://pha.edf.com) et en accédant à la demande d'informations RFx_088379, ainsi que, le cas échéant, les autres modalités relatives au portail achats; lentreprise intéressée souhaitant faire acte de candidature et nétant pas inscrite à portail achats EDF, devra sy enregistrer; un document intitulé «identification des membres du groupement et répartition des prestations groupement momentané d'entreprises solidaire ou conjoint» est disponible dans l'espace collaboratif dédié aux fournisseurs du portail achats; EDF se réserve la possibilité d'attribuer le marché sur la base des offres initiales sans négociation; dans le cadre de la dématérialisation de ses procédures, EDF SA informe l'ensemble des soumissionnaires que la signature électronique des marchés est privilégiée, que ceux-ci soient attribués à une seule entreprise ou à un groupement d'entreprises; la consultation sera effectuée par e-tender via le portail achats électronique dEDF ([12]https://pha.edf.com); ci-après, texte complet de présentation du cas test (§ III.1.2) Critère avec notation) auquel le candidat doit répondre à l'avis de marché: Cas test: Merci de décrire précisément et de façon détaillée une solution de raccordement dun serveur Red Hat 6 à un réseau industriel utilisant le protocole 802.1x. Quelle méthode dauthentification allez-vous implémenter: détailler la solution et la qualifier. Quelle sera la configuration du serveur: lister les applications et packages nécessaires. Quelle sera la configuration du Switch devant authentifier le serveur (préciser la configuration du port ethernet, les paramètres de VLAN, les accesslists...) ? De quels autres services aurez-vous besoin pour authentifier le serveur ? Détailler le processus dauthentification du serveur sur le réseau en décrivant toute la chaîne de communication, les protocoles réseau utilisés. Comment seront gérés les flux dadministration du serveur ? Comment seront gérés les flux de données du serveur ? Comment identifier lexécution dactions non autorisées sur le serveur ? Quelle méthode utiliseriez-vous pour identifier et traiter les risques induits ? Le serveur devra communiquer avec une machine cliente suivant un protocole de communication défini par EDF. Il sappuiera sur une application dédiée disposant dune IHM graphique. Sur quel langage de programmation allez-vous vous appuyer ? Quelles seront les bibliothèques utilisées ? Justifiez votre choix (avantages inconvénients). Comment paramétriez-vous un firewall pour filtrer ce flux entre le serveur et le client ? Listez les paramètres pour un firewall CISCO. Listez les paramètres pour un firewall Stormshield. Etes-vous certifié CISCO ? VI.4)Procédures de recours VI.4.1)Instance chargée des procédures de recours Nom officiel: Tribunal judiciaire de Paris Adresse postale: parvis du Tribunal de Paris Ville: Paris Cedex 17 Code postal: 75859 Pays: France Téléphone: +33 144325151 Adresse internet: [13]https://www.tribunal-de-paris.justice.fr VI.4.2)Organe chargé des procédures de médiation VI.4.3)Introduction de recours VI.4.4)Service auprès duquel des renseignements peuvent être obtenus sur l'introduction de recours Nom officiel: Greffe du tribunal judiciaire de Paris Adresse postale: parvis du Tribunal de Paris Ville: Paris Cedex 17 Code postal: 75859 Pays: France Téléphone: +33 144325151 Adresse internet: [14]https://www.tribunal-de-paris.justice.fr VI.5)Date denvoi du présent avis: 26/06/2020 -------------------------------------------------------------------------------- Database Operation & Alert Service (icc-hofmann) for: The Office for Official Publications of the European Communities The Federal Office of Foreign Trade Information Phone: +49 6082-910101, Fax: +49 6082-910200, URL: http://www.icc-hofmann.de