Services professionnels en sécurité de l'information (services achetés)

1.1 MANDAT Le Centre opérationnel de Cyberdéfense (COCD) du CISSS de Chaudière-Appalaches (CISSS-CA) souhaite recevoir des offres de services professionnels, sous la forme d’un taux horaire, dans le domaine de la sécurité de l’information. L’adjudicataire fournira les ressources nécessaires à la réalisation du mandat qui consiste à effectuer des tests de pénétration applicatifs, d’infrastructure et infonuagique. Plus spécifiquement :  Effectuer la reconnaissance des points d’entrées possibles ;  Effectuer des tests de sécurité automatisés ;  Effectuer des tests manuels de sécurité à l’aide d’outils reconnus ;  Procéder à la revue de code, si nécessaire ;  Rédiger un rapport des vulnérabilités détectées avec les preuves de concept ;  Identifier les correctifs à apporter ;  S’assurer que les correctifs identifiés ont été appliqués par le détenteur de l’actif ;  Produire un rapport technique avec un sommaire exécutif. L’adjudicataire doit avoir la capacité de réaliser simultanément jusqu’à trois (3) tests d’intrusion. En référence à la section 2 sur les exigences minimales requises, une certification OSCP est requise dans chacune des équipes mobilisées. 1.2 CONTEXTE TECHNOLOGIQUE Le ministère de la Santé et des Services sociaux (MSSS), ses organismes publics et les établissements du réseau de la santé et des services sociaux (RSSS), constitué de trente-quatre (34) établissements situés dans la province de Québec, disposent des plateformes technologiques requises pour le fonctionnement des systèmes médico-administratifs, bureautiques et cliniques propres à chacune des régions. Certains actifs sont exposés sur l’Internet afin d’être accessibles aux utilisateurs ciblés. 1.3 DURÉE DU MANDAT Le mandat débutera vers le 1er août 2024, pour une durée approximative de vingt-quatre (24) mois. Un total de 6 000 heures est requis pour la durée du mandat. Une année optionnelle comportant 3 000 heures supplémentaires sur douze (12) mois pourra être ajoutée à la fin des 24 mois selon les besoins du mandataire. Le premier des événements suivants met fin au contrat : soit la date de fin du contrat ou l’atteinte du montant maximal du contrat. 1.4 LIEU DE RÉALISATION DES TRAVAUX Les travaux se réaliseront en télétravail, à l’intérieur du territoire canadien. Les ressources doivent parler français et l’intégralité des travaux doit être exécutée en français. 1.5 HABILETÉS L’adjudicataire devra clairement démontrer son habileté à communiquer, à développer et à maintenir des relations interpersonnelles harmonieuses, à animer efficacement des rencontres et à faire preuve d’autonomie. 1.6 EXIGENCES RELATIVES À L’EXÉCUTION DU MANDAT L’adjudicataire devra utiliser et se conformer à l’encadrement méthodologique et normatif en vigueur au CISSS-CA. La liste des responsabilités spécifiées à la section 1.1 « Mandat » est non exhaustive. Elle pourrait se préciser en cours de mandat, tout en demeurant dans le domaine des tests de pénétration. 1.7 EXIGENCES EN REGARD DE L’OFFRE DE PRIX L’offre de prix doit être présentée sur la base de « taux horaire ». Les soumissionnaires de services doivent remplir le formulaire « Bordereau de prix » », joint avec la documentation requise afin d’appuyer son offre de services en fonction de l’expérience et des habiletés requises pour le présent mandat. Le taux horaire soumis au formulaire « Bordereau de prix » est applicable pour la durée de validité du mandat, et ce, en tout temps. 2. EXIGENCES MINIMALES REQUISES 2.1 EXPÉRIENCES Les ressources proposées par le prestataire de services doivent minimalement : 1. Détenir un minimum de trois (3) années d’expérience cumulée précisément dans la réalisation de tests de pénétration applicatifs en sécurité de l’information ; 2. Posséder la connaissance pour exécuter des tests d’intrusion sur les applications web et mobiles. 3. Détenir la certification OSCP. 4. Posséder une connaissance approfondie du OWASP top 10. 5. Minimalement, une ressource des ressources mobilisées doit détenir la certification OSEP. Le CISSS-CA procédera à une entrevue avec les ressources proposées afin de vérifier que l’expérience et les connaissances requises sont conformes aux exigences signifiées. En cours de mandat, les tests d’intrusion réalisés pourront-être soumis à un audit de qualité par le Centre Opérationnel de Cyberdéfense. Dans le cas d’un niveau de qualité insuffisant, le CISSS CA se laisse le droit de se prévaloir de la clause d’annulation du contrat 3. INSTRUCTIONS Vous devez remplir le formulaire de soumission et joindre en annexe les références et curriculum vitae.