POSER UNE QUESTION A L'ACHETEUR PUBLIC A PROPOS DE LA CONSULTATION

Réponse

Bonjour,

La Ville a un véhicule de 9 places, un RENAULT TRAFIC (ligne 62 de la liste des véhicules), et le CCAS a également un véhicule de 9 places, un FORD TRANSIT (ligne 83).

Cordialement,

Service Marchés Publics

Liste des questions

Question n°5

Bonjour,
Concernant la flotte automobile, pouvez-vous m'indiquer si vous détenez des véhicules de plus de 9 places ?
Dans l'affirmative, quels sont-ils ?
Je vous remercie.

Cordialement,

Réponse

Bonjour

Vous pourrez trouver ci-dessous les réponse:

Au cours des 5 derniers années, avez-vous déjà été victime de cyber attaques vous ayant causé des préjudices financiers ? NON
Combien de postes informatiques possédez-vous ? ? De 0 à 20 ? De 21 à 50 ? Plus de 50 : Plus de 100
Avez-vous un site internet ou un extranet ? OUI pour un site Internet
Si OUI :
- Le contrat d'hébergement de votre site intègre-t-il une solution anti-DDoS ?
OUI ? NON ?
- Votre site est-il un point d'accès pour vos salariés et/ou vos partenaires ? NON
- Votre site intègre-t-il des services de vente de produits et/ou de services en ligne ? NON
Détenez-vous des informations soumises à une obligation de confidentialité renforcée (secret des affaires, secret professionnel ou secret médical) dans votre système informatique ?
OUI ? NON ?
Si OUI à cette question, répondre à la question suivante :
- Ces informations concernent-elles des tiers (par exemple, vos clients, vos sous-traitants ou vos fournisseurs...) ?
OUI ? NON ?
L'option firewall de vos postes de travail est-elle activée ? OUI
Avez-vous des outils de filtrage réseau sur votre système informatique ? OUI
Avez-vous mis en place un plan de continuité d'activité (PCA) traitant de l'indisponibilité de votre système informatique ? OUI
A quelle fréquence les sauvegardes de l'ensemble des données nécessaires à votre activité sont-elles effectuées ?
Une seule réponse possible
? Quotidiennement
? Hebdomadairement
? Moins fréquemment

Comment les sauvegardes de l'ensemble des données nécessaires à votre activité sont-elles effectuées ?
Plusieurs réponses possibles
Sur des supports de stockage conservés en dehors des locaux de l'entreprise ? OUI sauvegardes sur des NAS dédiés situés dans des locaux fermés dans d'autres bâtiments de la Ville

Sur des services sur internet configuré pour réaliser des sauvegardes en ligne (ex : cloud) ? NON
Sur des supports déconnectés des postes informatiques ? OUI

Utilisez-vous un antivirus payant, à jour et dont la licence est en cours de validité ? OUI
Si non, utilisez-vous un antivirus gratuit avec mise à jour régulière ?
OUI ? NON ?
Imposez-vous une mise à jour trimestrielle des mots de passe de vos collaborateurs ? NON
Avez-vous mis en place des règles de sécurisation des mots de passe ? NON
Vos collaborateurs sont-ils sensibilisés aux risques numériques et à leurs conséquences ? NON
Avez-vous mis en place une politique ou une charte de sécurité informatique formalisée, pilotée et régulièrement communiquée à l'ensemble de vos collaborateurs ? NON

Cordialement,

Service Marchés Publics

Liste des questions

Question n°3

LOT CYBER
Bonjour
Afin de nous permettre de vous communiquer une cotation, nous vous remercions de bien vouloir compléter le questionnaire cyber ci-dessous.
En vous remerciant par avance
Cordialement,

Nombre de salariés : …………………………………………….
Budget de fonctionnement : ……………………………………. (€) de l’année …………………

Au cours des 5 derniers années, avez-vous déjà été victime de cyber attaques vous ayant causé des préjudices financiers ?
OUI ? NON ?
Combien de postes informatiques possédez-vous ? ? De 0 à 20 ? De 21 à 50 ? Plus de 50

Avez-vous un site internet ou un extranet ?
OUI ? NON ?
Si OUI :
- Le contrat d’hébergement de votre site intègre-t-il une solution anti-DDoS ?
OUI ? NON ?

- Votre site est-il un point d’accès pour vos salariés et/ou vos partenaires ?
OUI ? NON ?

- Votre site intègre-t-il des services de vente de produits et/ou de services en ligne ?
OUI ? NON ?
Si OUI à cette question, répondre aux questions suivantes :
- Votre site internet est-il sécurisé via un protocole HTTPS ?
OUI ? NON ?

- Conservez-vous les données bancaires de vos clients ou fournisseurs ?
OUI ? NON ?

-Etes-vous référencé comme sous-traitant / fournisseur dans des grandes entreprises ou des administrations ?
OUI ? NON ?


Détenez-vous des informations soumises à une obligation de confidentialité renforcée (secret des affaires, secret professionnel ou secret médical) dans votre système informatique ?
OUI ? NON ?

Si OUI à cette question, répondre à la question suivante :

- Ces informations concernent-elles des tiers (par exemple, vos clients, vos sous-traitants ou vos fournisseurs…) ?
OUI ? NON ?

L’option firewall de vos postes de travail est-elle activée ?
OUI ? NON ? Ne Sait Pas ?

Avez-vous des outils de filtrage réseau sur votre système informatique ?
OUI ? NON ? Ne Sait Pas ?

Avez-vous mis en place un plan de continuité d’activité (PCA) traitant de l’indisponibilité de votre système informatique ?
OUI ? NON ? Ne Sait Pas ?

A quelle fréquence les sauvegardes de l’ensemble des données nécessaires à votre activité sont-elles effectuées ?

Une seule réponse possible
? Quotidiennement
? Hebdomadairement
? Moins fréquemment

Comment les sauvegardes de l’ensemble des données nécessaires à votre activité sont-elles effectuées ?
Plusieurs réponses possibles
• Sur des supports de stockage conservés en dehors des locaux de l’entreprise ?
OUI ? NON ?

• Sur des services sur internet configuré pour réaliser des sauvegardes en ligne (ex : cloud) ?
OUI ? NON ?

• Sur des supports déconnectés des postes informatiques ?
OUI ? NON ?

Utilisez-vous un antivirus payant, à jour et dont la licence est en cours de validité ?
OUI ? NON ?
Si non, utilisez-vous un antivirus gratuit avec mise à jour régulière ?
OUI ? NON ?

Imposez-vous une mise à jour trimestrielle des mots de passe de vos collaborateurs ?
OUI ? NON ?

Avez-vous mis en place des règles de sécurisation des mots de passe ?
OUI ? NON ?


Vos collaborateurs sont-ils sensibilisés aux risques numériques et à leurs conséquences ?
OUI ? NON ?
Si OUI, précisez les dispositifs déployés dans votre entreprise :
Plusieurs réponses possibles
- Des simulations d'attaques par phishing (hameçonnage) ? OUI ? NON ?

- Des formations présentiels ou e-learning ? OUI ? NON ?

- La diffusion de guide de bonnes pratiques ? OUI ? NON ?

Avez-vous mis en place une politique ou une charte de sécurité informatique formalisée, pilotée et régulièrement communiquée à l'ensemble de vos collaborateurs ?
OUI ? NON ?

Réponse

Bonjour,

Le budget de fonctionnement de la Ville est de 7.191.908,75 € et le budget de fonctionnement du CCAS est de 1.977.406,07 €.

Le nombre d'employé de la Ville est de 304 et le nombre d'employé du CCAS est de 23.

Cordialement,

Service Marchés Publics

Liste des questions

Question n°4

LOT CYBER
Merci de nous indiquer le budget de fonctionnement de la collectivité ainsi que le nombre d'employé.

Réponse

LOT CYBER
Bonjour,

Dans le cadre du lot Cyber nous vous remercions de répondre aux questions suivantes, indispensables afin d'analyser le risque :
- Avez-vous les compétences de la production, distribution d'électricité et d'eau potable : non
- Détenez-vous les données personnelles sensibles de plus de 100 000 (cent mille) personne ?
- Réalisez-vous des sauvegardes de tous vos systèmes et données ?
- Quelle est votre solution de sauvegarde ? Veeam Backup + Synology Backup double système pour les applications critiques, sauvegardes Synology pour les données non structurées vers NAS de sauvegarde
? En une sauvegarde physique maintenue déconnectée de ses systèmes à un moment donnée NON
? En une sauvegarde cloud En cours de préparation pour 2024
? En une sauvegarde sur un serveur NAS OUI
- Le délai de rétention de vos sauvegardes est-il au moins de 30 jours ? OUI
- L'accès à vos sauvegardes est-il possible qu'aux comptes avec des droits administrateurs ? OUI
- Dans la négative, l'accès est-il contrôlé avec une authentification multifactorielle ?
- Mettez-vous à jour vos logiciels et systèmes (y compris anti-virus et pare-feu) dans les 30 jours suivants la mise à disposition de patchs par le fabricant ? OUI
- Utilisez-vous les systèmes d'exploitation dont les mises à jour ne sont plus supportées par leur fabricant ? OUI
- Dans la positive avez-vous prévu une migration de ces systèmes avant la prise de garantie de l'assurance du présent lot ? migration en 2025 - 2026
- Limitez-vous les privilèges administrateurs aux seuls utilisateurs qui en ont besoin ? dans la mesure du possible 
- Les administrateurs possèdent-ils tous deux comptes : un pour leurs missions d'administrateurs et un pour les usages quotidiens ? OUI
- Si vous acceptez-vous les paiements par carte bancaire en ligne, vos prestaires de paiement externalisés ont-ils le niveau PCI correspondant ? (sans objet)
- Dans le cadre d'un GIE, détenez-vous un accès à distance au réseau informatique de vos membres/clients ? (sans objet)
- Si votre budget de fonctionnement est supérieur à 10 000 000€, avez-vous recours à l'authentification multifactorielle pour les administrateurs pour gérer les connexions à distance ? Non
- Si votre budget de fonctionnement est supérieur à 25 000 000€, avez-vous recours à l'authentification multifactorielle pour l'ensemble des utilisateurs pour gérer les connexions à distance ?
- Avez-vous subi un sinistre cyber au cours des cinq dernières années ? NON
- Avez-vous fait l'objet d'une ou plusieurs enquêtes administratives ? NON
- Avez-vous connaissance d'évènements ou circonstances pouvant donner lieu à la mise en jeu de la garantie ? NON

Cordialement,

Service Marchés Publics

Liste des questions

Question n°2

LOT CYBER
Bonjour,

Dans le cadre du lot Cyber nous vous remercions de répondre aux questions suivantes, indispensables afin d’analyser le risque :

- Budget de fonctionnement de l’entité publique à couvrir (ou ensemble des collectivités dans le cadre d’un groupement d’achat) : ………………….
- Activité de l’entité publique à couvrir : ………….
- Avez-vous les compétences de la production, distribution d’électricité et d’eau potable : oui/non
- Détenez-vous les données personnelles sensibles de plus de 100 000 (cent mille) personne ?
- Réalisez-vous des sauvegardes de tous vos systèmes et données ?
- Quelle est votre solution de sauvegarde ?
? En une sauvegarde physique maintenue déconnectée de ses systèmes à un moment donnée
? En une sauvegarde cloud
? En une sauvegarde sur un serveur NAS
- Le délai de rétention de vos sauvegardes est-il au moins de 30 jours ?
- L’accès à vos sauvegardes est-il possible qu’aux comptes avec des droits administrateurs ?
- Dans la négative, l’accès est-il contrôlé avec une authentification multifactorielle ?
- Mettez-vous à jour vos logiciels et systèmes (y compris anti-virus et pare-feu) dans les 30 jours suivants la mise à disposition de patchs par le fabricant ?
- Utilisez-vous les systèmes d’exploitation dont les mises à jour ne sont plus supportées par leur fabricant ?
- Dans la positive avez-vous prévu une migration de ces systèmes avant la prise de garantie de l’assurance du présent lot ?
- Limitez-vous les privilèges administrateurs aux seuls utilisateurs qui en ont besoin ?
- Les administrateurs possèdent-ils tous deux comptes : un pour leurs missions d’administrateurs et un pour les usages quotidiens ?
- Si vous acceptez-vous les paiements par carte bancaire en ligne, vos prestaires de paiement externalisés ont-ils le niveau PCI correspondant ?
- Dans le cadre d’un GIE, détenez-vous un accès à distance au réseau informatique de vos membres/clients ?
- Si votre budget de fonctionnement est supérieur à 10 000 000€, avez-vous recours à l’authentification multifactorielle pour les administrateurs pour gérer les connexions à distance ?
- Si votre budget de fonctionnement est supérieur à 25 000 000€, avez-vous recours à l’authentification multifactorielle pour l’ensemble des utilisateurs pour gérer les connexions à distance ?
- Avez-vous subi un sinistre cyber au cours des cinq dernières années ?
- Avez-vous fait l’objet d’une ou plusieurs enquêtes administratives ?
- Avez-vous connaissance d’évènements ou circonstances pouvant donner lieu à la mise en jeu de la garantie ?

Réponse

LOT CYBER
Fiche de Déclaration du Risque

Nom de domaine : mairie-woippy.fr
Nom du représentant dûment autorisé par la société : Cédric GOUTH
Sécurité des applications :
1) Les logiciels et OS que vous utilisez sont-ils toujours maintenus par leurs éditeurs ? Oui pour les postes de travail, non pour les serveurs (1 serveur Centos 6, 2 serveurs Windows 2012 R2 (ex : pas de version Windows antérieure à Windows 10) ? Si Non, pouvez-vous lister les éventuels systèmes non maintenus avec la politique de sécurité associée.
2) Tous vos équipements sont-ils équipés d'un antivirus à jour ? OUI
? Vos postes de travail Windows ? OUI
? Vos serveurs Windows ? OUI
3) Avez-vous mis en place une solution d'anti-phishing (ex : identification et blocage des emails de phishing)  NON , modules anti-fishing de base dans la solution Eset Endpoint security des postes de travail? Si oui, précisez la solution utilisée.
4) Avez-vous activé un pare-feu sur tous vos systèmes exposés à l'extérieur de votre réseau ? Si oui, précisez la solution utilisée. OUI, Eset Endpoint Security
5) A quelle fréquence effectuez-vous les mises à jour de sécurité pour l'ensemble des logiciels que vous utilisez ? Automatique pour les systèmes Windows. Précisions des logiciels qui ont une politique de mise à jour moins fréquente. : pour les logiciels métiers, en fonction des éditeurs
Sauvegarde des données et restauration :
6) A quelle fréquence effectuez-vous des sauvegardes de vos données sur des supports déconnectés et isolés de votre réseau une fois les sauvegardes effectuées ? Pas de sauvegarde déconnectée automatique Une sauvegarde dans le Cloud est en cours pour 2024. Précisions éventuelles sur votre système de sauvegarde. Interne : Veeam Backup & Replication sur NAS de sauvegarde (2 ) + sauvegarde Synology vers un 3ième NAS.
7) A quelle fréquence effectuez-vous des tests de restauration à partir de vos sauvegardes ? Trimestrielle mais mise en place d'une solution Veeam avec vérification des sauvegardes pour 2024. Précisions éventuelles sur les tests de restauration.
Sécurité des systèmes :
8) Disposez-vous d'une journalisation (logs) des évènements de sécurité (ex : accès des utilisateurs aux applications, attribution de nouveaux droits d'accès, création de nouveaux utilisateurs, etc.) pour l'ensemble de vos ordinateurs et serveurs sur une durée d'au moins 15 jours ? NON, les logs sont centralisés sur un serveur de logs.
9) Avez-vous mis en place une solution centralisée de remontée et de corrélation des évènements de sécurité (logs) pour vos ordinateurs et serveurs (ex : EDR, XDR, etc.) ?  Le système ESET endpoint sécurity déployé est centralisé sur un serveur Eset avec remontée des alertes des postes et serveurs.
Sécurité des accès :
10) Avez-vous mis en place une authentification multi facteurs (MFA) pour l'ensemble de vos systèmes critiques internes et externes et vos accès distants ?  NON .Si Non, listez les systèmes critiques qui ne disposent pas de MFA et la politique d'accès associée. Pas de MFA sur les systèmes de la Ville.
11) Avez-vous mis en place différents niveaux de droits d'accès en fonction des besoins métier de vos utilisateurs sur l'ensemble de vos systèmes critiques ? OUI Si Non, listez les systèmes critiques sans droits d'accès limités et la politique de sécurité associée.
12) Limitez-vous les privilèges "administrateurs" exclusivement aux utilisateurs qui en ont besoin ? OUI
13) Confirmez-vous que vos utilisateurs ne sont pas administrateurs de leurs postes de travail ? certains le sont en fonction des besoins de certaines applications
14) Chaque utilisateur dispose-t-il de compte nominatif pour se connecter au système d'information, aux applications métier et aux systèmes critiques de l'entreprise ? OUI
15) Imposez-vous une connexion par VPN pour tous les accès distants à vos systèmes critiques ? OUI pour les postes portables sinon accès à un serveur TS limité à certains utilisateurs.
16) L'ensemble de vos mots passe sont-ils robustes (min 15 caractères incluant des capitales, minuscules, chiffres et caractères spéciaux.) ? NON
17) Les ports RDP (Remote Desktop Protocol) de votre réseau sont-ils fermés ? NON
Gouvernance :
18) Avez-vous inventorié l'ensemble de votre parc informatique (équipements, logiciels, données, accès, interconnexions avec l'extérieur, etc.) ? Oui pour le matériel et les logiciels
19) Quel volume de données traitez-vous ? 3 To
Volumes donnés à caractère personnel sensibles ?
? Volume données bancaires ?
? Volume données de santé ?
20) Listez les mesures de protection mises en place pour sécuriser vos données (DLP, chiffrement des données, classification des données, blocage des ports USB, etc.) ? Données stockées sur des NAS avec accès limité par utilisateur. Données des applications accessibles par droit utilisateur.

Cordialement,

Service Marchés Publics

Liste des questions

Question n°1

LOT CYBER
Fiche de Déclaration du Risque

Société / Collectivité :
SIRET :
Contact Société / Collectivité :
Nombre d'employés :
Chiffre d’affaires / Budget de fonctionnement :
Code NAF :
Nom de domaine :
Nom du représentant dûment autorisé par la société :
Sécurité des applications :
1) Les logiciels et OS que vous utilisez sont-ils toujours maintenus par leurs éditeurs ? (ex : pas de version Windows antérieure à Windows 10) ? Si Non, pouvez-vous lister les éventuels systèmes non maintenus avec la politique de sécurité associée.

2) Tous vos équipements sont-ils équipés d’un antivirus à jour ?
? Vos postes de travail Windows ?
? Vos serveurs Windows ?

3) Avez-vous mis en place une solution d'anti-phishing (ex : identification et blocage des emails de phishing) ? Si oui, précisez la solution utilisée.

4) Avez-vous activé un pare-feu sur tous vos systèmes exposés à l’extérieur de votre réseau ? Si oui, précisez la solution utilisée.

5) A quelle fréquence effectuez-vous les mises à jour de sécurité pour l'ensemble des logiciels que vous utilisez ? Précisions des logiciels qui ont une politique de mise à jour moins fréquente.
Sauvegarde des données et restauration :
6) A quelle fréquence effectuez-vous des sauvegardes de vos données sur des supports déconnectés et isolés de votre réseau une fois les sauvegardes effectuées ? Précisions éventuelles sur votre système de sauvegarde.

7) A quelle fréquence effectuez-vous des tests de restauration à partir de vos sauvegardes ? Précisions éventuelles sur les tests de restauration.

Sécurité des systèmes :
8) Disposez-vous d’une journalisation (logs) des évènements de sécurité (ex : accès des utilisateurs aux applications, attribution de nouveaux droits d’accès, création de nouveaux utilisateurs, etc.) pour l’ensemble de vos ordinateurs et serveurs sur une durée d’au moins 15 jours ?

9) Avez-vous mis en place une solution centralisée de remontée et de corrélation des évènements de sécurité (logs) pour vos ordinateurs et serveurs (ex : EDR, XDR, etc.) ?

Sécurité des accès :
10) Avez-vous mis en place une authentification multi facteurs (MFA) pour l'ensemble de vos systèmes critiques internes et externes et vos accès distants ? Si Non, listez les systèmes critiques qui ne disposent pas de MFA et la politique d'accès associée.

11) Avez-vous mis en place différents niveaux de droits d'accès en fonction des besoins métier de vos utilisateurs sur l'ensemble de vos systèmes critiques ? Si Non, listez les systèmes critiques sans droits d'accès limités et la politique de sécurité associée.

12) Limitez-vous les privilèges "administrateurs" exclusivement aux utilisateurs qui en ont besoin ?

13) Confirmez-vous que vos utilisateurs ne sont pas administrateurs de leurs postes de travail ?

14) Chaque utilisateur dispose-t-il de compte nominatif pour se connecter au système d'information, aux applications métier et aux systèmes critiques de l'entreprise ?

15) Imposez-vous une connexion par VPN pour tous les accès distants à vos systèmes critiques ?

16) L'ensemble de vos mots passe sont-ils robustes (min 15 caractères incluant des capitales, minuscules, chiffres et caractères spéciaux.) ?

17) Les ports RDP (Remote Desktop Protocol) de votre réseau sont-ils fermés ?

Gouvernance :
18) Avez-vous inventorié l'ensemble de votre parc informatique (équipements, logiciels, données, accès, interconnexions avec l'extérieur, etc.) ?

19) Quel volume de données traitez-vous ?
• Volumes donnés à caractère personnel sensibles ?
? Volume données bancaires ?
? Volume données de santé ?

20) Listez les mesures de protection mises en place pour sécuriser vos données (DLP, chiffrement des données, classification des données, blocage des ports USB, etc.) ?