Direction des systèmes d’Information

Cahier des Clauses Techniques Particulières

Objet du marché :

La présente consultation a pour objet l’acquisition d’une solution offrant les fonctionnalités de mobilité sécurisée, communément appelé réseaux privés virtuels (VPN).

Le présent CCTP comporte 13 feuillets numérotés de 1 à 13.

Université d’Artois CCTP sécurité réseau et mobilité, 20111

1. Présentation de l’établissement

L’Université d’Artois (UA) est un établissement public à caractère scientifique, culturel et professionnel ; et membre du PRES Lille Nord de France. L’UA, dont le siège est situé à Arras, est multipolaire et est présente dans les villes de Béthune, Douai, Lens, Liévin ainsi que dans les sites de son école interne Institut Universitaire de Formation des Maîtres (IUFM), sur les villes de Gravelines, Outreau, Valenciennes et Villeneuve d’Ascq.

Contexte informatique

La Direction des Systèmes d’Information (DSI) a en charge la gestion et la mise en oeuvre des systèmes d’information (SI) de l’établissement.

Le site d’Arras héberge une infrastructure constituée de 150 serveurs, composée en partie de 50 serveurs virtuels, et de baies de stockage SAN, connectés sur un cœur de réseau. Cette infrastructure met à disposition des usagers de l’UA et/ou de l’internet public le SI de l’université au travers d’un agrément au réseau national de l’enseignement supérieur et de la rechercher (RENATER) au travers de la plaque régionale NOROPALE de 200Mb/s.

Les différentes briques du SI couvrent l’ensemble des secteurs d’activité de l’établissement : formation, recherche, administration de l’établissement. Il est potentiellement utilisé par 14500 étudiants et 1485 personnels enseignants, chercheurs, administratifs et techniques de l’université.

Les accès distants au SI, les interconnexions entre le site central et les pôles, et la sécurité du SI répondent aux exigences de la Politique de Sécurité des Systèmes d’Information (PSSI) de l’établissement.

Contacts

Les questions techniques relatives à ce CCTP seront à adresser à :

- Jean-Pierre SANIEZ (jpierre.saniez@univ-artois.fr) 03.21.60.61.90- Olivier DEMORGNY (olivier.demorgny@univ-artois.fr) 03.21.60.49.22

Télécopie : 03.21.60.37.79

Clause de confidentialité

L’objet du présent CCTP portant sur un équipement de sécurité du SI. L’université d’Artois se réserve le droit de ne pas répondre à des questions des candidats qui puissent nuire à l’intégrité et à la confidentialité de la sécurité de ses systèmes d’information.

En outre, le candidat est tenu à un devoir de réserve quant aux informations, concernant la sécurité des systèmes d’information, communiquées dans le cadre de cette consultation.

Université d’Artois CCTP sécurité réseau et mobilité, 20112

2. Objet du marché

2.1 Besoins

Dans le cadre de sa politique de renouvellement des matériels, l’UA souhaite profiter de l’arrivée en fin de vie de certains équipements et du remplacement partiel de serveurs pour :

renouveler sa solution VPN :

- moderniser sa solution d’accès à distance aux réseaux, actuellement constituée d’un concentrateur VPN Cisco modèle 3080 ;

- harmoniser et unifier les solutions d’interconnexions des pôles avec le site central.

Dans un second temps :

- faire converger les solutions de mobilité sécurisée et de sécurité des réseaux ;- consolider et fiabiliser les services de sécurité et de mobilité.

2.2 Intégration dans l’existant

Dans le cadre du remplacement de la solution de mobilité sécurisée (VPN), comme dans l’hypothèse d’une convergence de la mobilité sécurisée et de la sécurité des réseaux, le soumissionnaire devra proposer des solutions qui s’intégreront au sein de l’infrastructure existante.

Le soumissionnaire fournira les éléments qui garantissent la continuité du bon fonctionnement du réseau et des services actuellement supportés par les matériels à remplacer, sans modifications majeures, en tenant compte du descriptif de l’existant présenté au paragraphe 5.

3. Format de la réponsePour chacun des points suivants, la réponse du candidat devra comprendre deux parties :

- Réponse technique argumentée et documentée : en reprenant les architectures cibles du paragraphe 6 et des spécifications techniques du paragraphe 7,

- Proposition financière : Elle devra être fournie selon le modèle de tableau fourni en annexe.

Il est laissé au prestataire le soin d’insérer tout autre élément pertinent dans le tableau financier en reprenant la forme fournie.

3.1 Tranche principale

Université d’Artois CCTP sécurité réseau et mobilité, 20113

Le soumissionnaire devra proposer dans sa réponse technique un modèle répondant à l’architecture cible décrite au paragraphe 6.1 offrant les spécifications techniques minimales énumérées dans les paragraphes 7.1 à 7.4, ainsi qu’aux spécifications particulières du paragraphe 7.5.

3.2 Variante

Le soumissionnaire devra proposer dans sa réponse technique et dans sa proposition financière ; un modèle répondant à l’architecture cible décrite au paragraphe 6.2 offrant les spécifications techniques minimales énumérées dans les paragraphes 7.1 à 7.4, ainsi qu’aux spécifications particulières du paragraphe 7.6.

3.3 Options Obligatoires

Le soumissionnaire devra proposer dans sa réponse technique et dans sa proposition financière, les solutions répondant aux différentes options décrites au paragraphe 8.

4. Détail des prestations attendues

Fourniture du ou des équipements, Prise en compte de l’existant, mode opératoires Aide à la configuration de l’équipement en vue du remplacement de la solution actuelle Transfert de compétences concernant les fonctionnalités VPN et pare-feu aux personnels

en charge de l’administration de la solution, Coûts exprimés installés

Université d’Artois CCTP sécurité réseau et mobilité, 20114

5. Description de l’existant

Hébergement, alimentation électrique

Les équipements de sécurité sont hébergés et installés dans l’une des armoires rack 19 pouces EIA dans une salle climatisée. Chaque armoire est alimentée électriquement par un circuit protégé par deux onduleurs.

Réseau

La figure 1 présente le contexte actuel de l’utilisation du concentrateur Cisco VPN3080 qui sera remplacé par l’objet du présent CCTP.

figure 1

Accès à distance pour répondre aux besoins de maintenance des applications critiques. Les utilisateurs concernés utilisent le client Cisco VPN IPSec,

L’interconnexion des centres de données de l’UA et de l’IUFM est assurée au moyen d’un tunnel Lan-to-Lan, IPSec mode « Transport » dont l’extrémité IUFM est une solution basée sur serveurs de sécurité Cisco de la famille ASA.

L’accès au web-service des applications de gestion depuis leur domicile est assuré par la fonction WebVPN SSL du concentrateur Cisco VPN3080.

Université d’Artois CCTP sécurité réseau et mobilité, 20115

6. Architectures cibles

6.1. Architecture Cible « Tranche principale »

L’architecture cible figure 2 d’utilisation rependra le contexte intégral du paragraphe 5.

Profitant du remplacement de l’équipement actuel, la DSI souhaite harmoniser les solutions d’interconnexion des réseaux locaux. Pour ce faire, la solution proposée par le soumissionnaire devra supporter, outre l’existant, quatre tunnels IPSec LAN-to-LAN correspondant à ses composantes de formation.

.

figure 2

6.2. Architecture Cible Pare-feu/VPN « Variante »

La DSI étudie la possibilité de faire converger la solution de mobilité sécurisée (VPN) et de l’actuelle solution de sécurité des réseaux (pare-feu). Pour ce faire la solution proposée devra répondre aux besoins exprimés dans la « variante » décrite au paragraphe 3.2

L’équipement devra répondre aux 2 scénarios d’utilisation suivants :

Scénario « tout en un » figure 3a

 Les fonctions VPN et pare-feu sont assurées par l’équipement dans le même environnement (contexte d’exécution).

Université d’Artois CCTP sécurité réseau et mobilité, 20116

figure 3a

Scénario « multiple contexte » figure 3b

L’équipement dispose conformément aux spécifications attendues au paragraphe 7.1, d’une fonctionnalité permettant de disposer de plusieurs contextes virtuels de l’équipement.

Un contexte assure le rôle de passerelle VPN, et un autre contexte assure le rôle de pare-feu.

figure 3b

Université d’Artois CCTP sécurité réseau et mobilité, 20117

7. Spécifications techniques du besoin

7.1Description matérielle/Architectureo Format rack EIA 19 pouces, de type boitier intégré ou châssis modulaire o 8 interfaces réseaux de service intégrées 10/100/1000BASE-To 1 interface réseau d’administration 10/100BASE-To Alimentation électrique :

monophasé 100/240V courant alternatif/fréquence 47 à 63 Hz

o Port USB (Universal Serial Bus)o Port console mode RS-232C avec connectique RJ-45

o Support du mode multiple contexte d’exécution (virtualisation)

o Support des modes haute disponibilité suivants : Actif/Passif, Actif/Actif, Répartition de Charge

7.2 Fonctionnalités Réseau et d’Administrationo Support IPv4 et IPv6,o Support Multicast IGMP, PIM Sparse Mode et Dense Mode,o Support des protocoles de routage dynamiques RIP et OSPF,o Support VLAN 802.1q o Fonctions DHCP : serveur embarqué, et relaiso Administration

Interface graphique d’administration et de supervision embarquée, SSH v2

o Supervision Mises à jour système et configurations téléchargeables Sauvegarde et démarrage sur dispositif distant (TFTP) Journalisation des évènements (Syslog) Notification d’alertes par E-mail Authentification : locale, tacacs, radius Support SNMP versions V1, V2 Monitoring en temps réel

7.3 Fonctionnalités mobilité sécurisée (VPN)

Université d’Artois CCTP sécurité réseau et mobilité, 20118

FonctionnalitésTypes VPN supportés LAN to LAN, Client-based SSL VPN, Clientless SSL VPN, Client

IPsec VPNNombre de sessions 5000Protocoles L2TP, IPSecChiffrement VPN DES, 3DES, AES-128, AES-192, AES-192Chiffrement Authentification VPN

SHA, MD5

Authentification VPN Pre-share key, Certificats x509Authentification Clients LOCAL,RADIUS, LDAP, KERBEROS

IKE Keepalive Autres fonctions VPN Réplication des sessions VPN, personnalisation du portail

WebVPN SSL, VPN keepalive

7.4 Fonctionnalités applicatives du Pare-Feu

FonctionnalitésType de pare-feu mode d’inspection “statefull”, mode transparent Analyse multi couches Protocolaires, session et applicativeFiltrage niveaux 3/4 Liste de contrôle d’accès (ACL) pouvant inclure le port sourceTranslation d’adresses NAT – modes : dynamique et statique

PAT - modes : dynamique et statiqueInspection niveau couche application du modèle OSI

DNS, FTP, HTTP, Instant messaging, SMTP, H323, SIP, RTSP, SQL, RPC

Autres fonctions pare-feu Anti-spoofing, filtrage d’URL, ouverture/fermeture d’accès temporisés, détection d’attaques de type déni de service

7.5 Spécifications particulières de la «Tranche principale»

FonctionnalitésDébit VPN AES/3DES 400 MbpsDébit pare-feu 1GbpsSessions concurrentes pare-feu

600000

7.6 Spécifications particulières de la « Variante »

FonctionnalitésDébit VPN AES/3DES 1 GbpsDébit pare-feu 2 GbpsSessions concurrentes 1000000Support 10Gbits Ethernet

Université d’Artois CCTP sécurité réseau et mobilité, 20119

8. Options Obligatoires

8.1 Option haute disponibilité « Tranche principale » La DSI souhaite, au travers de ce cette option, pouvoir fiabiliser le service mobilité sécurisée (VPN). Le soumissionnaire proposera dans sa réponse technique et dans sa proposition financière une solution répondant au besoin de haute-disponibilité du service VPN.

La solution devra être constituée de 2 équipements correspondant aux spécifications de la « Variante 1 » à savoir les paragraphes 7.1 à 7.5 inclus.

8.2 Option haute disponibilité «Variante»La DSI souhaite, au travers de ce cette option, pouvoir fiabiliser le service mobilité sécurisée (VPN) et le service de sécurité des réseaux (pare-feu). Le soumissionnaire proposera dans sa réponse technique et dans sa proposition financière une solution répondant au besoin de haute-disponibilité de ces deux services répondant aux 2 scénarios suivants.

La solution devra être constituée de 2 équipements correspondant aux spécifications de la « Variante 2 » à savoir les paragraphes 7.1 à 7.4 et 7.6.

Scénario Actif/Passif figure 4a

les équipements proposés fonctionnent en mode multiples contextes ; en situation normale, l’un des équipements (A) assure le rôle de pare-feu actif dans un

contexte et le rôle de passerelle VPN en mode standby dans un autre contexte ; l’autre équipement (B) assure le rôle de pare-feu en mode standby dans un contexte et le rôle de passerelle VPN dans un autre contexte ;

en situation dégradée, un équipement est défectueux, les deux rôles sont supportés par le même équipement ; le rôle standby étant devenu actif.

Figure4a

Université d’Artois CCTP sécurité réseau et mobilité, 201110

Scénario Actif/Actif figure 4b

les équipements proposés fonctionnent en mode multiples contextes ; les 2 équipements possèdent chacun un contexte de pare-feu et un contexte de

passerelle VPN ; les rôles de pare-feu et passerelle VPN sont partagés sur les 2 équipements au travers

d’un mode actif/actif en clustering ou répartition de charge.

figure 4b

8.3 Option licences Web VPN SSLLe soumissionnaire fournira les éléments techniques et les propositions financières permettant aux équipements de la tranche principale, de la variante, ainsi que dans leurs options respectives 8.1 et 8.2 de supporter un nombre de 10 sessions Web VPN SSL concurrentes.

Le candidat dupliquera la ligne « Option3 », du tableau financier en fourni en annexe, autant de fois que nécessaire pour répondre aux variantes et options respectives.

Université d’Artois CCTP sécurité réseau et mobilité, 201111

ANNEXE

Université d’Artois CCTP sécurité réseau et mobilité, 201112

Grille de réponse financière

Constructeur Référence produit

Prix public(€ hors taxes)

Remise(en %)

Prix remisé(€ hors taxes)

Prestation(€ hors taxes)

Coût total(€ HT)

Coût total(€ TTC)

Equipement Tranche principale

Equipement Variante

Options 

Constructeur Référence produit

Prix public(€ hors taxes)

Remise(en %)

Prix remisé(€ hors taxes) Prestation Coût total

(€ HT)Coût total(€ TTC)

Option 1 :Equipement

Supplémentaire Tranche principaleOption 2 :

Equipement supplémentaire Variante

Option 3 :License Web VPN/SSL

Université d’Artois CCTP sécurité réseau et mobilité, 201113