Administration dlgue rgionale Rhne-Alpes, Auvergne

Cahier des charges FIREWALL Site de la Tour CERVI,

21 avenue Tony Garnier 69007 LYON

CCTP Firewall 1. Organisme INSERM ADR Rhne-Alpes, Auvergne Centre Hospitalier Le Vinatier Btiment 452b 95 bvd Pinel 69500 BRON Tl : 04.72.13.88.10 Fax : 04.72.13.88.01 Couriel : Pascal.George@inserm.fr Acheteur : Pascal GEORGE

Inserm Tour CERVI

2. Objet de la consultation LInserm souhaite quiper le site de la Tour CERVI dun firewall afin doptimiser la scurit de son systme dinformations. La prsente consultation englobe les prestations suivantes : - La fourniture, le dploiement et le paramtrage de la solution firewall , - Le transfert de comptences, - La maintenance des quipements. 3. Configuration matrielle 3.1. Connexions Le Firewall sera install en coupure du rseau derrire le routeur dinterconnexion avec le rseau mtropolitain. Le firewall devra disposer au minimum de 4 interfaces physiques, 1 pour linterconnexion au routeur dentre de site, les 3 autres pour raccorder les zones dcrites schmatiquement ci-dessous :

Rseau mtropolitain

Routeur

Zone Labos

Firewall

Zone Tour Cervi

Zone DMZ

CCTP Firewall

Inserm Tour CERVI

Les interfaces seront de type Gigabit 1000BaseSX (si disponible) ou 1000BaseT. Le matriel fourni devra tre rackable (format 19). Les changes de donnes entre la Zone Labos et la Zone Tour Cervi passeront par un serveur relais en Zone DMZ . Le traffic rseau direct entre la Zone Labos et la Zone Tour CERVI ne sera pas autoris. Les zone Labos et zone Tour CERVI sont segmentes en VLANs (adressage classes prives), le routage des VLANs est assurs dans chaque zone par un switch niveau 2/3 indpendant du firewall. 3.2. Haute Disponibilit La solution propose devra intgrer une solution de Haute Disponibilit assurant une bascule transparente avec reprise automatique des donnes de configurations. Il sera prcis dans la rponse limpact de cette solution sur larchitecture rseau (redondance des liens physiques par exemple). 3.3. Fonctionnalits attendues Les fonctionnalits classiques dun firewall : filtrage de traffic, blocage de protocoles Les fonctionnalits avances : analyse protocolaire et filtrage applicatif, filtrage de contenu, prvention dintrusion (IPS) Limpact de ces fonctionnalits devra tre minimal sur les performances du systme (dbits) Fonctionnalits annexes souhaites : - VPN client site (IPSEC, SSL) - authentification LDAP (interne et/ou externe) - authentification radius (interne et/ou externe) - serveurs DHCP - translation dadresse (NAT) - proxy web - antivirus intgr 3.4. Administration La qualit et la simplicit de la solution dadministration du firewall seront des lment importants dans le choix de la solution. Linterface dadministration devra tre accessible distance par un protocole scuris. La solution permettra le monitorage en temps rel mais aussi lanalyse postriori (par @IP, protocoles, etc) Les fichiers de logs devront pouvoir tre stocks sur une dure de 1 an, soit en local soit en externe (syslog), et consultables sur la mme dure. 4. Prestation de dploiement Transfert de comptences Les prestations suivantes sont attendues : Mise en place de la solution firewall sur le site, paramtrage de base, optimisation du systme. Lexploitation des quipements tant assur par les quipes de lInserm , la prsente consultation inclue une prestation de formation pour au moins 2 administrateurs, intgrant notamment :

CCTP Firewall

Inserm Tour CERVI

Ladministration de base des quipements, Le paramtrage des fonctions de scurit de base, Le paramtrage et ladministration des fonctions avances de la solution.

5. Garanties - Prestation de maintenance Outre les garanties lgales qui sappliqueront aux quipements, la consultation intgre de base les prestations de maintenance suivantes : Maintenance des quipements par change anticip, Mises jour mineures, Mises jour contextuelles et dynamiques. En option : Mises jour majeures, Accs au support technique. Lensemble de ces prestations devra tre reconductible par anne pour une dure dau moins 3 ans.