Cahier Charges Audit Securite VF

REPUBLIQUE TUNISIENNE
MINISTERE DU TRANSPORT ET DE LA LOGISTIQUE

OFFICE DE LA MARINE MARCHANDE ET DES PORTS
MISSIONS D’AUDIT DE LA SECURITE DU SYSTEME

D'INFORMATION ET DE COMMUNICATION
DE L’OFFICE DE LA MARINE MARCHANDE
ET DES PORTS
1
SOMMAIRE
VOLUME I ...................................................................................................................................................................... 4
CONDITIONS D’APPEL D’OFFRES ET PROCEDURES DE PASSATION DU MARCH................................. 6
ARTICLE 1 : OBJET .................................................................................................................................................... 6
ARTICLE 2 : RESPECT DES CONDITIONS D’APPEL D’OFFRES .................................................................... 6
ARTICLE 3 : DOSSIER D’APPEL D’OFFRES ........................................................................................................ 6
ARTICLE 4 : ECLAIRCISSEMENTS APPORTES AU DOSSIER D’APPEL D’OFFRES ET ADDITIFS-
ADDITIFS AU DOSSIER D’APPEL D’OFFRES – DEMANDE DE REPORT DE LA DATE LIMITE DE
RECEPTION DES OFFRE ........................................................................................................................................... 7
ARTICLE 5 : ETABLISSEMENT DU MONTANT DE L’OFFRE .......................................................................... 8
ARTICLE 6 : CONNAISSANCE DES LIEUX ET CONDITIONS DE TRAVAIL ................................................. 8
ARTICLE 7 : LANGUE DE L'OFFRE ........................................................................................................................ 8
ARTICLE 8 : FORME GENERALE DES OFFRES .................................................................................................. 8
ARTICLE 9 : SIGNATURE DES OFFRES ET PROCURATIONS ......................................................................... 9
ARTICLE 10: MODE DE PRESENTATION DES OFFRES .................................................................................. 10
ARTICLE 11 : CAUTIONNEMENT PROVISOIRE................................................................................................ 14
ARTICLE 12 : OUVERTURE DES OFFRES ........................................................................................................... 14
ARTICLE 13 : VERIFICATION DES OFFRES ....................................................................................................... 15
ARTICLE 14 : EVALUATION DES OFFRES.......................................................................................................... 15
ARTICLE 15 : VALIDITE DES OFFRES ................................................................................................................. 19
ARTICLE 16 : OFFRE RETENUE ET PROCEDURE DE PASSATION.............................................................. 19
ANNEXES ..................................................................................................................................................................... 20
ANNEXE 1 : MODELE DE GARANTIE BANCAIRE AU TITRE DU CAUTIONNEMENT PROVISOIRE .. 21
ANNEXE 2 : MODELE DE GARANTIE BANCAIRE AU TITRE DE CAUTIONNEMENT DEFINITIF ....... 22
ANNEXE 3: MODELE DE GARANTIE BANCAIRE AU TITRE DE LA RESTITUTION D’AVANCE .......... 23
ANNEXE 4 : LISTE ET QUALIFICATIF DE L’EQUIPE INTERVENANTE ..................................................... 24
ANNEXE 5 : PLANNING PREVISIONNEL ............................................................................................................. 25
ANNEXE 6 : METHODOLOGIE DE CONDUITE DE PROJET ........................................................................... 28
ANNEXE 7 : FICHE DESCRIPTIVE DES OUTILS TECHNIQUES A UTILISER ............................................ 30
CAHIER DES CLAUSES ADMINISTRATIVES PARTICULIERES .................................................................... 31
ARTICLE 1 : OBJET ................................................................................................................................................... 32
ARTICLE 2 : DEFINITION DES TERMES EMPLOYES ...................................................................................... 32
ARTICLE 3 : PIECES CONTRACTUELLES PAR ORDRE DE PRIORITE ...................................................... 33
ARTICLE 4 : GROUPEMENT ................................................................................................................................... 33
ARTICLE 5 : SOUS-TRAITANCE ............................................................................................................................ 33
ARTICLE 6 : ORDRE DE SERVICE ........................................................................................................................ 33
ARTICLE 7 : CAUTIONNEMENT DEFINITIF ...................................................................................................... 33
ARTICLE 8 : DISCRETION, SECURITE ET SECRET ......................................................................................... 34
ARTICLE 9 : CARACTERE DES PRIX ................................................................................................................... 35
ARTICLE 10 : AVANCE ............................................................................................................................................. 36
ARTICLE 11 : MODALITES DE PAIEMENT ......................................................................................................... 36
ARTICLE 12 : DELAI DE PAIEMENT .................................................................................................................... 37
ARTICLE 13 : INTERETS MORATOIRES ............................................................................................................. 37
ARTICLE 14 : REGLEMENT DEFINITIF............................................................................................................... 37
ARTICLE 15 : DELAI CONTRACTUEL ................................................................................................................. 37
ARTICLE 16 : PENALITES POUR RETARDS ....................................................................................................... 38
ARTICLE 17 : INDEMNISATION AU TITRE DES DOMMAGES ET CHARGES SUPPLEMENTAIRES .. 38
ARTICLE 18 : FORCE MAJEURE………………………………………………………………………………….39
ARTICLE 19 : CONNAISSANCE DES LIEUX ET DES CONDITIONS GENERALES DE TRAVAIL ........... 39
ARTICLE 20 : PROGRAMME DE REALISATION ............................................................................................... 40
ARTICLE 21 : GENERALITES SUR LA REALISATION ..................................................................................... 40
ARTICLE 22 : REUNIONS DE SUIVI ...................................................................................................................... 40
ARTICLE 23 : ERREURS EVENTUELLES............................................................................................................. 40
ARTICLE 24 : OBLIGATIONS DU TITULAIRE.................................................................................................... 41
ARTICLE 25 : RECEPTIONS .................................................................................................................................... 41
ARTICLE 26 : RESILIATION DU MARCHE.......................................................................................................... 42
ARTICLE 27 : REMISE DU RAPPORT DE CHAQUE MISSION D’AUDIT A L’ANSI .................................... 43
ARTICLE 28 : FRAIS DE TIMBRES ET D'ENREGISTREMENT DU MARCHE ............................................. 43
ARTICLE 29 : IMPOTS ET TAXES .......................................................................................................................... 43
ARTICLE 30 : REGLEMENT DE LITIGES ET ATTRIBUTION DE JURIDICTION....................................... 43
ARTICLE 31 : VALIDITE DU MARCHE ................................................................................................................ 43
2
CAHIER DES CLAUSES TECHNIQUES PARTICULIERES ............................................................................... 44
ARTICLE 1 : OBJET ................................................................................................................................................... 45
ARTICLE 2 : CONDUITE ET DEROULEMENT DE LA MISSION .................................................................... 45
ARTICLE 3 : PLANNING DES PHASES DE CHAQUE MISSION ...................................................................... 51
ARTICLE 4 : METHODOLOGIES ADOPTEES ..................................................................................................... 51
ARTICLE 5 : LIVRABLES ......................................................................................................................................... 52
ARTICLE 6 : SOUMISSIONNAIRE ET EQUIPE INTERVENANTE .................................................................. 53
ARTICLE 7 : REMPLACEMENT D’INTERVENANTS ........................................................................................ 54
ARTICLE 8 : ORGANISATION DE LA MISSION ................................................................................................. 54
ANNEXES ..................................................................................................................................................................... 56
ANNEXE 1 : ORAGANIGRAMME DE L'OMMP ................................................................................................... 58
ANNEXE 2 : DESCRIPTION VOLUMETRIQUE DE L’EXISTANT A L’OMMP ............................................. 58
ANNEXE 3 : ARCHITECTURE DU DATA CENTER ET DU RESEAU WAN DE L’OMMP ........................... 60
ANNEXE 4 : STRUCTURES DE L’OMMP A AUDITER SUR LES LIEUX ........................................................ 61
VOLUME II .................................................................................................................................................................. 62
BORDEREAU DES PRIX POUR LA 1ERE MISSION D’AUDIT ......................................................................... 63
BORDEREAU DES PRIX POUR LA 2EME MISSION D’AUDIT ........................................................................ 64
BORDEREAU DES PRIX POUR LA 3EME MISSION D’AUDIT ........................................................................ 65
BORDEREAU RECAPITULATIF DES PRIX.......................................................................................................... 66
3
VOLUME I
4
CONDITIONS D’APPEL D’OFFRES ET PROCEDURES DE
PASSATION DU MARCHE
5
Missions D’audit De La Sécurité Du Système D'information Et De Communication
De L’office De La Marine Marchande Et Des Ports
Je soussigné (nom, prénom et fonction) ...........................................................................................

représentant la société (nom, adresse, téléphone et fax).......................................................................
………………………………………………………………………………………………………..
déclare avoir pris connaissance et accepté les conditions suivantes :
ARTICLE 1 : OBJET
L'Office de la Marine Marchande et des Ports se propose de lancer un appel d’offres en vue de la
réalisation de Trois missions d’audit de la sécurité de son système d’information, dans le cadre
d’un marché cadre sur Trois ans, conformément au décret N°2004-1250 du 25 Mai 2004 et aux
dispositions du présent cahier des charges.
Cet audit devra prendre comme référentiel de base la norme ISO/CEI 27002.
Les missions d’audit objet de cet appel d’offres devront ainsi concerner les aspects physiques,
organisationnels et techniques, relatifs à la sécurité de l’ensemble des entités et moyens
(structures, personnel, outils logiciels, équipements de traitement, équipements réseaux,
équipements de sécurité, bâtiments, ..) en relation avec les fonctions de traitement de l'information
et inclus dans le cadre de ce projet et fixés au niveau des articles du Cahier des Clauses
Techniques Particulières et de ses annexes.
ARTICLE 2 : RESPECT DES CONDITIONS D’APPEL D’OFFRES

Cet appel d’offres s’adresse aux bureaux habilités à exercer l’audit de la sécurité informatique
conformément à la loi 2004-05 du 03 Février 2004 et à l’arrêté du ministre des technologies de la
communication et de l'économie numérique et du ministre du développement, de l’investissement
et de la coopération internationale du 01 Octobre 2019, fixant le cahier des charges relatif à
l'exercice de l’activité d’audit dans le domaine de la sécurité informatique.
Une offre qui ne respecte pas les présentes conditions d’appel d’offres ou qui contient des réserves
non levées sera rejetée.
Les offres seront envoyées obligatoirement à travers le système des achats publics en ligne
TUNEPS, et ce à partir de la date et heure de commencement de l’envoi des offres jusqu’au la
date et heure limites de réception des offres indiquées dans l’avis d’appel d’offres.
Après dépôt de son offre, le soumissionnaire ne peut lui apporter des modifications.
Cette condition est valable à la fois avant et après l’expiration de la date de réception des offres.
Tout soumissionnaire reste lié par son offre pendant cent vingt (120) jours à compter du
lendemain de la date limite de réception des offres.
ARTICLE 3 : DOSSIER D’APPEL D’OFFRES

Le dossier d’appel d’offres, qui indique les prestations faisant l’objet du présent cahier des charges
se compose de :
6
Volume I :
 Conditions d’appel d’offres et procédures de passation du marché,
 Cahier des Clauses Administratives Particulières,
 Cahier des Clauses Techniques Particulières.
Volume II :
 Bordereau des prix de chaque mission,
 Bordereau récapitulatif des prix.
ARTICLE 4 : ECLAIRCISSEMENTS APPORTES AU DOSSIER D’APPEL

D’OFFRES ET ADDITIFS- ADDITIFS AU DOSSIER D’APPEL D’OFFRES –
DEMANDE DE REPORT DE LA DATE LIMITE DE RECEPTION DES
OFFRES
4.1 ECLAIRCISSEMENTS APPORTES AU DOSSIER D’APPEL D’OFFRES
Au cas où certains candidats auraient des renseignements à demander ou des doutes sur la
signification exacte de certaines parties des documents de l'appel d’offres, ils devront en référer à
l’OMMP, en français ou en arabe par voie TUNEPS, en vue d’obtenir les explications ou
éclaircissements nécessaires avant de remettre leurs offres, et ce au plus tard quinze (15) jours
avant la date limite de réception des offres. Si les questions sont fondées la réponse de l’OMMP
sera publiée sur le système TUNEPS et notifiée à tous les candidats ayant téléchargés le dossier
d’appel d’offres dix (10) jours au plus tard avant la date limite de réception des offres.
La réponse de l’OMMP indique la question posée mais sans mentionner son auteur. L’absence de
réponse aux demandes d’éclaircissements ne peut en aucun cas impliquer la responsabilité de
l’OMMP.
Aucune réponse ne sera faite à des questions verbales, émanant d’un soumissionnaire, à propos
des documents d’appel d’offres et des additifs éventuels. Elles seront rejetées et ne pourront
impliquer la responsabilité de l’OMMP.
4.2 ADDITIFS AU DOSSIER D’APPEL D’OFFRES
Avant la date limite fixée pour la réception des offres, l’OMMP peut modifier ou ajouter toutes
informations ou données qu'elle jugera utiles aux documents d’appel d’offres en publiant des
additifs qui seront annoncés par voie de presse et par voie TUNEPS.
Tout additif ou rectificatif fera partie des documents d’appel d’offres et sera notifié à tous les
candidats ayant téléchargé le dossier d’appel d’offres, sept (7) jours, au plus tard avant la date
limite de réception des offres et seront également annoncés par voie de presse et en ligne.
4.3 DEMANDE DE REPORT DE LA DATE LIMITE DE RECEPTION DES

OFFRES
Au cas où un candidat sollicite un report de la date limite de réception des offres, il doit envoyer sa
demande de report à l’OMMP par voie TUNEPS dix (10) jours au plus tard avant la date limite de
réception des offres. Dépassé ce délai toute demande sera rejetée.
7
S’il le jugera utile et la demande de report est fondée, l'OMMP prorogera la date limite de
réception des offres en publiant un avis de report qui sera annoncé par voie de presse et par voie
TUNEPS et ce cinq (5) jours au plus tard avant la date limite de réception des offres; tout report de
la date et heure limites de réception des offres sera annoncé par voie de presse et sera également
notifié transmit à tous les candidats ayant téléchargé le dossier d’appel d’Offres par voie TUNEPS.
ARTICLE 5 : ETABLISSEMENT DU MONTANT DE L’OFFRE

L’appel d’offres sera sur prix forfaitaires. Le soumissionnaire devra remplir la colonne total hors
TVA pour chaque phase figurant dans le "Bordereau des prix" de chaque mission et ajouter la
TVA correspondante de façon à obtenir le montant total de chaque mission et de l’offre.
Au cas où un soumissionnaire omettrait un ou plusieurs prix, les prix non mentionnés seront
considérés englobés dans le prix global.
ARTICLE 6 : CONNAISSANCE DES LIEUX ET CONDITIONS DE TRAVAIL
Les soumissionnaires déclarent avoir connu ou pris connaissance des lieux, de la nature et des
difficultés de la mission à réaliser.
Ils déclarent également avoir pris connaissance de tous les documents d’appel d’offres et avoir
inclus dans leur prix tous les coûts résultant de leur appréciation de la nature, de tous les frais
généraux, impôts, taxes assurances, bénéfices, aléas et autres.
Les prix sont établis sous leur responsabilité et ne pourront faire l’objet de quelque réclamation ou
modification que ce soit.
Tous les renseignements relatifs aux conditions locales fournies dans les documents d’appel
d’offres ou par l’OMMP sont donnés à titre indicatif et n’engagent en rien la responsabilité de
l’OMMP.
ARTICLE 7 : LANGUE DE L'OFFRE
L'offre du soumissionnaire ainsi que toutes les correspondances et tout document concernant
l'offre, échangé entre le soumissionnaire et l'OMMP seront obligatoirement rédigés en langue
française ou arabe. Certaines fiches techniques pourront, toutefois, être présentées en langue
anglaise.
ARTICLE 8 : FORME GENERALE DES OFFRES
Les offres seront constituées par les documents indiqués ci-après :

- L’offre technique,
- L’offre financière.
- Les documents administratifs et caution bancaire provisoire ou le cautionnement
provisoire.
Les offres techniques et financières ainsi que les documents administratifs doivent être envoyés à
travers le système des achats publics en ligne TUNEPS sur le site web www.tuneps.tn et ce avant
la date et heure limites de réception des offres conformément aux indications de l’avis d’appel
d’offres. Après la date et heure limites de la remise des offres, aucune offre ne pourra être
acceptée.
8
Toutefois, la caution bancaire provisoire ou le cautionnement provisoire doivent être envoyés à
travers la procédure matérielle hors ligne au lieu indiqué dans l’avis d’appel d’offres avant la date
et l’heure limites de réception des offres.
En cas de dépassement du volume maximum permis techniquement et indiqué dans le manuel des
procédures de passation des achats publics en ligne TUNEPS, il est possible d’envoyer, outre que
la caution bancaire provisoire ou le cautionnement provisoire, une partie de l’offre hors ligne, à
l’exception de tous les documents constitutifs de l’offre financière ainsi que les documents relatifs
aux critères d’évaluation techniques et financières et ce conformément aux stipulations de l’article
8 du manuel des procédures annexé à l’arrêté du chef du gouvernement du 31 Août 2018 portant
approbation du manuel des procédures relatif à la passation des marchés publics à travers le
système des achats publics en ligne. Auquel cas, le soumissionnaire est tenu de mentionner dans
son offre envoyée en ligne, la liste des pièces faisant partie de son offre envoyées hors ligne.
En cas de discordance entre l’offre en ligne et les documents envoyés, en complément

hors ligne, l’offre en ligne fait foi.
La partie de l’offre envoyée hors ligne doit être consignée dans une enveloppe extérieure
fermée et scellée et indiquant la référence de l’appel d’offres et son objet et sur laquelle est
inscrite la mention
"A NE PAS OUVRIR - APPEL D’OFFRES N°………..…

MISSIONS D’AUDIT DE LA SECURITE DU SYSTEME
D'INFORMATION ET DE COMMUNICATION DE L’OFFICE DE LA
MARINE MARCHANDE
ET DES PORTS "
L’enveloppe extérieure comporte les pièces suivantes:
• La caution bancaire provisoire ou le cautionnement provisoire.

• La partie de l’offre technique envoyée hors ligne .
La partie de l’offre envoyée hors ligne, doit être adressée par courrier recommandé ou par rapide
poste ou remise directement au bureau d’ordre central de l’OMMP contre décharge, de façon à
parvenir au plus tard à la date et heure limites de réception des offres au lieu indiqué dans l’avis
d’appel d’offres, le cachet du bureau d’ordre central de l’OMMP faisant foi.
ARTICLE 9 : SIGNATURE DES OFFRES ET PROCURATIONS
Tous les paraphes et signatures nécessaires à la réception de l’offre seront apposés par le
soumissionnaire lui-même ou son représentant dûment mandaté.
Dans le cas où l’offre serait faite par un groupement de bureau d’études, le chef de file mandataire
du groupement est tenu de signer et parapher tous les documents de l’offre.
En cas de groupement, il doit être solidaire et la désignation d’un chef de file est une obligation.
L’acte de groupement sera joint à l’offre.
9
ARTICLE 10: MODE DE PRESENTATION DES OFFRES
10.1 Mode de présentation des offres
Les offres seront envoyées à travers le système des achats publics en ligne TUNEPS et
quant aux documents suivants : le cautionnement provisoire ou le justificatif officiel
prouvant que le soumissionnaire exerce en tant que bureau d’étude, leur envoi se fera à
travers la procédure hors ligne avant l’heure et la date limite fixées pour la remise des
offres.
10.2 Constitution de l’offre
L’offre est constituée des documents suivants :
10
1. Documents administratifs
APPELATIONS OPERATIONS
N° AUTHENTIFICATION
DES DOCUMENTS A REALISER
* un cautionnement provisoire
ou -Bordereau de versement original.
* une caution bancaire provisoire d’un
montant de huit cents (800 DT) Dinars - Caution bancaire originale avec
A envoyer par la procédure
1 Tunisiens date, signature et cachet de
l'établissement bancaire à la fin du matérielle hors ligne.
* les bureaux d’études sont dispensés document conformément aux
de la présentation du cautionnement modèles joints en annexe 1.
provisoire.
2 Attestation de situation fiscale. Fournie par TUNEPS
Certificat d’affiliation à la CNSS - Fourni par TUNEPS

3 Certificat d’affiliation à un régime
Copie certifiée conforme à A ajouter en pièces jointes au
de Sécurité Sociale autre que la
l’original niveau de TUNEPS.
CNSS
Déclaration sur l’honneur de non Déclaration à travers le système
4
influence. TUNEPS.
Acte de groupement éventuel, avec A établir et ajouter en pièces
5
désignation de chef de file. jointes au niveau de TUNEPS.
Extrait de l’inscription du
soumissionnaire au registre de Original ou extrait depuis le
A ajouter en pièces jointes au
6 commerce qui ne dépasse pas trois site du Registre national des
niveau de TUNEPS
(03) mois. entreprises.
Déclaration trimestrielle auprès

d’une caisse de sécurité sociale pour
Copie certifié conforme A ajouter en pièces jointes au
7 le dernier trimestre précédent la date
niveau de TUNEPS.
limite de réception des offres.
Liste des documents envoyés hors

ligne (sachant que les bordereaux
des prix, l’attestation de dépôt du
cahier des charges auprès de
l’Agence Nationale de Sécurité
Informatique (ANSI), la liste de A établir et ajouter en pièces
8
l’équipe intervenante, les jointes au niveau de TUNEPS.
attestations de pilotage et de
participation , le planning
prévisionnel, la méthodologie et la
fiche des outils techniques ne
peuvent pas être acceptés hors ligne)
*NB : « Dans le cas d’intervention sous forme d’un groupement, Les autres membres du
groupement à part le chef de file doivent ajouter les documents nécessaires exigés à fournir par
TUNEPS suivant le tableau précédent, en pièces jointes au niveau de TUNEPS ».
11
2. Documents techniques
APPELATIONS OPERATIONS
Attestation de dépôt du
cahier des charges auprès de
l’Agence Nationale de
Sécurité Informatique (ANSI)
valide, délivré par l’ANSI
1 autorisant le bureau
soumissionnaire l'exercice de A ajouter en pièces jointes
l’activité d’audit dans le au niveau de TUNEPS.
domaine de la sécurité
informatique Où doit figurer
les noms des deux cadres
avec lesquels le
soumissionnaire a obtenu la
dite attestation.
Liste et qualificatif de l’équipe
intervenante conformément au
modèle fourni en annexe 4 du
présent cahier des charges.
Cette liste doit contenir, au
moins, Deux cadres parmi les
cadres déclarés par le
soumissionnaire auprès de
l'ANSI pour l’obtention de son
A remplir et signer et
2 attestation pour l’exercice de
- ajouter en pièces jointes au
l’Audit en Sécurité
niveau de TUNEPS
Informatique conformément à
l’arrêté du ministre des
technologies de la
communication et de
l'économie numérique et du
ministre du développement, de
l’investissement et de la
coopération internationale du
01 Octobre 2019.
Attestations de pilotage pour
le chef de projet, attestant le
pilotage en tant que chef de
Originales ou Copies
projet d’un minimum de deux
conformes aux originales A ajouter en pièces jointes
3 missions d'audit de sécurité
avec cachets et signatures au niveau de TUNEPS.
informatique délivrées par les
des organismes clients.
organismes clients auprès
desquels il avait piloté les
dites missions.
12
Attestations de participation
pour au moins deux
membres de l’équipe
intervenante (en dehors du
chef de projet) attestant leurs Copies certifiées
participations à un minimum conformes aux originales A ajouter en pièces jointes
4
de deux missions d'audit de avec cachets et signatures au niveau de TUNEPS.
sécurité informatique, pour des organismes clients.
chacun d’entre eux, délivrées
par les organismes clients
auprès desquels ils avaient
participé aux dites missions.
Planning prévisionnel de
chaque mission A remplir et signer et
Signature, date et cachet du
5 Conformément au modèle ajouter en pièces jointes au
soumissionnaire
fourni en annexe 5 du présent niveau de TUNEPS
cahier des charges.
Méthodologie(s) proposée(s)
pour la conduite des actions et
tâches demandées conforme au
A remplir et signer et
6 référentiel établi par l’ANSI Signature, date et cachet du ajouter en pièces jointes au
soumissionnaire
Conformément au modèle niveau de TUNEPS
fourni en annexe 6 du présent

cahier des charges.
Fiche descriptive des outils

techniques à utiliser A remplir et signer et
Signature, date et cachet du
7 Conformément au modèle ajouter en pièces jointes au
soumissionnaire
fourni en annexe 7 du présent niveau de TUNEPS
cahier des charges.
3. OFFRES FINANCIERES
APPELLATIONS OPERATIONS
A remplir et compléter sur
le système TUNEPS avec
1 Soumission.
indication du montant de
l’offre.
A remplir le modèle
figurant dans le volume 2
du dossier d’appel d’offres,
Bordereau des prix de
2 et à ajouter en pièces
chaque mission.
jointes sur le système
TUNEPS le bordereau des
prix dument complété.
13
A remplir le modèle
figurant dans le volume 2
du dossier d’appel d’offres,
Bordereau récapitulatif
3 et à ajouter en pièces
des prix.
jointes sur le système
TUNEPS le bordereau des
prix dument complété.
ARTICLE 11 : CAUTIONNEMENT PROVISOIRE
Sauf bureaux d’études, tout soumissionnaire est tenu de fournir un cautionnement provisoire d’un
montant égal à huit cents (800 DT) Dinars Tunisiens.
Le cautionnement provisoire sera effectué au choix du soumissionnaire :
 sous forme de versement auprès de l’agence bancaire indiquée dans l’avis d’appel d’offres ;
ou
 sous forme d’une caution bancaire (conformément au modèle joint en annexe 1 du présent
cahier ) provenant d’un établissement bancaire Tunisien agréé.
Il sera valable pour une durée de cent vingt (120) jours à compter du lendemain de la date
limite de réception des offres.
La restitution du cautionnement provisoire ou la libération de la caution qui le remplace sera
effectuée comme suit :
 Après le choix du titulaire du marché pour les soumissionnaires dont leurs offres n’ont pas
été retenues et après l’avis du conseil d’administration sur le rapport d’évaluation.
 Le cautionnement provisoire est restitué au titulaire du marché après constitution du
cautionnement définitif et ce dans un délai de vingt (20) jours à partir de la date de
notification de l’approbation du marché.
N.B : Toute offre non accompagnée du cautionnement provisoire ou d’un justificatif officiel
prouvant que le soumissionnaire exerce en tant que bureau d’étude, sera rejetée.
ARTICLE 12 : OUVERTURE DES OFFRES
La séance d’ouverture des offres n’est pas publique.

La commission d’ouverture des offres se réunit le jour fixé comme date limite de réception des
offres et à l’heure indiquée dans l’avis d’appel d’offre pour ouvrir en une seule étape :
- Les enveloppes externes et l’enveloppe contenant la partie de l’offre technique parvenues hors
ligne.
- Les offres techniques et financières et les documents administratifs reçus sur le système des
achats publics en ligne TUNEPS.
Seuls seront acceptés les plis qui auront été reçus au plus tard à la date et l’heure limites fixées
pour la réception des offres.
Il est à signaler que le Système TUNEPS permet automatiquement de vérifier la situation fiscale
et l’affiliation à la Caisse National de Sécurité Sociale.
Le président de la commission d’ouverture des offres annonce à voix audible et claire les noms des
participants, les montants des offres ainsi que les rabais consentis éventuellement.
La commission d’ouverture procède au rejet automatique dans les cas suivants :

14
* Les offres parvenues ou reçues après la date et l’heure limites fixées pour leur réception.
* Les offres non accompagnées du cautionnement provisoire.
ARTICLE 13 : VERIFICATION DES OFFRES
Une offre qui ne respecte pas les présentes Conditions d’appel d’offres ou qui contient des
réserves non levées en application des dispositions du décret 1039-2014 du 13/03/2014 portant
réglementation des marchés publics, sera rejetée sans que les soumissionnaires puissent élever
des réclamations de quelque nature que ce soit.
ARTICLE 14 : EVALUATION DES OFFRES
Après ouverture des plis, la commission d’évaluation procédera à la vérification de l’existence des
documents administratifs requis et du cautionnement provisoire.
La commission d’évaluation procédera en première étape à :
 La vérification des documents constitutifs de l’offre financière.
 La correction, le cas échéant des erreurs de calcul.
 Le classement de toutes les offres financières par ordre croissant.
En deuxième étape, la commission procédera à :

 La vérification de la conformité de l’offre technique du soumissionnaire ayant déposé
l’offre financière la moins-disante par rapport au cahier des charges, si cette offre est
conforme, la commission proposera de lui attribuer le marché.
 Si l’offre technique n’est pas conforme au cahier des charges, la commission passera, en
adoptant la même méthodologie, pour les autres offres techniques selon le classement
croissant des offres financières.
La commission d’évaluation de l’OMMP éliminera les offres non conformes au dossier d’appel
d’offres par application du système d’étude de conformité décrit à la page suivante qui s’articule
sur un ensemble de composantes et d’éléments de conformité que l’offre doit satisfaire:
15
TABLEAU D’ETUDE DE CONFORMITE
Action prise
Composante/Elément de conformité après
Action prise recours à
N° un
N° complément
Comp Composante Elément
Elément d’informatio
. Rejet des offres ns non
variantes et prise en concluant
PRESENCE Présence d’une ou plusieurs offres variantes en plus de l’offre
1 1.1 considération de -
D’OFFRES VARIANTES de base.
l’offre de base
uniquement
Absence de l’attestation de dépôt du cahier des charges
auprès de l’Agence Nationale de Sécurité Informatique
(ANSI) valide, délivré par l’ANSI autorisant le bureau
soumissionnaire l'exercice de l’activité d’audit dans le
domaine de la sécurité informatique (conformément à la loi
Envoi d’une demande
2004-05 et à l’arrêté du ministre des technologies de la Rejet de
2.1 de complément
communication et de l'économie numérique et du ministre du l’offre
d’informations
développement, de l’investissement et de la coopération
internationale du 01 Octobre 2019) Où doit figurer les noms
des deux cadres avec lesquels le soumissionnaire a obtenu la
BUREAU dite attestation.
2
Existence de l’attestation de dépôt du cahier des charges

2.2 invalide (le nom du bureau n’existe plus dans la liste diffusée Rejet de l’offre -
sur le site de l’ANSI)
Absence de la déclaration trimestrielle, précèdent la date Envoi d’une demande

Rejet de
2.3 limite de réception des offres, auprès d’un régime de sécurité de complément
l’offre
sociale. d’informations
EQUIPE Le document « liste et qualificatif de l’équipe intervenante »
3 3.1 Rejet de l’offre -
INTERVENANTE n’est pas transmis.
16
Le document « liste et qualificatif de l’équipe intervenante » Rejet de
3.2 de complément
n’est pas signée et/ou n’est pas cachetée. d’informations l’offre
Le document « liste et qualificatif de l’équipe intervenante »

ne comporte pas au moins trois intervenants dont un chef de
3.3 Rejet de l’offre -
projet et au moins deux participants faisant, tous les trois,
partie de l’équipe permanente du soumissionnaire.
Absence, de la « liste et qualificatif de l’équipe intervenante »,

d’aux moins Deux cadres parmi les cadres déclarés par le
soumissionnaire auprès de l'ANSI pour l’obtention de son Envoi d’une demande
attestation de dépôt pour l’exercice de l’Audit en Sécurité de complément
3.4 Rejet de l’offre
Informatique conformément à l’arrêté du ministre des d’informations
technologies de la communication et de l'économie numérique
et du ministre du développement, de l’investissement et de la
coopération internationale du 01 Octobre 2019.
 Absence pour le chef de projet des attestations prouvant Envoi d’une demande
Rejet de
3.5 le pilotage d’au moins Deux missions d’audit de de complément
l’offre
sécurité informatique. d’informations
 Absence pour deux intervenants, autres que le chef de Envoi d’une demande
Rejet de
3.6 projet, des attestations prouvant la participation à au de complément
l’offre
moins Deux missions d’audit de sécurité informatique. d’informations
Le « planning prévisionnel de la mission » n’est pas transmis Envoi d’une demande
PLANNING DE LA Rejet de
4 4.1 ou n’est pas signé et/ou ne contient pas le cachet du de complément
MISSION l’offre
soumissionnaire. d’informations
La fiche descriptive de la « méthodologie de conduite de Envoi d’une demande
Rejet de
5.1 projet » n’est pas transmise ou n’est pas signée et/ou ne de complément
l’offre
contient pas le cachet du soumissionnaire. d’informations
5 METHODOLOGIE
La méthode décrite au niveau de la fiche descriptive de la Rejet de
5.2 de complément
méthodologie ne se base pas sur la norme ISO/CEI 27002 l’offre
d’informations
17
La « fiche descriptive des outils techniques à utiliser » n’est Rejet de
6 OUTILS TECHNIQUES 6.1 de complément
pas transmise l’offre
d’informations
18
ARTICLE 15 : VALIDITE DES OFFRES
Les offres technique et financière demeurent valables pour un délai de cent vingt (120) jours à
compter du lendemain de la date limite de réception des offres.
ARTICLE 16 : OFFRE RETENUE ET PROCEDURE DE PASSATION
Le soumissionnaire provisoirement retenu devra dans les vingt (20) jours qui suivent la
notification du marché, remplir toutes les formalités relatives à la passation du marché et en
particulier remettre le cautionnement définitif enregistré et le marché dûment rempli, signé et
enregistré.
Dans le cas où le soumissionnaire n’aurait pas rempli ses obligations, le choix de celui-ci pour
exécuter les prestations pourra être annulé sans qu’il ait droit à aucun recours et son cautionnement
provisoire sera retenu et mis en œuvre.
Le soumissionnaire retenu devra, après signature du marché et conformément aux conditions de

celui-ci, prendre toutes dispositions nécessaires pour pouvoir assurer le démarrage de l’exécution
du marché le lendemain de la notification de l’ordre de service par l’OMMP prescrivant de
commencer la réalisation du marché.
Fait à ….................................. le …...................................
LU ET ACCEPTE
LE SOUMISSIONNAIRE LE PRESIDENT DIRECTEUR GENERAL
19
ANNEXES
N° DESIGNATION PAGE
Modèle de garantie bancaire au titre de cautionnement

ANNEXE 1 21
provisoire
ANNEXE 2 22
définitif
ANNEXE 3 23
bancaire au titre de restitution d’avance
ANNEXE 4 Liste et qualificatif de l’équipe intervenante 24
ANNEXE 5 Modèle de planning prévisionnel de chaque mission 25
ANNEXE 6 Méthodologie de conduite de projet 28
Modèle de fiche descriptive des outils techniques à

ANNEXE 7 30
utiliser
20
ANNEXE 1 : MODELE DE GARANTIE BANCAIRE AU TITRE DU

CAUTIONNEMENT PROVISOIRE
Je soussigné – nous soussignés (1)…..…………………………........................................................ agissant

en qualité de (2) …..………………………………………………………….………………………………..........
1) Certifie – certifions que (3) …………………................................................. a été agréé par le

Ministre des Finances en application de l'article 113 du décret n° 2014-1039 du 13 mars 2014,
portant réglementation des marchés publics, tel que modifié et complété par les textes subséquents,
que cet agrément n’a pas été révoqué et que (3) …...................................................……………… a
constitué entre les mains du Trésorier Général de Tunisie, suivant récépissé n°
….…………………..........….…….... en date du ……………………………. le cautionnement fixe de cinq
mille (5000) dinars prévu par l'article 113 du décret susvisé et que ce cautionnement n'a pas été
restitué.
2) Déclare me – déclarons nous porter caution personnelle (4)et solidaire

….................………………… domiciliée à (5)
…..................................................……..……………………………………………………………… Au titre du
montant du cautionnement provisoire pour participer à (6) …………………………………. publié(e) en
date du ………….…………......………par (7) l’OMMP et relatif/relative à l’Audit de Sécurité du
Système d’Information de l’OMMP.
Le montant du cautionnement provisoire s’élève à huit cent (800) dinars.
3) M’engage- nous nous engageons solidairement, à effectuer le versement du montant garanti

suvisé et dont le soumissionnaire serait débiteur au titre de (6) ……………………………………………..
et ce, à la première demande écrite de l’OMMP, sans une mise en demeure ou une quelconque
démarche administrative ou judiciaire préalable.
4) Le présent cautionnement est valable pour une durée de cent vingt (120) jours à compter du
lendemain de la date limite de réception des offres.
Fait à ……………........le ….…………..……....
(Signature et cachet de la Banque)
(1) Nom(s) et prénom(s) du ou des signataire(s)

(2) Raison sociale et adresse de l’établissement garant
(3) Raison sociale de l’établissement garant
(4) Nom du soumissionnaire (personne physique) ou raison sociale du soumissionnaire (personne morale)
(5) Adresse du soumissionnaire
(6) Appel d’offres ou consultation
(7) Acheteur public
21
ANNEXE 2 : MODELE DE GARANTIE BANCAIRE AU TITRE DE

CAUTIONNEMENT DEFINITIF
Je soussigné-Nous soussignés (1), ………………………., agissant en qualité de(2)

......……..…......
1) Certifie – Certifions que (3 )…………………………………. a été agréé par le Ministre des
Finances en application de l'article 113 du décret n° 2014-1039 du 13 mars 2014, portant
réglementation des marchés publics, que cet agrément n’a pas été révoqué, que (3)
........................................ a constitué entre les mains du Trésorier Général de Tunisie, suivant
récépissé n° ................... en date du ................... le cautionnement fixe de cinq mille dinars (5.000
dinars) prévu par l’article 113 du décret et que ce cautionnement n’a pas été restitué.
2) Déclare me-Déclarons nous, porter caution personnelle et solidaire, (4) ………………………...

domicilié à(5) ………………………………………………….. au titre du montant du
cautionnement définitif auquel ce dernier est assujetti en qualité de titulaire du marché n°
…………… passé avec(6) l'OMMP en date du ……………………….…. enregistré à la recette
des finances(7) ……………………..……… relatif à l’Audit de Sécurité du Système
d’Information de l’OMMP.
Le montant du cautionnement définitif, s'élève à 3 % du montant du marché, ce qui correspond à
………………………… dinars (en toutes lettres), et à ………….. dinars (en chiffres).
3) M’engage- nous nous engageons solidairement, à effectuer le versement du montant garanti

susvisé et dont le titulaire du marché serait débiteur au titre du marché susvisé, et ce, à la première
demande écrite de l’OMMP, sans que j'ai (nous ayons) la possibilité de différer le paiement ou
soulever de contestations pour quelque motif que ce soit et sans une mise en demeure ou une
quelconque démarche administrative ou judiciaire préalable.
4) En application du décret-loi du chef du gouvernement n 2020-20 du 21 mai 2020 , relatif à la
fixation de dispositions dérogatoires relatives à l’exécution des marchés publics , le
cautionnement définitif ou la caution qui les remplace devienne caduque, sur simple présentation
par le titulaire du marché à l’établissement bancaire du procès-verbal de réception définitive, et à
condition que l’établissement bancaire ne reçoive de notification écrite de l’acheteur public
indiquant que le titulaire du marché n’a pas honoré ses engagements contractuels.
Dans ce cas, la caution ne devient caduque que par main levée délivrée par l’OMMP.
Fait à ….…………..………….... le ….....................……………

(4) Nom du titulaire du marché
(5) Adresse du titulaire du marché
(6) Acheteur public
(7) Indication des références d’enregistrement auprès de la recette des finances
22
ANNEXE 3: MODELE DE GARANTIE BANCAIRE AU TITRE DE LA

RESTITUTION D’AVANCE
Je soussigné - Nous soussignés (1).....………………………......................................... agissant en

qualité de (2)
............…..…………………………………….……..………….……………….............
1/ Certifie - certifions que (3) ………………....................................................... a été agréé par le

Ministre des Finances en application de l'article 113 du décret n° 2014-1039 du 13 mars 2014,
portant réglementation des marchés publics, que cet agrément n'a pas été révoqué et que (3)
.........……………….…..................... a constitué entre les mains du Trésorier Général de Tunisie,
suivant récépissé n° ....……………...... en date du ……...…...……...…...... le cautionnement fixe
de cinq mille (5000) dinars prévu par l'article 113 du décret susvisé et que ce cautionnement n’a
pas été restitué.
2/ Déclare me - déclarons nous porter caution personnelle et solidaire de (4) ....................…………

domiciliée à (5) ............…………………………………………………………………… Au titre
de l’avance à laquelle ce dernier est assujetti en qualité de titulaire du marché n° …………….
passé avec (6) l’OMMP en date du ……………..…….., enregistré à la recette des finances (7)
……………………………………………..……………… relatif à l’Audit de Sécurité du
Système d’Information de l’OMMP.
Le montant de l’avance, s’élève à vingt pour cent (20%) du montant total du marché, ce qui
correspond a ………………..……………………………..……..…………... Dinars (en toutes
lettres), et à ……………………………..(en chiffres).
3/ M’engage- nous nous engageons solidairement, à effectuer le versement du montant de l’avance

garanti susvisé et dont le titulaire du marché serait débiteur au titre du marché susvisé, et ce, à la
première demande écrite de l'OMMP, sans que j’ai (nous ayons) la possibilité de différer le
paiement ou soulever de contestation, pour quelque motif que ce soit, et sans une mise en demeure
ou une quelconque démarche administrative ou juridique préalable.
La caution personnelle et solidaire au titre de l’avance est libérée dès restitution totale de l’avance
par l’OMMP conformément aux stipulations du cahier des clauses administratives particulières.
Fait à …………………….……, le ………………..….…..…

(4) Nom du titulaire du marché
(5) Adresse du titulaire du marché
(6) Acheteur public
(7) Indication des références d’enregistrement auprès de la recette des finances
23
ANNEXE 4: LISTE ET QUALIFICATIF DE L’EQUIPE INTERVENANTE

Présentation du chef de projet
Nom et Diplôme Date Certificats obtenues ou les missions d’audit Les missions
Prénom formation (Année/ en tant que chef de d’audit en tant
obtention
Titre/Organisme) projet que membre
(Année/nombre de (Année/nombre de
jours/Organisme) jours /Organisme)
[1] [1]
2.2 : Présentation des membres de l’équipe intervenante :
Nom et Diplôme Date Certificats les missions d’audit Les activités

Prénom d’obtention obtenues ou ou missions de principales ou
formation (Année/ sécurité spécialités dans
Titre/Organisme) (Année/nombre de la mission
jours/Organisme)
[1]
[1] Seules les missions justifiées par des attestations du client seront considérées dans l’évaluation.
Fait à …………………….……, le ………………..….…..…
Signature du soumissionnaire
24
ANNEXE 5 : PLANNING PREVISIONNEL

MISSION 1 DE LA PREMIERE ANNEE
Phases de la Noms intervenants Nombre H/J Mois 1 Mois 2 Mois 3 Mois i

mission par phase par phase S1 S2 S3 S4 S5 S6 S7 S8 S9 S10 S11 S12 S13 S14 S15 S16
Phase 1 : Intervenant 1
Déclanchement Intervenant 2
de l’audit Intervenant i
Phase 2 :
Préparation des
activités de
l’audit
Phase 3 :
Conduite des
activités de
l’audit
Phase 4 :
Préparation du
rapport de l’audit
Phase 5 :
Sensibilisation
Post-audit
Fait à …………………….……, le ………………..….…..…
Signature manuscrite du soumissionnaire
25
PLANNING PREVISIONNEL
MISSION 2 DE LA DEUXIEME ANNEE

Phase 2 :
Préparation des
activités de
l’audit
Phase 3 :
Conduite des
activités de
l’audit
Phase 4 :
Préparation du
Phase 5 :
Sensibilisation
Post-audit
Fait à …………………….……, le ………………..….…..…
26
PLANNING PREVISIONNEL
MISSION 3 DE LA TROISIEME ANNEE

Phase 2 :
Préparation des
activités de
l’audit
Phase 3 :
Conduite des
activités de
l’audit
Phase 4 :
Préparation du
Phase 5 :
Sensibilisation
Post-audit
Fait à …………………….……, le ………………..….…..…
27
ANNEXE 6 : METHODOLOGIE DE CONDUITE DE PROJET
Présentation des éléments de la méthodologie de conduite du projet comme suit :
1. Périmètre de l’Audit :
 Critères d’échantillonnage pour chaque type de composante du système d’information à

auditer, le cas échéant
2. Audit organisationnel & physique :
 Inspections à réaliser : types, description et résultats attendus,
 Structure du questionnaire à effectuer auprès des interviewés de l’audité, et les

références d’adéquation des contrôles à vérifier à travers ce questionnaire avec le
référentiel d’audit établi par l’ANSI,
 Echantillon du questionnaire à effectuer,
 les outils d’accompagnements utilisés pour le traitement des interviews, avec la liste des
fonctionnalités et la documentation de chaque outil.
3. Audit technique:
 Méthodologie d’Audit technique, incluant le type et l’objet des tests (*) à réaliser pour
chaque phase de l’audit technique à savoir :
o Audit de l’architecture
o Audit de la configuration de chaque type de composantes du périmètre de l’audit

présentées dans les annexes du CCTP.
o Audit intrusif.
 Outils utilisés pour réaliser les tests pour chacune des phases de l’audit technique
suscitées (voir Annexe7 du présent cahier, présentation des outils techniques à utiliser),
 La méthodologie d’analyse et de report des failles, selon leur gravité.
4. Analyse et évaluation des risques :
 Méthodologie d’Analyse et d’évaluation des risques, en précisant :
28
o les critères de choix de la portée de l’analyse et de l’évaluation des risques,
o les références d’adéquation de cette méthodologie avec les normes et les

méthodologies connues à l’échelle internationale dans le domaine,
 les outils d’accompagnement pour effectuer l’analyse et l’évaluation des risques.
Fait à …………………….……, le ………………..….…..…
Signature et cachet du soumissionnaire
* pour chaque type de test à réaliser, indiquer les conditions requises pour sa réalisation et les
conséquences possibles sur la sécurité et la performance de l’objet du test.
29
ANNEXE 7 : FICHE DESCRIPTIVE DES OUTILS TECHNIQUES A

UTILISER
 Outils de …………………………………………………………1 :
Outils Référence liste des Utilité pour Lieu Référence de la

fonctionnalités la mission d’utilisation documentation
offertes ou à (Planning, dans le dossier
mettre en phase) de l’offre
œuvre dans la (éventuellement
mission sous forme
électronique :
CD, ..)
Fait à …………………….……, le ………………..….…..…
Signature manuscrite du
soumissionnaire
1
Mettre l’ensemble des types d’outils mentionnés à la phase - Conduite des activités d’audit, du Cahier de Clauses
Techniques Particulières.
30
CAHIER DES CLAUSES ADMINISTRATIVES PARTICULIERES
31
MISSION D’AUDIT DE LA SECURITE DES SYSTEMES D'INFORMATION
DE L’OFFICE DE LA MARINE MARCHANDE ET DES PORTS
Je soussigné (nom, prénom et fonction) ...........................................................................................

représentant la société (nom, adresse, téléphone et fax).......................................................................
………………………………………………………………………………………………………..
déclare avoir pris connaissance et accepté les conditions suivantes :
ARTICLE 1 : OBJET
L'Office de la marine marchande et des ports se propose de lancer un appel d’offres en vue de la
réalisation de Trois missions d’audit de la sécurité de son système d’information, dans le cadre d’un
marché cadre sur Trois ans, conformément au décret N°2004-1250 du 25 Mai 2004, et aux
ARTICLE 2 : DEFINITION DES TERMES EMPLOYES
Maître désigne l’Office de la Marine Marchande et des Ports (OMMP)

d’Ouvrage et englobe les structures ou personnes dûment mandatées pour
la supervision des tâches et actions demandées dans le cadre du
présent cahier des charges.
Titulaire désigne l’entreprise dont la soumission a été retenue par le

Maître d’Ouvrage et englobe les représentants, successeurs et
ayants droit légaux dudit prestataire.
Mission signifie toute action d’audit, de test, de vérification y compris

la rédaction des rapports, les déplacements, la collecte de
données, l’analyse des tests, et toute autre action assurée par le
titulaire pour le compte du Maître d’Ouvrage dans le cadre de
la bonne exécution de chaque mission d’audit annuel.
Audit sécurité signifie l’intervention de spécialistes, utilisant des techniques et

des méthodes adéquates, pour évaluer la situation de la sécurité
d’un système d’information et les risques potentiels.
Système Désigne l’ensemble des entités et moyens (structures, personnel, outils

d'information logiciels, équipements de traitement, équipements réseaux,
équipements de sécurité, bâtiments, ..) en relation avec les fonctions de
traitement de l'information.
ANSI désigne l’Agence Nationale de la Sécurité Informatique.
32
ARTICLE 3 : PIECES CONTRACTUELLES PAR ORDRE DE PRIORITE
Les pièces constitutives du marché comprennent :
Pièce n° 1 : La soumission.
Pièce n° 2 : Le cadre de décomposition des prix forfaitaires.
Pièce n° 3 : Le tableau récapitulatif du cadre de décomposition des prix forfaitaires.
Pièce n° 4 : Le cahier des clauses administratives particulières.
Pièce n° 5 : Le Cahier des Clauses Techniques Particulières.
Pièce n° 6 : Le Cahier des Clauses Administratives Générales C.C.A.G annexé au JORT n° 84
du 25 octobre 1994 applicable aux marchés publics des études pour toutes les clauses non
contraires aux stipulations du décret n° 2014-1039 du 13 mars 2014 portant réglementation des
marchés publics tel que modifié et complété par les textes subséquents.
En cas de divergences entre certains chapitres, paragraphes ou articles des documents mentionnés
dans le présent article, l’ordre de priorité des documents sera l’ordre des pièces citées ci-dessus.
Toutefois, en cas de discordance entre les indications du cadre de décomposition des prix
forfaitaires et celles de la soumission, les indications des prix en toutes lettres au niveau de la
soumission sont tenues pour bonnes.
ARTICLE 4 : GROUPEMENT
Dans le cas où l’offre serait faite par un groupement d’entreprises, le chef de file du groupement
sera tenu de signer et parapher les documents de l’offre.
Dans le cas d’intervention sous forme d’un groupement, il sera exigé la remise avec le dossier d’un
acte de groupement, précisant sa nature groupement solidaire.
En cas de groupement solidaire, la désignation d’un chef de file est exigée sous peine de rejet.
ARTICLE 5 : SOUS-TRAITANCE
Le Soumissionnaire ne peut en aucun cas recourir à la sous-traitance pour l’exécution de ce Marché.
Le titulaire doit assurer sous son entière responsabilité toutes les missions afférentes à ce Marché. A
ce titre il demeure le seul responsable de la bonne exécution de ce Marché, même si, pour des
raisons techniques, il fait recours à une expertise externe.
ARTICLE 6 : ORDRE DE SERVICE

Le titulaire doit commencer l’exécution du marché le lendemain de la date de la notification de
l’ordre de service prescrivant le début de réalisation.
ARTICLE 7 : CAUTIONNEMENT DEFINITIF

Dans les vingt (20) jours qui suivent la notification à l’adjudicataire de l’approbation du marché, il
doit fournir un cautionnement définitif égal à 3% du montant total du marché afin de garantir sa
bonne exécution.
33
Le cautionnement définitif pourra être remplacé par une caution bancaire à première demande,
conformément au modèle joint en annexe4 des conditions d’appels d’offres et provenant d'une
banque tunisienne.
En application du décret-loi du chef du gouvernement n 2020-20 du 21 mai 2020 , relatif à la
fixation de dispositions dérogatoires relatives à l’exécution des marchés publics , le cautionnement
définitif ou la caution qui les remplace devienne caduque, sur simple présentation par le titulaire du
marché à l’établissement bancaire du procès-verbal de réception définitive, et à condition que
l’établissement bancaire ne reçoive de notification écrite de l’acheteur public indiquant que le
titulaire du marché n’a pas honoré ses engagements contractuels.
Si le titulaire du marché a été avisé par l’OMMP, avant l’expiration des délais susvisés, par lettre
motivée et recommandée ou par tout autre moyen ayant date certaine qu’il n’a pas honoré tous ses
engagements, le cautionnement définitif n’est pas restitué ou il est fait opposition à l’expiration de
la caution qui le remplace.
Dans ce cas, cautionnement définitif ou la caution ne devient caduque que par main levée délivrée
par l’OMMP.
ARTICLE 8 : DISCRETION, SECURITE ET SECRET

8.1 OBLIGATIONS DE DISCRETION, SECURITE ET SECRET
Le titulaire qui, soit avant la notification du marché, soit au cours de son exécution, a reçu
communication, à titre confidentiel, de renseignements, documents ou objets quelconques, est tenu
de maintenir confidentielle cette communication. Ces renseignements, documents ou objets ne
peuvent, sans autorisation, être communiqués à d’autres personnes que celles qui ont qualité pour
en connaître le contenu.
Le titulaire doit observer les dispositions particulières qui lui sont communiquées par le maitre
d’ouvrage lorsque les prestations sont à exécuter dans un point sensible ou une zone protégée.
8.2 PROTECTION DU SECRET
Le titulaire s’engage à ne pas rendre public ou divulguer à qui que ce soit sous forme écrite, orale,
ou électronique les résultats de l’audit ou toute information relevant de la structure auditée et à
laquelle il a eu accès dans l’exécution de sa mission ou pour la soumission de son offre. Le Maître
d’Ouvrage interdit aux soumissionnaires et au titulaire de délivrer via n’importe quel moyen de
communication, toute information confidentielle relative au SI et spécialement toute information
pouvant :
 Donner une indication sur l’architecture réseau, la configuration matérielle ou logicielle, les
plates-formes, les serveurs, etc... et toute composante des systèmes d’information et de
communication.
 Donner une indication sur les mécanismes de contrôle d’accès et de protection du système
d’information et des dispositifs de sécurité physique ou logique.
 Donner une indication sur la politique sécuritaire, les programmes présents ou à venir, les
budgets, ou toute autre information relevant des affaires internes de l’organisation auditée.
 Donner une indication sur tout type de faille organisationnelle ou technique décelée.
Et d’une façon générale, le titulaire est tenu au secret professionnel et à l’obligation de discrétion
pour tout ce qui concerne les faits, informations, études et décisions dont il aura eu connaissance au
cours de l’exécution du présent marché ou pour la soumission de son offre ; il s’interdit notamment
34
toute communication écrite, électronique ou verbale sur ces sujets et toute remise de documents à
des tiers.
Durant et au terme de la mission, le titulaire s’engage à ne divulguer ou à déposer dans des lieux
non sécurisés tout document, quel que soit sa forme (papier, magnétique, électronique ou autre),
portant des informations concernant les structures auditées. Il veillera à la fin de la mission à
détruire les documents de travail utilisés ou à assurer leur stockage dans un lieu ou sous un format
hautement sécurisé. Le maître d’ouvrage se réserve le droit de vérifier le niveau de sécurité des
endroits de stockage de documents relatifs à la mission et ce à tout moment, même postérieur à la
mission.
8.3 SANCTIONS
En cas de violation par le titulaire des obligations mentionnées ci-dessus, et indépendamment des
sanctions pénales éventuellement encourues, le titulaire s’expose à l’application des mesures
coercitives prévues par la réglementation en vigueur.
ARTICLE 9 : CARACTERE DES PRIX

L’OMMP entend contracter des missions d’audit à prix Homme/jour, qui devra être pris comme
base du devis détaillé estimatif. Il n'acceptera aucune augmentation de ces prix Homme/jour
forfaitaires, quel qu’en soit la raison.
9.1 Caractère Des Prix

Les prix du présent marché sont réputés fermes et non révisables.
9.2 Actualisation De L’offre Financière
Le titulaire du marché peut, demander l’actualisation de son offre financière si la période entre la
date de présentation de l’offre financière et la date de notification du marché dépasse quatre mois.
Toutefois, la variation des prix ne sera appliquée que lorsque la différence, entre l’index calculé
pour le mois considéré ; à la date limite de réception des soumissions, et le dernier index pris en
considération, sera supérieure ou égale à deux pour cent (2%).
Les bases de l’actualisation et les modalités de son calcul, sont comme suit :
P  P0 x 1 x %M 1   1 x %M 2   ....  1 x %M n  
I M1 I M2 I Mn
I0 M1 I0 M 2 I0 M n
Le calcul de chaque indice sera arrondi par excès à la troisième décimale la plus proche.
P : prix actualisé
P0 : prix de l’offre financière
M1 , M2, … etc … = les intrants de la structure du prix ;
I1(M1) = indice du prix de l’intrant M1 à la date de demande d’actualisation
I1(M2) = indice du prix de l’intrant M2 à la date de demande d’actualisation
Etc…
(% M1) : Pourcentage de M1 dans la structure du prix
(% M2) : Pourcentage de M2 dans la structure du prix
(%M1) + (%M2)+….+ (%Mn)= 100% du prix de l’offre financière
35
Le titulaire du marché est tenu de présenter une demande dans laquelle il indique le montant de
l’actualisation requis, les bases et les indices ayant servi à sa détermination.
Cette demande devra être adressée à l’OMMP dans un délai ne dépassant pas les trente (30) jours
calendaires qui suivent la date de notification de l'ordre de service de commencement d'exécution
et devra être accompagnée par tous les documents et justificatifs.
Cette indemnisation est plafonnée à 3% du montant total contractuel du marché.
Si le bien-fondé de la demande d’actualisation est approuvé, le maitre d’ouvrage procède à

l’actualisation du montant de l’offre si le marché n’est pas encore signé ou à l’établissement d’un
projet d’avenant au marché conclu, qui sera soumis au titulaire du marché pour signature.
ARTICLE 10 : AVANCE
Au titre du présent marché, il sera accordé à la demande écrite du titulaire du marché une
avance égale à vingt pour cent (20%) du montant total du marché payable en Dinars
Tunisiens.
Cette avance sera accordée dans un délai d’un mois à partir de la date de commencement des
études et après fourniture par le soumissionnaire d’une caution bancaire, d’une valeur égale au
montant de l’avance, conformément au modèle joint en annexe 3 des conditions d’appel
d’offres.
Le remboursement de l’avance s’effectuera par retenue sur chaque décompte et au prorata de

chaque terme de paiement.
Le maitre d’ouvrage donnera main levée de la caution bancaire, au fur et à mesure des retenues
opérées sur chaque paiement et dès restitution du montant total de l’avance.
ARTICLE 11 : MODALITES DE PAIEMENT

Les paiements seront effectués sur la base du montant total de chaque mission d’audit comme suit :
Etape de paiement Paiement

Approbation par le maitre d’ouvrage des livrables de la phase 1
« Déclenchement de l’audit » et de la phase 2 « Préparation des 20%
activités de l’audit » de chaque mission d’audit.
30%
« Conduite des activités de l’audit » de chaque mission d’audit.
« Préparation du rapport de l’audit » et de la phase 5 « Sensibilisation 30%
post-audit » de chaque mission d’audit.
Réception définitive de chaque mission d’audit. 20%
36
ARTICLE 12 : DELAI DE PAIEMENT
L’établissement des ordres de paiement dus, doivent être effectués dans un délai maximum de 30
jours calendaires à compter de la date de constatation des droits et acomptes ou paiement pour
solde, ou à partir du jour ou le titulaire du marché a régularisé son dossier conformément à la
notification écrite le maitre d’ouvrage. La notification sera faite dans les conditions prévues à
l'article 103 du décret n° 2014-1039 du 13 mars 2014, portant réglementation des marchés publics.
L'agent habilité au paiement doit payer le titulaire du marché dans un délai maximum de quinze
jours à partir de la réception de l’ordre de paiement à condition de présenter toutes les pièces
justificatives.
A défaut, le titulaire du marché bénéficie de plein droit d’intérêts moratoires calculés à partir du
jour qui suit l’expiration de ce délai.
Les intérêts moratoires sont calculés sur la base des montants dus au titre d’acomptes ou paiement
pour solde, au taux du marché monétaire tel que publié par la banque centrale de Tunisie.
ARTICLE 13 : INTERETS MORATOIRES

Le titulaire du marché bénéficie de plein droit des intérêts moratoires conformément aux
stipulations des articles 101, 102 et 103 du décret n° 2014-1039 du 13 mars 2014, portant
réglementation des marchés publics.
ARTICLE 14 : REGLEMENT DEFINITIF

Le dossier du règlement définitif doit être soumis à l'avis de la commission des achats dans un délai
maximum de (90) jours après la réception définitive du marché.
ARTICLE 15 : DELAI CONTRACTUEL

15.1 Dispositions générales
Ce marché cadre sera d’une durée égale à Une (1) année renouvelable par tacite reconduction avec
une durée maximale de Trois (3) ans.
15.2 Délai des missions d’audit
Le délai contractuel, pour la réalisation de chaque mission d’audit, à respecter par le titulaire est de
soixante-dix (70) jours calendaire à compter du lendemain de la date de notification de l’ordre de
service, de chaque mission, par le maitre d’ouvrage, hors délais de validation des différents
livrables de chaque mission par le maitre d’ouvrage et des délais d’évaluation des rapports par
l’ANSI.
L’OMMP se réserve le droit d’arrêter la présente étude au terme de chacune des phases de chaque
mission.
Pour chaque mission, le passage d’une phase à l’autre est tributaire de la validation de la phase
précédente par le maitre d’ouvrage conformément à l’article 8 « organisation de la mission »
du CCTP.
37
ARTICLE 16 : PENALITES POUR RETARDS
Les pénalités pour retard prévues dans le présent cahier, sont appliquées de plein droit sans mise en
demeure préalable, sur la simple soustraction de la durée de réalisation de chaque mission d’audit
par le prestataire (entre les dates de lancement et de réception, annoncées officiellement par le
maitre d’ouvrage) hors délais de validation du côté du maitre d’ouvrage et de l’ANSI, de la durée
contractuelle de ladite mission.
A défaut pour le prestataire d’avoir remis des documents inhérents à chaque mission dans les délais
contractuels partiels, il sera passible, sans qu’il ne soit même nécessaire d’effectuer une mise en
demeure préalable, d’une pénalité de 1/500 du montant définitif en T.T.C de la mission
concernée par jour calendaire de retard sur le délai de celle-ci, jours fériés compris, qui sera
prélevée sur les sommes dus au prestataire.
Le montant total des pénalités ne pourra cependant dépasser cinq pour cent (5%) du montant
total définitif du marché en T.T.C .Au cas où leur montant total dépasserait ce pourcentage,
l’OMMP sera libre de faire appel à ses propres moyens ou aux moyens d’autres prestataires pour
activer l’avancement de la mission.
Les frais correspondants à l’utilisation de ces moyens seront en totalité à la charge du prestataire.
Si le retard sur les délais contractuels imputables au prestataire dépasse 5% en pénalité l’OMMP se
réserve aussi le droit de résilier purement et simplement au tort du prestataire le présent marché sans
que celui-ci ne puisse élever les réclamations ou réclamer les indemnités de quelque nature que ce
soit.
ARTICLE 17 : INDEMNISATION AU TITRE DES DOMMAGES ET

CHARGES SUPPLEMENTAIRES
Le prestataire peut être indemnisé au titre des dommages et des charges supplémentaires dus au
retard imputé à l’OMMP ou aux modifications importantes apportées au projet en cours
d’exécution.
17.1 Indemnisation pour retard imputé à l’OMMP

Si le cumul des suspensions des prestations, pour des raisons imputées à l’OMMP, ordonnées par
ordre de service d’arrêt total officiellement notifié est supérieur ou égal à 3 mois, le prestataire aura
droit à une indemnisation pour les jours calculée comme suit :
Le prestataire aura droit à une indemnisation pour les jours suivants égale au cinq millième
(1/5000ème) du montant du marché par jour calendaire. Cette indemnité est plafonnée à cinq pour
cent (5%) du montant du marché.
Si le bien-fondé de la demande d’indemnisation est approuvé, le prestataire aura droit à cette

indemnisation.
17.2 Indemnisation pour modifications importantes apportées au projet
Si au cours d’exécution du projet, il sera procédé à des modifications importantes de nature à

entraîner des charges supplémentaires, le prestataire aura droit à une indemnisation.
38
Le prestataire est tenu de présenter une demande d’indemnisation, appuyée par les bases et les
indices ayant servi à sa détermination, cette demande doit être accompagnée par tous les documents
et justificatifs le prouvant.
Si le bien-fondé de la demande d’indemnisation est approuvé, le prestataire aura droit à cette

indemnisation.
Toutefois, cette indemnisation est plafonnée à 3% du montant total contractuel du marché.
17.3 Demande d’indemnisation :
Dans les deux cas, le titulaire du marché doit présenter une demande à cet effet à l’OMMP au plus
ta l’évènement donnant droit à l’indemnisation, dans laquelle, il indique le montant de
l’indemnisation, les bases et les indices ayant servi à son évaluation. Cette demande doit être
accompagnée par tous les documents et justificatifs le prouvant. L’OMMP procède à l’étude de
cette demande et établit à cet effet un rapport qu’il soumet à la commission compétente.
Ce rapport comporte l’avis de l’OMMP sur la demande du titulaire du marché et sa proposition à

cet égard, accompagnée d’un projet d’avenant le cas échéant.
Si la commission compétente approuve le bien-fondé de la demande d’indemnisation, l’OMMP
procède à l’établissement d’un projet d’avenant au marché conformément à l’avis de la commission
compétente qu’il soumet au titulaire du marché pour signature.
ARTICLE 18 : FORCE MAJEURE

Les différentes obligations qui résultent du présent marché seront partiellement ou totalement
suspendues dans la mesure ou leur réalisation sera directement empêchée ou retardée par un cas de
force majeure, guerre, inondation, incendie, tremblement de terre, tempête, éboulement, ouragan...).
En cas de force majeure, le prestataire est tenu d'informer l'OMMP par lettre recommandée avec
accusé de réception ou télex, trois jours au plus tard à compter de la survenance de l'événement
constituant un cas de force majeure.
Il est tenu dans ce cas de justifier l'incidence de cet événement sur les délais d'intervention.
Le prestataire se doit de prendre toutes les dispositions utiles pour exécuter ses obligations, faute de
quoi l'OMMP est en droit de :
- Résilier le marché et dans ce cas le prestataire sera tenu au paiement des dommages et
intérêts.
- Faire réaliser les travaux restantes par un autre prestataire, et dans ce cas les frais y
afférents seront facturés au prestataire qui s'engage à les payer.
ARTICLE 19 : CONNAISSANCE DES LIEUX ET DES CONDITIONS

GENERALES DE TRAVAIL
Par le fait même du dépôt de sa soumission, le prestataire reconnaît s'être assuré :
 des conditions générales et des difficultés d'exécution des prestations.

 de la nature et de la situation géographique du lieu objet du projet.
39
 de toutes les circonstances susceptibles d'avoir une influence sur les conditions de
réalisation des prestations ou sur leur prix.
Toute carence ou erreur du prestataire dans l'obtention de ces renseignements ne pourront que
demeurer à sa charge.
ARTICLE 20 : PROGRAMME DE REALISATION

Chaque fois que le titulaire prévoira un retard sur le programme établi, il en avisera immédiatement
le maitre d’ouvrage par écrit en exposant les raisons de son retard, sa durée probable et les mesures
qu'il compte prendre pour y remédier.
Chaque fois qu'à un moment quelconque en cours de réalisation, le maitre d’ouvrage constatera que
le planning de réalisations des prestations n'est pas respecté, le prestataire devra, dans un délai de
huit (8) jours à partir de l’invitation qui lui en sera faite par ordre de service, proposer un nouveau
programme prévoyant l'achèvement dans les délais contractuels.
De façon générale, une telle réactualisation du planning devra être effectuée à la fin de chaque
phase.
Dans le cas où il serait impossible d'établir un nouveau planning dans le cadre des délais
contractuels, son acceptation éventuelle par le maitre d’ouvrage ne modifiera en rien le calcul des
pénalités prévues par le présent cahier.
ARTICLE 21 : GENERALITES SUR LA REALISATION

Les prestations seront exécutées conformément aux clauses du Cahier des Prescriptions Techniques
Particulières et conformément à la documentation technique.
Sur l'ordre de service de l'OMMP, le titulaire est tenu de faire remplacer les parties qui ne sont pas
conformes au Cahier des Prescriptions Techniques Particulières et aux documents validés relatifs
aux différentes phases de chaque mission.
ARTICLE 22 : REUNIONS DE SUIVI

Des réunions de suivi du marché auront lieu régulièrement sur l’initiative du maitre d’ouvrage,
pendant et après l’exécution de chaque phase.
Le titulaire ou son représentant dûment convoqué est tenu d'assister à ces réunions, il pourra se faire
assister par le personnel de son choix de son bureau s’il l'estime nécessaire.
L’organisation de la mission est détaillée au niveau du cahier des prescriptions techniques.
ARTICLE 23 : ERREURS EVENTUELLES

En cas d’erreurs décelées, avant, en cours ou après l’exécution du projet relatif à ce marché, le
prestataire aura à sa charge, les corrections et rectifications nécessaires dans le cadre de sa mission
et ce dans un délai n’excédant pas les 15 jours à compter de leurs notifications par l’OMMP.
40
Le maitre d’ouvrage se réserve le droit d’ester le titulaire en justice au cas où sa mission s’avérerait
défaillante à l’occasion de l’exécution des prestations.
La mise en œuvre de la responsabilité du titulaire ne préjugera ni n’affectera aucun des droits à

recours ou recours que le maitre d’ouvrage a ou obtiendra ultérieurement du marché.
ARTICLE 24 : OBLIGATIONS DU TITULAIRE

Le titulaire ne peut faire aucun usage commercial des résultats des prestations sans l’accord
préalable du maitre d’ouvrage.
Il ne peut communiquer les résultats des prestations à des tiers, à titre gratuit ou onéreux, qu’avec
l’autorisation du maitre d’ouvrage.
La publication des résultats par le titulaire doit recevoir l’accord préalable du maitre d’ouvrage ;
sauf stipulation contraire de cet accord, la publication doit mentionner que le projet a été financé par
l’OMMP.
Il incombe au titulaire de prendre toutes dispositions pour préserver les droits du maitre d’ouvrage
et, le cas échéant d’accomplir à ses frais les formalités nécessaires pour que ces droits soient
opposables aux tiers, il rend compte au maitre d’ouvrage des dispositions prises et des formalités
accomplies.
ARTICLE 25 : RECEPTIONS
A : Réception de chaque mission :
La réception par le Maître d’Ouvrage de chaque mission d’audit s’effectuera comme suit :
1- Réception provisoire de chaque mission :
La réception provisoire de chaque mission sera prononcée après approbation, sans réserves, par le
maitre d’ouvrage de toutes les phases de la mission conformément aux exigences de l’article 2
« Conduite et déroulement de la mission » du CCTP.
2- Réception définitive de chaque mission :
A la fin de chaque Mission, le Maître d'Ouvrage soumettra le Rapport final à l'avis de l'ANSI
avant d’en proclamer la Réception Définitive de celle-ci.
B : Réception définitive du marché :
La réception définitive du marché ne sera prononcée qu’après la réception définitive sans réserve de
chacune des missions d’audit.
41
ARTICLE 26 : RESILIATION DU MARCHE
La résiliation du marché est prononcée de plein droit :
- En cas de décès du prestataire, sauf si l’autorité contractante accepte la continuation

du marché par les ayants droit.
- En cas d’incapacité physique manifeste et durable du prestataire.
- En cas de faillite du prestataire sauf si l’autorité contractante accepte les offres
éventuellement faites par les créanciers du prestataire.
Lorsque la résiliation est prononcée dans les cas indiqués au présent article, aucune
indemnité n’est due au titulaire ou à ses ayants droit.
26.1 Résiliation du marché de la part de l’OMMP
L’OMMP peut résilier le marché au cas où le prestataire n’a pas rempli ses obligations. Dans ce cas,
l’OMMP le met en demeure, par lettre recommandée, d’y satisfaire dans un délai déterminé qui ne
peut être inférieur à dix jours à compter de la date de notification de la mise en demeure. Passé ce
délai, l’OMMP pourra résilier purement et simplement le marché ou faire exécuter les prestations,
objet de ce marché, conformément à la règlementation en vigueur aux frais du prestataire.
L’OMMP peut résilier le marché s’il a été établi à l’occasion d’un audit et sans préjudice des
éventuelles actions pénales, que le prestataire a failli à l’engagement, souscrit dans le cadre de son
offre, de ne pas faire par lui-même ou par personne interposée, des promesses, des dons ou des
présents en vue d’influer sur les différentes procédures de conclusion d’un marché et des étapes de
son exécution.
La décision de résiliation du marché doit être notifiée par lettre recommandée ou remise par porteur
contre récépissé d’accusé de réception au prestataire ou par voie immatérielle sécurisée.
26.2 Résiliation du marché de la part du prestataire
Le prestataire peut demander la résiliation de son marché si l’exécution des prestations a été
interrompue pendant plus de douze mois suite d’un ajournement ou de plusieurs ajournements
émanant de l’OMMP.
La demande de résiliation accompagnée, s’il y a lieu, d’une demande d’indemnisation doit être
présentée par le titulaire par lettre recommandée ou remise par porteur contre récépissé d’accusé de
réception soixante (60) jours à compter à partir de l’expiration des douze (12) mois.
Le prestataire doit indiquer dans sa demande le montant de l’indemnisation demandé, les bases et
les indices adoptés dans son estimation accompagnés de tous les documents et justificatifs y
afférent. L’OMMP examine la demande, et prépare un rapport qu’il soumet à la commission des
achats compétente comprenant son avis et sa proposition à propos de la demande.
Dans tous les cas, l’OMMP doit constater les prestations exécutées ou en cours d’exécution et aux
biens approvisionnés en vue de l’exécution du marché et doit prendre les mesures conservatoires.
Ces constats doivent être consignés dans un décompte arrêté par l’OMMP et notifié au prestataire
par la poste et recommandé ou remis directement contre décharge.
42
ARTICLE 27 : REMISE DU RAPPORT DE CHAQUE MISSION D’AUDIT A
L’ANSI
Le rapport final de chaque mission d’audit doit être remis à l’Agence Nationale de la Sécurité
Informatique conformément aux dispositions du décret n° 1250-2004.
Si le rapport d’audit serait refusé par l’Agence Nationale de Sécurité Informatique, pour
manquement grave aux prescriptions du décret n° 1250-2004, le titulaire est tenu de procéder à ses
frais, à la correction des manques signalés.
En cas de refus du rapport par l’Agence Nationale de Sécurité Informatique, les délais de levés des
réserves par le titulaire sont inclus dans les délais de réalisation de la mission.
ARTICLE 28 : FRAIS DE TIMBRES ET D'ENREGISTREMENT DU

MARCHE
Les frais de timbre et d’enregistrement du présent marché et de la caution bancaire sont à la charge
du titulaire.
Le titulaire est tenu de fournir au maitre d’ouvrage une copie du marché dûment enregistrée du
contrat
ARTICLE 29 : IMPOTS ET TAXES

Le titulaire du marché supportera seul la charge des impôts et taxes auxquels est assujetti le marché.
ARTICLE 30 : REGLEMENT DE LITIGES ET ATTRIBUTION DE

JURIDICTION
En cas de survenance d’un litige et faute d’arrangement à l’amiable entre les deux parties, le
différend sera soumis à l’avis du comité consultatif de règlement amiable des litiges. Faute
d’acceptation de l’avis du comité par les deux parties, le litige sera résolu par les tribunaux de Tunis
auxquels compétences exclusive est attribuée.
ARTICLE 31 : VALIDITE DU MARCHE
Le présent marché ne sera valable qu’après l’approbation du conseil d’administration et sa signature
par les deux parties contractantes.
Fait à ………….……….., le ……………..………..
LU ET ACCEPTE LU ET APPROUVE
LE PRESTATAIRE LE PRESIDENT DIRECTEUR GENERAL DE L’OMMP
43
CAHIER DES CLAUSES TECHNIQUES PARTICULIERES
44
MISSION D’AUDIT DE LA SECURITE DU SYSTEME D'INFORMATION ET DE
COMMUNICATION
DE L’OFFICE DE LA MARINE MARCHANDE ET DES PORTS
Je soussigné : (Nom, Prénom et Fonction ………………………………………………………………….

Représentant la société : (Nom, adresse complète et N° de téléphone) ………………………………….
………………………………………………………………………………………………………………..
Déclare avoir pris connaissance et accepté les clauses suivantes :
ARTICLE 1 : OBJET
L'Office de la marine marchande et des ports se propose de lancer un appel d’offres en vue de la
réalisation de Trois missions d’audit de la sécurité de son système d’information, dans le cadre d’un
marché cadre sur Trois ans, conformément au décret N°2004-1250 du 25 Mai 2004, et aux
Chaque mission d’audit devra suivre une approche méthodologique conforme au référentiel établi
par l’ANSI qui couvre les aspects organisationnels, physiques et opérationnels relatifs à la sécurité
du système d’information inclus dans le périmètre de chaque mission.
ARTICLE 2 : CONDUITE ET DEROULEMENT DE LA MISSION
Chaque mission d’audit sera décomposée en cinq phases. Les phases numérotées de I jusqu’à IV
sont listées selon les conseils relatifs à la planification et à la réalisation des activités d’audit donnés
dans la norme ISO 19011.
I. PHASE DECLENCHEMENT DE L’AUDIT
Au lancement de l’audit, le soumissionnaire devra solliciter auprès des structures à auditer tout
détail, information ou document nécessaire pour l’exercice de sa mission, entre autres la
fourniture des rapports résultants du dernier audit réalisé.
Une réunion préparatoire de la mission sera organisée au début de la mission, dont l’objet sera
de finaliser, sur la base des besoins et documents préparés par le titulaire, les détails de mise en
œuvre de la mission.
Il concernera, sans s’y limiter, la finalisation des détails suivants :
 désignation des chefs de projets et des interlocuteurs, côtés OMMP et soumissionnaire,
 fourniture des détails complémentaires, relatifs au périmètre de l’audit (si le
soumissionnaire du marché fait recours à l’échantillonnage, il est tenu d’en présenter les
critères pour chaque type d’objet de l’audit),
45
 Définition du périmètre de l’audit y compris Trois applications à choisir pour l’audit
technique,
 fourniture des documents requis pour l’audit (manuels d’exploitation, schémas
d’architectures, politique de sécurité, …),
 examen des détails des listes des interviews à réaliser par le titulaire et fourniture par
l’OMMP de la liste nominative des personnes à interviewer,
 affinement des plannings d’exécution (planning des actions par site, plannings des
réunions de coordination et de synthèse, ….),
 examen des détails logistiques nécessaires au déroulement de la mission (octroi des
autorisations d’accès aux lieux où l’audit devra être élaboré sur la base d’études de
terrain, octroi de locaux de travail au titulaire,…).
Ainsi tous les détails de mise en œuvre seront examinés et validés. Cette réunion débouchera, entre
autres, sur la synthèse des plannings précis et détaillés de mise en œuvre de l’audit.
Les résultats de cette réunion seront consignés dans un PV, qui sera annexé au rapport final d’audit.
En cas de difficultés notoires rencontrées lors de cette phase, le soumissionnaire devra faire recours
à l’OMMP par écrit, pour lui permettre d’intervenir efficacement et dans les délais.
A la fin de cette phase le titulaire remettra au maitre d’ouvrage les livrables demandés pour
approbation avant de passer à la phase suivante.
II. PHASE PREPARATION DES ACTIVITES D’AUDIT :

A. Sensibilisation pré-audit :
Des sessions de sensibilisation préliminaires, destinées aux responsables et acteurs du système
d’information, devront être proposées.
Ces sessions préliminaires auront pour premier objectif une sensibilisation générale sur les dangers
cybernétiques et sur les risques cachés encourus. Elles devront aussi rappeler les objectifs de l’audit,
l’urgence et les bienfaits attendus, ainsi que l’assurance sur la confidentialité des données reçues.
A la fin de cette opération un PV sera dressé et signé conjointement par le titulaire et le maitre
d’ouvrage et des fiches d’évaluation de ces sessions seront remplies par les participants. Des copies
de ce PV et de ces fiches seront jointes au rapport d’audit.
Ces sessions de sensibilisation seront réalisées comme suit :

- Une session de sensibilisation à chaque structure visitée dans le cadre du périmètre de
chaque mission. Les sites concernés par des visites sont mentionnés dans l’annexe 4 du
présent cahier et les sessions de sensibilisation ne dépasseront pas Dix (10) sessions pour les
Trois missions.
B. Revue des documents :
46
Cette phase permettra de déterminer la conformité des documents existants aux exigences de la
norme ISO/IEC 27002, d’arrêter la liste des documents manquants exigés par cette norme et
d’examiner les problèmes éventuels relatifs à la mise à jour de la documentation.
Plus précisément, l’auditeur doit vérifier si :
- l’information contenue dans les documents fournis est :
 Complète (tout le contenu attendu figure dans le document),
 Correcte (le contenu est conforme à d'autres sources fiables telles que les normes et les
règlements),
 Cohérente (le document est cohérent en soi et avec les documents associés),
 D’actualité (le contenu est à jour).
- les documents en cours de revue couvrent le périmètre de l'audit et fournissent des
informations suffisantes pour appuyer les objectifs de l’audit.
Aussi, est-il opportun d’examiner les documents relatifs à la mise en œuvre des recommandations
émises dans le rapport de l’audit précédent ainsi que tout document issu d’autres audits éventuels.
III. PHASE CONDUITE DES ACTIVITES D’AUDIT :

C’est la phase d’audit proprement dite. Elle ne peut commencer qu’après l’achèvement de la revue
des documents. Au fur et à mesure de l’avancement dans cette phase, l’auditeur doit vérifier la
conformité des procédures opérationnelles avec celles figurant dans les documents fournis.
Ainsi, cette phase couvrira principalement trois (03) volets :
- un volet d’audit organisationnel et physique,
- un volet d’audit technique,
- et un volet d’appréciation des risques.
A. Audit organisationnel et physique :
Il s’agit, pour ce volet, d’évaluer les aspects organisationnels de gestion de la sécurité des structures
objet de l’audit. Au cours de cette étape, le titulaire devra emprunter une approche méthodologique,
basée sur des batteries de questionnaires préétablis et adaptés à la réalité des entités auditées et aux
résultats de la revue des documents. Cette approche permettra d’aboutir à une évaluation
pragmatique des failles et des risques encourus et de déduire les recommandations adéquates pour la
mise en place des mesures organisationnelles et d’une politique sécuritaire adéquate.
A la fin de ce volet le titulaire remettra au maitre d’ouvrage le rapport de l’audit organisationnel et
physique pour approbation avant de passer à l’approbation des livrables du volet suivant.
B. Audit technique :
47
1. Objectifs de l’audit technique
Ce volet concerne l’audit technique de l’architecture de sécurité. Il s’agit de procéder à une

analyse très fine de l’infrastructure sécuritaire des systèmes d’information. Cette analyse
devra faire apparaître les failles et les risques conséquents d’intrusions actives (tentatives de
fraude, accès et manipulation illicites de données, interception de données critiques…), ainsi
que celles virales ou automatisées, et ce suite à divers tests de vulnérabilité conduits dans le
cadre de cette mission. Ces tests doivent englober des opérations de simulation d’intrusions
et tout autre test permettant d’apprécier la robustesse de la sécurité des systèmes
d’informations et leur capacité à préserver les aspects de confidentialité, d’intégrité, de
disponibilité et d’autorisation.
Pour le côté applicatif, ces tests vont concerner, à chaque mission d’audit, les Trois (3)
applications choisies et validées lors de la définition du périmètre de la mission d’audit.
Au cours de cette étape, le soumissionnaire devra, en réalisant des audits techniques de
vulnérabilités, réaliser des tests et simulations d’attaques réelles :
 dégager les écarts entre l’architecture réelle et celle décrite lors des entretiens ou dans la
documentation, ainsi qu’entre les procédures techniques de sécurité supposées être
appliquées (interviews) et celles réellement mises en œuvre.
 évaluer la vulnérabilité et la solidité des composantes matérielles et logicielles du
système d’information ( réseau, systèmes, mécanismes d’administration et de gestion,
plates-formes matérielles,...) contre toutes les formes de fraude et d’attaques connues
par les spécialistes du domaine au moment où l’audit est conduit, et touchant les aspects
de confidentialité, intégrité et disponibilité des informations (et le cas échéant, celles
des mécanismes d’autorisation (authentification, certification, ..) et de non répudiation).
 évaluer l’herméticité des frontières du réseau contre les tentatives de son exploitation par
des attaquants externes (sites d’amplification d’attaques, relais de spam, exploitation de
l’IPBX pour le détournement (« vol ») des lignes de communication, ….).
Il devra aussi inclure une évaluation des mécanismes et outils de sécurité présentement
implémentés et diagnostiquer et tester toutes leurs failles architecturales et techniques, ainsi
que les lacunes en matière d’administration et d’usage de leurs composantes logicielles et
matérielles.
Les tests réalisés ne devront pas mettre en cause la continuité du service du système audité.
Les tests critiques, pouvant provoquer des effets de bord, devront être notifiés au chef de
projet du maitre d’ouvrage. Ils devront, si nécessaire, être réalisés sous sa supervision
conformément à un planning préalablement établi et validé et qui pourra concerner des
horaires de pause et éventuellement de chôme.
A la fin de ce volet le titulaire remettra au maitre d’ouvrage le rapport de l’audit technique
pour approbation avant de passer à l’approbation des livrables du volet suivant.
2. Outils de l’audit technique
Lors des audits, l’utilisation d’outils commerciaux devra être accompagnée de la

présentation d’une copie de la licence originale et nominative, permettant leur usage correct
pour de telles missions (inexistence de restrictions quant à leur usage pour les audits : plages
d’adresses ouvertes, ...).
48
De plus, étant donné qu'aucun produit commercial ne saurait prétendre à lui seul, à une
complétude totale, les outils disponibles dans le domaine du logiciel libre (et généralement
utilisés par les attaquants) devront être savamment déployés pour assurer une complétude
correcte de cette phase, en s’appuyant, quand cela est possible, sur des scripts riches de mise
en œuvre savante et combinée de ces outils.
Les outils proposés devront inclure, sans s’y limiter, les catégories d’outils suivants :
 outils de sondage et de reconnaissance du réseau,
 outils de test automatique de vulnérabilités du réseau,
 outils spécialisés dans l’audit des équipements réseau (routeurs, switchs, …),
 outils spécialisés dans l’audit de chaque type de plate-forme système (OS, ..)
présente dans l’infrastructure,
 outils spécialisés dans l’audit des SGBD existants,
 outils de test de la solidité des objets d’authentification (fichiers de mots clés,
…),
 outils d’analyse et d’interception de flux réseaux,
 outils de test de la solidité des outils de sécurité réseau (firewalls, IDS, outils
d’authentification,….),
 outils de scan d’existence de connexions dial-up dangereuses (war-dialing),
et tout autre type d’outil, recensé nécessaire, relativement aux spécificités du système
d’information audité (test d’infrastructure de PKI, ….).
Le soumissionnaire devra donner la référence et une description concise (résumé de la liste
des fonctionnalités offertes) des outils et scripts qu’il compte utiliser, en spécifiant l’objectif,
le lieu, phase de l’audit et les types de fonctionnalités de l’outil ou script qui seront mises en
œuvre (Voir annexe 7 des conditions d’appel d’offres).
C. Appréciation des risques :

Dans ce volet et après avoir identifié les failles de sécurité organisationnelles, physiques et
techniques, il s’agit de suivre une approche méthodologique pour évaluer les risques encourus et
leurs impacts sur la sécurité du Système d’Information.
Le volet d’appréciation des risques se déroulera en deux étapes :
Etape 1 : Analyse
A cette étape le titulaire est amené à :

1. identifier les processus critiques : les informations traitées, les actifs matériels, les
actifs logiciels, les personnels,…qui supportent ces processus,
2. identifier les menaces auxquelles sont confrontés ces actifs (intentionnelles ou non
intentionnelles),
3. identifier les vulnérabilités (au niveau organisationnel, au niveau physique et au
niveau technique) qui pourraient être exploitées par les menaces,
4. identifier les impacts que les pertes de confidentialité, d'intégrité et de disponibilité
peuvent avoir sur les actifs,
49
5. évaluer la probabilité réaliste d'une défaillance de sécurité au vu des mesures
actuellement mises en œuvre.
Etape 2 : Evaluation
A cette étape le titulaire est amené à :
1- établir une classification des risques par niveaux, et déterminer le niveau du risque
acceptable,
2- évaluer les risques, en fonction des facteurs identifiés dans la phase d’analyse, et les
classifier par niveaux,
3- identifier les mesures préventives et les mesures correctives de sécurité à
implémenter pour éliminer ou réduire les risques identifiés.
A la fin de ce volet le titulaire remettra au maitre d’ouvrage le rapport de l’appréciation des

risques pour approbation avant de passer à la phase suivante.
IV. PHASE PREPARATION DU RAPPORT D’AUDIT :

Le prestataire est invité, à la fin de la phase précédente, à remettre au maitre d’ouvrage un
rapport daté, signé par le responsable de l’audit et portant le cachet du prestataire. Ce rapport
doit contenir une synthèse permettant l’établissement de la liste des failles (classées par ordre de
gravité et d’impact), ainsi qu’une évaluation de leurs risques et une synthèse des
recommandations conséquentes.
Les recommandations devront inclure au minimum :
1. les actions détaillées (organisationnelles et techniques) urgentes à mettre en œuvre dans
l’immédiat, pour parer aux défaillances les plus graves, ainsi que la proposition de la mise à
jour ou de l’élaboration de la politique de sécurité à instaurer,
2. les actions organisationnelles, physiques et techniques à mettre en œuvre sur le court terme
(jusqu’à la date du prochain audit), englobant entre autres :
 les premières actions et mesures à entreprendre en vue d’assurer la sécurisation de
l’ensemble du système d’information audité, aussi bien sur le plan physique que sur le
plan organisationnel (structures et postes à créer, opérations de sensibilisation et de
formation à intenter, procédures d’exploitation sécurisées à instaurer,…) et technique
(outils et mécanismes de sécurité à mettre en œuvre), ainsi qu’éventuellement des
aménagements architecturaux de la solution de sécurité existante,
 une estimation des formations requises et des ressources humaines et financières
supplémentaires nécessitées.
 la proposition d’un plan d’action cadre, ou mise à jour de celui-ci s’il existe, s’étalant sur
trois années et présentant un planning des mesures stratégiques en matière de sécurité à
entreprendre, et d’une manière indicative les moyens humains et financiers à allouer
pour réaliser cette stratégie.
50
V. PHASE SENSIBILISATION POST-AUDIT :
Des sessions de sensibilisation post-audit, destinées aux responsables et acteurs du système

d’information, devront être proposées.
Les sessions post audit, incluant les responsables et acteurs du système d’information, auront
pour objectif une sensibilisation aux failles décelées et aux risques cachés encourus et l’octroi de
la collaboration des utilisateurs, pour ce qui concerne la mise en œuvre de la politique de sécurité
proposée ou existante, en spécifiant l’objectif de cette politique et les bienfaits attendus.
A la fin de cette opération un PV sera dressé et signé conjointement par le titulaire et le maitre
d’ouvrage et des fiches d’évaluation de ces sessions seront remplies par les participants. Des
copies de ce PV et de ces fiches seront jointes au rapport d’audit.
Il s’agit de réaliser, à la fin de chaque mission d’audit, deux (2) sessions de sensibilisation post-
audit, une session pour une équipe informatique et une autre dédiée aux utilisateurs des Systèmes
d’Informations audités.
approbation.
ARTICLE 3 : PLANNING DES PHASES DE CHAQUE MISSION

Le planning des phases de chaque mission doit être conforme au modèle présenté en annexe 5 des
conditions d’appel d’offres et doit faire figurer l’affectation des moyens humains par rapport aux
axes temps et le détail de la mission.
ARTICLE 4 : METHODOLOGIES ADOPTEES
Pour la réalisation de chaque mission, le soumissionnaire devra emprunter une approche

méthodologique, en indiquant les références de la (ou des) méthodologie(s) adoptée(s), tout en
respectant le référentiel établi par l’ANSI.
La (les) méthodologie(s) adoptée(s) devra(ont) être adaptée(s), dans sa (leur) mise en œuvre, à la
réalité métier et à la taille des entités auditées ( périmètre de chaque mission ) et devra(ont)
permettre d’aboutir à l’élaboration de bilans et de recommandations et des solutions pragmatiques
et pertinentes, qui tiennent compte, pour les plus urgentes, de la réalité humaine et matérielle, et en
la corrélant à la gravité des failles décelées et à l’efficacité, l’urgence et la faisabilité des actions à
mener .
Ainsi, le soumissionnaire est appelé à indiquer, clairement dans son offre, la (les) méthodologie(s)
d’audit qu’il envisage de mettre en œuvre (voir annexe 6 des conditions d’appel d’offres).
Le soumissionnaire devra spécifier dans l’annexe 6 « Méthodologie de conduite de projet», au
minimum, et pour chaque composante du système d’information, notamment:
o le Type de méthodologie(s) à mettre en œuvre pour le volet physique et organisationnel ainsi
que l’(es) outil(s) logiciel(s) accompagnant la mise en œuvre de cette (ces) méthodologie(s)
(traitement automatisé des interviews et calcul des risques associés, …),
o la méthode de mise en œuvre du volet technique, en spécifiant les types de tests techniques à
effectuer et leurs objectifs, ainsi que les outils à utiliser,
51
o la séquence des actions à mener (interviews, tests techniques, synthèse, rédaction de
rapports, …),
Il est à noter que toute modification des personnes initialement proposées est une cause de rupture
du contrat ou de disqualification, sauf cas exceptionnel, via l’octroi de l’accord préalable et écrit du
maître d’ouvrage (avec insertion de ces écrits dans le rapport final).
Le soumissionnaire pourrait éventuellement faire intervenir du personnel consultant, sur la foi de
présentation du contrat de consultation y afférant, qui devrait inclure une clause sur la
confidentialité, tout en assumant totalement la responsabilité envers tout risque de divulgation par
ce personnel de tout type de renseignements concernant cet audit.
ARTICLE 5 : LIVRABLES
Le rapport d’audit devra couvrir, au minimum, les aspects mentionnés dans le décret N°2004-1250
du 25 mai 2004.
Le document final devra inclure les livrables suivants :
PHASES LIVRABLES
Phase 1 : Déclanchement . PV de déclanchement de l’audit conformément aux détails de cette

de l’audit. phase mentionnés à l’article 2 du CCTP.
Phase 2 : Préparation des . PV des sessions de sensibilisation y compris leurs évaluations,

activités de l’audit. . Description du système d’information de l’organisme,
. Evaluation des mesures qui ont été adoptées depuis le dernier audit
réalisé et aux insuffisances enregistrées dans l’application de ses
recommandations, avec un report des raisons invoquées par les
responsables du système d’information et celles constatées,
expliquant ces insuffisances.
Phase 3 : Conduite des . Audit organisationnel et physique, fournissant l’ensemble des

activités de l’audit. failles d’ordre organisationnel et physique et incluant la liste des
recommandations à appliquer dans l'immédiat, en tenant compte des
spécificités du périmètre audité, de la classification des systèmes
(criticité) et de la réalité actuelle des moyens humains et financiers,
. Audit technique, indiquant les vulnérabilités existantes, leur

impact sur la pérennité des systèmes d’information et de
communication du périmètre audité, en incluant des
recommandations techniques à appliquer dans l'immédiat,
concernant les moyens (réalistes) de correction des failles graves
décelées. Tous les livrables découlés des travaux de test et d’analyse
effectués devront être consignés dans une annexe, en les ordonnant
selon leur sévérité, en incluant au niveau du rapport un relevé des
failles les plus importantes et des moyens de les combler dans
l’immédiat,
. Analyse des risques fournissant une évaluation des risques

résultant des menaces identifiées et des failles découvertes lors des
52
phases d’audit organisationnel, physique et technique.
Phase 4 : Préparation du . Plan d’action et stratégie de sécurité à appliquer sur le court terme.
rapport d’audit. Ce livrable comprendra des recommandations précises quant aux
mesures à prendre dans le court terme, afin de pallier aux failles et
insuffisances décelées. Il inclut tous les nécessaires organisationnels
et techniques en tenant compte, pour ce qui concerne le déploiement
d’outils et d’architectures de sécurité, de l’option d’usage d’outils
open-source et de la réalité financière et humaine du maitre
d’ouvrage,
. Plan d’action cadre s’étalant sur trois années, permettant de mettre
en œuvre une stratégie de sécurité cohérente,
. Synthèse, destinée à la direction générale (destinée décideurs), qui
inclura d’une manière claire les importants résultats de l’estimation
des risques, un résumé succinct des importantes mesures
organisationnelles, physiques et techniques préconisées dans
l’immédiat et sur le moyen terme, ainsi que les grandes lignes du
plan d’action cadre proposé.
Phase 5 : Sensibilisation . PV des sessions de sensibilisation y compris leurs évaluations.

Post-audit.
Tout livrable devra être fourni via le bureau d’ordre en format papier ou numérique.
Les versions finales des livrables doivent être fournies en un exemplaire original signé et
cacheté par le soumissionnaire.
Les captures d’écran, les résultats de l’exécution des différents outils de l’audit technique ne
doivent pas figurer dans le rapport détaillé mais plutôt dans une annexe à part.
ARTICLE 6 : SOUMISSIONNAIRE ET EQUIPE INTERVENANTE
Il est obligatoire que le soumissionnaire soit habilité par l’Agence Nationale de la Sécurité
Informatique, conformément à la loi 2004-05 et à l’arrêté du ministre des technologies de la
communication et de l'économie numérique et du ministre du développement, de l’investissement
et de la coopération internationale du 01 Octobre 2019, fixant le cahier des charges relatif à
l'exercice de l’activité d’audit dans le domaine de la sécurité informatique.
L'équipe intervenante du soumissionnaire doit comporter obligatoirement, sous peine de rejet, un

chef de projet et au moins deux membres ayant les qualifications et les exigences suivantes :
 L’équipe intervenante doit comporter les deux cadres déclarés par le soumissionnaire
auprès de l'ANSI pour l’obtention de l’attestation pour l’exercice de l’Audit en Sécurité
Informatique conformément à l’arrêté du ministre des technologies de la communication et de
l'économie numérique et du ministre du développement, de l’investissement et de la
coopération internationale du 01 Octobre 2019.
53
 Chef de projet qui est un auditeur parmi les cadres du soumissionnaire et il doit, par
conséquent, faire partie de l’équipe permanente du soumissionnaire.
Le Chef de projet doit avoir piloté au moins deux missions d'audit de sécurité informatique.
 Membres de l’équipe intervenante : L’équipe intervenante doit être composée d'au

moins deux membres en plus du chef de projet, faisant partie de l’équipe permanente du
soumissionnaire et ayant participé, chacun, à au moins deux missions d'audit de sécurité
informatique.
En plus du minimum exigé par le maitre d’ouvrage, le soumissionnaire peut proposer d’autres
compétences pour la bonne exécution du projet et ce compte tenu du Système d’Information
existant et présenté en annexe de ce cahier.
Le soumissionnaire doit présenter dans son offre des attestations ou documents équivalents attestant
le pilotage (pour le chef de projet) ou la participation (pour les membres de l’équipe intervenante) à
des missions d'audit de sécurité informatique délivrés par les organismes clients auprès desquels ils
ont piloté ou participé aux dites missions.
Egalement, le soumissionnaire doit présenter des documents officiels émanant d’un organisme de
sécurité social justifiant que noms et prénoms du minimum exigé de l’équipe intervenante font
partie de l’équipe permanente du soumissionnaire.
Toute référence sans pièces justificatives ne sera pas prise en considération.
ARTICLE 7 : REMPLACEMENT D’INTERVENANTS

Le titulaire se réserve le droit de remplacer un ou plusieurs intervenants au projet objet du présent
cahier des charges en cas de circonstance imprévues indépendantes de sa volonté ou en cas de force
majeure après accord préalable du maitre d’ouvrage.
Le soumissionnaire ne pourra remplacer un intervenant que par un autre de niveau au moins

équivalent à celui-ci et satisfaisant les conditions de l’article précédent. Le maitre d’ouvrage se
réserve le droit de refuser un intervenant remplaçant s’il le juge non qualifié.
ARTICLE 8 : ORGANISATION DE LA MISSION

Le maitre d’ouvrage organisera le déroulement du projet autour d’un comité de validation
regroupant des représentants des principaux Systèmes d’Information de l’OMMP et présidé par la
Direction Générale, quant au Chef du projet du maitre d’ouvrage, il représente le vis à vis du
prestataire durant toute la mission.
Le chef du projet aura pour mission les principales tâches suivantes :
 Lancer et organiser les différentes phases.
 Mettre à la disposition du titulaire l’ensemble des informations et documents
nécessaires pour garantir le succès du projet.
 Assurer le bon déroulement du projet, notamment la préparation des visites et des
interviews.
 Veiller au respect des délais selon le planning proposé par le titulaire.
 Ajuster et mettre à jour le planning de réalisation selon le déroulement du projet.
54
 Veiller au respect des tâches et actions à réaliser.
 Emettre les éventuelles recommandations.
 Signature des documents dont notamment, les procès-verbaux de réception des
différentes phases.
Le comité de validation aura pour mission les principales tâches suivantes :
 Examiner et approuver les documents se rapportant aux différentes phases.

 Valider et approuver le passage d’une phase ou mission à la suivante.
La réalisation des différentes phases de la mission se basera sur le planning initial du prestataire
figurant dans son offre technique, qui sera complété et détaillé lors de son exécution pour comporter
notamment les dates des différents interviews, les interlocuteurs ainsi que les différentes visites à
effectuer et les moyens humains, matériels et logiciels nécessaires.
Le détail de ce planning sera préparé au démarrage de chaque mission par le titulaire en

collaboration avec le chef de projet du maitre d’ouvrage.
Le passage d’une phase à l’autre est tributaire de la validation par le maitre d’ouvrage des produits
et livrables correspondants.
Le titulaire aura à sa charge la rédaction des procès-verbaux des réunions de suivi des phases du
projet.
Fait à ………….……………., le ……… Fait à ………….……………., le …………….……
LE SOUMISSIONNAIRE PRESIDENT DIRECTEUR GENERAL

De L’OMMP
55
ANNEXES
N° DESIGNATION PAGE
ANNEXE 1 Organigramme de l'OMMP 57
Description volumétrique de l’existant informatique a

ANNEXE 2 58
l’OMMP
Architecture du data center et du réseau WAN de
ANNEXE 3 L’OMMP 60
ANNEXE 4 Structures de l’OMMP à auditer sur les lieux 61
56
Annexe 1 : ORAGANIGRAMME DE L'OMMP
57
Annexe 2 : Description volumétrique de l’existant à l’OMMP
(À titre indicatif)
En vue de donner au soumissionnaire tous les éléments nécessaires pour bien estimer la volumétrie
et les limites de son champ d’intervention et donc sa charge de travail, la description suivante
permettra en plus de ce qui a été précédemment cité quant à la consistance du travail, de quantifier
les sites, les serveurs et les réseaux.
Site Existant Détails (Nombre/ Description)
Serveurs (physiques et virtuels) 60
Poste de travail 200
firewalls 6
Switchs 20
Baies de stockage 2
-windows 8 et 10
-windows server 2008 et 2012
-redhat 5 et 6
Systèmes d’exploitation
-Suse 11
-Unix(AIX 6 et 7)
-…
-oracle
SGBD -SQL server
-Mysql
-solution antivirus
-solution de monitoring du réseau
-active directory
-service DNS
Direction Générale
-service DHCP
-solution de contrôle d’accès réseau (NAC)
-solution de cloud privé
-apache tomcat
-Jboss
Solutions logicielles
-Web logic
-ERP
-solution de reporting
-oracle RAC
-logiciel de gestion électronique de fichiers
-logiciel de gestion de ressource humaine
-IBM HMC
-solution de gestion d’incident (help desk)
-…
-Universe
-PHP
Environnement de développement -Java/J2EE
-DotNet
-Oracle forms
- logiciel de sauvegarde
Solution de sauvegarde
-robot de sauvegarde
- IPBX
Solution de communication unifiée -postes IP
-solution de Conferencing
58
- Vmware,
-hyper-v
Solutions de virtualisation
-Power VM
Serveurs (physiques et virtuels) 10

Switchs 3
Baies de stockage 2
-windows server 2008 et 2012
-redhat 5 et 6
Systèmes d’exploitation
-Suse 11
-Unix(AIX 6 et 7)
-oracle
SGBD -SQL server
-Mysql
-solution antivirus
-solution de monitoring du réseau
-active directory
-service DNS
-service DHCP
-solution de contrôle d’accès réseau (NAC)
-solution de cloud privé
-apache tomcat
Site de secours -Jboss
Solutions logicielles
-Web logic
-ERP
-solution de reporting
-oracle RAC
-logiciel de gestion électronique de fichiers
-logiciel de gestion de ressource humaine
-IBM HMC
-solution de gestion d’incident (help desk)
-…
- logiciel de sauvegarde
Solution de sauvegarde
- robot de sauvegarde
- Vmware,
-Power VM
Solutions de virtualisation
- Hyoer-v
- IPBX
Solution de communication unifiée -postes IP
-solution de Conferencing
Salle serveur 1
Firewalls 2
Switches 5
Poste de travail 50
Chaque port -active directory
Solutions logicielles -solution antivirus
windows 7 , 8 et 10
Système d’exploitation
Switches 1
Firewalls 1
Chaque région maritime
Poste de travail 8
Système d’exploitation windows 7 , 8 et 10
59
Annexe 3 : Architecture du data center et du réseau WAN de L’OMMP
60
Annexe 4 : STRUCTURES DE L’OMMP A AUDITER SUR LES LIEUX
Structure à auditer Lieu d’implantation

en se déplaçant sur les lieux (gouvernorat)
Directions de la Direction
01 Générale à La Goulette
Tunis
02 Port de La Goulette Tunis
03 Port de Radès Tunis

Port de Bizerte Menzel
04 Bourguiba
Bizerte
05 Port de Sousse Sousse
06 Port de Sfax Sidi Youssef Sfax
07 Port de Gabès Gabès
08 Port de Zarzis Zarzis
09 Région maritime de Tunis Tunis
10 Région maritime de Bizerte Bizerte
11 Région maritime de Sfax Sfax
12 Région maritime de Sousse Sousse
13 Région maritime Monastir Monastir
14 Région maritime de Djerba Djerba
15 Région maritime de Gabes Gabes
61
VOLUME II
 CADRE DE DECOMPOSITION DES PRIX FORFAITAIRES
RECAPITULATIF DU CADRE DE DECOMPOSITION DES PRIX FORFAITAIRES
62
"AUDIT DE SÉCURITÉ DE SYSTÈME D'INFORMATION ET DE COMMUNICATION DE L’OMMP"
BORDEREAU DES PRIX POUR LA 1ère MISSION D’AUDIT

PHASES INTERVENANTS CHARGE (J/H) PU HTVA en DT P.TOTAL
pu HTVA P.TOTAL DE % TVA P.TOTAL
en DT LA PHASE DE LA PHASE TTC
HTVA en DT en DT
Phase1: Déclenchement de l’audit Chef de projet 13%
Intervenant 1
Intervenant …
Phase2 : Préparation des activités Chef de projet 13%
d’audit Intervenant 1
Intervenant …
Phase3 : Conduite des activités d’audit Chef de projet 13%
Intervenant 1
Intervenant …
Phase4 : Préparation du rapport d’audit Chef de projet 13%
Intervenant 1
Intervenant …
Phase5 : Sensibilisation Post-audit Chef de projet 13%
Intervenant 1
Intervenant …
TOTAL DE LA MISSION 13%
Arrêté à la somme de (en toute lettre) …………………………….……….……………………………………………………………………………………………………….. en hors

taxes, et (en toute lettre) ……….….…………… …..………………………………….………………………………...………….……….. ….. en toutes taxes comprises.
Fait à .......………….......... , le ..…………….……........
Signature manuscrite du soumissionnaire Le Président Directeur Général
63
BORDEREAU DES PRIX POUR LA 2ème MISSION D’AUDIT

HTVA en DT en DT
Intervenant 1
Intervenant …
Intervenant …
Intervenant 1
Intervenant …
Intervenant 1
Intervenant …
Intervenant 1
Intervenant …

Fait à .......………….......... , le ..…………….……........
64
BORDEREAU DES PRIX POUR LA 3ème MISSION D’AUDIT

HTVA en DT en DT
Intervenant 1
Intervenant …
Intervenant …
Intervenant 1
Intervenant …
Intervenant 1
Intervenant …
Intervenant 1
Intervenant …

Fait à .......………….......... , le ..…………….……........
65
"AUDIT DE SÉCURITÉ DU SYSTÈME D'INFORMATION ET DE COMMUNICATION DE L’OMMP"
BORDEREAU RECAPITULATIF DES PRIX
MISSIONS MONTANT en D.T MONTANT TVA MONTANT en D.T

HTVA TTC
13%
MISSION DE LA PREMIERE ANNEE
13%
MISSION DE LA DEUXIEME ANNEE
13%
MISSION DE LA TROISIEME ANNEE
13%
MONTANTS TOTAUX
Arrêté le présent bordereau à la somme de …………………………….……….……………………………………..

………………………………………………………………………….. en hors taxes, , et ……….….…………… …..…………………
………………………………...………….…………………………………………………………..…….. ….. en toutes taxes comprises.
Fait à .......………….......... , le ..…………….……........
66

Cahier Charges Audit Securite VF

Transféré par

Droits d'auteur :

Formats disponibles

Cahier Charges Audit Securite VF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cahier Charges Audit Securite VF

Transféré par

Droits d'auteur :

Formats disponibles

REPUBLIQUE TUNISIENNE

MINISTERE DU TRANSPORT ET DE LA LOGISTIQUE

MISSIONS D’AUDIT DE LA SECURITE DU SYSTEME

Je soussigné (nom, prénom et fonction) ...........................................................................................

ARTICLE 2 : RESPECT DES CONDITIONS D’APPEL D’OFFRES

ARTICLE 3 : DOSSIER D’APPEL D’OFFRES

ARTICLE 4 : ECLAIRCISSEMENTS APPORTES AU DOSSIER D’APPEL

4.1 ECLAIRCISSEMENTS APPORTES AU DOSSIER D’APPEL D’OFFRES

4.2 ADDITIFS AU DOSSIER D’APPEL D’OFFRES

4.3 DEMANDE DE REPORT DE LA DATE LIMITE DE RECEPTION DES

ARTICLE 5 : ETABLISSEMENT DU MONTANT DE L’OFFRE

ARTICLE 6 : CONNAISSANCE DES LIEUX ET CONDITIONS DE TRAVAIL

ARTICLE 7 : LANGUE DE L'OFFRE

ARTICLE 8 : FORME GENERALE DES OFFRES

Les offres seront constituées par les documents indiqués ci-après :

En cas de discordance entre l’offre en ligne et les documents envoyés, en complément

"A NE PAS OUVRIR - APPEL D’OFFRES N°………..…

L’enveloppe extérieure comporte les pièces suivantes:

• La caution bancaire provisoire ou le cautionnement provisoire.

ARTICLE 9 : SIGNATURE DES OFFRES ET PROCURATIONS

L’acte de groupement sera joint à l’offre.

10.1 Mode de présentation des offres

10.2 Constitution de l’offre

L’offre est constituée des documents suivants :

2 Attestation de situation fiscale. Fournie par TUNEPS

Certificat d’affiliation à la CNSS - Fourni par TUNEPS

Déclaration trimestrielle auprès

Liste des documents envoyés hors

fourni en annexe 6 du présent

Fiche descriptive des outils

ARTICLE 11 : CAUTIONNEMENT PROVISOIRE

ARTICLE 12 : OUVERTURE DES OFFRES

La séance d’ouverture des offres n’est pas publique.

La commission d’ouverture procède au rejet automatique dans les cas suivants :

ARTICLE 13 : VERIFICATION DES OFFRES

ARTICLE 14 : EVALUATION DES OFFRES

En deuxième étape, la commission procédera à :

Existence de l’attestation de dépôt du cahier des charges

Absence de la déclaration trimestrielle, précèdent la date Envoi d’une demande

Le document « liste et qualificatif de l’équipe intervenante »

Absence, de la « liste et qualificatif de l’équipe intervenante »,

ARTICLE 16 : OFFRE RETENUE ET PROCEDURE DE PASSATION

Le soumissionnaire retenu devra, après signature du marché et conformément aux conditions de

Fait à ….................................. le …...................................

LE SOUMISSIONNAIRE LE PRESIDENT DIRECTEUR GENERAL

Modèle de garantie bancaire au titre de cautionnement

ANNEXE 4 Liste et qualificatif de l’équipe intervenante 24

ANNEXE 5 Modèle de planning prévisionnel de chaque mission 25

ANNEXE 6 Méthodologie de conduite de projet 28

Modèle de fiche descriptive des outils techniques à

ANNEXE 1 : MODELE DE GARANTIE BANCAIRE AU TITRE DU

Je soussigné – nous soussignés (1)…..…………………………........................................................ agissant

1) Certifie – certifions que (3) …………………................................................. a été agréé par le

2) Déclare me – déclarons nous porter caution personnelle (4)et solidaire

Le montant du cautionnement provisoire s’élève à huit cent (800) dinars.

3) M’engage- nous nous engageons solidairement, à effectuer le versement du montant garanti

Fait à ……………........le ….…………..……....

(Signature et cachet de la Banque)

(1) Nom(s) et prénom(s) du ou des signataire(s)