Oragroup lance un appel d’offres pour la sélection d’un prestataire en charge de :
- l’accompagnement au renouvellement de la certification PCI DSS,
- l’exécution des tests d’intrusion (pentests) internes et externes,
- la réalisation des scans ASV.
TERMES DE REFERENCE
Consultation pour le choix d’un prestataire :
LOT 1 : PENTESTS
LOT 2 : PCI-DSS
CONTEXTE ET JUSTIFICATION
Le Groupe Orabank est présent dans 12 pays d’Afrique de l’ouest et du centre. Il est organisé comme suit : – Holding du Groupe à Lomé au Togo ; – 12 filiales ou succursales repartis dans les pays suivants : Bénin, Burkina Faso, Côte d’Ivoire, Gabon, Guinée, Guinée Bissau, Mali, Mauritanie, Niger, Sénégal, Tchad et Togo. Dans le cadre de ses obligations de management de la sécurité du Système d’information, le groupe envisage la poursuite des activités suivantes : – Tests de vulnérabilités (pentests internes et externes, Scans ASV) sur tous les sites Orabank – Accompagnement au maintien des certificats PCI-DSS dans les 12 filiales Orabank Il est donc plus que jamais nécessaire pour Orabank de s’assurer que : – d’une part que le système d’information ne contient pas de vulnérabilités susceptibles de l’exposer à une attaque cyber – d’autre part que les données sensibles concernant la monétique et les produits digitaux financiers de notre institution sont sécurisées et sont aligné rapport aux exigences de la norme PCI-DSS
- OBJECTIFS DE LA CONSULTATION
L’objectif de la consultation étant double. Il s’agit de choisir un Consultant compétents pour conduire les travaux de chacun des lots indépendants ci-dessous : –
– LOT 1 : Scans de vulnérabilités
Il s’agit d’effectuer pour les 12 sites et Oragroup les pentests suivants :
- Pentests internes semestriels
- Pentests externes semestriels
LOT 2 : Accompagnement au maintien de certification PCI-DSS Les travaux consistent à accompagner les 12 filiales Orabank dans le cadre du maintien ou renouvellement de leur certificat PCI-DSS. En effet depuis 2021, année de leur première certification PCI-DSS, les filiales l’ont maintenu chaque année avec l’accompagnement d’un cabinet disposant de Consultants PCI-QSA (Quality Security Assessors).
La partie 3 de ce document fourni en détails les informations relatives à chaque lot ainsi que les conditions de sélection des partenaires.
3 3. INTERVENTION DU CONSULTANT
3.1 LOT 1 :
PENTESTS 3.1.1 Objet de la consultation
Le Lot 1 a pour objet de définir les exigences relatives à la réalisation des tests d’intrusion obligatoires dans le cadre d’un management soutenue de la sécurité du S.I et aussi la conformité PCI DSS v4.0.1.
Les tests à réaliser concernent :
✓ Les pentests externes
✓ Les pentests internes
✓ Le test de segmentation PCI DSS (CDE vs hors CDE)
✓ Le test Wi-Fi / détection de points d’accès non autorisés
Ces prestations couvrent les filiales du groupe telles que détaillées dans la section suivante. 3.1.2
Périmètre des filiales concernées
Les tests d’intrusion doivent être réalisés pour :
- Filiales Oragroup (12 filiales)
Ces entités manipulent ou supportent des données de cartes à grande échelle et nécessitent un périmètre de test complet :
- Bénin (OBJ)
- Burkina Faso (OBF)
- Côte d’Ivoire (OCI)
- Gabon (OGA)
- Guinée (OGN)
- Guinée Bissau (OGW)
- Mali (OML)
- Sénégal (OSN)
- Tchad (OTD)
- Togo (OTG)
- Mauritanie (OMR)
- Niger (ONE)
Tests obligatoires pour chaque filiale
- 2 pentests externes par an
- 2 pentests internes par an
- 1 test de segmentation par an
- 1 test Wi-Fi par an
- Oragroup (Siège)
Cette entité agit comme support transversal, héberge certains composants centraux et participe à la gouvernance.
Tests obligatoires pour OGP :
- 2 pentest interne par an
- 2 pentest externe par an
- 1 test de segmentation par an
Lire toutes les autres informations pour postuler en cliquant ici.
