3. Portée des travaux (Scope of work)
Le partenaire potentiel doit soumettre une proposition technique et de coûts pour les services décrits ci-dessous, en comblant les lacunes critiques identifiées dans le programme de cybersécurité d’Equitas:
3.1. Gouvernance et conformité
| Point |
Exigence clé |
Score de référence |
| Plan d’intervention en cas d’incident |
Élaborer, documenter et tester un Plan de réponse aux incidents. Ce plan est obligatoire pour la conformité à la Loi 25 et doit inclure des protocoles de communication avec les autorités compétentes en cas de violation des PII. |
0/4 |
| Politique de sécurité de l’information |
Créer une politique complète de sécurité de l’information incluant des sous-politiques critiques telles que : utilisation acceptable, contrôle d’accès, intégration/détachement, travail à distance/BYOD, et gestion des risques fournisseurs/tiers. |
4/8 |
| Adoption et approbation des politiques |
Mettre en place un processus pour s’assurer que toutes les politiques développées sont propagées et officiellement approuvées par tous les employés afin de respecter la loi et de minimiser les risques. |
0/1 |
3.2. Contrôles de sécurité critiques (priorité maximale)
| Point |
Exigence clé |
Score de référence |
| Gestion des vulnérabilités |
Déployez un outil de détection de vulnérabilités (par exemple, Tenable) et établissez un processus structuré de gestion des correctifs. Le processus doit inclure des échéanciers clairs de remédiation : scans externes hebdomadaires et mensuels internes ainsi que des correctifs. |
0/8 |
| Gestion des journaux (SIEM) |
Mettre en œuvre une solution SIEM (Security Information and Event Management) pour centraliser, corréler et préserver les journaux des systèmes critiques, en soutenant la détection en temps réel des menaces et les enquêtes médico-légales. |
0/6 |
| Formation à la sensibilisation à la sécurité |
Mettez en place une solution de sensibilisation pour éduquer les employés et effectuez régulièrement des simulations d’hameçonnage afin d’évaluer et d’améliorer la résilience des utilisateurs. |
0/6 |
3.3. Améliorations opérationnelles et de défense
- Surveillance et réponse aux menaces (XDR/SOC) : Mettre en œuvre une solution XDR (Extended Detection and Response) et un SOC (Security Operations Center) 24/7 pour une surveillance continue. La solution XDR doit fournir des capacités automatiques de décontamination des menaces.
- Intégration XDR/SIEM/SOAR : Proposer l’intégration du XDR avec le nouveau SIEM et, le cas échéant, avec SOAR (Orchestration, Automatisation et Réponse de la Sécurité) pour accélérer les enquêtes et les manuels de réponse automatisée.
- Gestion des actifs : Mettez en place des outils automatisés (RMM, CMDB, plateforme de gestion des vulnérabilités) pour maintenir un inventaire matériel continuellement mis à jour et un inventaire documenté de tous les logiciels autorisés.
- Contrôles d’accès : Renforcez l’utilisation de l’authentification multifactorielle (MFA) pour tous les accès. Établir et faire respecter un processus formel d’intégration et de démarche et revoir périodiquement les contrôles d’accès basés sur les rôles (RBAC).
- Récupération de données : Implémentez une solution de sauvegarde tierce (en dehors de l’environnement Microsoft 365) pour l’environnement M365. Il est obligatoire de tester régulièrement l’intégrité et les capacités de restauration des sauvegardes.
- Examen de l’assurance cybernétique : Effectuer un examen de la police d’assurance actuelle pour : 1) Évaluer si la couverture d’un million de dollars est suffisante pour les frais de recouvrement; 2) Clarifier la clause numéro 6, ERREURS TECHNOLOGIQUES ET OMISSIONS, CAR CELA POURRAIT ENTRAÎNER L’ABSENCE DE COUVERTURE DES INCIDENTS.
4. Exigences de soumission de propositions
Pour assurer une évaluation juste et comparable, chaque proposition doit contenir les sections détaillées suivantes :
4.1. Proposition technique et méthodologie
- Plan de travail : Décomposition détaillée des étapes de mise en œuvre pour chaque élément énuméré à la section 3 (portée), incluant la méthodologie, les ressources requises, les livrables attendus et les mécanismes de coordination. Le consultant doit collaborer étroitement avec le gestionnaire TI de Equitas, qui suivra tout le travail technique afin d’assurer une visibilité complète, un transfert de connaissances et un alignement avec les systèmes et protocoles existants.
- Stratégie et calendrier : Stratégie et calendrier détaillés proposés (par exemple, 12, 18 ou 24 mois) pour le programme de sécurité, en priorisant la mise en œuvre de contrôles à haut risque (IRP, SIEM, gestion des vulnérabilités).
- Outils et technologies : Spécification claire des outils et solutions considérant les organisations à but non lucratif (par exemple, SIEM, XDR, Awareness Platform) et pourquoi ils conviennent à l’environnement et au budget d’Equitas.
4.2. Proposition de coût et de permis
- Tarification détaillée : Un budget détaillé qui sépare clairement les coûts de :
- Services professionnels (consultation, mise en œuvre).
- Licences et outils logiciels (annuels/mensuels).
- Services gérés (MS/MDR/24/7 SOC) – Coût récurrent.
- Structure tarifaire : Indiquer si les prix sont fixes ou basés sur le temps et la matière
4.3. Expérience et qualifications de l’entreprise
- Qualifications : Un bref résumé de l’expérience de l’entreprise dans des projets similaires de cybersécurité, notamment avec des clients utilisant le cadre CIS
- Conformité canadienne : Preuve d’expérience et de connaissance des exigences réglementaires canadiennes et québécoises, avec un accent sur la mise en œuvre de mesures pour se conformer à la Loi 25.
- Références : Fournir au moins deux références clients (de préférence au Canada) pour des projets d’une portée similaire.
- Expérience dans les organisations à but non lucratif et flexibilité pour travailler avec l’environnement Microsoft.