RFI - Avis relatif à la fourniture de solutions de Contrôles /Gestion des risques et de la conformité (GRC) et de la gestion des risques des fournisseurs tiers (TPRM) pour répondre aux besoins potentiels du Groupe La Poste

Dans le cadre de l’amélioration de l’offre de la Direction Cybersécurité du Groupe La Poste, Le Groupe La Poste étudie la possibilité de se doter d’un outil de « Contrôles / Gestion des Risques et de la Conformité (GRC) et de la Gestion des Risques des Fournisseurs Tiers (TPRM) ».
Le périmètre fonctionnel envisagé pour la solution comprend a minima les domaines suivants :
- Cartographie des entités : Liste exhaustive des entités du Groupe La Poste par branche et filiale embarquant l’exhaustivité des informations (ex. CA, nombre de collaborateur, localisation, contacts, etc.) ;
- Plan de Contrôle Cyber : Catalogue et gestion des contrôles, auto-évaluations et campagnes d’évaluation qu’elles soient récurrentes ou ponctuelles ;
- Gestion des risques : Cartographie des risques cyber à différents niveaux (Groupe, branches, filiales, processus, projets, systèmes, tiers). Évaluation périodique des risques cyber et pilotage des plans de traitement ;
- Gestion de la conformité : Référentiel d’exigences réglementaires, normatives et internes. Suivi du niveau de conformité et gestion des preuves ;
- Gestion des tiers : Référentiel des tiers et évaluation de leur exposition au risque (questionnaires, score, plans de remédiation, réévaluations périodiques) sur l’ensemble du cycle de vie des relations fournisseurs et partenaires ;
- Recommandations et plans d’actions : Mettre à disposition des outils de planification permettant aux entités, sur la base d’analyses et de recommandation, de mettre en œuvre des plans de remédiation ;
- Rapports et indicateurs : Production de tableaux de bord et indicateurs consolidés et homogènes à tous les niveaux fonctionnels et organisationnel du Groupe La Poste à destination des différentes instances de gouvernance.

Le Groupe La Poste attend du fournisseur, les informations suivantes qui seront à charger dans le cadre de réponse dédié sous la plateforme Fournisseurs du Groupe La Poste :

Un Dossier de réponse en français incluant :
A. Exigences fonctionnelles :
- Gouvernance ;
- Cartographie des entités ;
- Plan de Contrôle Cybersécurité (Catalogue de contrôles, Planification des campagnes de contrôle, Collecte des résultats et statuts de contrôle, Plans d’actions associés aux contrôles) ;
- Gestion des risques (Modélisation et cartographie des risques, Évaluation des risques, Appétence au risques et seuils d’acceptabilité, Plans de traitement des risques, Suivi et consolidation des risques) ;
Gestion de la conformité (Gestion des référentiels normatifs et réglementaires, Cartographie des obligations de conformité, Référentiel documentaire, Gestion des versions et historique, Évaluation et suivi du niveau de conformité, Gestion des preuves de conformité, Pilotage règlementaire) ;
- Gestion des tiers (Référentiel des tiers, Classification et criticité des tiers, Questionnaires et évaluations TPRM, Scoring et synthèse du risque tiers, Suivi contractuel et engagement de sécurité des tiers, Plans d’actions et réévaluations périodiques) ;
- Recommandations et plans d’actions (Gestion des non-conformités, Gestion des exceptions et dérogation, Pilotage centralisé des plans d’actions, Priorisation) ;
- Rapports et indicateurs (Tableaux de bord, Indicateurs, Fonctions d’export et de restitution) ;

B. Exigences non fonctionnelles :
- Gestion des accès, identités et habilitations (Intégration SSO et IAM, Gestion des profils, rôles et périmètres, Gestion des droits d’accès, Protection des comptes à privilèges, Workflows et notifications) ;
- Sécurité et protection des données (Conformité réglementaire (RGPD, CNIL, ANSSI, NIS2, DORA), Chiffrement des données, Rétention, archivage et suppression des données) ;
- Intégration et interopérabilité (Intégration au SI, APIs et connecteurs, Imports de données, Réversibilité, Automatisation / IA pour optimisation des fonctionnalités) ;
- Expérience utilisateur et accessibilité (Interfaces utilisateur, Accessibilité et exigences ergonomiques, Documentation, formation et accompagnement, Documentation fonctionnelle et technique, Supports de formation et base de connaissances, Dispositif d’accompagnement au déploiement) ;
- Modèle de licence (Tarifications, Coûts de mise en œuvre et de maintenance) ;

C. Exigences complémentaires :
- Hébergement et infrastructure (Localisation et qualification, Architecture globale, Cloisonnement et isolation des environnements, Protection contre les attaques d’origine cyber) ;
- Performance (Volumétrie cible et montée en charge, Temps de réponse et performance transactionnelle) ;
- Disponibilité (Mécanismes de haute disponibilité et tolérance aux pannes, Engagements de disponibilité (SLA), Objectifs de reprise d’activité (RPO / RTO), Sauvegardes et tests de restauration, Tests de PRA / PCA) ;
- Supervision et gestion des incidents (Supervision des composants et remonté d’alertes, Processus de gestion des incidents, Support et hotline en français) ;
- Traçabilité (Journaux d’audit).

D. Le questionnaire d’information (Annexe 2) dûment complété en français.

E. Tout autre document (en complément des points précédents), de préférence en français, qui pourrait présenter un intérêt pour la réalisation de son analyse.
Ces documents sont à charger dans la rubrique « Pièces jointes complémentaires » du cadre de réponse.

Il est à noter que le descriptif détaillé de ce dossier, ainsi que les fichiers annexes à compléter sont disponibles sur la plateforme Fournisseurs du Groupe La Poste https://e­-sourcing.extra.laposte.fr