Fourniture d’une solution logicielle de scan de vulnérabilité et prestations associées

Le Service de Lutte contre la Cybercriminalité (SLCC) d’Iteam de La Poste recherche une solution logicielle de scan de vulnérabilité en mode SaaS (Software As a Service) ou On Premise. La solution sera utilisée par les experts cyber du SLCC dans le but de tester en continu la sécurité des …

CPV: 48000000 Software en informatiesystemen, 72000000 IT-diensten: adviezen, softwareontwikkeling, internet en ondersteuning
Plaats van uitvoering:
Fourniture d’une solution logicielle de scan de vulnérabilité et prestations associées
Toekennende instantie:
La Poste
Gunningsnummer:

1. Acheteur

1.1 Acheteur

Nom officiel : La Poste
Forme juridique de l’acheteur : Entreprise publique
Activité de l’entité adjudicatrice : Services postaux

2. Procédure

2.1 Procédure

Titre : Fourniture d’une solution logicielle de scan de vulnérabilité et prestations associées
Description : Le Service de Lutte contre la Cybercriminalité (SLCC) d’Iteam de La Poste recherche une solution logicielle de scan de vulnérabilité en mode SaaS (Software As a Service) ou On Premise. La solution sera utilisée par les experts cyber du SLCC dans le but de tester en continu la sécurité des sites Web et des infrastructures du Groupe. La solution logicielle doit couvrir les éléments suivants : ­ Scan de vulnérabilité d’applications Web (externe et interne) ­ Scan de vulnérabilité IP (externe et interne) ­ Scan de conformité (par exemple: benchmark CIS (Center for Internet Security)) Pour les solutions proposées en mode SaaS : ­ Elles doivent être opérables intégralement par API et permettre une gestion centralisée, la création de rapports personnalisés et la gestion des droits d’utilisateurs ­ La solution doit se conformer au Règlement Général sur la Protection des Données (RGPD). Le traitement des données de La Poste, y compris l’hébergement, la sauvegarde et/ou la consultation devra impérativement être localisé au sein de l'Union Européenne (UE), d’un pays de l’Espace Economique Européen (EEE), d’un pays reconnu comme adéquat par l’Union Européenne Le dossier de consultation qui sera envoyé aux prestataires sélectionnés précisera les éléments liés à cette exigence. La solution doit également respecter la Politique de Sécurité des SI du Groupe La Poste (PSSI­-G). Le dossier de consultation qui sera envoyé aux candidats sélectionnés précisera les éléments liés à ces exigences.
Identifiant de la procédure : 399f7f90-ffce-4f19-81a4-be3823d0e5b2
Avis précédent : 177658-2024
Type de procédure : Négociée avec publication préalable d’un appel à la concurrence / concurrentielle avec négociation
La procédure est accélérée : non
Justification de la procédure accélérée :
Principales caractéristiques de la procédure :

2.1.1 Objet

Nature du marché : Fournitures
Nature supplémentaire du marché : Services
Nomenclature principale ( cpv ): 48000000 Logiciels et systèmes d'information
Nomenclature supplémentaire ( cpv ): 72000000 Services de technologies de l'information, conseil, développement de logiciels, internet et appui

2.1.2 Lieu d’exécution

Pays : France
N’importe où dans le pays donné

2.1.4 Informations générales

Informations complémentaires : Si le candidat s’appuie sur les capacités d’autres opérateurs économiques (économiques/ financières ou techniques/ professionnelles), il doit : - Justifier des capacités de ce ou ces opérateurs et - Apporter la preuve qu’il en disposera pour l’exécution du marché. Cette preuve peut être apportée par tout moyen approprié, notamment une attestation sur l’honneur de cet autre opérateur économique confirmant ses capacités et leur mise à disposition du candidat pendant l’exécution du marché. La demande de participation accompagnée des renseignements et documents demandés (sur questionnaire d'information ou sous format libre) devront être remis sur le Portail Fournisseurs ( https://e-sourcing.extra.laposte.fr ). En cas de difficulté, les candidats pourront contacter la cellule support au 02 72 65 29 10 ou mag.fournisseur@laposte.fr Tous les documents demandés devront être remis avant la date et l'heure limites mentionnées dans l'avis. Le candidat souhaitant répondre via le DUME le remettra au format pdf et au format xml dans un ZIP. Conformément aux dispositions de articles R.2143-13 du Code de la commande publique, le candidat n'est pas tenu de fournir les documents et renseignements demandés dans le cadre du présent avis qui peuvent être obtenus via un système électronique de mise à disposition d'information administré par un organisme officiel ou d'un espace de stockage numérique accessible gratuitement par La Poste et ses filiales. Dans ce cas, le candidat précisera dans le dossier de réponse toutes les informations nécessaires à la consultation de ce système ou de cet espace.
Base juridique :
Directive 2014/25/UE

2.1.6 Motifs d’exclusion

Sources des motifs d'exclusion : Avis
Motifs d’exclusion purement nationaux : La non remise des documents indiqués ci-dessus entrainera l’élimination du candidat. Le candidat remettra, sur la plate-forme Provigis ( https://www.provigis.com/) , les documents indiqués ci-dessous : 1/ son numéro unique d'identification 2/ s'il est en redressement judiciaire, la copie du ou des jugements prononcés 3/ une déclaration dûment datée et signée sur papier à en-tête du fournisseur, pour justifier qu'il n'entre dans aucun des cas mentionné à l'article L.2141-1 et au 1° et 3° de l'article L.2141-4 du Code de la commande publique 4/ les certificats délivrés par les administrations et organismes compétents attestant que le candidat ne se trouve pas dans un cas d'interdiction de soumissionner mentionné à l'article L.2141-2 du Code de la commande publique, c'est-à-dire : - une attestation de vigilance délivrée par l'URSSAF prouvant qu'il est à jour de ses cotisations et contributions sociales et attestant de la régularité de sa situation au regard de l'obligation d'emploi des travailleurs handicapés. - une attestation fiscale justifiant de la régularité de sa situation fiscale (paiement de la TVA, de l'impôt sur les sociétés ou de l'impôt sur le revenu) 5/ le cas échéant, la liste nominative des salariés étrangers employés par le candidat et soumis à l'autorisation de travail mentionnée à l'article L. 5221-2 du Code du travail, précisant pour chaque salarié, conformément à l'article D. 8254-2 du Code du travail, sa date d'embauche, sa nationalité ainsi que le type et le numéro d'ordre du titre valant autorisation de travail. Les candidats établis à l'étranger fournissent les pièces prévues aux articles D 8222-7 et D 8254-3 du code du travail. 6/ le cas échéant, les pièces prévues à l'article R.1263-12 du Code du Travail en cas de détachement de salariés. Si le candidat se présente en groupement, il fournira une lettre de constitution du groupement, signée par chacun de ses membres, précisant les dénomination, adresse, téléphone et adresse électronique de chacun des cotraitants, l'identité du mandataire, et les pouvoirs qui lui sont donnés. Chaque membre du groupement devra fournir l'ensemble des renseignements demandés à la présente rubrique.

5. Lot

5.1 Identifiant technique du lot : LOT-0001

Titre : Fourniture d’une solution logicielle de scan de vulnérabilité et prestations associées
Description : La consultation vise à fournir une solution logicielle de scan de vulnérabilité en mode SaaS (Software As a Service) ou On Premise dans le but de tester en continu la sécurité des sites Web et des infrastructures du Groupe. Les fonctionnalités principales de la solution sont les suivantes : - Scan de vulnérabilité d’application Web (externe et interne) - Scan de vulnérabilité IP (externe et interne) - Scan de conformité (benchmark CIS (Center for Internet Security)) - Maintenance de la solution logicielle Elle doit permettre : ­ - l’opérabilité intégrale par API - une gestion centralisée - la création de rapports personnalisés - la planification fine des scans - la gestion des authentifications sur les applications Web - les scans IP authentifiés ou via agents - la gestion des droits d’utilisateurs. Prestations complémentaires, activées ou non par La Poste, en tout ou partie, suivant ses besoins : -­ Prestation de services et d'accompagnement à la mise en œuvre de la solution comprenant l’intégration avec les outils existants et l'assurance de continuité entre l'actuelle et la future solution. ­- Scan orienté Cloud (scan de vulnérabilité et de conformité ciblant des instances Cloud type AWS, Google, Azure)) ­- Scan de conteneurs (découvrir et scanner les conteneurs et leur écosystème durant tout leur cycle de vie) ­- Scan de recherche de malware/compromission sur des sites Web ­- Scan de certificats Web (évaluation de leur niveau de sécurité) ­- Patch Management (gestion des mises à jour Windows, Linux, logiciels courants) Les prestations attendues seront notamment les suivantes : - une phase de mise en route puis une phase d’exploitation de la solution - du support, de la maintenance ; - des formations/accompagnements. Périmètre estimé 2025 : environ 2000 scans Web, 12000 scans IP/conformité Les candidats répondront à l'ensemble des prestations demandées (y compris complémentaires). Dans l'éventualité où les fonctionnalités souhaitées seraient couvertes par plusieurs solutions logicielles, le candidat se portera responsable vis à vis de La Poste de l’intégralité des solutions logicielles proposées dans son offre et de leur interopérabilité. Le nombre d’attributaires envisagé pour ce lot est de : 1. Le montant maximum de la durée totale du marché périodes de reconductions comprises est fixé à 3 400 000 Euros HT. Le montant estimé du marché sur la durée totale période de reconductions incluses est de 2 600 000 Euros HT. La durée de validité de l'offre doit être d'un an. Les échanges écrits et oraux du projet seront réalisés exclusivement en français.

5.1.1 Objet

Nature du marché : Fournitures
Nature supplémentaire du marché : Services
Nomenclature principale ( cpv ): 48000000 Logiciels et systèmes d'information
Nomenclature supplémentaire ( cpv ): 72000000 Services de technologies de l'information, conseil, développement de logiciels, internet et appui
Options :
Description des options : Les options sont les périodes de reconductions du marché. Le marché sera conclu pour une durée ferme de trente-six (36) mois, renouvelable par périodes de reconduction successives de douze (12) mois dans la limite de trois (3) fois sauf dénonciation dans les conditions prévues au contrat.

5.1.2 Lieu d’exécution

Pays : France
N’importe où dans le pays donné
Informations complémentaires :

5.1.3 Durée estimée

Date de début : 05/01/2026
Date de fin de durée : 05/01/2032

5.1.4 Renouvellement

Nombre maximal de renouvellements : 0

5.1.6 Informations générales

Participation réservée : La participation n’est pas réservée.
Projet de passation de marché non financé par des fonds de l’UE
Le marché relève de l’accord sur les marchés publics (AMP) : oui
Le marché en question convient aussi aux petites et moyennes entreprises (PME) : oui
Informations complémentaires : Il est précisé qu’une même entreprise ne pourra pas faire acte de candidature : - En candidat individuel et en tant que membre d’un ou plusieurs groupements Et/ou - En tant que membre de plusieurs groupements. La Poste retiendra les 5 candidats les mieux classés au regard des critères déterminés ci-dessous, sous réserve de l’obtention d’une note supérieure ou égale à 13/20.

5.1.9 Critères de sélection

Sources des critères de sélection : Avis
Critère : Autres exigences économiques ou financières
Description : Pérennité financière (critère pondéré à 30%) Le candidat devra fournir à La Poste, les liasses fiscales ou documents équivalents (c'est-à-dire bilans, comptes de résultats, annexes numérotées de 2050 à 2059 inclus et les rapports de gestion) des 3 derniers exercices disponibles. Le candidat synthétisera également dans un tableau le chiffre d'affaires hors taxes de sa société pour les 3 dernières années et précisera dans ce même tableau et pour les mêmes années, le résultat net. Le candidat complétera le tableau de l'analyse financière joint au dossier de candidature. En cas de création récente, le candidat devra fournir tout autre justificatif de nature à démontrer sa capacité économique et financière.
Les critères seront appliqués pour sélectionner les candidats à convoquer pour la seconde étape de la procédure
Critère : Références sur des services spécifiés
Description : Références clients (critère pondéré à 40%) Le candidat présentera 3 références clients de moins de trois ans pour des prestations similaires en termes de périmètre fonctionnel, de complexité d'organisation, le type de solution et les prestations associées à celles du marché auquel il candidate. Il mentionnera pour chaque référence client les éléments suivants : ­- nom de la société et/ou le secteur d'activité, ­ - nom, la fonction, et les coordonnées d’un contact chez le client, ­ - objet du contrat, ­ - rôle joué par le candidat (éditeur, distributeur, intégrateur, autre), ­ - prestations associées, ­ - date de prise d'effet du contrat, ­ - durée du contrat, ­ - montant du contrat, ­ - description succincte du projet (contexte, objectifs, cibles de déploiement), -­ fonctionnalités couvertes par la solution - ­ mode technique de déploiement de la solution logicielle (on premise, hybride, SaaS) Le candidat fournira pour chaque référence une attestation délivrée par le client (nom, qualité, coordonnées). A défaut, il fournit une attestation sur l'honneur mentionnant ces mêmes informations, La Poste se réservant le droit d'en vérifier la réalité auprès du client.
Les critères seront appliqués pour sélectionner les candidats à convoquer pour la seconde étape de la procédure
Critère : Effectif moyen annuel
Description : Effectifs (critère pondéré à 20%) Le candidat indiquera l'effectif moyen auquel il a eu accès sur les trois dernières années en précisant : -­ L’effectif global. ­ - Les effectifs dans le domaine de compétence du marché ; ­ - Le nombre de salariés dédiés à la recherche et au développement en rapport avec le marché. ­ - Le nombre de salariés dédiés au support technique. ­ - Le nombre d’encadrants
Les critères seront appliqués pour sélectionner les candidats à convoquer pour la seconde étape de la procédure
Critère : Mesures de gestion environnementale
Description : Mesures de gestion environnementale/certification de gestion environnementale (critère pondéré à 10%) Le candidat indiquera les mesures de gestion environnementale qu’il pourra appliquer pour la réalisation des prestations. Le candidat fournit un certificat de qualité délivré par un organisme indépendant accrédité attestant qu’il se conforme aux systèmes ou aux normes de gestion environnementale suivants : ­ - système de management environnemental et d’audit (EMAS) de l’Union européenne ; ­ - ou tout autre système de gestion environnementale reconnu conformément à l’article 45 du règlement (CE) n° 1221/2009 ; ­ - ou toutes autres normes de gestion environnementale fondées sur les normes européennes ou internationales en la matière élaborées par des organismes accrédités
Les critères seront appliqués pour sélectionner les candidats à convoquer pour la seconde étape de la procédure
Informations sur la seconde étape d’une procédure en deux étapes :
Nombre maximal de candidats à convoquer pour la seconde étape de la procédure : 5
La procédure se déroulera en plusieurs étapes. À chaque étape, certains participants peuvent être éliminés

5.1.10 Critères d’attribution

Description de la méthode à utiliser si la pondération ne peut être exprimée par des critères :
Justification de l’absence d’indication de la pondération des critères d’attribution : Le prix n'est pas le seul critère d’attribution et tous les critères sont énoncés uniquement dans les documents du marché.

5.1.11 Documents de marché

L’accès à certains documents de marché est restreint
Justification de la restriction de l’accès à certains documents de marché : Questions relatives aux droits de propriété intellectuelle
Langues dans lesquelles les documents de marché sont officiellement disponibles : français
Des informations sur les documents restreints sont disponibles à l’adresse suivante : https://e-sourcing.extra.laposte.fr

5.1.12 Conditions du marché public

Conditions de présentation :
Présentation par voie électronique : Requise
Adresse de présentation : https://e-sourcing.extra.laposte.fr
Langues dans lesquelles les offres ou demandes de participation peuvent être présentées : français
Catalogue électronique : Non autorisée
La signature ou le cachet électronique avancé(e) ou qualifié(e) [au sens du règlement (UE) № 910/2014] est requis(e)
Variantes : Non autorisée
Les soumissionnaires peuvent présenter plusieurs offres : Non autorisée
Description de la garantie financière : Le candidat devra fournir à La Poste avant la signature du contrat une attestation d’assurance ( RC exploitation, RC professionnelle).
Date limite de réception des demandes de participation : 03/06/2025 11:00 +02:00
Conditions du marché :
Le marché doit être exécuté dans le cadre de programmes d’emplois protégés : Non
Conditions relatives à l’exécution du contrat : Les conditions d’exécution du contrat sont décrites dans les documents du marché.
Un accord de confidentialité est requis : non
Facturation en ligne : Non autorisée
La commande en ligne sera utilisée : non
Le paiement en ligne sera utilisé : non
Forme juridique que doit revêtir un groupe de soumissionnaires auquel un marché est attribué : Dans le cas où le marché serait attribué à un groupement, afin de sécuriser l’exécution du marché pendant toute sa durée, le groupement devra avoir la forme d’un groupement conjoint avec mandataire solidaire.
Montage financier : - Financement du marché par les ressources propres de La Poste. - La Poste procède au paiement, sauf disposition légale contraire ou accord spécifique entre les parties, dans un délai de 60 jours à compter de la date d'émission de la facture. - L'Euro est l'unité monétaire choisie pour le paiement des prestations, fournitures ou travaux. - Les sous-traitants bénéficieront du paiement direct dans les conditions du Code de la Commande Publique.

5.1.15 Techniques

Accord-cadre :
Accord-cadre, sans remise en concurrence
Informations sur le système d’acquisition dynamique :
Pas de système d’acquisition dynamique

5.1.16 Informations complémentaires, médiation et réexamen

Organisation chargée des procédures de médiation : Le Médiateur des entreprises -
Organisation chargée des procédures de recours : Tribunal Judiciaire de Paris -
Informations relatives aux délais de recours : Les personnes qui ont un intérêt à conclure le contrat et qui sont susceptibles d’être lésées par des manquements aux obligations de publicité et de mise en concurrence peuvent exercer un référé précontractuel (article 1441-1 à 1441-3-1 du code de procédure civile) avant la signature du contrat. Les personnes qui ont un intérêt à conclure le contrat et qui sont susceptibles d’être lésées par des manquements aux obligations de publicité et de mise en concurrence peuvent exercer un référé contractuel (articles 1441-1 à1441-3-1 du code de procédure civile) dans un délai de 31 jours suivant la publication de l’avis d’attribution au JOUE
Organisation qui fournit des informations complémentaires sur la procédure de passation de marché : La Poste -
Organisation qui fournit un accès hors ligne aux documents de marché : La Poste -
Organisation qui fournit des précisions concernant l’introduction des recours : Tribunal Judiciaire de Paris -
Organisation qui reçoit les demandes de participation : La Poste -
Organisation qui traite les offres : La Poste -

8. Organisations

8.1 ORG-0001

Nom officiel : La Poste
Numéro d’enregistrement : 356000000
Adresse postale : 9 RUE DU COLONEL PIERRE AVIA
Ville : PARIS
Code postal : 75015
Subdivision pays (NUTS) : Paris ( FR101 )
Pays : France
Point de contact : Anne GRALL
Adresse électronique : anne.grall@laposte.fr
Téléphone : +33 7 89 67 16 25
Adresse internet : https://www.laposte.fr
Point de terminaison pour l’échange d’informations (URL) : https://e-sourcing.extra.laposte.fr
Profil de l’acheteur : https://e-sourcing.extra.laposte.fr
Rôles de cette organisation :
Acheteur
Organisation qui fournit des informations complémentaires sur la procédure de passation de marché
Organisation qui fournit un accès hors ligne aux documents de marché
Organisation qui reçoit les demandes de participation
Organisation qui traite les offres

8.1 ORG-0002

Nom officiel : Tribunal Judiciaire de Paris
Numéro d’enregistrement : 17750111101763
Adresse postale : PARVIS DU TRIBUNAL DE PARIS
Ville : PARIS CEDEX 17
Code postal : 75859
Subdivision pays (NUTS) : Paris ( FR101 )
Pays : France
Adresse électronique : tj-paris@justice.fr
Téléphone : +33 144325151
Rôles de cette organisation :
Organisation chargée des procédures de recours
Organisation qui fournit des précisions concernant l’introduction des recours

8.1 ORG-0003

Nom officiel : Le Médiateur des entreprises
Numéro d’enregistrement : MEDIATEUR_ENTREPRISES
Adresse postale : 98 -102 RUE DE RICHELIEU
Ville : PARIS
Code postal : 75002
Subdivision pays (NUTS) : Paris ( FR101 )
Pays : France
Téléphone : +33100000000
Rôles de cette organisation :
Organisation chargée des procédures de médiation
Informations relatives à l’avis
Identifiant/version de l’avis : 167a009c-7969-4fac-ba99-351a0bbf90bf - 01
Type de formulaire : Mise en concurrence
Type d’avis : Avis de marché ou de concession – régime ordinaire
Date d’envoi de l’avis : 09/05/2025 13:27 +00:00
Langues dans lesquelles l’avis en question est officiellement disponible : français
Numéro de publication de l’avis : 00302457-2025
Numéro de publication au JO S : 91/2025
Date de publication : 13/05/2025