France – Logiciels et systèmes d'information – Avis de sourcing relatif à la fourniture de solutions de Contrôles /Gestion des risques et de la conformité (GRC) et de la gestion des risques des fournisseurs tiers (TPRM) pour répondre aux besoins potentiels du Groupe La Poste

La Poste réalise, au travers du présent avis, un sourcing afin d'identifier les acteurs du marché relatif aux solutions « Contrôles / Gestion des Risques et de la Conformité (GRC) et de la Gestion des Risques des Fournisseurs Tiers (TPRM) », et à estimer l’adéquation de ces solutions aux contraintes/ enjeux de la Direction Cybersécurité du Groupe La Poste. Afin de renforcer ce pilotage, d’harmoniser les pratiques au sein des différentes entités du Groupe La Poste et de disposer d’une vision consolidée et partageable avec les organes de gouvernance, la Direction Cyber Sécurité Groupe étudie l’opportunité de se doter d’une nouvelle solution / plateforme intégrée de type Contrôles, GRC & TPRM en remplacement de celle existante et qui couvre aujourd’hui : - La publication de la PSSI-G, les auto-évaluations ; - Le Plan de Contrôle Cybersécurité avec présentation de preuves ; - Le mapping entre la PSSI-G et d’autres référentiels (ISO, NIS2, ANSSI) ; - Le questionnaire de maturité SSI avec apport d’éléments probants. Cette nouvelle plateforme doit permettre de couvrir l’ensemble du cycle de vie des contrôles, des obligations de conformité, ainsi que la gestion de l’exposition aux risques tiers, en s’intégrant dans l’écosystème SI du Groupe La Poste et en répondant aux exigences élevées en matière de sécurité, de confidentialité et de conformité réglementaire.

• ↗2026DOS15654non-restricted-document

Dans le cadre de l’amélioration de l’offre de la Direction Cybersécurité du Groupe La Poste, Le Groupe La Poste étudie la possibilité de se doter d’un outil de « Contrôles / Gestion des Risques et de la Conformité (GRC) et de la Gestion des Risques des Fournisseurs Tiers (TPRM) ». Le périmètre fonctionnel envisagé pour la solution comprend a minima les domaines suivants : - Cartographie des entités : Liste exhaustive des entités du Groupe La Poste par branche et filiale embarquant l’exhaustivité des informations (ex. CA, nombre de collaborateur, localisation, contacts, etc.) ; - Plan de Contrôle Cyber : Catalogue et gestion des contrôles, auto-évaluations et campagnes d’évaluation qu’elles soient récurrentes ou ponctuelles ; - Gestion des risques : Cartographie des risques cyber à différents niveaux (Groupe, branches, filiales, processus, projets, systèmes, tiers). Évaluation périodique des risques cyber et pilotage des plans de traitement ; - Gestion de la conformité : Référentiel d’exigences réglementaires, normatives et internes. Suivi du niveau de conformité et gestion des preuves ; - Gestion des tiers : Référentiel des tiers et évaluation de leur exposition au risque (questionnaires, score, plans de remédiation, réévaluations périodiques) sur l’ensemble du cycle de vie des relations fournisseurs et partenaires ; - Recommandations et plans d’actions : Mettre à disposition des outils de planification permettant aux entités, sur la base d’analyses et de recommandation, de mettre en œuvre des plans de remédiation ; - Rapports et indicateurs : Production de tableaux de bord et indicateurs consolidés et homogènes à tous les niveaux fonctionnels et organisationnel du Groupe La Poste à destination des différentes instances de gouvernance. Le Groupe La Poste attend du fournisseur, les informations suivantes qui seront à charger dans le cadre de réponse dédié sous la plateforme Fournisseurs du Groupe La Poste : Un Dossier de réponse en français incluant : A. Exigences fonctionnelles : - Gouvernance ; - Cartographie des entités ; - Plan de Contrôle Cybersécurité (Catalogue de contrôles, Planification des campagnes de contrôle, Collecte des résultats et statuts de contrôle, Plans d’actions associés aux contrôles) ; - Gestion des risques (Modélisation et cartographie des risques, Évaluation des risques, Appétence au risques et seuils d’acceptabilité, Plans de traitement des risques, Suivi et consolidation des risques) ; Gestion de la conformité (Gestion des référentiels normatifs et réglementaires, Cartographie des obligations de conformité, Référentiel documentaire, Gestion des versions et historique, Évaluation et suivi du niveau de conformité, Gestion des preuves de conformité, Pilotage règlementaire) ; - Gestion des tiers (Référentiel des tiers, Classification et criticité des tiers, Questionnaires et évaluations TPRM, Scoring et synthèse du risque tiers, Suivi contractuel et engagement de sécurité des tiers, Plans d’actions et réévaluations périodiques) ; - Recommandations et plans d’actions (Gestion des non-conformités, Gestion des exceptions et dérogation, Pilotage centralisé des plans d’actions, Priorisation) ; - Rapports et indicateurs (Tableaux de bord, Indicateurs, Fonctions d’export et de restitution) ; B. Exigences non fonctionnelles : - Gestion des accès, identités et habilitations (Intégration SSO et IAM, Gestion des profils, rôles et périmètres, Gestion des droits d’accès, Protection des comptes à privilèges, Workflows et notifications) ; - Sécurité et protection des données (Conformité réglementaire (RGPD, CNIL, ANSSI, NIS2, DORA), Chiffrement des données, Rétention, archivage et suppression des données) ; - Intégration et interopérabilité (Intégration au SI, APIs et connecteurs, Imports de données, Réversibilité, Automatisation / IA pour optimisation des fonctionnalités) ; - Expérience utilisateur et accessibilité (Interfaces utilisateur, Accessibilité et exigences ergonomiques, Documentation, formation et accompagnement, Documentation fonctionnelle et technique, Supports de formation et base de connaissances, Dispositif d’accompagnement au déploiement) ; - Modèle de licence (Tarifications, Coûts de mise en œuvre et de maintenance) ; C. Exigences complémentaires : - Hébergement et infrastructure (Localisation et qualification, Architecture globale, Cloisonnement et isolation des environnements, Protection contre les attaques d’origine cyber) ; - Performance (Volumétrie cible et montée en charge, Temps de réponse et performance transactionnelle) ; - Disponibilité (Mécanismes de haute disponibilité et tolérance aux pannes, Engagements de disponibilité (SLA), Objectifs de reprise d’activité (RPO / RTO), Sauvegardes et tests de restauration, Tests de PRA / PCA) ; - Supervision et gestion des incidents (Supervision des composants et remonté d’alertes, Processus de gestion des incidents, Support et hotline en français) ; - Traçabilité (Journaux d’audit). D. Le questionnaire d’information (Annexe 2) dûment complété en français. E. Tout autre document (en complément des points précédents), de préférence en français, qui pourrait présenter un intérêt pour la réalisation de son analyse. Ces documents sont à charger dans la rubrique « Pièces jointes complémentaires » du cadre de réponse. Il est à noter que le descriptif détaillé de ce dossier, ainsi que les fichiers annexes à compléter sont disponibles sur la plateforme Fournisseurs du Groupe La Poste https://e­-sourcing.extra.laposte.fr