TERMES DE REFERENCE POUR LE RECRUTEMENT D’UN CONSULTANT CHARGE D’ANIMER UN ATELIER DE FORMATION SUR LE THEME « CYBER SECURITE ET CYBER DEFENSE : STRATEGIES POUR REPONDRE AUX NOUVELLES ATTAQUES »

1. Description du projet et contexte

La Banque de la République du Burundi, dans son rapport numéro 6 sur la stabilité financière, souligne qu’avec la venue des nouvelles technologies,  bons nombre d’opérations financières sont réglées par voie du numérique. Néanmoins, ces innovations sont susceptibles d’être exposés à des vulnérabilités y afférentes. Plus particulièrement, ces supports monétaires dématérialisés sont beaucoup plus exposés au risque de contrefaçon criminelle, de fraude et diverses autres formes d’attaques de cyber sécurité.

Le Réseau des Institutions de Microfinance du Burundi (RIM), qui est une Association Professionnelle crée par les Institutions de Microfinance a pour mission de contribuer à la promotion du secteur de la microfinance en appuyant les membres à accomplir efficacement leur mission et à défendre leurs intérêts, en mettant en avant le professionnalisme, l’équité, la transparence et l’unité des membres. Les membres de ce réseau sont au nombre de quarante une IMF avec de tailles et de catégories différentes.

Un des principaux axes du RIM porte sur le renforcement des capacités des IMF membres. Le DSIK estime que cet axe est pertinent, qu’il contribue à améliorer l’inclusion financière et qu’il répond à l’impérieuse nécessité de renforcer les capacités de toutes les parties prenantes intervenant de secteur raison pour laquelle il accepte de soutenir financièrement et techniquement le RIM.

A cet effet, le RIM souhaite sensibiliser et former les responsables des systèmes d’information et de gestion (SIG) et des réseaux informatiques sur les enjeux du moment en matière de sécurité des données et les mises à jour sur la cyber sécurité et les vulnérabilités possibles qui doivent être résolues pour réduire le risque d'attaque. Pour mieux sécuriser les ressources dont ils ont la charge, ces responsables doivent connaitre les techniques et outils utilisés par les attaquants et les moyens de s’en prémunir. C’est le but recherché par le présent atelier de formation.

Un pirate éthique utilise les mêmes techniques qu'un pirate malveillant mais il a la permission d'une institution, en tant qu'employé ou consultant externe, d'utiliser les mêmes outils que les "hackers" malveillants pour pouvoir tester, réparer et établir des rapports sur les failles en matière de sécurité.

Aujourd’hui le succès de la transformation digitale des IMF ne peut être garanti que si les enjeux de sécurité des services web sont intégrés dès les premières étapes d’acquisition des logiciels métiers que les IMF utilisent (Administrer, analyser, maitriser les concepts et les enjeux des Web Services). A l’ère du tout digital, les entreprises d’aujourd’hui et de demain, quelles que soient leur taille, leur profil ou leur activité, devront inévitablement faire face à des attaques visant leurs systèmes d’informations. Pour lutter contre les cybermenaces, c’est auprès d’un consultant en cybersécurité qu’elles trouveront le meilleur allié, afin de renforcer leur sécurité informatique et être mieux armées face aux cyberattaques.

Objectifs visés

Le but de cette formation est d’ :

• apprendre à identifier des faiblesses dans le réseau d’une institution en utilisant les mêmes méthodes que les "hackers » : prise d'empreintes, énumération, exploitation et escalade de privilèges ;
• acquérir les connaissances pour tester et exploiter systématiquement les défenses internes et externes en suivant une méthodologie établie ;
• apprendre également les contre-mesures à prendre pour atténuer les risques encourus par l’institution ;
• apprendre les principaux risques de cyber sécurité ;
• apprendre les étapes clés pour protéger les IMF et leurs clients.

La formation prévoit outre les disciplines théoriques nécessaires pour modéliser et résoudre les problèmes posés, des travaux pratiques qui permettent d'appréhender de manière approfondie à prévenir ou contrer des "hackers" dans un environnement proche de la réalité professionnelle.

A la fin de cette formation, les apprenants seront capables de :

• Identifier une attaque ;
• Mettre en œuvre les contre-mesures pour y faire face ;
• Gérer les problèmes d’un SI ; 
• Développer les compétences du personnel d’un SI surtout en sécurité informatique et réseau ;
• Assurer la maintenance des systèmes et réseaux.

3. Résultats attendus

A l’issue de cet atelier de formation, les participants auront appris et maîtrisé à :

• Utiliser le piratage éthique pour mettre en évidence les faiblesses de votre institution et choisir les contre-mesures ;
• Recueillir des informations grâce à l'ingénierie sociale, aux données publiées et aux outils de scan ;
• Sonder et compromettre le réseau en utilisant des outils de piratage pour optimiser la sécurité de votre institution ;
• Comprendre la manière dont les "hackers" malveillants exploitent les failles des systèmes ; d’exploitation, du réseau et des applications Web pour se "l'approprier".

4. Missions du Consultant

Le consultant aura pour mission (non exhaustive) :

• En collaboration avec la Direction Exécutive du RIM, faire la préparation de ladite atelier de formation ;
• Faire un état sur les besoins en matériels pédagogiques pour la bonne réalisation de la mission ;
• Organiser l’atelier de formations sur la thématique en cybersécurité ;
• Proposer des plans de formation sur cinq (5) jours pour les cadres IT responsables SIG ;
• Proposer les outils les plus performants d’évaluation post formation, (voire méthodologies) pour le suivi coaching des participants après un certain temps de la formation ;
• Elaborer un rapport de formation à soumettre au RIM ;
• Proposer aux participants à la formation des documents d’aide-mémoire contenant les éléments essentiels (stratégies) du cours pour la bonne assimilation des connaissances acquises

5.  Livrables et modalités d’approbation

A l’issue de la mission, le consultant devra fournir un rapport détaillé contenant les éléments requis par les présents TDR: 

• Un rapport d’animation l’atelier de formation ;
• Un document d’aide-mémoire contenant les éléments essentiels (stratégies) du cours pour prendre des bonnes décisions en cybersécurité;
• Un outil le plus performant d’évaluation post formation, (voire méthodologies) pour le suivi coaching des participants après X mois de la formation. 

6. Profil du Consultant

 Le Consultant chargé de faire le travail ci-haut décrit devra disposer du profil suivant :

• Avoir un diplôme de niveau universitaire de BAC+5 au minimum, Master  en sécurité informatique, diplôme d’école d’ingénierie en sécurité informatique ;
• Une expérience d’au moins trois (3) ans en sécurité informatique ;
•  Maîtriser les méthodes d’analyse (systémique, fonctionnelle, de risques…)
• Connaître les normes et standards d’exploitation
•  Maîtriser les principes d’intégration de matériels et de logiciels
• Concevoir l’architecture d’un système d’information

7. Date, déroulement et durée de la mission

La date de formation est du 09 au 13 mai 2022.

Le déroulement de la mission :

• Cinq (5) jours  d’animation de la session de formation proprement dite;
• Un jour pour la préparation de la formation ;
• Une (1) journée pour l’élaboration d’un questionnaire d’évaluation post-formation (après X mois de la formation) pour évaluer l’impact de la formation au sein des IMF bénéficiaires et éléments de réponse ;
• Un (1) jour pour la production du rapport de mission.

Au cours de la mission, le consultant bénéficiera de la facilitation du Réseau des Institutions de Microfinance. 

8. Consultation et acquisition du dossier d’appel d’offre 

Les termes de référence détaillés peuvent être consultés au secrétariat du Réseau des Institutions de la Microfinance du Burundi, Avenue de l’Agriculture, Quartier industriel ou sur le web : www.rimburundi.org.

9. Dossier du Consultant et présentation de l’offre

Le consultant présentera son dossier de candidature comprenant une offre technique et une offre financière présentées séparément dans deux (02) enveloppes distinctes.

La 1^ère enveloppe contiendra l’offre technique constituée des éléments ci-après :

• Une lettre de soumission pour l’offre technique ;
• Une note de présentation du cours ;
• Une note de compréhension de la mission contenant le plan de formation (chronogramme avec matière à dispenser) et l’approche méthodologique ;
• Un curriculum vitae détaillé reprenant, entre autre, le profil professionnel du candidat et les réalisations en matière de consultance dans le domaine spécifique ;
• Une note sur les références professionnelles;
• Les copies des diplômes, attestations et autres documents prouvant la qualification et l’expérience du consultant ;
• L’adresse complète du Consultant.

La proposition technique ne comprendra aucune indication sur le coût et sera rédigée en langue française.

La 2^ème enveloppe contiendra l’offre financière composée des éléments ci-après :

• Une lettre de soumission pour l’offre financière;
• Les honoraires du Consultant établis sur base des coûts unitaires des hommes/jours compte tenu du calendrier de réalisation du mandat ;
• Les frais remboursables (à détailler par le Consultant) selon le besoin.

Les deux enveloppes seront ensuite placées dans une enveloppe extérieure portant la mention suivante :

« A Madame le Directeur Exécutif du RIM : Offre pour le Recrutement d’un consultant chargé d’animer un ateliers de formation sur la thématique Cyber sécurité et cyber défense : Stratégies pour Répondre aux Nouvelles Attaques ».

Si une enveloppe n’est pas marquée comme indiqué ci-dessus, le RIM, ne sera en aucun cas responsable si l’offre est égarée ou si elle est ouverte prématurément par mégarde.

10. Remise des offres

Les offres devront être déposées au secrétariat du Réseau des Institutions de la Microfinance du Burundi, Avenue de l’Agriculture, Quartier industriel.

La date limite de dépôt est fixée au 15/04/2022 à 10h, heure locale. Les dossiers déposés ne seront pas remis.

Toute offre reçue après la date limite ne sera pas prise en considération.

11. Ouverture des offres et sélection du candidat

L’ouverture des offres aura lieu le même jour en présence des soumissionnaires qui le souhaitent le 15/04/2022 à 11 heures précises, dans la salle des formations du RIM.

Cependant, l’ouverture des offres se fera en deux étapes : d’abord l’ouverture et l’analyse des offres techniques, ensuite et sur la même date l’ouverture des offres financières pour les candidats qui auront obtenu la note de qualification technique fixée à 70%.

La méthode de sélection sera basée sur la qualité technique et le coût en deux étapes distinctes.

12. Validité des offres.

Les offres seront valables pendant une période de 15 jours ouvrables à compter de la date limite d’ouverture des offres.

13. Rémunérations Modalités de paiement

Le montant de la rémunération sera fixé sur base du barème de rémunération des consultants formateurs en vigueur au RIM.

Le paiement s’effectuera en une seule tranche sur présentation du rapport définitif corrigé et approuvé par le RIM et le partenaire technique et financier DSIK.

14. Critères d’évaluation, de qualification et choix des candidats
15.  Evaluation des offres techniques

La méthode de sélection sera basée sur la qualité technique et sur un budget fixe déterminé.

Dans un premier lieu, les propositions techniques seront évaluées suivant la grille d’évaluation ci-après :

Le seuil de qualification technique est fixé à 70 %.

Pour les consultants dont les offres techniques n’auront pas atteint 70 %, leurs offres financières leur seront retournées non ouvertes.

Les consultants dont les dossiers techniques auront atteint 70% seront admis pour la suite de la compétition, c'est-à-dire que leurs propositions financières seront ouvertes et analysées.

Le  consultant dont la proposition technique a obtenu la meilleure note sera retenu et sera invité à négocier le contrat. Autrement dit, le soumissionnaire gagnant sera appelé à négocier le contrat, ce sera celui qui sera déclaré le plus qualifié techniquement parmi ceux qui auront remis une offre financière n’excédant pas l’enveloppe budgétaire. Toute offre excédant le budget sera  rejetée d’office.

3. Evaluation globale pour chaque consultant

4. Estimation  du coût des services pour l’offre financière

                                                                  La Direction Exécutive du RIM