Un prestataire pour l’audit de sécurité du Système d’information-OFII Retour vers les opportunités
Échéance
14 Mai 2026 Dans 2 semaines
Partager l'opportunité sur
Détails de l'opportunité
Consultation 26-001
Sélection d’un prestataire pour l’audit de sécurité du Système d’information intégré dédié à la formation professionnelle privée (SIGAF)
Cadre : Coopération technique entre la Tunisie et l’Union européenne
Contractant : Représentation en Tunisie de l’Office français de l’immigration et de l’intégration (OFII, opérateur de mise en œuvre de THAMM+ OFII)
Zone géographique d’intervention : Tunisie
Date limite de soumission : Jeudi 14 mai 2026 à 18h00
CE PROJET EST FINANCE PAR L’UNION EUROPEENNE
- Contexte
L’Office français de l’immigration et de l’intégration figure parmi les opérateurs de mise en œuvre du programme de coopération technique THAMM Plus, financé par l’Union européenne, consacré à la gouvernance de la migration de travail et mis en œuvre en concertation étroite avec le ministère de l’Emploi et de la Formation professionnelle.
Le projet THAMM+ OFII vise à améliorer et renforcer l’accès à la formation et à la mobilité des chercheurs d’emploi en les orientant vers les métiers en tension sur les marchés du travail tunisien ou européens.
L’atteinte de cet objectif spécifique repose sur trois produits escomptés, dont le produit 3 : « les administrations et institutions tunisiennes du secteur de l’emploi sont mieux outillées pour collecter, gérer et analyser les données relatives au marché de l’emploi, tant national qu’international ». C’est dans ce cadre que s’inscrit l’activité 3.2.2 : « Appui au développement du système d’information du marché du travail », au sein de laquelle le système d’information intégré de la gestion des activités de la formation professionnelle privée (SIGAF) sera étendu et perfectionné. L’OFII lance la présente consultation auprès des prestataires certifiés par l’Agence nationale de la cybersécurité – ANCS en vue de la réalisation d’une mission d’audit de sécurité du système « SIGAF ».
- Lots de la consultation
La consultation est structurée en quatre (4) lots indissociables, chacun correspondant à un ensemble de fonctionnalités soit déjà développées, déployées et prêtes à être auditées, pour le premier lot, soit devant faire l’objet d’une mise à niveau ou d’un développement complémentaire, suivi d’une mise en production progressive à partir de l’année 2026. Les déploiements pourront ainsi s’étendre jusqu’en 2028.
Les soumissionnaires sont tenus de présenter des offres techniques et financières couvrant impérativement les quatre (4) lots correspondant aux différentes itérations prévues dans le cadre du projet, à savoir : une itération déjà déployée ainsi que trois itérations supplémentaires appelées à être déployées successivement dans l’environnement de production.
Les livrables de développement afférents aux trois (3) derniers lots seront fournis, en moyenne, à un rythme semestriel à compter du troisième trimestre de l’année 2026, conformément à un calendrier de déploiement progressif. Le prestataire sélectionné interviendra après la finalisation des travaux de développement de chaque lot, afin de préparer sa validation en vue de son hébergement auprès des fournisseurs d’accès Internet et du cloud gouvernemental, sachant que le développement du premier lot est déjà achevé.
La cartographie fonctionnelle se compose des blocs suivants :
- Chaîne de valeur : ensemble des étapes permettant de formaliser les processus de la formation professionnelle (solution dotée d’un moteur de workflow permettant de gérer et couvrir un ensemble des processus métiers) ;
- Canaux de communication : ensemble des moyens mis à disposition des utilisateurs de la plateforme, pour interagir entre eux, échanger des informations et des documents, etc. ;
- Administration Back Office : ensemble de fonctionnalités à assurer permettant le paramétrage, la gestion et la supervision de la solution ;
- Pilotage : ensemble de rapports et de statistiques à générer par la plateforme ;
- Gestion des référentiels : ensemble des référentiels de données gérés au niveau de la plateforme.
CE PROJET EST FINANCE PAR L’UNION EUROPEENNE 2
La cartographie fonctionnelle en question est modélisée ci-après :
Le périmètre fonctionnel indicatif du projet SIGAF figure en annexe 1.
Pour chaque lot, trois livrables seront prévus :
– Le premier, présenté sous la forme d’un rapport détaillé d’audit couvrant les différents aspects spécifiés dans la présente consultation, devra inclure les résultats de l’estimation des risques, les mesures techniques à mettre en œuvre ainsi que les grandes lignes du plan d’action.
– Le deuxième livrable sera un rapport de conformité aux exigences techniques et recommandations formulées dans le premier rapport après l’intervention corrective de la société de développement. Dans le cas où le premier rapport ne révèle aucune exigence ou recommandation à traiter, le deuxième rapport ne sera pas nécessaire.
– Le troisième livrable sera une attestation de conformité en vue de l’hébergement auprès du cloud gouvernemental.
- Conduite et déroulement de la mission d’audit
L’audit devra suivre les phases décrites dans les paragraphes suivants.
3.1 Déclenchement de l’audit
Le déclenchement de l’audit sera marqué par une réunion préparatoire entre l’équipe de projet, l’équipe de développement et le prestataire (auditeur). Au cours de cette étape, les aspects suivants seront traités :
- Etablir les circuits de communication ;
- Rappeler le contexte de l’audit et son importance pour l’identification et l’atténuation des risques relatifs à la sécurité de l’information, ainsi que l’étendue et les limites de l’audit (les processus couverts par l’audit). Il sera important de présenter la méthodologie utilisée par le prestataire et de distinguer les activités d’audit qui auront lieu sur site de celles qui seront conduites à distance, et ce en commun accord avec le maitre d’ouvrage ;
- Affiner les plannings d’exécution (planning des actions, plannings des réunions de coordination et de synthèse, etc.) ;
- Définir et prendre les dispositions logistiques nécessaire à la mission du prestataire (au
CE PROJET EST FINANCE PAR L’UNION EUROPEENNE 3
ministère et sur le site de développement, etc.).
Cette réunion débouchera sur la synthèse des plannings précis et détaillés de mise en œuvre de la mission qui seront consignés dans un PV.
En cas de difficultés, le prestataire devra faire recours à l’équipe projet (ministère et OFII) par courriel, afin de leur permettre d’intervenir efficacement et dans les délais.
3.2 Conduite des activités d’audit
Audit technique :
L’audit technique vise à évaluer le niveau de sécurité des lots de développement du système d’information décrit ci-dessus.
L’audit devra suivre les étapes suivantes :
✓ Audit Black Box,
✓ Audit Grey Box,
✓ Audit White Box.
La méthodologie proposée par le soumissionnaire pour la conduite de l’audit technique devra, entre autres, inclure :
- Une méthode d’évaluation de la sécurité de l’architecture adoptée dans l’environnement de développement ;
- Une méthode d’évaluation de la sécurité des lots de développement du système d’information ; • Une méthode pour la réalisation des tests d’intrusion externe (réalisés depuis Internet) ; • Une méthode pour la réalisation des tests d’intrusion interne (réalisés depuis le réseau intranet du ministère) ;
- Une méthode pour la réalisation des tests d’intrusion applicatifs ;
- Une analyse et évaluation des risques.
Le soumissionnaire devra proposer, dans son offre, une méthodologie d’analyse et d’évaluation des risques qui sera utilisée pour estimer le risque lié à chaque faille détectée durant l’audit. Cette méthodologie devra prendre en considération des facteurs tels que la criticité de l’actif touché par la faille, l’impact d’exploitation de la faille et la probabilité de son occurrence.
Cette méthodologie permettra également de classer les failles découvertes durant l’audit selon le niveau de risque.
Outils d’audit :
Le soumissionnaire devra décrire dans son offre les outils techniques qu’il compte utiliser lors de la réalisation de l’audit. Ces outils devront nécessairement comprendre :
✓ Des outils de sondage et de scan de vulnérabilités ;
✓ Des outils de scan automatique des vulnérabilités du réseau ;
✓ Des outils spécialisés dans l’audit des SGBD ;
✓ Des outils de test de la solidité des objets d’authentification (fichiers de mots clés, etc.).
L’utilisation d’outils commerciaux devra être accompagnée de la présentation d’une copie de la licence originale et nominative permettant leur usage correct pour de telles missions (inexistence de restrictions quant à leur usage pour les audits : plages d’adresses ouvertes, etc.). La présentation de la copie des licences en question sera requise uniquement du prestataire retenu avant signature du contrat.
Il est à noter qu’en plus des points mentionnés ci-dessus, le prestataire devra se conformer aux critères techniques d’audit ainsi qu’aux modalités de suivi de la mise en œuvre des recommandations définies
CE PROJET EST FINANCE PAR L’UNION EUROPEENNE 4
dans le référentiel d’audit de sécurité des systèmes d’information disponible sur le site officiel de l’Agence nationale de la cybersécurité (URL actuelle : https://www.ancs.tn/sites/default/files/2024- 04/Referentiel_Audit%203.1.pdf.)
Les exigences liées aux modalités et outils spécifiés dans ce référentiel, relatives à l’audit des applicatifs et solutions logicielles pour la réalisation de la mission objet de cette consultation, feront partie intégrante du périmètre et ne pourront être ignorées.
3.3 Livrables attendus
Les livrables de la présente mission d’audit sont :
➢ PV de lancement du projet incluant particulièrement les plannings d’exécution. Pour chacun des lots décrits ci-dessus,
➢ Livrable 1 : Rapport détaillé d’audit intégrant en particulier les résultats de l’estimation des risques, les mesures techniques à mettre en œuvre ainsi que les grandes lignes du plan d’action (conformément aux aspects mentionnés dans le paragraphe 3.2).
➢ Livrable 2 : Rapport de conformité aux exigences techniques et recommandations formulées dans le premier rapport après l’intervention de la société de développement. Dans le cas où le livrable 1 ne révèle aucune exigence ou recommandation à traiter, ce deuxième livrable ne sera pas nécessaire.
➢ Livrable 3 : Une attestation de conformité en vue de l’hébergement auprès du cloud gouvernemental.
Il est à noter que les livrables seront soumis à la validation de l’organisme en charge de l’hébergement de l’environnement de production du système d’information. En cas de réserve, le prestataire est tenu de procéder à ses frais, à la correction des manquements et/ou non conformités signalés.
- Modalités de paiement
Les modalités de paiement seront définies selon le calendrier suivant :
– 25% à la validation du PV de la réunion du lancement et des livrables relatifs au lot 1. – 25% à la validation des livrables relatifs au lot 2.
– 25% à la validation des livrables relatifs au lot 3.
– 25% à la validation des livrables relatifs au lot 4.
Ces modalités de paiement peuvent être affinées, si besoin est, en commun accord avec le prestataire lors de la contractualisation.
CE PROJET EST FINANCE PAR L’UNION EUROPEENNE 5
- Profil souhaité de(s) l’expert(s) ou du/des collaborateur(s) en charge de la mission
| Critère | Exigence minimale de l’expert principal désigné comme point focal | En cas de proposition d’autres membres |
| Cas où le prestataire est une personne morale | Société figurant dans la liste
officielle des personnes morales certifiées publiée sur le site web de l’ANCS, actuellement accessible à l’adresse suivante : https://www.ancs.tn/fr/experts auditeurs-certifies Il est à noter que, dans ce cas où le prestataire est une personne morale, l’expert principal proposé comme point focal doit figurer dans la même liste officielle des experts appartenant à cette société. |
|
| Cas où le prestataire est une personne physique | Expert certifié par l’ANCS, figurant dans la liste officielle des experts certifiés publiée sur le site web de l’agence, actuellement accessible à l’adresse suivante :
https://www.ancs.tn/fr/experts auditeurs-certifies |
|
| Nombre d’années
d’expérience |
Expérience pertinente de cinq (5) ans. | Expérience pertinente de trois (3) ans. |
| Certification valides | Être certifié Lead Implémenter ISO/IEC 27001 ou Lead Auditeur ISO/IEC 27001
Et Avoir au minimum 1 certification parmi les suivantes : ✓ Certified Information System Security professionnal(CISSP) ✓ Certified Information System Manager (CISM) |
Être certifié Lead Implémenter ISO/IEC 27001 ou Lead Auditeur ISO/IEC 27001
Une certification parmi les suivantes sera un plus : ✓ Certified Information System Manager (CISM) ✓ EC-Council CEH ✓ Certified Information ✓ System Security Professionnal (CISSP) |
| Nombre de
participations à des projets similaires |
Doit avoir participé à au moins six (6) missions de tests d’intrusion. | Chaque membre de l’équipe
intervenante doit avoir participé à au moins trois (3) missions de tests d’intrusion. |
| Références : | Le soumissionnaire devra justifier d’au moins cinq (5) références de missions similaires menées avec succès. À ce titre, il est tenu de fournir, pour chaque référence, le nom de la personne de contact, son | Si un collaborateur était proposé, il devrait justifier d’au moins trois (3) références de missions similaires menées avec succès. À ce titre, il est tenu de fournir, pour chaque référence, le nom de la personne de |
| Critère | Exigence minimale de l’expert principal désigné comme point focal | En cas de proposition d’autres membres |
| adresse e-mail ainsi que l’établissement de rattachement, afin de permettre, en cas de besoin, la prise de contact. | contact, son établissement de rattachement ainsi que son adresse e-mail, afin de permettre, en cas de besoin, les vérifications nécessaires. |
- Modalités de soumission des candidatures :
Dossier de candidatures :
Les prestataires intéressés sont invités à soumettre leur dossier de candidature avec les éléments suivants :
✓ Le/les curriculum(s) vitae détaillé(s) mettant en évidence l’expérience pertinente de l’expert et du/des collaborateur(s) du prestataire dans le domaine requis avec les références requises. ✓ L’offre technique
✓ Une copie du registre national de l’entreprise (RNE) datant de moins de 3 mois. ✓ Une offre financière libellée en dinars tunisiens, hors TVA et TTC.
Si un ensemble de prestataires souhaitent former une équipe pour participer à cette consultation, ils doivent désigner l’un d’eux comme responsable principal, qui représentera leur candidature comme un seul prestataire. Ce responsable sera le point de contact unique vis-à-vis de l’OFII et assumera l’organisation administrative, fiscale et juridique de l’équipe. La facturation sera effectuée en son nom, et il supportera directement la charge de tous les impôts, droits et taxes auxquels il est soumis, de quelque nature qu’ils soient.
Envoi des dossiers
Le dossier de candidature doit être envoyé par courriel (mail) avec la référence « Audit de sécurité du système d’information (SIGAF) » dans l’objet du courriel, à l’adresse :
– thamm.ofii.consutations@gmail.com
– avec l’adresse helene.hammouda@ofii.fr en copie.
La date limite de réception des candidatures est le 14/05/2026 à 18h00.
Annexe 1
Périmètre fonctionnel indicatif du projet SIGAF
| Processus métier | Fonctionnalités |
| Créer les
structures des formations privées |
Déposer une demande de création EPF |
| Ajouter un complément de dossier | |
| Consulter la liste des demandes de création EPF | |
| Consulter/imprimer la décharge | |
| Consulter/imprimer le bordereau | |
| Affecter la demande de création EPF à un CDR | |
| Demander un complément du dossier | |
| Traiter une demande de création | |
| Demander le dépôt du dossier physique de la demande | |
| Consulter/valider la décision de la demande | |
| Modifier les
données de l’EPF |
Déposer une demande de modification données EPF |
| Ajouter un complément de dossier | |
| Consulter la liste des demandes de modification | |
| Affecter la demande de modification à un CDR | |
| Traiter une demande de modification | |
| Consulter/valider la décision de la demande | |
| Demander le dépôt du dossier physique de la demande | |
| Fermer
provisoirement un EPF ou nature de formation |
Consulter la liste des EPF |
| Déposer une demande de fermeture provisoire de l’activité d’un EPF | |
| Déposer une demande de fermeture provisoire d’une nature de formation | |
| Reprendre
l’activité d’un EPF ou une nature de formation à la demande d’un EPF |
Consulter la liste des EPF |
| Déposer une demande de reprise activité EPF | |
| Déposer une demande de reprise nature de formation | |
| Consulter la liste des demandes de reprise | |
| Affecter la demande à un CDR | |
| Traiter une demande de reprise | |
| Consulter/valider la décision de la demande | |
| Fermer
définitivement un EPF ou une spécialité ou une nature de formation |
Consulter la liste des EPF |
| Déposer une demande de fermeture définitive de l’activité d’un EPF | |
| Déposer une demande de fermeture définitive d’une nature de formation ou spécialité | |
| Sélectionner le motif de fermeture | |
| Mission de
contrôle |
Lancer une mission de contrôle |
| Saisir les modifications données mission | |
| Consulter l’ordre de mission | |
| Saisir une réponse sur la mission de contrôle | |
| Elaborer le rapport 4C de la mission | |
| Consulter/valider le rapport 4C | |
| Elaborer un avertissement en cas d’anomalies |
| Processus métier | Fonctionnalités |
| Elaborer une note | |
| Consulter/valider la note | |
| Consulter l’avertissement | |
| Mission de suivi auprès des EPF à l’échelle
régionale |
Répondre aux réserves |
| Consulter/affecter la réponse | |
| Traiter la réponse | |
| Consulter/valider la décision | |
| Consulter/répondre à un avertissement | |
| Prendre une
décision de sanction suite à une visite |
Saisir le dossier pour la commission |
| Saisir l’avis et la décision | |
| Consulter/affecter la décision | |
| Consulter/valider l’avis | |
| Consulter/affecter l’avis | |
| Traiter l’avis de PCFPR | |
| Consulter l’avis de la décision de la CP | |
| Saisir une note sur l’avis de CP | |
| Consulter/valider une note | |
| Appliquer une sanction | Consulter la décision de sanction |
| Définir le type de sanction | |
| Consulter/affecter la décision de sanction | |
| Traiter/valider la décision de sanction | |
| Consulter la liste des sanctions | |
| Lancer une
session de formation d’un EPF pour un groupe |
Consulter la liste des formations |
| Ajouter une formation | |
| Configurer les données de la formation | |
| Consulter/ajouter les demandeurs de formation | |
| Consulter/affecter les données de la formation | |
| Valider/refuser les données de la formation et le groupe de formation | |
| Générer une attestation de préinscription | |
| Suivre les
examens de la formation Homologuée pour un EPF |
Consulter la liste des formations |
| Saisir le calendrier des examens prévisionnel | |
| Mettre à jour le calendrier | |
| Consulter/affecter le calendrier | |
| Traiter le calendrier ajouté | |
| Saisir les résultats d’examens et les notes des apprenants | |
| Attacher le PV | |
| Consulter/affecter les résultats | |
| Traiter les résultats de chaque apprenant | |
| Consulter la liste des apprenants | |
| Lancer le
programme chèque formation |
Insérer la liste des besoins par spécialité |
| Consulter/valider la liste des données | |
| Configurer le programme chèque formation | |
| S’inscrire au
programme |
Déposer une candidature au programme chèque formation |
| Actualiser la demande |
| Processus métier | Fonctionnalités |
| chèque
formation régional |
Consulter l’acceptation préliminaire |
| Consulter/affecter la liste des candidatures | |
| Traiter les candidatures par le saisie du résultat de la commission | |
| Consulter/valider la décision | |
| Consulter/saisir l’avis (CENAFFIF) | |
| Consulter l’avis/saisir une note | |
| Consulter/valider la note | |
| Saisir le résultat final et la décision | |
| Consulter/valider la décision | |
| S’inscrire au
programme chèque formation national |
Déposer une candidature au programme chèque formation |
| Actualiser la demande | |
| Consulter l’acceptation préliminaire | |
| Consulter/affecter la liste des candidatures | |
| Traiter les candidatures par la saisie du résultat de la commission | |
| Consulter/valider la décision | |
| Consulter/saisir l’avis (CENAFFIF) | |
| Consulter l’avis/saisir une note | |
| Consulter/valider la note | |
| Saisir le résultat final et la décision | |
| Consulter/valider la décision | |
| Payer les EPF du programme
chèque formation |
Consulter/saisir la décision de CF |
| Attacher le PV et la fiche de paiement | |
| Consulter/valider la décision de CF | |
| Consulter/affecter la décision après la validation | |
| Traiter le dossier de paiement selon la décision de la commission | |
| Attacher le PV de la commission | |
| Consulter/valider le PV de la commission | |
| Consulter le PV/saisir une décision et les commentaires | |
| Consulter/affecter la décision du Ministre | |
| Consulter/saisir la décision du Ministre | |
| Attacher l’ordre de paiement | |
| Consulter la liste des ordres de paiement | |
| Indiquer le paiement | |
| Demander un avantage fiscal ou financier | Déposer une demande d’un avantage fiscal ou financier |
| Ajouter un complément de dossier | |
| Consulter/affecter la demande | |
| Traiter la demande | |
| Consulter/valider la note | |
| Attacher la note et saisir la décision | |
| Consulter/valider la décision | |
| Gestion des
apprenants |
Consulter la liste des apprenants |
| Ajouter les données des demandeurs de formation | |
| Supprimer un demandeur de formation | |
| Vérifier/valider ou refuser un demandeur étranger | |
| Ajouter les données d’une formation continue |
| Processus métier | Fonctionnalités |
| Gérer les
formations continues |
Consulter la liste des formations continues |
| Consulter/affecter la demande | |
| Traiter la demande | |
| Consulter/valider la demande | |
| Gestion des
réclamations pour l’homologation |
Déposer une réclamation |
| Consulter la liste des réclamations | |
| Consulter/affecter la réclamation | |
| Traiter la réclamation | |
| Consulter/valider la décision | |
| Consulter la décision avec motif | |
| Saisir la décision de la commission | |
| Consulter/valider la décision de la commission | |
| Consulter décision avec PV1/Attacher le PV2 signé manuellement | |
| Consulter/affecter la décision du Ministre | |
| Consulter/insérer la décision du Ministre | |
| Consulter/valider l’insertion des PV | |
| Saisir les dates de validité | |
| Orientation | Importer la liste brute d’orientation |
| Saisir les résultats de l’orientation et attacher le PV | |
| Consulter/valider les résultats | |
| Consulter/traiter la liste 1 | |
| Attacher le PV de comité | |
| Consulter/valider le PV du comité | |
| Consulter/traiter la deuxième liste | |
| Consulter/valider la deuxième liste finale | |
| Délivrer
l’équivalence des diplômes étrangers |
Consulter les demandes |
| Déposer une demande d’obtention d’équivalence | |
| Consulter/affecter la demande | |
| Traiter la demande | |
| Ajouter un complément de dossier | |
| Consulter/valider la décision et le PV de la commission | |
| Attacher le PV de comité | |
| Consulter l’invitation de réception | |
| Consulter la liste des demandes d’équivalence | |
| Payer un
rapporteur |
Consulter la liste des rapporteurs |
| Consulter la liste des missions | |
| Saisir le dossier de paiement | |
| Consulter/valider le dossier de paiement | |
| Consulter l’état de paiement | |
| Consulter la liste des paiements | |
| Indiquer/mettre à jour l’état le paiement | |
| Homologuer les diplômes | Déposer une demande d’homologation |
| Consulter/affecter la demande | |
| Consulter la liste des demandes | |
| Indiquer la recevabilité des dossiers |
| Processus métier | Fonctionnalités |
| Consulter/valider la décision liée à la recevabilité de dossier | |
| Consulter la liste des visites à effectuer | |
| Consulter/valider la décision après la visite | |
| Consulter/affecter la décision et le dossier de la demande | |
| Traiter la décision et attacher le rapport | |
| Consulter/valider le rapport | |
| Consulter/valider le PV de la commission | |
| Saisir les dates d’homologation | |
| Consulter/valider les dates | |
| Préparer l’arrêté et saisir la décision de l’arrêté | |
| Consulter/valider la décision de l’arrêté | |
| Consulter la liste des EPF homologués | |
| Classifier les
diplômes |
Déposer une demande de classification |
| Consulter la liste des demandes de classification | |
| Consulter/affecter la demande | |
| Traiter la demande | |
| Ajouter un complément de dossier | |
| Consulter/valider la décision | |
| Consulter/attacher le diplôme | |
| Consulter/changer le statut des demandes |
Comment postuler
Afficher les détails
Suivez Jamaity sur LinkedIn
Obtenez Jamaity Mobile dès maintenant
Appel à consultants Publié sur Jamaity le 27 avril 2026
Découvrez encore plus d'opportunités sur Jamaity en cliquant sur ce lien.