Aoo 89-2022 - CPS V4

BARID AL-MAGHRIB
CAHIER DES PRESCRIPTIONS SPECIALES

Appel d’Offres Ouvert
N°89/2022
Relatif à :
Acquisition, mise en service et maintenance d’une

plateforme intégrée des services de confiance
qualifiés pour les transactions électroniques.
(Marché à Tranches Conditionnelles)
Contact :
Direction Achats
Division Achats
Service Achats Fournitures et Équipements
8, rue Dayet Erroumi, Agdal à Rabat
E-mail : [email protected], [email protected] ;
Sites web: www.marchespublic.gov.ma; www.poste.ma ;
Portail Fournisseurs de BAM : www.barid-suppliers.ma.
BARID AL-MAGHRIB
Direction Achats
TABLE DES MATIERES
PARTIES CONTRACTANTES .................................................................................................. 4
CHAPITRE 1 : CLAUSES ADMINISTRATIVES PARTICULIERES ................................. 5

ARTICLE 1.1 : OBJET DU MARCHE ............................................................................................................ 5
ARTICLE 1.2 : CONSISTANCE DE LA PRESTATION .............................................................................. 5
ARTICLE 1.3 : PIÈCES CONSTITUTIVES DU MARCHÉ......................................................................... 5
ARTICLE 1.4 : TEXTES GÉNÉRAUX ET SPÉCIAUX APPLICABLES AU MARCHÉ ......................... 5
ARTICLE 1.5 : VALIDITÉ DU MARCHÉ ..................................................................................................... 6
ARTICLE 1.6 : NOTIFICATIONS - ELECTION DE DOMICILE ............................................................. 7
ARTICLE 1.7 : ASSURANCES ........................................................................................................................ 7
ARTICLE 1.8 : APPORT- CESSION - SOUS-TRAITANCE........................................................................ 7
ARTICLE 1.9 : REPRESENTATION DU MAITRE D’OUVRAGE ............................................................ 8
ARTICLE 1.10 : NANTISSEMENT ................................................................................................................. 8
ARTICLE 1.11 : PROTECTION DES DONNEES A CARACTERE PERSONNEL .................................. 8
ARTICLE 1.12 : RESPECT DE LA PROPRIÉTÉ INDUSTRIELLE ET COMMERCIALE ................. 10
ARTICLE 1.13 : CONFIDENTIALITE ......................................................................................................... 10
ARTICLE 1.14 : DELAIS ET MODALITÉS D’EXECUTION DU MARCHE ......................................... 10
ARTICLE 1.15 : PENALITES POUR RETARD .......................................................................................... 12
ARTICLE 1.16 : RECEPTION PROVISOIRE............................................................................................. 12
ARTICLE 1.17 : GARANTIES CONTRACTUELLES ............................................................................... 13
ARTICLE 1.18 : RECEPTION DEFINITIVE .............................................................................................. 13
ARTICLE 1.19 : AJOURNEMENTS ET ARRÊT DE L'EXÉCUTION DU MARCHÉ ........................... 13
ARTICLE 1.20 : RÉSILIATION DU MARCHÉ POUR FAUTE DU PRESTATAIRE ET EXCLUSION
DE LA PARTICIPATION AUX MARCHÉS DE BAM ............................................................................... 14
ARTICLE 1.21 : TITRES DES CHAPITRES ET ARTICLES DU MARCHE.......................................... 14
ARTICLE 1.22 : DROIT APPLICABLE - RÈGLEMENT DES DIFFERENDS....................................... 14
ARTICLE 1.23 : ALERTES ET INCIDENTS............................................................................................... 14
ARTICLE 1.24 : INTERVENTIONS DU PRESTATAIRE (MAINTENANCE ET
TELEMAINTENANCE) ................................................................................................................................. 15
CHAPITRE 2 : CLAUSES TECHNIQUES PARTICULIERES ........................................... 16

ARTICLE 2.1 : CONTEXTE ET DESCRIPTION DE L’EXISTANT........................................................ 16
ARTICLE 2.2 : DESCRIPTION DU BESOIN ET DEMARCHE DE REALISATION ............................ 18
Acquisition, mise en service et maintenance d’une plateforme intégrée des services de confiance qualifiés pour les transactions électroniques. 2
BARID AL-MAGHRIB
Direction Achats
ARTICLE 2.3 : SPÉCIFICATIONS FONCTIONNELLES......................................................................... 36
ARTICLE 2.4 : SPÉCIFICATIONS TECHNIQUES ................................................................................... 41
ARTICLE 2.5 : SUPPORT DES NORMES ................................................................................................... 56
ARTICLE 2.6 : CAPACITÉ ET PERFORMANCES DES SOLUTIONS/PLATEFORMES
PROPOSÉES .................................................................................................................................................... 58
ARTICLE 2.7 : ENGAGEMENTS DU PRESTATAIRE ............................................................................. 59
ARTICLE 2.8 : EQUIPES PROJET .............................................................................................................. 60
ARTICLE 2.9 : MAINTENANCE DE LA SOLUTION CIBLE.................................................................. 62
ARTICLE 2.10 : LIEU DE REALISATION DES PRESTATIONS ............................................................ 65
ARTICLE 2.11 : SYSTEME QUALITE LIE AUX PRESTATIONS.......................................................... 65
ARTICLE 2.12 : OBLIGATIONS COMPLEMENTAIRES DU PRESTATAIRE.................................... 66
ARTICLE 2.13 : DOCUMENTS LIES AUX PRESTATIONS .................................................................... 66
CHAPITRE 3 : CLAUSES FINANCIERES PARTICULIERES .......................................... 67

ARTICLE 3.1 : CARACTÈRE GÉNÉRAL DES PRIX ............................................................................... 67
ARTICLE 3.2 : ENREGISTREMENT........................................................................................................... 67
ARTICLE 3.3 : GARANTIES FINANCIÈRES ASSOCIÉES AU MARCHÉ ........................................... 67
ARTICLE 3.4 : VARIATION DANS LES QUANTITÉS............................................................................. 68
ARTICLE 3.5 : RÉVISION DES PRIX ......................................................................................................... 68
ARTICLE 3.6 : AVANCE................................................................................................................................ 68
ARTICLE 3.7 : MODALITÉS DE PAIEMENT ........................................................................................... 69
ARTICLE 3.8 : RÈGLEMENT DES PRIX DES PRESTATIONS SUPPLÉMENTAIRES ET
MODIFICATIVES ........................................................................................................................................... 69
ARTICLE 3.9 : DÉLAI DE PAIEMENT ....................................................................................................... 69
ARTICLE 3.10 : BORDEREAU DES PRIX UNITAIRES - DÉTAIL ESTIMATIF ................................. 70
BARID AL-MAGHRIB
Direction Achats
PARTIES CONTRACTANTES
Marché passé par appel d’offres ouvert sur offre de prix n°89/2022 en application des dispositions du
règlement des marchés fixant les conditions et les formes de passation des marchés de Barid Al-
Maghrib.
ENTRE
Barid Al-Maghrib, Société Anonyme (SA) au capital social de 1 191 399 000.00 DH, sis Avenue
Moulay Ismail, 10 020 Rabat, immatriculée au registre de commerce de Rabat sous le n° : 50 413, et
inscrite sous l’identifiant commun n°001431548000085, représentée par son Directeur Général ou son
délégué, agissant au nom et pour le compte de la société et désignée dans le Marché par l'une des
mentions suivantes : « Barid Al-Maghrib » ou « BAM ».
D'une part,
ET
La société / le groupement : (à renseigner par le soumissionnaire)
Forme juridique : (à renseigner par le soumissionnaire)
Montant du capital (*) : (à renseigner par le soumissionnaire)
Adresse du siège social (*) : (à renseigner par le soumissionnaire)
Adresse du domicile élu : (à renseigner par le soumissionnaire)
N° et lieu du RC (*) : (à renseigner par le soumissionnaire)
N° d’affiliation à la CNSS : (à renseigner par le soumissionnaire)
N° de la taxe professionnelle (*) : (à renseigner par le soumissionnaire)
N° de l’identifiant fiscal (*) : (à renseigner par le soumissionnaire)
N° de l’identifiant commun (*) : (à renseigner par le soumissionnaire)
Titulaire du compte bancaire n° : (à renseigner par le soumissionnaire)
(N° du compte ; banque ; agence ; ville)
Représentée valablement par : (à renseigner par le soumissionnaire)

(Nom complet et qualité)
(*) En cas de groupement, les informations sont données pour chaque membre du groupement dans l’ordre initial de son énonciation.
Désigné(e), ci-après, par le terme « Prestataire ».
D’autre part,
Barid Al-Maghrib et le Fournisseur étant, ci-après, désignés individuellement par le terme « Partie » et
collectivement par le terme « les Parties ».
Il a été arrêté et convenu ce qui suit :
BARID AL-MAGHRIB
Direction Achats
CHAPITRE 1 : CLAUSES ADMINISTRATIVES PARTICULIERES
ARTICLE 1.1 : OBJET DU MARCHE

Le présent marché a pour objet l’acquisition, la mise en service et la maintenance d’une plateforme
intégrée des services de confiance qualifiés pour les transactions électroniques :
- Tranche ferme : Acquisition et mise en service d’une plateforme intégrée des services de
confiance qualifiés pour les transactions électroniques ;
- Tranche conditionnelle n°1 : Mise en conformité selon la loi 43.20 de l’ensemble des services
de confiance objet de la tranche ferme ;
- Tranche conditionnelle n°2 : Mise en œuvre du service de confiance qualifié de validation de
signatures électroniques et des cachets électroniques ;
- Tranche conditionnelle n°3 : Mise en œuvre du service de confiance qualifié de conservation
de signatures électroniques, de cachets électroniques et des certificats relatifs à ces services ;
- Tranche conditionnelle n°4 : Mise en œuvre des services de signature à la volée ;
- Tranche conditionnelle n°5 : Mise en œuvre des services de signature qualifiée en remote ;
- Tranche conditionnelle n°6 : Maintenance de la plateforme intégrée des services de confiance
qualifiés pour les transactions électroniques objet de la tranche ferme ;
- Tranche conditionnelle n°7 : Maintenance du service de confiance objet de la tranche
conditionnelle n°2 ;
- Tranche conditionnelle n°8 : Maintenance du service de confiance objet de la tranche
conditionnelle n°3 ;
- Tranche conditionnelle n°9 : Maintenance des services de signature à la volée objet de la
tranche conditionnelle n°4 ;
- Tranche conditionnelle n°10 : Maintenance des services de signature qualifiée en remote objet
de la tranche conditionnelle n°5.
, désignée dans la suite par la « Prestation ».
ARTICLE 1.2 : CONSISTANCE DE LA PRESTATION
La consistance détaillée de la Prestation est donnée dans le 2ème chapitre du présent marché.
ARTICLE 1.3 : PIÈCES CONSTITUTIVES DU MARCHÉ
Le Marché est constitué des pièces suivantes :
1. L’acte d’engagement ;
2. Le Cahier des Prescriptions Spéciales (CPS) ;
3. Le bordereau des prix - détail estimatif ;
4. L’offre du Prestataire, dont l’offre technique et les compléments d’informations le cas échéant tels
qu’ils ont été validés par BAM ;
5. Le Cahier des Clauses Administratives Générales applicable aux marchés de services portant sur les
prestations d’Etudes et de Maîtrise d’Œuvre (CCAG-EMO).
En cas de contradiction ou de différence entre les pièces constitutives du marché, celles-ci prévalent
dans l’ordre où elles sont énumérées ci-dessus.
ARTICLE 1.4 : TEXTES GÉNÉRAUX ET SPÉCIAUX APPLICABLES AU MARCHÉ
Le Prestataire reste, par ailleurs, soumis, à titre indicatif et non limitatif, aux textes suivants :
BARID AL-MAGHRIB
Direction Achats
- Le règlement des marchés de BAM du 04/04/2017;

- La loi n° 05-20 relative à la cybersécurité ;
- La loi n°09-08, promulguée par le Dahir n° 1-09-15 du 22 Safar 1430 (18 février 2009) relative à la
protection des personnes physiques à l'égard du traitement des données à caractère personnel ;
- La loi n° 07-03 complétant le code pénal en ce qui concerne les infractions relatives aux systèmes
de traitement automatisé des données promulguée par Dahir n° 1-103-197 du 16 ramadan 1424 (11
novembre 2003) ;
- La loi n° 18.12 relative à l’indemnisation sur les accidents du travail ;
- Le dahir n°1-02-238 du 25 Rejeb (3 octobre 2002) portant promulgation de la loi n°17-99 portant
code des assurances ;
- La loi n° 112.13 du 29 rabii II 1436 (19 février 2015) relative au nantissement des marchés publics ;
- L’article unique de la loi n° 32-10 complétant la loi n° 15-95 formant code de commerce
promulguée par le dahir n° 1-11-147 du 16 ramadan 1432 (17 aout 2011) ;
- Le décret n° 2-15-712 du 12 Joumada II 1437 (22 mars 2016) fixant le dispositif de protection des
systèmes d'information sensibles des infrastructures d'importance vitale ;
- Le décret n° 2-09-165 du 25 joumada I 1430 (21 mai 2009) pris pour l’application de la loi n° 09-08
relative à la protection des personnes physiques à l’égard des traitements ;
- La directive fixant les règles de sécurité et les modalités de déclaration des systèmes d'information
sensibles et des incidents de sécurité applicables aux infrastructures d'importance vitale ;
- La directive Nationale de la Sécurité des Systèmes d’Information (DNSSI) de la DGSSI
- Le décret n°2-12-170 du 12 juillet 2012 pris pour l’application du chapitre III du titre IV du livre
premier N° 15-95 formant code de commerce relatif aux délais de paiement ;
- La circulaire n°72 CAB du 1er Ministre du 26/11/92 relative aux modalités d'application du dahir
1/56-211 concernant les garanties pécuniaires exigées des soumissionnaires et adjudicataires des
marchés publics ;
- Les circulaires n°4/59/SGG/CAB du 12 février 1959, n°23/59/SGG/CAB du 6 octobre 1959 et
n°1/61/SGG/CAB du 30 janvier 1961 ;
- L’arrêté du ministre des Finances et de la privatisation n°1549-05 du 18 Kaada 1426 (20 décembre
2005) fixant les instruments de gestion des établissements publics éligibles au contrôle
d’accompagnement ;
- La décision du ministre des Finances et de la privatisation n°2-1698 DEN/DOR/SPF du
28/04/2006 ;
- Les textes portant réglementation des salaires, du travail, des changes, des douanes et des impôts ;
- L’arrêté conjoint du ministre de l’Économie et des Finances et du ministre de l’Industrie, du
Commerce et des Nouvelles Technologies n°3030-12 du 20 septembre 2012 relatif au taux de
pénalité de retard.
Le Prestataire s'engage, y compris en donnant toutes les notifications et en payant tous les droits, à
respecter en tous points la législation et la réglementation applicables ainsi que toute décision émanant
d’une autorité et relative à ou entraînant des conséquences sur l’exécution par le Prestataire de ses
obligations au titre du Marché.
Le Prestataire doit indemniser le Maître d'Ouvrage de tout préjudice découlant de sa méconnaissance
d’une loi, d’un règlement ou d’une décision prise par une autorité.
Le Prestataire ne pourra en aucun cas exciper de l’ignorance des textes et documents dont il est fait
référence dans le Marché pour se soustraire aux obligations qui en découlent.
ARTICLE 1.5 : VALIDITÉ DU MARCHÉ
Le présent Marché ne sera valable et définitif qu'après son approbation par l’Autorité Compétente et la
notification de cette approbation au prestataire.
BARID AL-MAGHRIB
Direction Achats
L’approbation du Marché doit intervenir avant tout commencement d’exécution de la Prestation.

ARTICLE 1.6 : NOTIFICATIONS - ELECTION DE DOMICILE
Toutes les notifications qui seront effectuées par BAM au Prestataire dans le cadre du Marché se feront,
au choix du Maître d'Ouvrage, par l’un des moyens suivants : lettre remise en mains propres contre
récépissé, lettre recommandée avec avis de réception livraison express et accusé de réception, huissier
de justice, télécopie confirmée, courrier électronique confirmé ou tout autre moyen de communication
donnant date certaine.
L’adresse du domicile élu par le Prestataire pour les besoins de l'exécution du Marché est celle qui est
indiquée dans l'acte d'engagement.
En cas de changement de domicile, le Prestataire est tenu d'en aviser le Maître d'Ouvrage, par lettre
recommandée avec accusé de réception, dans les quinze (15) jours suivant la date du changement.
Au cas où un envoi adressé au Prestataire au domicile élu par ce dernier serait retourné à BAM avec la
mention « non réclamé », BAM pourra faire signifier ledit envoi au Prestataire, par huissier, aux frais du
Prestataire. Si l'huissier est empêché, sous quelque forme que ce soit, par le Prestataire de signifier
l’envoi, le contenu de ce dernier sera réputé connu du Prestataire et lui sera donc opposable.
En outre, le Prestataire devra retourner à BAM, revêtu de son visa pour acceptation et dans le délai
maximum de dix jours calendaires (8 JC), un exemplaire de tous les ordres de service ou lettres de
commande qui lui auront été adressés. Passé ce délai, lesdits ordres de service ou lettres de commande
seront réputés acceptés définitivement et sans réserve par le Prestataire.
ARTICLE 1.7 : ASSURANCES
Le Prestataire doit adresser au Maître d’Ouvrage, avant le commencement de la Prestation, les
attestations des polices d’assurance qu’il doit souscrire et qui doivent couvrir les risques inhérents à
l’exécution du Marché et ce, conformément aux dispositions de l’article 20 du CCAG-EMO, tel qu’il a
été modifié et complété.
ARTICLE 1.8 : APPORT- CESSION - SOUS-TRAITANCE
Il est interdit au Prestataire de sous-traiter, de faire apport ou de céder, en tout ou partie, de la Prestation
qui lui est confiée sans une autorisation écrite et préalable de BAM et, dans tous les cas, après
vérification concluante par le Maître d’Ouvrage de la satisfaction des dispositions issues du nouveau
règlement des marchés de BAM et du CCAG-EMO.
De plus, si le Prestataire envisage de sous-traiter une partie du Marché, il doit notifier au Maître
d’Ouvrage les éléments suivants :
- L’identité, la raison ou la dénomination sociale et l’adresse du (des) sous-traitant(s) ;
- Le dossier administratif du (des) sous- traitant(s) et ses (leurs) références techniques et financières ;
- La nature des prestations et le montant des prestations qu’il envisage de sous-traiter ;
- Le pourcentage desdites prestations par rapport au montant du Marché ;
- Une copie certifiée conforme du (des) contrat(s) de sous-traitance.
Les sous-traitants doivent satisfaire aux conditions requises des concurrents conformément à l’article 24
du nouveau règlement des marchés de BAM.
La sous-traitance ne peut en aucun cas dépasser cinquante pour cent (50%) du montant du Marché ni
porter sur le lot ou le corps d’état principal du Marché.
Le Prestataire demeure personnellement responsable de toutes les obligations résultant du Marché tant
envers le Maître d’Ouvrage que vis-à-vis de son personnel et des tiers. Le Maître d’Ouvrage ne se
reconnait aucun lien juridique avec les sous-traitants.
BARID AL-MAGHRIB
Direction Achats
ARTICLE 1.9 : REPRESENTATION DU MAITRE D’OUVRAGE

Le Maître d’Ouvrage du présent marché est BAM S.A., représenté par le Pôle Support.
ARTICLE 1.10 : NANTISSEMENT
Dans l’éventualité d’une affectation en nantissement, il sera fait application des dispositions de la loi
n° 112-13 relative au nantissement des marchés publics promulguée par le dahir n° 1-15-05 du 29 rabii
II (19 février 2015), étant précisé que :
1. La liquidation des sommes dues en exécution du Marché sera opérée par les soins de BAM ;
2. Au cours de l’exécution du Marché, les documents cités à l’article 8 de la loi n°112-13 peuvent être
requis du Directeur Général de BAM ou de son Délégué, par le Prestataire ou le bénéficiaire du
nantissement ou de la subrogation, et sont établis sous sa responsabilité.
3. Lesdits documents sont transmis directement à la partie bénéficiaire du nantissement avec
communication d’une copie au Prestataire, dans les conditions prévues par l’article 8 de la loi
n° 112-13.
4. Les paiements prévus au Marché seront effectués par la Direction Finance Groupe, seule qualifiée
pour recevoir les significations des créanciers du Prestataire.
5. BAM délivre sans frais, au Prestataire, sur sa demande et contre récépissé, une copie du Marché
portant la mention « exemplaire unique » dûment signé et indiquant que ladite copie est délivrée en
exemplaire unique destiné à former titre pour le nantissement du Marché.
Les frais de timbre de cet exemplaire sont à la charge du Prestataire.
ARTICLE 1.11 : PROTECTION DES DONNEES A CARACTERE PERSONNEL

1.11.1 : DROIT À L’INFORMATION
Conformément à la loi n°09-08, le prestataire est informé, à charge pour lui d’informer les personnes
physiques concernées, que BAM traite les données à caractère personnel des personnes communiquées
par lui aux fins de la gestion des appels d’offres et des achats et de la gestion des fournisseurs ainsi que
pour l'établissement des statistiques financières relatives à la comptabilité publique et au suivi des
marchés publics et conventions de droit commun.
L’inspection et l’audit, dans le cadre de leurs missions d’inspection et d’audit, pourraient accéder à vos
données personnelles. Ces traitements ont reçu autorisation de la CNDP sous les numéros A-AU-
03/2015 et A-AU-04/2015.
Les destinataires de ces données sont dans la limite de leurs attributions respectives : les ordonnateurs et
les comptables publics relevant de BAM, les services achats, relations fournisseurs, engagement,
liquidation, comptabilité, règlement, trésorerie, les affaires juridiques, les membres de la commission et
des sous commissions des appels d’offres, toutes les entités autorisées et habilitées par BAM, le sous-
traitant chargé d’archivage, les dispositifs de contrôle internes et externes s’il y a lieu, ainsi que toutes
les autorités habilitées conformément à la réglementation en vigueur.
Conformément à la loi n°09-08, les personnes physiques concernées par ces données peuvent accéder
aux informations les concernant, les rectifier ou s’opposer au traitement de ces données, pour motif
légitime, par courrier avec accusé de réception à l’adresse suivante : BAM, Service conformité, avenue
Moulay Ismail, 10020-Rabat ou en adressant un courrier électronique à l’adresse suivante :
[email protected].
Ce traitement a reçu autorisation de la Commission nationale de contrôle de la protection des données à
caractère personnel, sous le numéro A-GF-126/2014.
1.11.2 : ENGAGEMENTS DU PRESTATAIRE
Le Prestataire s’engage à disposer du personnel avec les compétences et les savoir-faire nécessaires pour
mener à bien la Prestation.
BARID AL-MAGHRIB
Direction Achats
Le Prestataire reconnaît que les obligations visées au premier paragraphe de l’article 23 de la loi n° 09-
08 lui incombent également.
Les données à caractère personnel ne peuvent faire l’objet d’une opération de traitement de la part du
Prestataire, d’une personne placée sous son autorité ou d’un de ses sous-traitants, que sur instruction de
BAM, sauf en vertu d’obligations légales. Le Prestataire informe BAM, dans les plus brefs délais, de
l’impossibilité de se conformer aux instructions données.
Ainsi, le Prestataire ne peut traiter les données à caractère personnel que dans la double limite de l’objet
des présentes et de la finalité du traitement.
Le Prestataire s’engage à exécuter les services y correspondants conformément aux termes et conditions
définis dans la présente et avec toutes les précautions raisonnables, compétence et diligence
conformément aux normes professionnelles reconnues.
Le Prestataire reconnaît qu’en cas de non-respect de ses obligations, sa responsabilité est susceptible
d’être engagée sur la base des articles 58 et 61 de la loi n° 09-08 précitée.
Le Prestataire apporte des garanties suffisantes au regard des mesures de sécurité technique et
d'organisation relatives aux traitements à effectuer. Le Prestataire s’engage à mettre en œuvre et à
maintenir dans un niveau de fonctionnement optimum, les mesures techniques et organisationnelles
appropriées pour protéger les données à caractère personnel du personnel de BAM contre une
destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé
et contre toute autre forme illicite de traitement, en assurant un niveau de sécurité adapté aux risques
présentés par le traitement et à la nature des données à protéger, compte tenu de l'état de l'art et le coût
de mise en œuvre.
Le Prestataire garantit et impose à son personnel ce qui suit :
a. ne pas divulguer, sous quelque forme que ce soit, tout ou partie des données personnelles à d’autres
personnes, qu’il s’agisse de personnes privées ou publiques, physiques ou morales, sauf en vertu
d’obligations légales et accord écrit de BAM ;
b. ne pas utiliser les données précitées, par quelque moyen ou finalité que ce soit, pour son propre
compte ou pour le compte d’un tiers, à des fins professionnelles, personnelles ou privées, autres que
celles définies aux présentes ;
c. ne pas prendre copie des données personnelles ni les stocker, qu’elles qu’en soient la forme et pour
une autre finalité que l’exécution de la Prestation ;
d. traiter ou faire traiter les données à caractère personnel conformément aux instructions de BAM ;
e. mettre en œuvre les mesures techniques et d’organisation liées à la sécurité et à la confidentialité
avant de traiter les données personnelles ;
f. ne pas transférer ou utiliser les données personnelles hors du Royaume du Maroc, sans autorisation
préalable et écrite de BAM ;
g. communiquer sans retard à BAM :
✓ toute demande contraignante de divulgation des données à caractère personnel ;
✓ toute demande reçue directement des personnes concernées sans répondre à cette demande, à
moins que le Prestataire ait été expressément autorisé à le faire ;
✓ tout accès fortuit ou non autorisé et faille de sécurité dont le Prestataire aurait connaissance au
cours de l’exécution des présentes.
BAM se réserve le droit de procéder à toute vérification qui lui paraîtrait utile pour constater le respect
des obligations précitées par le Prestataire, lequel s’engage à traiter rapidement et comme il se doit toute
demande permettant de garantir le respect et l’effectivité des obligations de sécurité et de confidentialité
résultant du contrat. Le Prestataire reconnaît qu’en cas de non-respect des obligations susvisées, BAM
pourra prononcer la résiliation immédiate des présentes et sans préavis.
Dès l’achèvement du Marché, le Prestataire devra procéder à la restitution à BAM, et à la convenance de
celle-ci, de l’ensemble des informations et données, notamment les données à caractère personnel, qui
lui auraient été transmises ou dont il aurait eu connaissance dans le cadre de l’exécution des présentes,
BARID AL-MAGHRIB
Direction Achats
ainsi que de leurs copies éventuelles, soit à leur destruction ou leur anonymisation tout en apportant la
preuve de celle-ci à BAM.
ARTICLE 1.12 : RESPECT DE LA PROPRIÉTÉ INDUSTRIELLE ET COMMERCIALE
Les obligations du prestataire en matière de propriété industrielle et commerciale découlent de l’article
21 du CCAG-EMO. De plus, le prestataire s’engage, à ses frais, à assurer la défense ou, à son choix, à
conclure une transaction au regard de toute réclamation ou action engagée contre BAM, fondée sur une
atteinte par le prestataire, avérée ou alléguée, à un droit de propriété industrielle et commerciale afférant
aux prestations et aux résultats au titre du Marché (désignée, ci-après, une "Action"). Sous réserve du
respect des autres conditions stipulées par la présente clause, le prestataire s’engage à rembourser toute
somme, y compris les frais d’avocat, faisant l'objet d'un jugement définitif prononcé contre BAM en
conséquence de toute Action.
En tout état de cause, les dispositions qui précèdent ne sauraient être interprétées comme limitant la
responsabilité du prestataire ou le droit de BAM d’obtenir du prestataire l’indemnisation de tous les
dommages et préjudices causés par lui.
ARTICLE 1.13 : CONFIDENTIALITE
Le Prestataire est tenu aux obligations de discrétion et de protection du secret issues respectivement des
articles 22 et 23 du CCAG-EMO.
Le Prestataire s’engage notamment à ne pas communiquer les informations confidentielles
communiquées par BAM. A ce propos, est considérée comme confidentielle, tant au sein de sa propre
organisation que vis-à-vis des tiers, l’information de toute nature et sur quelque support que ce soit,
remise par BAM au Prestataire ou dont il aura eu connaissance en exécution du Marché, à moins que
l’information en question :
- soit ou devient généralement connue ou intégrée dans le domaine public autrement qu’en raison
d’une divulgation, directe ou indirecte, par BAM ou ses préposés ;
- soit divulguée par un tiers la détenant légalement et disposant du droit de la divulguer ;
- peut être raisonnablement développée, de façon indépendante, sans lien avec le Marché.
Le Prestataire s’engage dans ce cadre à :
- n’utiliser les informations confidentielles, directement ou indirectement, en tout ou en partie, à
quelque fin que ce soit, que pour l’exécution du Marché ;
- ne communiquer ces informations qu’à la suite d’une décision d’une juridiction ou du fait
d’obligations légales, à la condition d’en informer, au préalable, BAM ;
- dans tout autre cas que précédent, ne pas diffuser ces informations à des tiers sans l’accord
préalable et écrit de BAM.
L’obligation de confidentialité continuera après expiration des présentes, aussi longtemps que lesdites
informations ne seront pas tombées dans le domaine public ou dès lors que cet engagement concerne
l’utilisation et la communication de données confidentielles ou à caractère personnel.
ARTICLE 1.14 : DELAIS ET MODALITÉS D’EXECUTION DU MARCHE

1.14.1 : DÉLAI(S) ET MODALITÉS D’EXÉCUTION
Tranche ferme :
Le délai global d’exécution de la tranche ferme du marché est fixé à douze (12) mois, conformément au
planning détaillé présenté par le prestataire dans son offre et validé par Barid Al-Maghrib.
La tranche ferme n’est exécutoire qu’après réception par le Prestataire de l’ordre de service de
commencement d’exécution des prestations y afférentes.
BARID AL-MAGHRIB
Direction Achats
Tranches conditionnelles n°1, 2, 3, 4 et 5 :

Le délai d’exécution de chacune de ces tranches conditionnelles est fixé à quatre (04) mois,
conformément au planning détaillé présenté par le prestataire dans son offre et validé par Barid Al-
Maghrib.
Chacune de ces tranches conditionnelles n’est exécutoire qu’après la réception par le Prestataire de
l’ordre de service de commencement d’exécution des prestations de la tranche concernée.
Tranches conditionnelles n°6, 7, 8, 9 et 10 :
Le délai d’exécution de chacune de ces tranches conditionnelles est fixé à un (01) an renouvelable par
tacite reconduction, d’année en année, sans que la durée totale ne puisse dépasser trois (03) ans
suite à la réception de l’ordre de service de commencement d’exécution des prestations objet de la
tranche concernée.
La tranche conditionnelle n°6 ne pourrait se déclencher qu’à la déclaration de la réception définitive de
la tranche ferme du marché.
la tranche conditionnelle n°2 du marché.
L’exécution de la prestation « Intervention à la demande » se fera sur la base de lettres de commandes

qui seront notifiées au Prestataire précisant les quantités demandées et leurs délais d’exécution.
Pour les tranches conditionnelles n°6, 7, 8, 9 et 10, Chaque Partie peut dénoncer la clause de tacite
reconduction moyennant un préavis de trois (3) mois.
Le non-affermissement d’une ou plusieurs tranches conditionnelles ne donnera lieu à aucun versement
d’indemnité au bénéfice du Prestataire.
1.14.2 : DÉCOMPTE DES DÉLAIS
Tranche ferme :
Le délai d’exécution de la tranche ferme du marché commence à courir à partir du lendemain de la
notification au Prestataire de l’ordre de service prescrivant le commencement de l'exécution de la
tranche ferme ou de la date fixée dans ledit ordre de service.
Tranches conditionnelles :
Le délai d’exécution de chaque tranche conditionnelle du marché commence à courir à partir du
lendemain de la notification au Prestataire de l’ordre de service prescrivant le commencement de
l'exécution de la tranche conditionnelle ou de la date fixée dans ledit ordre de service.
Le délai d’exécution de la prestation « Intervention à la demande » commence à courir à partir du

lendemain de la notification au Prestataire de la lettre de commande y afférente ou de la date fixée dans
ladite lettre.
Par ailleurs, le décompte des délais est fait conformément à l’article 7 du CCAG- EMO.
BARID AL-MAGHRIB
Direction Achats
1.14.3 : DÉLAIS DE VÉRIFICATION ET DE REPRISE DES LIVRABLES

BAM s'engage à procéder par écrit à l'acceptation des livrables ou à faire ses observations éventuelles au
Prestataire dans les conditions prévues par l’article 47 du CCAG- EMO et ce dans un délai de quinze
jours calendaires (15 JC) à compter de la date de leur remise.
Le Prestataire est tenu de répondre aux remarques et observations émises par BAM ainsi que de
reprendre, en conséquence, les livrables dans un délai de huit jours calendaires (8 JC). Ce délai court à
compter du lendemain de la date de leur notification au Prestataire par le moyen approprié.
Le délai de validation des livrables de chaque tranche est décompté du délai de réalisation de la tranche
concernée.
ARTICLE 1.15 : PENALITES POUR RETARD
1- En cas de dépassement du (des) délai(s) d’exécution énoncé(s) dans le paragraphe 1.14.1 ci-avant, des
délais de remise des livrables et des délais d’intervention énoncés au niveau du chapitre n°2 ci-après, il
sera fait application des dispositions de l’article 42 du CCAG EMO. Le prestataire est alors passible
d'une pénalité par jour de retard égale à 1‰ (un pour mille) du montant de la tranche concernée sans,
toutefois, que le montant total de la pénalité ne dépasse le plafond énoncé ci-après. La retenue
consécutive à la pénalité sera appliquée d'office et sans mise en demeure préalable. Si la prestation de
maintenance (maintenance préventive ou curative) n’est pas exécutée pendant le trimestre, c'est-à-dire
un service non rendu pendant le trimestre, le prestataire ne peut en aucun cas réclamer ses honoraires
pour cette prestation non exécutée.
L'application des pénalités pour retard ne libère en rien le prestataire de l'ensemble des autres
obligations et responsabilités qu'il a souscrites au titre du Marché.
En cas de résiliation du Marché, les pénalités sont appliquées jusqu'au jour inclus de la notification au
Prestataire de la décision de résiliation ou de la date de la résiliation de plein droit si celle-ci survient en
application des articles 29 à 31 du CCAG- EMO.
2- Les jours de repos hebdomadaire ainsi que les jours fériés ou chômés ne sont pas déduits pour le
calcul des pénalités pour retard.
3- Le montant des pénalités pour retard est plafonné à dix pour cent (10%) du Montant du Marché
modifié ou complété éventuellement par les avenants.
4- Si le plafond des Pénalités pour retard, tel que défini au §3 du présent article, est atteint, BAM pourra
résilier le Marché après mise en demeure préalable, et sans préjudice de l'application des autres mesures
coercitives prévues par l'article 52 du CCAG- EMO.
ARTICLE 1.16 : RECEPTION PROVISOIRE
À l’achèvement des prestations de chaque tranche, le Prestataire avise sans délai BAM qui procède,
dans un délai qu’elle détermine, aux opérations préalables à la Réception Provisoire. Lesdites opérations
comprennent ce qui est énoncé ci-après.
- Les constatations relatives à l’exécution de la totalité de la Prestation ;
- L’approbation des livrables contractuels ;
- Plus globalement, la satisfaction par le Prestataire de ses obligations contractuelles.
Si BAM constate, à l’occasion des opérations préalables à la réception provisoire, que la Prestation n’est
pas conforme aux termes du marché ou présente des imperfections et/ou des anomalies, elle pourra
prescrire, par ordre(s) de service, toute mesure (rectification, correction, etc.) dont elle estime que
l’exécution permettrait d’assurer le respect des termes du Marché.
Le Prestataire devra se conformer au(x)dit(s) Ordre(s) de Service et ne pourra réclamer (i) ni
prorogation du délai global d’exécution, (ii) ni indemnité.
Si le Prestataire se conforme aux prescriptions dudit (desdits) ordre(s) de service, la réception provisoire
sera prononcée. À défaut, le Maître d’Ouvrage pourra, sans préjudice des mesures coercitives prévues
par le CCAG-EMO, refuser de prononcer la réception provisoire.
BARID AL-MAGHRIB
Direction Achats
Si, à l’issue des opérations préalables à la réception provisoire, le Maître d’Ouvrage estime que la
Prestation, telle qu’exécutée par le Prestataire, est conforme au Marché, il prononce la réception
provisoire. Celle-ci donne lieu à l’établissement d’un procès-verbal dont copie est notifiée au
Prestataire.
Pour la tranche ferme et les tranches conditionnelles n° 1, 2, 3, 4 et 5 :
La réception provisoire de chaque tranche est prononcée après réception et validation par BAM
de toutes les prestations objet de la tranche concernée.
Pour les tranches conditionnelles n°6, 7, 8, 9 et 10 :
- Les services de Barid Al Maghrib procèderont trimestriellement à la réception des prestations de
maintenance.
La réception des prestations « Intervention à la demande » sera prononcée après validation des
prestations objet des lettres de commande émises.
Les réceptions seront constatées par des procès-verbaux signés par les soins des agents qualifiés de
Barid Al Maghrib.
ARTICLE 1.17 : GARANTIES CONTRACTUELLES
1.17.1 : DÉLAI DE GARANTIE
Pour la tranche ferme et les tranches conditionnelles n° 2, 3, 4 et 5, le délai de garantie est fixé à douze
(12) mois à compter de la date de la réception provisoire de chacune de ces tranches.
Pendant le délai de garantie, le prestataire est tenu de procéder aux rectifications nécessaires ou qui lui
seraient demandées par le Maître d’Ouvrage, et ce en cas de malfaçons ou d’insuffisances constatées et
de remédier à l’ensemble des défectuosités, sans pour autant que les prestations supplémentaires
puissent donner lieu au paiement à l'exception de ceux résultant de l’usure normale, d'un abus d'usage
ou de dommages causés par des tiers.
Pour les tranches conditionnelles n° 1, 6, 7, 8, 9 et 10, il n’est pas prévu de délai de garantie.
Les modalités liées à la prestation de garantie sont détaillées dans le 2ème chapitre du présent marché.
1.17.2 : GARANTIES PARTICULIÈRES
Sans objet.
ARTICLE 1.18 : RECEPTION DEFINITIVE
Pour la tranche ferme et les tranches conditionnelles n° 2, 3, 4 et 5, et après expiration du délai de
garantie, il sera procédé à la réception définitive de chaque tranche, après que le Maître d’Ouvrage se
soit assuré que les malfaçons ou les imperfections éventuelles ont été réparées par le prestataire et ce
conformément aux dispositions du CCAG-EMO.
Pour les tranches conditionnelles n° 1, 6, 7, 8, 9 et 10, la réception définitive est prononcée
concomitamment avec la réception provisoire.
ARTICLE 1.19 : AJOURNEMENTS ET ARRÊT DE L'EXÉCUTION DU MARCHÉ
1.19.1 : AJOURNEMENTS DE L'EXÉCUTION DU MARCHÉ
En cas d’ajournement de l'exécution du Marché, il sera fait application des dispositions de l’article 27 du
CCAG-EMO.
1.19.2 : ARRÊT DE L'EXÉCUTION DU MARCHÉ
En cas d’arrêt de l’exécution du marché, il sera fait application des dispositions de l’article 28 du
CCAG-EMO.
BARID AL-MAGHRIB
Direction Achats
ARTICLE 1.20 : RÉSILIATION DU MARCHÉ POUR FAUTE DU PRESTATAIRE ET

EXCLUSION DE LA PARTICIPATION AUX MARCHÉS DE BAM
Si des actes frauduleux, des infractions réitérées aux conditions de travail ou des manquements graves
aux engagements pris ont été relevés à la charge du Prestataire, l’Autorité Compétente peut décider de
résilier le Marché dans les conditions et les modalités prévues par les articles 27 à 33 et 52 du CCAG-
EMO. Ainsi, le Marché pourra être résilié par BAM, aux torts du Prestataire, après mise en demeure par
lettre recommandée, notamment dans les cas suivants :
- Deux rejets successifs de résultats présentés à la validation ;
- Actes frauduleux portant sur la nature ou la qualité de la Prestation ;
- Manquement aux obligations découlant de la législation du travail et de la réglementation sociale ;
- Manquement au respect des obligations de secret professionnel, de sécurité, de confidentialité et des
dispositions relatives à la protection des personnes physiques à l’égard des données à caractère
personnel conformément à la loi n° 09-08 et aux dispositions du Marché.
La résiliation ne fera pas obstacle à l’action civile ou pénale qui pourrait être intentée au Prestataire en
raison de ses fautes ou infractions. De plus, ce dernier reste responsable vis-à-vis de BAM de toutes les
conséquences dommageables dues à sa défaillance et ce, à quelque titre que ce soit. En conséquence, le
Prestataire doit indemniser BAM de l’intégralité du préjudice résultant de la résiliation du Marché et
notamment les frais supplémentaires engagés par BAM pour remplacer le Prestataire et les
conséquences de sa défaillance.
Par ailleurs, en cas de résiliation du Marché, BAM notifiera au Prestataire défaillant, par lettre
recommandée avec accusé de réception, la date à partir de laquelle elle effectuera dans ses locaux, s’il y
a lieu en présence du représentant du Prestataire, l’état définitif de réalisation du Marché. En l’absence
du représentant du Prestataire, le relevé effectué par BAM sera réputé contradictoire, définitif et
opposable au Prestataire.
Enfin, le Président du Conseil d’Administration peut décider de l’exclusion du Prestataire de la
participation aux marchés de BAM, conformément aux dispositions de l’article 142 du nouveau
règlement des marchés de BAM.
ARTICLE 1.21 : TITRES DES CHAPITRES ET ARTICLES DU MARCHE
Les titres des chapitres et articles du marché ont uniquement pour objectif de faciliter la lecture des
articles et ne sauraient affecter le sens ou l’interprétation desdits articles.
ARTICLE 1.22 : DROIT APPLICABLE - RÈGLEMENT DES DIFFERENDS
1- Le droit applicable au Marché est le droit marocain.
2- Les différends qui surviendraient entre le Maître d'Ouvrage et le Prestataire dans le cadre de
l'exécution du Marché donneront lieu à l'application des articles 52 à 54 du CCAG-EMO.
Le cas échéant, si un conflit ne trouve pas une solution complète et conformément aux dispositions de
l'article 54 du CCAG-EMO, les Parties déclarent donner attribution de compétence au tribunal
administratif de Rabat, seul habilité à connaître de toute contestation ou tout litige qui pourrait surgir de
l'interprétation ou de l'exécution des présentes.
ARTICLE 1.23 : ALERTES ET INCIDENTS
- La détection par le prestataire de toute anomalie ou incident pouvant remettre en cause la sécurité des
Systèmes d’Information doit être rapportée immédiatement à Barid Al-Maghrib ;
- Toute alerte impactant le périmètre objet de ce CPS, émanant de maCert et communiquée par BAM au
prestataire doit être prise en charge par ce dernier et informer BAM des mesures prises. En tout état de
cause la disponibilité, la confidentialité et l’intégrité des données de BAM doivent être assurées ;
- Lorsque des incidents se produisent, Barid Al-Maghrib se réserve le droit de mener ou de confier à une
entité tierce la réalisation des enquêtes d’investigation liées à cet incident, de reconstruire les
BARID AL-MAGHRIB
Direction Achats
événements passés par l'identification, la collecte, la préservation, l’examen, l’interprétation et le rapport

des preuves numériques.
ARTICLE 1.24 : INTERVENTIONS DU PRESTATAIRE (MAINTENANCE ET
TELEMAINTENANCE)
- Les interventions du prestataire doivent répondre au niveau de sécurité souhaité. Le prestataire s'assure
que ses interventions ne portent aucun préjudice à l'état des informations hébergées par le système, tant
pour les données de production que pour les données de configuration du matériel et des logiciels
- Toute intervention du prestataire doit faire l’objet d’un compte-rendu détaillé précisant :
• le périmètre de l’intervention ;
• la date de l’intervention ;
• le mode opératoire suivi ;
• les résultats de l’intervention ;
• les incidents rencontrés et les anomalies détectées.
ARTICLE 1.25 : ENGAGEMENT DE REVERSIBILITE

- Le Prestataire s’engage, à assurer la réversibilité des prestations afin de permettre à Barid Al-
Maghrib, sans difficultés, de reprendre ou de faire reprendre par un tiers, désigné par Barid Al-
Maghrib, lesdites Prestations telles que définies dans les documents contractuels.
- La réversibilité s’applique également à l’extinction avant terme du marché quel qu’en soit les
raisons.
- Il est entendu entre le Prestataire et Barid Al-Maghrib qu’au titre de l’engagement de réversibilité, le
Prestataire assurera une assistance de maîtrise d’ouvrage dans le cadre d’une obligation générale de
résultats.
- À la fin du marché pour quel que soit les motifs évoqués, le Prestataire s’engage à communiquer à
tout moment les informations nécessaires à Barid Al-Maghrib pour lui permettre de préparer la
réversibilité.
- La réversibilité devra être matérialisée par la signature d’un PV entre le Prestataire et BAM.
BARID AL-MAGHRIB
Direction Achats
CHAPITRE 2 : CLAUSES TECHNIQUES PARTICULIERES
ARTICLE 2.1 : CONTEXTE ET DESCRIPTION DE L’EXISTANT
2.1.1 – CONTEXTE :
Barid Al-Maghrib, à travers la Poste Numérique, a développé cette dernière décennie une expertise et
une notoriété dans les métiers du Digital, notamment l’hébergement (Datacenter et IaaS) et la
certification électronique en tant qu’autorité et opérateur de certification agréée par l’autorité
nationale (DGSSI- Direction Générale de la Sécurité des Systèmes d’Information).
Fort de cette expérience, BAM ambitionne de renforcer son rôle d’opérateur national, facilitateur, de
la Transformation Digitale en se positionnant comme prestataire de services de confiance intégré de
bout en bout sur l’ensemble des services de confiances qualifiés conformément à la loi 43.20 et aux
règlements internationaux.
Dans cette optique, BAM a procédé à une série d’investissements qui concerne la majorité de ses
services, notamment celui de la confiance numérique objet du présent marché.
Ce projet a pour objectif de satisfaire deux ambitions majeures de BAM :
• Permettre à Poste Maroc de se positionner et de confirmer sa position comme Prestataire des

services de confiance numériques couverts par la nouvelle loi n 43.20, notamment des
services qualifiés ;
• Livrer des services de qualité basés sur des technologies innovantes, répondant aux besoins
des clients tout en respectant les lois, la réglementation et les exigences du régulateur.
2.1.2 – DESCRIPTION DE L’EXISTANT :
- Principaux SIs actuels de Barid eSign :

• PKI et Horodatage
Barid eSign est la première solution de technologie de droit marocain répondant aux critères exigés par
la loi 53-05 pour certifier les échanges numériques.
Sa vocation est de permettre l’utilisation de moyens sûrs pour s’authentifier, signer et donner une valeur
probante aux actes électroniques à travers des certificats assurant le rôle de l’identité numérique de son
porteur.
Barid Al-Maghrib délivre des certificats électroniques Barid eSign au personnel des entreprises et des
administrations, dans un cadre conforme au droit marocain. Ces certificats sont produits dans les locaux
de BAM et principalement encodés sur des supports cryptographiques (cartes à puces intégrés dans des
lecteurs USB ou dans des cartes personnalisables avec photo /logo).
Barid eSign est actuellement le premier produit de la Poste Digitale à disposer de la certification de son
système de management de qualité selon les exigences de la norme ISO 9001 version 2015.
Barid Al Maghrib à travers son activité Barid eSign commercialise plusieurs types de certificats à usage
unique ou multiple (signature sécurisée, signature simple, authentification, ...) :
BARID AL-MAGHRIB
Direction Achats
Prestation Définition
Sous format logiciel pour des utilisations dans les domaines qui ne requièrent pas un
Certificat classe 1
besoin de preuve probante.
Produit sur des supports physiques (carte à puce, clé USB, etc.) avec un niveau de
Certificat classe 2
sécurité supérieur.
Se présente sous la forme d’une clé USB, produit selon la politique de certification en
Certificat classe 3
vigueur et permet à son détenteur de signer électroniquement un document
Une solution qui consiste à attribuer au signataire un certificat électronique de durée
limitée ou « généré à la volée ». Sa vocation est de faire face à la difficulté pratique et
Certificat à la volée
économique d’identifier pour certains usages en « face à face » un signataire avant de
lui remettre son certificat.
Certificat de chiffrement
Produit sur support servant pour le chiffrement/déchiffrement des données.
/déchiffrement
En plus de certificats délivrés aux personnes, les services de confiance numérique suivants sont délivrés
aux entreprises et aux administrations : Jetons d’horodatage, Certificats cachet serveur et certificats
SSL.
• Gateway PKI
BAM dispose d’un service de Gateway PKI mis à la disposition de ses clients pour la consommation du
service de certificats à la volée ou de certificats logiciels.
Cette Gateway interagit avec les Systèmes d’Informations opérants internes et externes via une
architecture REST API.
• Le ‘Workflow Barid eSign’ : Guichet électronique Barid eSign
Le workflow Barid eSign se compose d’un moteur de Workflow et d’un CMS. Ces deux composantes
prennent en charge une grande partie des processus Barid eSign notamment l’enrôlement, la gestion du
cycle de vie des certificats, le suivi de la demande de certificat par les clients et la facturation. Il assure
aussi le point relais entre la PKI, le back-office, le front-office et les autres SIs opérants. De ce fait, le
workflow Barid eSign constitue un pilier très important dans l’activité actuelle, et le sera aussi pour la
future plateforme objet du présent marché.
Tenant compte de son importance, sa consistance et les rôles qu’il jouent, la future plateforme doit
s’interfacer et communiquer avec ce guichet actuel et autres futures guichets de BAM.
À cet effet, le Prestataire doit mettre en place les différents Input/Output dans l’état de l’art des services
de confiances (via des webservices/APIs selon les normes/standards) et doit fournir en détail les
upgrades (pour les différents services de confiances objet du présent marché) qui doivent être réalisés du
côté des différents Guichets électroniques pour une mise en œuvre conforme et efficiente des différents
services de confiances qualifiés qui nécessiteront de passer à travers le guichet électronique.
- Parc des serveurs de virtualisations :
BAM dispose d’une plateforme de virtualisation (avec VMWare) à la pointe de la technologie et des
ressources experts dans le domaine de la virtualisation qui seront en mesure de satisfaire les prérequis
qui seront exigé par le Prestataire.
BARID AL-MAGHRIB
Direction Achats
- Infrastructure réseau et sécurité :
De même que la partie virtualisation, BAM dispose de l’expertise et des prérequis nécessaires pour
l’hébergement des système sensibles et ceux de la confiance numérique en particulier. Sur ce point
aussi, BAM n’aura pas de difficulté d’assurer les prérequis pour les besoins de ce projet.
ARTICLE 2.2 : DESCRIPTION DU BESOIN ET DEMARCHE DE REALISATION
2.2.1 – POUR LA TRANCHE FERME :
2.2.1.1 – Description du besoin :
L’objectif derrière la réalisation de cette tranche du marché est la mise en service (Conception,
paramétrage, installation, déploiement) et la mise en conformité des différents services selon le
règlement eIDAS afin de préparer leur mise en conformité selon la loi 43-20 pour les services ci-
dessous :
• Services de confiances qualifiés :

o Service de fourniture de certificats qualifiés pour signature électronique ;
o Service de fourniture de certificats qualifiés pour cachet électronique ;
o Service de fourniture de certificats qualifiés pour l’authentification des sites internet ;
o Service d’horodatage électronique Qualifié.
• Autres services :
o Parapheur électronique.
- Mise en œuvre des services de confiances :
• Phase 1 (Qualification des services)

Cette phase est dédiée à l’acquisition, l’installation, la qualification (technique et technologique) et la
mise en œuvre des services de « QCert pour Esig », « Qcert pour Eseal », « Qcert pour QWAC » et
« QTimestamp » selon eIDAS.
• Phase 2 (Implémentation des services de confiances selon eIDAS)

Vu que les guides d’agréement (référentiels, Textes d’application de la loi 43.20, …) du régulateur
national ne sont pas encore publiés, le Prestataire doit implémenter les services de confiances selon
eIDAS. Ce choix se justifie sur la base des éléments ci-dessous :
- Préparer le terrain pour des éventuelles reconnaissances mutuelles et portabilité de nos certificats
à l’UE selon la nouvelle loi et pour répondre aux requêtes des acteurs nationaux dans plusieurs
secteurs notamment le commerce international ;
- Vu que les normes/référentiels exigés dans le présent marché sont ceux utilisés dans eIDAS ;
- Capitaliser sur cette réalisation pour réduire le cout et le temps de mise en conformité (Tranche
conditionnelle n°1) une fois que les référentiels, textes d’application et guides de la loi 43.20
sont publiés.
- Mise en œuvre du parapheur électronique :
Le parapheur électronique sera déployé dans un premier temps dans l’état de l’art avec la prise en
charge de la signature/cachet électronique avec nos certificats (sur token ou logiciel) et l’horodatage. Le
Parapheur doit aussi être implémenté pour intégrer au fur et à mesure l’ensemble des services de
BARID AL-MAGHRIB
Direction Achats
confiance objet du présent marché (Validation et Conservation de signature/cachet électronique &

certificats afférents, Remote signing, …) une fois implémentées.
2.2.1.2 – Démarche de réalisation :
Cette démarche est proposée à titre indicatif. Le Prestataire est tenu de proposer une autre démarche
meilleure et plus adaptée à ce projet.
PHASE 0 : KICKOFF
Objectifs
L’objectif de cette phase est d’initier le projet, de présenter les équipes et les responsables sur chaque
partie, de rédiger le Plan d’exécution de projet.
Prérequis
Les prérequis au démarrage de cette phase sont les suivants :
• Notification de l’ordre de service de commencement de la tranche ferme ;
• Fourniture par BAM des documents techniques et fonctionnels, principalement ceux de l’activité
Barid eSign.
Travaux à mener
La réunion de lancement du projet sera composée des points suivants :
- L’équipe projet BAM présentera :
• Le contexte, les enjeux et objectifs du projet.
• L’organisation du projet et les acteurs BAM concernés.
- Le Prestataire présentera à minima :
• Son équipe projet et l’organisation des travaux.
• La démarche projet et le planning associé revu.
• Les actions à réaliser à court terme.
• En particulier, la planification et l’organisation des ateliers de conception (phase de conception)
seront traitées au cours de la réunion.
Le Prestataire rédigera le compte-rendu de la réunion d’initialisation qui sera soumis à la validation de
BAM.
Livrables
Livrable de la phase Responsable Validation Nature du livrable
Compte rendu de la
Le Prestataire BAM Document Word
réunion de lancement
Plan d’exécution de projet Le Prestataire BAM Document Word
BARID AL-MAGHRIB
Direction Achats
PHASE 1 : CONCEPTION ET RÉALISATION
Objectifs
La phase de conception a pour objectif de concevoir les solutions à mettre en œuvre répondant aux
attentes fonctionnelles exprimées dans le présent marché, des documents mentionnés dans les prérequis
de la phase initialisation ainsi que des livrables des ateliers de cadrage.
Cette étape sera réalisée par le Prestataire en collaboration étroite avec l’équipe projet BAM et les
membres du comité technique, représentant les équipes fonctionnelles et techniques.
Prérequis :
• Plan d’Assurance Qualité validé par l’équipe projet BAM ;
• Plan d’Assurance Sécurité validé par BAM ;
• Documents de l’activité Barid eSign (PC, DPC, Procédures …).
Travaux à mener
Les ateliers de conception suivants seront organisés :
Ateliers Fonctionnels
Le Prestataire doit mener les ateliers fonctionnels nécessaires (Marketing/Commercial/SAV, Production,
Conformité, RSSI, Risk Management (PCA, PRA), …) visant à préciser la couverture fonctionnelle
attendue par BAM, et qui sera une évolution du modèle d’affaire actuel de la Poste Numérique pour
répondre aux nouveaux besoins/Défis du marché/nouvelle loi ….
Lors de ces ateliers, le Prestataire effectuera notamment des démonstrations des solutions proposées : il
s’agira a minima de présenter les enchaînements des différents écrans proposés dans le cadre des
solutions proposées et si possible d’illustrer une version partielle des processus :
• PKI (Architecture, Cérémonies, CAs, RAs, AED, …) ;
• Solution de signature (Souscription au service, écrans de consommation des services, …).
Ateliers techniques
Le Prestataire doit mener les ateliers techniques nécessaires (Administration systèmes/BD,
Développement/Intégration/Déploiement, Exploitation, Sécurité/réseaux, …) visant à traiter les points
d’architecture en vue de l’élaboration du Guide d’architecture.
Suite à ces ateliers, le Prestataire rédigera les livrables suivants :
Dossier de conception générale.

Ce dossier comprendra au minimum les éléments suivants :
- Architecture logique des solutions :
o Fonctions couvertes ;
o Composants mis en œuvre ;
o Schéma global des échanges de flux.
- Paramétrage des solutions sur les aspects suivants :
o PKI et hiérarchie de confiance (présentation des différents processus et fonctions
proposés) ;
o Card Management System ;
o TSA ;
o OCSP ;
BARID AL-MAGHRIB
Direction Achats
o Autres composants logiciels et matériels liées (NTP, Load Balancer/Failover, …) ;

o …..
- Description détaillée de l’ensemble des interfaces proposées pour l’ensemble des briques (CA,
RA, AED, OCSP, TSA, …) ;
- Écarts entre les fonctionnalités offertes en standard par les progiciels mis en œuvre et la cible
attendue BAM ;
- Intégration de la solution dans l’environnement d’administration et d’exploitation de BAM ;
- Les impacts de performance sur les matériels (Serveurs, poste de travail, mobilité, …) ;
- Les niveaux de performance technique attendus ;
- Élaboration d’un plan de reprise et de cohabitation de l’existant.
Guide d’architecture
Ce dossier comprendra au minimum les éléments suivants :
- L’architecture fonctionnelle détaillée de la solution (schémas d’architecture, volumétrie, flux et
traitements, sécurité applicative, migration des données existantes…) ;
- L’architecture logique détaillée de la solution ;
- L’architecture physique détaillée de la solution, permettant de répondre aux exigences de qualité
de service et incluant les éléments de haute-disponibilité (choix généraux, infrastructure
technique de chaque plate-forme, infrastructure réseau, écart par rapport aux conditions
d’intégration…) ;
- La liste exhaustive des composants et leurs références, versions…
- L’articulation entre ces composants ;
- La description du paramétrage de ces composants ;
- La description des développements à réaliser sur les composants pour couvrir les fonctions
attendues par BAM ;
- La description des éventuels travaux d’intégration, d’adaptation ou de développements
spécifiques à réaliser ;
- Les règles de dimensionnement utilisées ;
- Le niveau de qualité de service (performances, disponibilité…) visé ;
- Le niveau d’engagement du Prestataire par rapport au niveau de qualité de service visé ;
- La description des moyens de mesure des performances ;
- La description des outils d’administration et d’exploitation des différents composants ;
- Les procédures d’administration et d’exploitation de chaque composant ;
- …
Ces documents seront soumis à la validation de BAM.
Livrables
Dossier de conception
générale
Guide d’architecture
détaillé
PV de conception et
BAM N/A Document papier
d’architecture
Conditions de passage à l’étape suivante

Les conditions de passage à la prochaine phase sont les suivantes :
• Dossier de conception générale validé par la BAM ;
BARID AL-MAGHRIB
Direction Achats
• Guide d’architecture validé par la BAM.

PHASE 2 : INSTALLATION, DÉPLOIEMENT ET MISE EN PRODUCTION
Élaboration du dossier d’implémentation et de mise en œuvre selon eIDAS
Objectifs
L’objectif de cette étape est de fournir à BAM l’ensemble des livrables attendus pour installer les
solutions en environnement de préproduction et de réaliser la recette fonctionnelle pour la mise en
production.
Prérequis
• Dossier de recette unitaire validé par BAM ;
• Résultats de la recette unitaire conformes aux conditions de passage ;
• Guide de maintenance validé par BAM.
Travaux à mener
Le Prestataire rédigera les livrables suivants :
❖ Guide d’installation et de paramétrage des composants techniques, conformément
au modèle de structure fourni ou validé par BAM lors des phases précédentes.
Ce dossier comprendra notamment les éléments suivants :
- Le périmètre des solutions (utilisateurs, fonctions, environnements applicatifs, …) ;
- Le paramétrage des composants ;
- Les modalités de diffusion : packs applicatifs, lots de télédistribution, risques techniques de
déploiement ;
- Les détails d’installation de la solution ;
- Le rôle de l’application ;
- Les évolutions fonctionnelles apportées par la solution ;
- L’historique des versions d’industrialisation de la solution ;
- Les prérequis de la solution ;
- Les paramètres de la solution ;
- Les spécificités des packages de la solution ;
- Les contrôles au lancement ;
- Le plan de migration ;
- La stratégie de migration et/ou cohabitation des deux plateformes (proposition de scénarios,
recommandation, puis spécifications détaillées du scénario) dans le but de limiter la conduite de
changement des utilisateurs d’applications reposant aujourd’hui sur les services existants
(Principalement Barid eSign) ;
- Les modalités de passage de la préproduction à la production (outils et procédures).
❖ Manuels d’exploitation et d’administration de la solution, conformément au modèle

de structure fourni ou validé par BAM lors des phases précédentes.
Ce dossier comprendra notamment les éléments suivants :
- Le descriptif général des solutions :
o L’architecture générale ;
o La liste des briques matériel et logiciel nécessaires à la solution ;
BARID AL-MAGHRIB
Direction Achats
- La volumétrie des fichiers de la base de données utilisée :

o Le répertoire d’implantation de la solution ;
o L’organigramme général des emplacements physiques applicatifs ;
o La liste des fichiers applicatifs ;
o La liste des exécutables applicatifs ;
o La liste des paramètres système et applicatifs ;
o La liste des états d’impression ;
o Les traitements de la solution ;
o Les consignes d’exploitation des solutions :
o Les consignes d’exploitation standard ;
o Les directives sécurité de BAM (RSSI ; DCSI) que la solution doit respecter ;
o La sauvegarde ;
o La purge de fichiers ;
o L’archivage ;
o Les interventions particulières ;
o Les traitements : incidents, reprises, restaurations.
❖ Dossier de mise en production.
Pour élaborer le dossier de mise en production, un comité Métier/DSI sera organisé afin de prendre en
compte les contraintes et exigences de mise en production.
❖ Méthodologie d’industrialisation de la solution.
Le Prestataire rédigera un document de méthodologie d’industrialisation des solutions de services
présentant la marche à suivre par BAM pour étendre le périmètre de ces solutions en termes de volumes
et services en conservant les mêmes niveaux de qualité de service.
❖ Procédure technique de reprise (PCI, PRI)
La procédure technique de reprise présentera :
- Les informations sur les plates-formes de production et de secours ;
- Les prérequis généraux (techniques et organisationnels) aux actions de reprise ;
- Les modalités d’arrêt de la plate-forme destinée au secours ;
- La reconstruction des machines ;
- La reconstruction applicative ;
- Le paramétrage de la solution ;
- Les modalités techniques d’ouverture des plateformes aux utilisateurs.
❖ Procédure de Cérémonie des clés.
La procédure de Cérémonie des Clés doit détailler les modalités de réalisation de la Cérémonie des clés
de la PKI (outils utilisés, membres témoins de cette cérémonie, décomposition de secrets en n parmi m,
etc.). Cette procédure sera déroulée pour la création des clés d’AC (racine et filles) ainsi que pour la
signature des Listes d’Autorité Révoquées
❖ Politique de Certification & Déclaration des Pratiques de Certification relatifs aux
signatures électroniques, aux cachets électroniques, à l’horodatage électronique ou à
l’authentification des sites internet.
Le Prestataire rédigera, en français, conformément et selon le plan défini par la RFC 3647 les
documents suivants pour chaque type de certificat :
• Politique de certification pour les certificats qualifiés et deux autres qui seront définis dans la
phase de cadrage avec l’équipe projet ;
• Les Déclarations des Pratiques de Certification ;
BARID AL-MAGHRIB
Direction Achats
• …
❖ Politique d’Horodatage & Déclaration des Pratiques d’Horodatage.
De même, le Prestataire rédigera en respectant les normes « Principalement la RFC 3161 &
éventuellement d’autres RFCs comme RFC 5816, RFC 3628, … s’ils seront exigé » et en tenant
compte des normes des autres services qui interviennent dans le processus d’Horodatage, les documents
requis pour un opérateur d’Horodatage Qualifié :
• Une politique d’Horodatage ;
• Un document de déclaration des pratiques d’Horodatage ;
• …
❖ Politique et Déclaration des pratiques de Signature/Cachet électronique (Pour le
parapheur électronique)
De même, le Prestataire rédigera en respectant les normes « RFC 3125 – RFC 4810 – … » et en tenant
compte des normes des autres services qui interviennent dans le processus de signature, les documents
requis pour un opérateur de signature qualifiée :
• Une politique de signature électronique qualifiée ;
• Politique de signature et de gestion de preuves ;
• Une politique de cachet électronique qualifié ;
• Politique de cachet électronique et de gestion de preuves ;
• Un document de déclaration des pratiques de signature électronique ;
• Un document de déclaration des pratiques de cachet électronique ;
• …
❖ Politique et Déclaration des pratiques de validation de Signature/Cachet
électronique
De même, le Prestataire rédigera en respectant les exigences correspondantes et en tenant compte des
normes des autres services qui interviennent ou influence le processus de validation de signature/cachet
électronique, les documents requis pour un opérateur de signature qualifiée :
• Une politique de validation de signature électronique ;
• Une politique de validation de cachet électronique ;
• Un document de déclaration des pratiques de validation de signature électronique ;
• Un document de déclaration des pratiques de validation de cachet électronique ;
• …
❖ Politique et Déclaration des pratiques de conservation de signatures électroniques,
de cachets électroniques ou de certificats relatifs à ces services
De même, le Prestataire rédigera en respectant les exigences correspondantes et en tenant compte des
normes des autres services qui interviennent ou influence le processus de validation de signature/cachet
électronique, les documents requis pour un opérateur de signature qualifiée :
• Une politique de conservation de signatures électroniques ou de certificats relatifs à ces services ;
• Une politique de conservation de cachets électroniques ou de certificats relatifs à ces services ;
• Un document de déclaration des pratiques de conservation de signatures électroniques ou de
certificats relatifs à ces services ;
• Un document de déclaration des pratiques de conservation de cachets électroniques ou de
certificats relatifs à ces services ;
• …
L’ensemble des documents seront soumis à la validation de BAM.
BARID AL-MAGHRIB
Direction Achats
Le Prestataire fournira par ailleurs à BAM des packages complets d’installation des solutions.
Livrables
Guide d’installation et de
paramétrage des Document Word
composants techniques
Manuel d’exploitation et
d’administration des Document Word
solutions
Dossier de mise en
Document Word
production
Méthodologie
d’industrialisation de la Document Word
solution
Procédure de reprise Document Word
Procédures de cérémonie
des clés
Les différentes politiques
(de Certification,
Document Word
d’Horodatage, De
Signature, …)
Les différentes Déclarations
de Pratiques (de
Document Word
Certification, de signature,
d’Horodatage, …)
Politiques de sécurité des
systèmes d’information Document Word
(PSSI)
Package complets Supports de stockage
d’installation adéquats
Tout autre livrable
nécessaire

Les conditions de passage à la prochaine étape sont les suivantes :
• Guide d’installation et de paramétrage des composants techniques validé par BAM ;
• Manuel d’exploitation et d’administration de la solution validé par BAM ;
• Dossier de mise en production validé par BAM ;
• Méthodologie d’industrialisation de la solution validée par BAM ;
• Procédure de Cérémonie des Clés validée par BAM ;
• Politique de certification & Déclaration des Pratiques de Certification validée par BAM ;
• Procédure technique de reprise validée par BAM ;
• ….
BARID AL-MAGHRIB
Direction Achats
Préparation et mise à niveau des environnements
Cette étape sera prise en charge par BAM avec l’assistance et l’accompagnement des équipes du
Prestataire
BAM doit disposer de différents environnements qui supporteront un système similaire
(fonctionnellement et techniquement) au système en production.
Ces environnements permettront de :
- Préparer et valider la mise en production des évolutions (Intégration Applicative).
- Réaliser et tester les développements réalisés par BAM (Tests).
- Réaliser les formations sur les services de Confiance Numériques (Intégration Applicative).
- …
BAM assurera avec l’assistance du Prestataire la mise à disposition de ces environnements et
notamment :
- La mise à disposition des machines ;
• L’installation des Systèmes d’Exploitation serveurs et la configuration réseau ;
• L’installation de l’ensemble des outils d’administration et d’exploitation utilisés par BAM :
outils de supervision, de sauvegarde…
• La définition et la mise en place des moyens permettant d’assurer la cohérence (basculer la
configuration ou le paramétrage) entre les différents environnements et le système en production
(outils, procédures…) sur la base des éléments proposés par la Prestataire dans le dossier de mise
en production ;
• La définition et la mise en place des moyens permettant de dupliquer n fois, sans support du
Prestataire, l’environnement de production (outils, procédures…).
De même, BAM assurera la mise à niveau des environnements.
Installation en environnement d’Intégration Applicative (environnement de préproduction)
Objectif
Cette étape a pour objectif de valider que la solution fournie par le Prestataire à l’issue de l’étape de
recette unitaire s’installe correctement et ne présente pas de dysfonctionnement apparent.
Prérequis
• Le package applicatif fourni par le Prestataire.
• L’ensemble des documents du dossier de mise en production validés par BAM.
• Mise à disposition par BAM de la plate-forme d’Intégration Applicative.
Travaux à mener
Cette étape est de la responsabilité de BAM et sera réalisée à chaque nouvelle livraison d’un package
applicatif soumis à l’étape de recette fonctionnelle.
Sur la base du dossier d’installation de la solution fourni par le Prestataire, BAM installera la solution
sur l’environnement d’Intégration Applicative avec l’ensemble des composants nécessaires à
l’exploitation (sauvegarde, supervision…).
BAM vérifiera alors :
BARID AL-MAGHRIB
Direction Achats
• La viabilité technique du package fourni par le Prestataire (installation, assemblage des

composants, lancement, etc.).
• La cohérence entre les documentations et l’application livrée.
Le Prestataire assistera BAM pendant cette étape et mettra à jour si nécessaire le dossier d’installation
de la solution ou tout autre document ou applicatif le nécessitant.
La fin de l’installation en environnement d’Intégration Applicative sera prononcée par BAM, qui
signera alors le PV d’installation en environnement d’Intégration Applicative.
Livrables
Package applicatif mis à Supports de stockage
Le Prestataire N/A
jour adéquats
Ensemble des documents
du dossier de mise en Le Prestataire BAM Document Word
production mis à jour
PV d’installation en
environnement BAM N/A Document Word
d’Intégration Applicative

• Package applicatif mis à jour validé par BAM ;
• Ensemble des documents du dossier de mise en production mis à jour et validé par BAM ;
• Signature du PV d’installation de la solution par la BAM.
Recette fonctionnelle
Objectif
L’objectif est de réaliser la recette de la solution en environnement d’Intégration Applicative dans les
locaux de BAM.
Elle doit permettre de :
- Identifier les éventuelles anomalies résiduelles ;
- Valider la conformité technique de la solution ;
- Valider la procédure d’installation et d’exploitation.
Le périmètre de la recette fonctionnelle couvre toutes les fonctionnalités attendues.
Travaux à réaliser
- Travaux à la charge de BAM
BAM entend mener la recette des solutions Services de Confiance Numérique suivant 3 compagnes :
Compagne 1 : réalisation de l’ensemble du cahier de tests.
Compagne 2 et 3 : BAM réalisera les tests suivants :
• Vérification des anomalies réputées corrigées ;
• Vérification de non-régression sur les fonctionnalités étant liées, directement ou indirectement,
avec les corrections apportées ;
• Vérification de non-régression globale.
BARID AL-MAGHRIB
Direction Achats
Le Prestataire corrigera les anomalies remontées au fil de l’eau, mais aucune nouvelle livraison ne sera
réalisée durant une campagne. Toute nouvelle livraison devra passer par les environnements de
développement, de tests puis d’intégration applicative.
À la suite d’une campagne, le Prestataire disposera de 3 jours pour corriger les anomalies résiduelles ;
durant cette période aucun test ne sera réalisé par BAM. À l’issue de cette période, le Prestataire livrera
une nouvelle version de la solution en précisant explicitement les anomalies réputées corrigées. BAM
entamera alors une nouvelle campagne de recette sur cette base.
À tout moment, au cours d’une campagne de recette, BAM pourra stopper une campagne et attendre une
nouvelle livraison de la part du Prestataire. À la réception de la nouvelle version, la campagne de recette
sera menée dans son intégralité (depuis le début sur tous les environnements).
Les conditions d’arrêt d’une campagne de recette et de rejet de la livraison sont les suivantes :
Compagne 1 :
- plus de 5 anomalies bloquantes,
- ou plus de 20 anomalies majeures,
- ou plus de 50 anomalies mineures,
- ou plus de 60 anomalies au total, toutes catégories confondues.
Compagne 2 :
- plus de 3 anomalies bloquantes,
Compagne 3 :
- 1 anomalie bloquante,
- Assistance du Prestataire pendant la recette fonctionnelle

Pendant la phase de recette, BAM attend du Prestataire :
• Un support aux équipes de BAM pendant la phase de tests.
• La résolution des anomalies éventuellement détectées et la livraison des corrections,
conformément à la démarche en campagnes décrite ci-dessus.
Les anomalies pourront être qualifiées suivant leur niveau de gravité :
Anomalie bloquante (niveau 1) : anomalie qui bloque le fonctionnement de la solution et qui ne permet
pas, en l’état, de déployer la solution.
Anomalie majeure (niveau 2) : anomalie impactant une fonctionnalité critique pour BAM de la
solution ou anomalie impactant les IHMs à destination des utilisateurs métiers : utilisateurs lambda.
Anomalie mineure : anomalie qui n’est ni bloquante ni majeure.
BARID AL-MAGHRIB
Direction Achats
Le protocole de tests doit prévoir la formalisation et la classification par le Prestataire des anomalies, la
proposition de solution de résolution et de contournement, des protocoles d’escalade et de gestion de
crise.
En cas d'anomalie bloquante, la recette sera interrompue jusqu’à la livraison de la correction par le
Prestataire. Ce dernier présentera les corrections réalisées de façon à permettre à BAM d’effectuer une
analyse d’impact de la correction et de définir les tests de non-régression à effectuer.
La fin de recette sera prononcée par BAM, qui signera alors le PV de recette livré par le Prestataire. Les
anomalies de gravité 1 et 2 (bloquantes et majeures) devront avoir été corrigées, et le nombre
d’anomalies de gravité mineures doit être inférieur ou égal à 5.
Livrables

Package applicatif mis à Supports de stockage
Le Prestataire N/A
jour adéquats
du dossier de mise en Le Prestataire BAM Document Word
production mis à jour
PV de recette BAM N/A Document papier

• Conditions de prononciation de la fin de la recette fonctionnelle respectées et prononciation de la
fin de la recette par BAM ;
• Ensemble des documents du dossier de mise en production mis à jour validé par BAM ;
• Signature du PV de recette par BAM.
Audit de conformité et de sécurité
Objectif
Cette étape a pour objectif de s’assurer, par rapport à l’ensemble des services de confiance déployés,
qu’ils sont conformes sur le plan technique, organisationnel et sécurité.
Prérequis
• Le package applicatif mis à jour et intégrant toutes les modifications réalisées lors des étapes
précédentes ;
• L’ensemble des documents du dossier de mise en production mis à jour.
Travaux à mener
Lancer une mission d’audit dans l’état de l’art sur l’ensemble des services de confiances qualifié prévus
dans le présent marché et qui nécessitent un agréement du régulateur. Cette mission d’audit doit se
dérouler comme suit :
- Réaliser la mission d’audit dans l’état de l’art ;
- Livrer les écarts et les anomalies ;
- Remédier à ses écarts ;
BARID AL-MAGHRIB
Direction Achats
- Réaliser une nouvelle recette selon l’tape ci-dessus si nécessaire ;

- Validation du cabinet auditeur.
Livrables :
Démarche de l’audit Document Word
Rapport d’audit des
architectures et des Document Word
configurations. Prestataire d’audit de la
sécurité des systèmes
Rapport des tests d’information qualifiés BAM PDF et Format Papier
d’intrusion agrée par la DGSSI
Rapport d’audit de code
(pour les développement
spécifiques)
Attestation de validation
Mise en production
Objectif
Cette étape a pour objectif de passer en production la solution fournie par le Prestataire à l’issue de
l’étape précédente, de s’assurer qu’elle s’installe correctement et qu’elle ne présente pas de
dysfonctionnement apparent.
Prérequis
Les prérequis au démarrage de cette étape sont les suivants :
• Le package applicatif mis à jour et intégrant toutes les modifications réalisées lors des étapes
précédentes ;
• L’ensemble des documents du dossier de mise en production mis à jour ;
• La préparation par BAM de l’environnement de production.
Travaux à mener
Si le Prestataire a recours à plusieurs livraisons pendant la phase de recette, la mise en production doit
être précédée :
• De la fourniture, par le Prestataire, d’une solution packagée intégrant l’ensemble des
modifications réalisées en phase de recette et de tests de performance ;
• De l’installation, par BAM avec l’assistance du Prestataire, de ce package ;
• De la réalisation, par BAM, d’une campagne de tests de non-régression.
L’ensemble des opérations de mise en production sera réalisé par BAM, avec l’assistance du
Prestataire.
Avant l’ouverture Opérationnelle du système, BAM vérifiera :
• Le fonctionnement de chaque service,
• Le fonctionnement de chaque composant,
• Le fonctionnement de la haute disponibilité,
• …
BARID AL-MAGHRIB
Direction Achats
La fin de l’installation et le passage en production seront prononcés par BAM, qui signera alors le PV
d’installation en production.
Livrables
Package applicatif mis à
jour et intégrant toutes les Le Prestataire N/A Support de stockage
modifications
du dossier de mise en
production mis à jour et Le Prestataire BAM Document Word
intégrant toutes les
modifications
PV d’installation en
BAM N/A Document Word
production

Les conditions de passage à la prochaine phase sont les suivantes :
• Ensemble des documents du dossier de mise en production mis à jour validé par BAM ;
• Signature du PV d’installation en production par la BAM.
Teste & Validation des performances, de la Sécurité et de la Haute Disponibilité

• RSSI/maCERT,
• PCA-PRA / HA-DR / PCI-PRI
• Tests de Performances Production et Réseau
PHASE 3 : VABF / VSR
VERIFICATION D’APTITUDE AU BON FONCTIONNEMENT (VABF)
Objectif
Cette étape a pour objectif de vérifier l’aptitude au bon fonctionnement de la solution en environnement
de production.
Prérequis
• Mise en production de l’ensemble de la solution ;
• Signature des PVs d’installation en production par BAM des environnements et services.
Travaux à mener
La VABF débute suite à la mise en production de la solution.
Elle comprend notamment :
• Une vérification technique (vérification de la conformité par rapport aux spécifications
techniques) ;
• Une vérification de l’ensemble des services ;
• Une vérification de la documentation fournie.
BARID AL-MAGHRIB
Direction Achats
BAM effectuera les vérifications quantitatives et qualitatives, afin d’évaluer la conformité des
prestations réalisées avec le présent marché.
En cas d’anomalie, le Prestataire s’engage à procéder aux corrections éventuellement nécessaires.
Sous réserve d’un fonctionnement satisfaisant de la solution, la VABF sera prononcée par BAM au bout
d’un mois après la mise en production.
Livrables
PV de VABF BAM N/A Document papier
Livrables précédents
éventuellement mise à jour

Les conditions de passage à la prochaine étape est la signature du PV de VABF par BAM.
Vérification de Service Régulier (VSR)
Objectif
Cette étape a pour objectif de vérifier le la tenue des indicateurs de qualité de service par la solution en
environnement de production.
Prérequis
Les prérequis au démarrage de cette étape sont les suivants :
• Mise en production de la solution ;
• Signature du PV d’installation en production par BAM ;
• Signature du PV de VABF par BAM.
Travaux à mener
La Vérification de Service Régulier (VSR) débute à l’issue de la VABF pour une durée minimum de
trois mois. Elle sera menée afin de vérifier la qualité de service délivrée par la solution sur la base des
différents indicateurs de qualité de service (disponibilité, volumétrie, performances) définis dans le
présent marché.
Le Prestataire s’engage à corriger tout incident (mineur, majeur, bloquant) constaté durant l’étape de
VSR.
La VSR sera prononcée à l’issue d’une période de deux mois durant laquelle les indicateurs de qualité
de service auront été respectés.
Livrables
PV de VSR BAM N/A Document papier
Livrables précédents
éventuellement mise à jour
BARID AL-MAGHRIB
Direction Achats
PHASE 5 : TRANSFERT DE COMPÉTENCES ET FORMATION

En complément du transfert de compétences « au fil de l’eau » durant l’ensemble du projet, une étape de
transfert de compétences du Prestataire auprès des équipes BAM est indispensable. Celle-ci comprendra
au minimum les tâches suivantes :
- Élaboration d’un support ou de plusieurs supports de cours sur les solutions à destination des
exploitants, des administrateurs, et des développeurs des applications utilisatrices ;
- Animation de sessions de formation pour deux groupes de 6 personnes chacun, orientées
exploitation/ supervision/ administration technique (y compris installation, désinstallation,
gestion des montées de versions, mesure du niveau de performance, …) ;
- Animation de sessions de formation pour deux groupes de 6 personnes chacun, orientées
administration fonctionnelle/ maîtrise d’ouvrage. Le Prestataire devra indiquer le cout unitaire
des sessions de formation.
Le prestataire précise dans son offre :
• La liste des modules des formations proposés ;
• Les plans des formations ;
• La durée de chaque formation.
Lors de l’exécution du marché, le prestataire s’engage à :

• Fournir un planning de formation qui sera validé par BAM et veiller à son respect
• Fournir le support de cours de la formation pour chaque participant à la formation
• Prendre en charge toute la logistique pour l’organisation de la formation
• Prévoir des travaux pratiques en relation avec le contexte du projet
Le prestataire s’engage aussi à apporter les ajustements nécessaires pour toute formation dont la qualité
sera jugée insuffisante par l’équipe BAM. À cet effet, un suivi quotidien de la qualité des formations
sera mis en place et partagé avec BAM.
Le prestataire s’engage aussi à assurer un transfert de compétences, sous forme de présentations et
ateliers pratiques, sur la solution cible, à l’équipe BAM autour de :
• L’architecture et les configurations mises en place dans le cadre du projet
• Les procédures techniques élaborées dans le cadre de ce projet
• Les procédures d’exploitation, et de maintien des configurations
• Procédure de sauvegarde et restauration
2.2.2 – POUR LES TRANCHES CONDITIONNELLES 1, 2, 3, 4 et 5 :
Cette partie du marché concernera principalement la :

• Mise en conformité totale selon la nouvelle loi 43.20 et ses textes d’application des services
de confiances de la tranche ferme ;
• Mise en œuvre des services de confiance qualifiés ci-dessous :
o Validation de signatures électroniques et de cachets électroniques ;
o Conservation de signatures électroniques, de cachets électroniques ou de certificats
relatifs à ces services ;
o Service de signature en mode SaaS pour offrir des signatures à la volée, avancées et
qualifiés en remote ;
o …
BARID AL-MAGHRIB
Direction Achats
- Tranche conditionnelle n°1 :
L’objectif derrière cette tranche du marché est la finalisation et l’ajustement complète des services de
confiances objet de la tranche ferme selon les décrets et les différents textes d’application (Arrêtés
ministériels, référentiels, …) et guides de la loi 43-20.
La prestation de cette tranche serait principalement une mission d’accompagnement avec des experts par
les différents types de profil nécessaire pour :
• Accomplir la mission principale qui est la mise en conformité selon les référentiels de l’Autorité
Nationale ;
• Réalisation et livraison de toute la documentation (guides, procédures, Politique de certification,
manuels techniques ...) exigé par la loi 43-20 ;
• Consommation à la demande en JHs pour la réalisation des prestations d’accompagnement liées
à la mise en conformité et à l’opérationnalisation des services, à savoir :
o Interfaçage avec les guichets électroniques de BAM ;
o Interfaçage avec le SI Commercial, BI, … ;
o Interfaçage avec la Gateway PKI ;
o Intégration et interfaçage avec la solution de validation des e-ID de la DGSN
o Intégration des deux premiers clients.
Pour les interfaçages, le Prestataire est tenu de livrer des API standards documentées ainsi que des
cahiers de spécifications détaillées.
Lors de cette tranche, le Prestataire devra accompagner BAM dans la mise en place des actions pour
assurer la conformité (selon le scope des services objet du présent marché) conformément aux exigences
de la loi 43-20 et des textes pris pour son application (normes, référentiels, …) et conformément à la
démarche retenue et validée lors des précédentes phases.
Le scope couvrira les exigences générales applicables à l’ensemble des prestataires de services de
confiance qualifiés, ainsi que des exigences spécifiques à chaque service de confiance qualifié.
La réalisation doit se faire selon la même logique que celle réalisée au niveau de la tranche ferme. Le
prestataire doit au minimum :
- Établir le référentiel des exigences de sécurité applicables à chaque niveau de garantie des
moyens d'identification électronique ;
- Assurer les mesures techniques et organisationnelles adéquates pour gérer les risques liés à la
sécurité des services ;
- …
La liste des politique et procédures couvre (liste non exhaustive) :

• L’ensemble des politique et procédures exigées par la DGSSI ;
• Politique d’identification et d’authentification ;
• Politique Credential Management System ;
• Politique de conservation de l’information ;
• Politique HSM ;
• Politique de chiffrement ;
• Politique de cloisonnement ;
• ….
BARID AL-MAGHRIB
Direction Achats
Liste des Procédures exigées :

• Demande et enregistrement ;
• Gestion des Preuves et vérification d'identité ;
• Délivrance, mise à disposition et activation ;
• Suspension, révocation et réactivation ;
• Gestion de renouvellement et remplacement ;
• Gestion de l’horodatage électronique ;
• Plan de continuité d’activité ;
• Plan de reprise d’activité ;
• Gestion des incidents ;
• ….
Cette tranche concernera la mise en œuvre du Service de confiance qualifié de Validation de signatures
électroniques et de cachets électroniques.
La solution proposée doit permettre au minimum et d’une façon intégrée la fourniture des services de
validation des signatures/cachets électroniques réalisés à base des certificats fournis par BAM. La
solution doit être en mesure d’assurer le service même pour des certificats délivrés par d’autres QTSPs,
et le Prestataire s’engage à réaliser cette prestation suite à la demande de BAM.
Le Prestataire doit respecter le modèle de déploiement de la tranche ferme pour la mise en œuvre du
Service de confiance qualifié de Validation de signatures électroniques et de cachets électroniques.
Cette tranche concernera la mise en œuvre du Service de confiance qualifié de conservation de

signatures électroniques, de cachets électroniques et de certificats relatifs à ces services.
La solution proposée doit permettre au minimum et d’une façon intégrée la fourniture des services de de
préservations des signatures/cachets électroniques et des certificats afférents réalisés à base des
certificats fournis par BAM. La solution doit être en mesure d’assurer le service même pour des
certificats délivrés par d’autres QTSPs, et le Prestataire s’engage à réaliser cette prestation suite à la
demande de BAM.
Le Prestataire doit respecter le modèle de déploiement de la tranche ferme la mise en œuvre du Service
de confiance qualifié de conservation de signatures électroniques, de cachets électroniques et de
certificats relatifs à ces services
BARID AL-MAGHRIB
Direction Achats
Cette tranche concernera la mise en œuvre des Services de signatures à la volée simple et avancées.
Le Prestataire doit respecter le modèle de déploiement de la tranche ferme la mise en œuvre des
Services de signatures à la volée simple et avancées.
Cette tranche concernera la mise en œuvre des Services de signature qualifié en remote.
Le Prestataire doit respecter le modèle de déploiement de la tranche ferme la mise en œuvre des
Services de signature qualifié en remote.
ARTICLE 2.3 : SPÉCIFICATIONS FONCTIONNELLES
N.B : Dans l’ensemble de ce document, le mot « certificat(s) » peut faire référence aux certificats
pour personnes physiques, morales (certificats relatifs aux cachets électroniques), d’horodatage ou
d’authentification de sites internet.
2.3.1 – SPÉCIFICATIONS GÉNÉRALES :
Pour les services de confiance, la mise en place des solutions se portera sur l’ensemble des volets
(technique, organisationnel, opérationnel, documentaire, procédurale, Sécurité, …) pour
l’opérationnalisation efficiente de ces services. Elle doit tenir compte principalement des exigences du
présent marché et les éléments qui seront élaborés dans les ateliers de cadrage comme décrit dans la
démarche de réalisation du projet.
2.3.2 – SPÉCIFICATIONS FONCTIONNELLES DÉTAILLÉES :
La solution globale cible doit répondre aux exigences du règlement eIDAS et de la loi 43-20 pour
l’ensemble des services de confiances qui seront mis en place.
Certes les exigences obligatoires du présent marché sont par rapport à la loi 43.20 et eIDAS, mais il
serait très important que le Prestataire met en évidence les qualités de ses solutions proposées en termes
de conformité avec d’autres cadres réglementaires/Référentiels/normes/… additionnels (ex : USA
(UETA Act & E-Sign Act), CHINE (E-signature Law), L’INDE (IT ACT 2000), BRESIL (Medida
provisoria 2.200-2), …) qu’elles supportent ainsi qu’en terme d’agilité, d’évolutivité, de sécurité,
d’interopérabilité, d’adéquation avec le Cloud, …etc.
Le Prestataire doit également fournir toutes les conceptions nécessaires avec une architecture (HA &
DR). À l’exception de ce qui sera fourni par BAM, le Prestataire s’engage à fournir toutes les
composantes matérielles/logicielles requises lors de la mise en œuvre du projet avec l’ensemble des
justificatifs nécessaires (Attestations, licences, …). Les licences incluses dans la solution doivent être
BARID AL-MAGHRIB
Direction Achats
suffisantes pour la mise en place de la solution cible conformément aux spécifications du présent
marché (en termes de volume et de performance).
- La PKI (IGC) :
L’IGC est l’une des pièces maîtresses de ce projet, de ce fait, toutes les mesures nécessaires doivent être
mises en œuvre pour assurer le bon fonctionnement et sans faille de tous les composants, et ce
conformément aux dispositions de eIDAS, la loi 43.20 et aux dispositions de sécurité internes de BAM.
Le Prestataire doit décrire en détail les technologies PKI déployées et les services professionnels
fournis. De plus, le Prestataire doit s’assurer que tous les composants sont compatibles et capables
d’assurer des interopérabilités efficientes, sécurisées et conformes aux exigences et standard cités dans
le présent marché. Ces interopérabilités doivent respecter les protocoles standard des services web et des
exigences de sécurité et de conformité évoquée dans le cadre du présent marché, et ce pour réaliser
d’une façon efficiente les travaux d’intégration (la partie qui incombe au Prestataire) avec les SIs
suivant :
• Les SIs internes BAM (Le SI Commerciale BAM sur SAP, La Gateway PKI, Le Workflow
Barid eSign, …) ;
• Le SI de validation des e-ID de la DGSN basé sur OpenID connect. Le détail sera fourni dans les
ateliers de cadrage avec le Prestataire ;
• Les SIs Partenaires, qui consommeront principalement les services des (CRL, OCSP, TSA, …).
• …
• Autorités de certifications
La solution proposée doit être entièrement opérationnelle chez les autorités de certification et les
établissements /organismes de confiance numérique. L’ensemble des briques matérielles/logicielles
doivent émaner des éditeurs/constructeurs de renommé et qui ont des références de mise en œuvre des
solutions de PKI pour des autorités de certification. Bien que les composants logiciels/matériels de bases
utilisées pour les différentes ACs (AC Racine, ACs Intermédiaires, ACs émettrices, …) puissent être
identiques, le Prestataire doit tenir compte des différences en termes de mise en œuvre, de sécurité et
d’exigences opérationnelles et réglementaires.
Ci-dessous quelques considérations à prendre en compte :
Hiérarchie des ACs : La hiérarchie qui sera adopté pour les ACs sera en trois ou deux tiers, le choix
final sera arrêté dans la phase avant-projet.
• AC Racine
L’autorité de certification racine se situe au sommet de la hiérarchie, elle est l’ancre de toute confiance
au sein du système. Le déploiement de l’AC Racine doit tenir compte des considérations ci-dessous :
- L’AC Racine doit être installé sur un serveur autonome dédié ;

- Le serveur hébergeant de l'autorité de certification racine doit avoir des mesures de sécurité
supplémentaires, en ce qui concerne le contrôle d'accès, le système d'exploitation, etc. Il doit
aussi être conforme aux exigences de l’Autorité Nationale et de la PSSI de BAM / Barid eSign ;
- Le serveur de l'autorité de certification racine doit être maintenu hors ligne à tout moment, à
moins que cela ne soit requis pour la certification d'une nouvelle autorité de certification
intermédiaire ou émettrice ou pour des cérémonies techniques nécessaires. Il doit être stocké
dans un coffre-fort sécurisé à l'intérieur de la zone de sécurité la plus élevée au sein de Barid Al-
Maghrib ;
BARID AL-MAGHRIB
Direction Achats
- Les clés de l'AC racine doivent être stockées en toute sécurité sur un HSM (avec les
caractéristiques exigées par l’Autorité Nationale) détachable et le poste de travail de l'AC racine
doit être doté des interfaces appropriées, tant matérielles que logicielles, pour communiquer avec
les HSM ;
- La solution (matérielle et logicielle) proposée pour l’AC Racine doit supporter au minimum les
exigences afférentes dans le présent marché.
• ACs intermédiaires (ou de politiques)
L'autorité de certification intermédiaire ou de politique est l'autorité de certification de niveau ‘-1’ dans
l’architecture de confiance de Barid eSign, elle définit les politiques et les procédures qu'une autorité de
certification émettrice suit pour sécuriser son PKI. Les autorités de certification intermédiaires sont
utilisées uniquement pour délivrer un certificat à l'autorité de certification émettrice. Le déploiement
d’une AC intermédiaire doit tenir compte des éléments suivant :
- La solution de l’AC intermédiaire doit être installé sur un serveur autonome dédié ;
- Le serveur hébergeant l’AC intermédiaire (ou de politique) doit avoir des mesures de sécurité
supplémentaires, en ce qui concerne le contrôle d'accès, le système d'exploitation, etc. Il doit
aussi être conforme aux exigences de l’Autorité Nationale et de la PSSI de BAM / Barid eSign ;
- Les clés de l’AC intermédiaire doivent être stockées en toute sécurité sur un HSM détachable et
le serveur hébergeant l’AC intermédiaire doit être doté des interfaces appropriées, tant
matérielles que logicielles, pour communiquer avec les HSM ;
- La solution (matérielle et logicielle) proposé pour les ACs intermédiaires doit supporter au
minimum les exigences afférentes dans le présent marché.
• Les ACs Émettrices (10 ans minimum)
Le Prestataire doit proposer une architecture des ACs efficiente en termes de gestion et d’exploitation
toute en respectant les spécifications du présent marché et l’état de l’art du domaine de la confiance
numérique.
Les ACs émettrices doivent être déployées sur des clusters hautement disponibles. Les AC émettrices
fourniront les certificats et les services de gestion du cycle de vie aux utilisateurs. Ainsi, ils doivent être
conservés en ligne à tout moment. La solution (matérielle et logicielle) proposée pour les ACs
émettrices doit supporter au minimum les exigences afférentes dans le présent marché.
• Autorités d’enregistrement
La solution de l’autorité de certification proposée devrait être dotée d’un module d’enregistrement (AR)
compatible avec plusieurs systèmes d’exploitation et différentes architectures matérielles. Le Prestataire
doit fournir toutes les interfaces, le matériel, les logiciels et les licences nécessaires pour communiquer
avec d’autres composants PKI tels que (CMS, MDM, …).
L’autorité d’enregistrement de la solution proposée devrait fournir un portail qui permet de gérer les
comptes utilisateurs et le traitement des demandes relatives à l’activité, de gérer le cycle de vie des
certificats des utilisateurs ou des certificats de périphériques, la solution devrait aussi offrir un workflow
de gestion des certificats Web via des interfaces web permettant l’émission de demandes de certificats et
d’approbation. L’autorité d’enregistrement proposée doit posséder un service help-desk afin de gérer
diverses requêtes dont la révocation et la suspension des certificats. De plus des fonctionnalités basiques
précédemment citées, l’autorité d’enregistrement devrait proposer d’avantages de fonctionnalités telle
que la gestion des dispositifs mobiles (MDM).
BARID AL-MAGHRIB
Direction Achats
• Les référentiels
Le Prestataire doit s’assurer que les référentiels sont capables du stockage et de récupération rapide pour
un grand nombre d’utilisateurs tout en maintenant une vitesse d’accès raisonnable et en évitant les
goulots d’étranglement. De plus, la conception doit assurer l’équilibrage de charge et le basculement
entre les référentiels pour gérer un grand nombre d’abonnés utilisant le service. La section
Spécifications techniques spécifie les directives minimales pour répondre à ces exigences d’évolutivité.
• Les services de validation

La solution du Prestataire doit assurer la mise en place des CRLs et des services OCSP tout en
respectant les normes et standards techniques, sécuritaires et réglementaires.
En plus des CRLs qui doivent être actualisées en temps réel et disponibles pour téléchargement, le
Prestataire doit fournir, installer et exploiter un répondeur OCSP en HA/DR sur la base des estimations
de ce projet. Le service OCSP doit répondre aux exigences de haute disponibilité de Barid eSgin en
tenant compte des spécifications détaillées afférentes dans le présent marché.
Le Prestataire peut proposer des fonctionnalités/mécanismes supplémentaires ou équivalent.
• OID
Le Prestataire doit configurer les applications PKI avec les OID nationaux réservés à Barid eSign.
• Sauvegarde, Archivage et service de séquestre

Le Prestataire doit fournir une (solution/mécanisme/ …) de sauvegarde, d’archivage des clés, des
certificats et d'autres informations nécessaires à la récupération complète des applications PKI en cas de
défaillance. Le Prestataire proposera un plan de conception, de mise en œuvre et d'exploitation pour les
fonctions de sauvegarde et d'archivage de l'ICP.
- Composants matériels de la solution :
Le Prestataire devra fournir les dispositifs matériels nécessaires aux opérations cryptographiques. Ces
équipements doivent êtres des équipements éprouvés, nouvelles générations et en cours d’exploitation
chez des opérateurs de services de confiances agrées. Ils doivent aussi répondre aux spécifications de
sécurité et techniques détaillées dans le présent marché.
• Les serveurs de temps

Le Prestataire doit déployer des serveurs de temps récents et de pointe technologique conformément à
l’architecture HA/DR et aux exigences détaillées dans la section des spécifications techniques. Une
méthode de synchronisation avec un service de temps externe et précise devrait être proposée tout en
respectant les dispositions des référentiels et cadres réglementaires cités dans le présent marché.
Pour la mise en œuvre du service d’horodatage, le Prestataire doit mettre en place un serveur de temps
NTP 1, incorporant directement l’accès à des références de temps sûres, précises et indépendantes.
Le Prestataire doit mettre en place une unité d’horodatage à base d’un serveur de temps de
constructeur leader mondial.
Le Prestataire doit mettre en place une solution NTP clé en main en intégrant tous les accessoires
nécessaires (câble coaxial suffisant, antenne GPS, …).
• Les HSMs
Les HSMs proposés doivent prendre en charge au minimum les besoins pour :
BARID AL-MAGHRIB
Direction Achats
- CAs Offline ;
- CAs Online ;
- Horodatage ;
- Signatures (QSCD, Remote signature, …).
Le mode de fonctionnement des HSM proposés devrait permettre de combiner les modèles de HSM
pour construire un ensemble mixte qui offre une évolutivité, le partage des clés, le basculement
transparent et l’équilibrage de charge.
Les HSMs proposés doivent prendre en charge une grande variété d’applications telle que les autorités
de certification et la signature, elles doivent être certifiés au minimum EAL4+ Protection profile exigés
pour QSCD eIDAS. Ils doivent aussi supporter les normes décrites dans le présent marché.
La solution proposée doit prendre en charge des périphériques HSM qui offrent des services de clés
cryptographiques évolutifs et hautement disponibles à travers les réseaux (selon les cas d’usages mais
dans le respect total des exigences de sécurités et de la réglementation).
La solution proposée doit prendre en charge des périphériques HSM qui offrent une architecture
permettant de combiner plusieurs modèles de HSMs afin de construire un domaine mixte qui offre une
évolutivité flexible ainsi qu’un basculement et un équilibrage de charge transparents.
La solution proposée doit prendre en charge des périphériques HSM qui offrent les HSM inviolables qui
remplissent des fonctions telles que le chiffrement, la signature électronique, la génération et la
protection des clés sur un large spectre d’applications.
Le Prestataire doit fournir et déployer le nombre des HSMs nécessaires pour répondre à l’architecture
HA/DR et aux exigences techniques détaillées dans le présent marché.
• Serveurs et infrastructure réseaux

BAM dispose d’une plateforme de virtualisation capable d’héberger l’ensemble des suites logicielles de
la solution et ce, dans deux espaces d’hébergements (Site de production et de Backup) dédiés pour ce
projet. Les deux sites sont équipés avec l’ensemble des équipements réseau et de sécurité nécessaire
(Les DC de Barid Al-Maghrib héberge déjà une plateforme PKI agrée en tant qu’Autorité de
Certification).
À l’exception de la plateforme de virtualisation qui sera fourni par BAM, le Prestataire doit inclure dans
son offre l’ensemble des équipement matériels (HSM, NTP, …) et logiciels & licences (OS, SGBD, …)
avec le bon dimensionnement en termes de capacité et licences et ce, pour garantir un bon
fonctionnement des services tenant compte des volumes. Les équipements doivent être en nombre
suffisant pour les implémenter selon une architecture de haute disponibilité ‘HA’ et de reprise après
sinistre ‘DR’ qui sera installée sur un site distant.
- APIs :
Le Prestataire doit fournir les API nécessaires pour assurer la compatibilité et le fonctionnement
transparent des composants PKI.
- Les services d’horodatages :
Le Prestataire devra fournir une solution de service d’horodatage sur une architecture en HA/DR et doit
avoir des communications redondantes avec les serveurs de temps. La solution doit tenir compte des
spécifications détaillées afférentes dans le présent marché.
BARID AL-MAGHRIB
Direction Achats
Le Prestataire peut proposer des fonctionnalités/mécanismes supplémentaires ou équivalent tout en

respectant les dispositions des référentiels et cadres réglementaires cités dans le présent marché.
- Solution de signature / parapheur électronique :
L’objectif principal derrière la mise en place de cette solution, est de répondre aux besoins grandissant
de nos clients de la dématérialisation des processus en intégrant la signature électronique. Donc,
l’objectif à travers cette partie est de fournir une solution avec un moteur de workflow convivial en
respectant au minimum les exigences suivantes :
• Haute disponibilité ;
• Cloisonnement à plusieurs niveaux ;
• Les moteurs de Workflow et de signature doivent être riche, paramétrable et avec de grande
faculté d’interopérabilité ;
• Sécurité ;
• Conformité.
- La solution de signature électronique proposée permettra aux utilisateurs de signer des documents
électroniques en ligne pour entreprendre des actions de n’importe où et sur n’importe quel appareil ;
- La solution de signature électronique proposée doit être implémentée en respectant les exigences de la
loi 43.20 ;
- La solution proposée doit supporter les standards des services web, car elle est sensée s’interfacer avec
des SIs des clients de BAM. Cet interfaçage doit se faire d’une façon simple avec les SIs opérant des
clients supportant les standards des Web services ;
- La solution doit être capable de prendre en charge plusieurs clients avec plusieurs département et
utilisateurs, avec des profils/rôles variables dans le processus métier ;
- BAM doit avoir le plein contrôle du fonctionnement de la solution proposée après son déploiement. La
solution doit permettre à chaque client de la plateforme de gérer ses activités opérationnelles régulières
telles que l’ajout de nouveaux clients utilisateurs, la gestion des droits des utilisateurs, la création de
départements et de groupes d’utilisateurs. L’ajout de flux de documents devraient être effectuées par les
utilisateurs habilités de chaque client ;
- Le Prestataire doit fournir des services d’installation et de configuration initiales du produit, avec des
briques dédiées aux services de validation et de préservation des signatures/cachets électroniques et des
certificats relatifs à ces services.
ARTICLE 2.4 : SPÉCIFICATIONS TECHNIQUES
2.4.1 – SPÉCIFICATIONS TECHNIQUES OBLIGATOIRES :
2.4.1.1- SPÉCIFICATIONS TECHNIQUES POUR LES SERVICES DE CERTIFICATION :
Pour les services de confiance, la mise en place des solutions se portera sur l’ensemble des volets
(technique, organisationnel, opérationnel, documentaire, procédurale, Sécurité, …) pour
l’opérationnalisation efficiente des différents services de confiances. Elle doit tenir compte
principalement des exigences du présent marché et les éléments qui seront élaborés dans les ateliers de
cadrage.
BARID AL-MAGHRIB
Direction Achats
- Spécifications techniques générales de la solution :
ID Spécifications techniques
Spécifications générales
1. Mise en service d’une solution PKI complète : matériel, logiciel, politiques (Certification, Horodatage, signatures
électronique, …), services professionnels aux clients …
2. Solution scalable et évolutive.
3. Une solution qui fournit une approche globale de la gestion des risques dans les transactions numériques en
combinant la politique, le cadre juridique, les opérations et la technologie.
4. La solution est capable d’assurer des services disponibles 24 heures x 365 jours. Si une maintenance planifiée est
requise, la solution doit s'exécuter via l’un des nœuds du cluster pendant que la maintenance s’exécute sur l’autre
nœud.
5. La solution garantit une haute disponibilité pouvant fonctionner en cas de panne matérielle/logicielle, que ce soit
sur le site de production ou celui du backup.
6. La solution fournit un service en haute disponibilité en mode actif-actif à équilibrage de charge.
7. Capacité du Prestataire à fournir un support/soutien cost-effective pour répondre aux éventuels besoins futurs de
business ou de conformité.
8. La solution doit être conforme globalement tant sur le plan technique que juridique (Loi 43.20, Décrets, …).
9. Pour maximiser le retour sur investissement de BAM, le Prestataire doit recommander une consolidation des
ressources matérielles pour faire fonctionner le système, sans compromettre sa conformité, sa fiabilité, sa haute
disponibilité et ses performances.
Opérationnel, Juridique, Normes & Conformité
10. Le type et la force de l'algorithme pour la clé de signature de l'autorité de certification racine seront configurables
et doivent actuellement prendre en charge un minimum de 4096 et 6144 bits, avec la possibilité d'utiliser des
forces de clé plus élevées conformément aux normes approuvées (exemple Cryptographie sur courbes elliptiques
ECC).
11. Le type et la force de l'algorithme pour la clé de signature de la politique, de l'autorité de certification
subordonnée seront configurables et doivent actuellement prendre en charge un minimum de RSA 4096 bits et la
possibilité d'utiliser des forces de clé plus élevées conformément aux normes approuvées.
12. Le type d'algorithme et la force de la clé de signature privée des certificats (utilisateur, pour cachet serveur, …)
doivent être configurables et prendre en charge un minimum de RSA 2048 bits actuellement et la possibilité
d'utiliser des forces de clé plus élevées conformément aux normes approuvées.
13. Le type d'algorithme et la force de la clé de signature du répondeur OCSP seront configurables et accepteront
actuellement un minimum de RSA 2048 bits et la possibilité d'utiliser des forces de clé plus élevées
conformément aux normes approuvées.
14. Le type et la force des algorithmes pour le hachage seront au minimum SHA-2 et seront adaptés et configurables,
avec la possibilité d'utiliser des forces de clé plus élevées conformément aux normes approuvées.
Durée de vie des clés et des certificats
15. Les durées de vie de toutes les clés et certificats doivent être configurables et répondre aux exigences de durée de
vie minimale pour un fonctionnement approprié.
16. La durée de vie du certificat pour les nouveaux certificats doit être configurable.
Génération et stockage de clés
17. Algorithme de génération de la clé de signature d’AC devrait être conforme au minimum à ETSI TS 119 312.
18. Les clés de signature des ACs doivent être stockés dans un HSM certifié au minimum EAL 4+ augmenté par les
profils de protection correspondants. Le HSM sera soumis à des contrôles d'accès pour s'assurer que seul le
personnel ayant l'autorité appropriée peut accéder au module et au contenu.
19. L'AC conservera le contrôle de la clé de signature de l'AC pendant la génération. Cela se déroulera dans un
emplacement physique sécurisé à l'aide de modules cryptographiques conformes et sera soumis à au moins un
double contrôle.
20. Une seule clé racine CA doit être stockée dans une seule partition HSM/HSM (Au minimum une seule AC Racine
avec son backup)
21. Le système doit être résilient aux défaillances de tout ou partie des composants individuels.
22. La clé racine hors ligne doit pouvoir être déplacée en toute sécurité d'un endroit à un autre sur instruction de
Barid eSign en cas de besoin et conformément aux engagements avec l’Autorité Nationale.
Installations d'essais
23. Le Prestataire devra proposer une plateforme PKI de test/préproduction similaire à la plateforme de production
(sans la haute disponibilité) pour ACs, LDAP, HSM, OCSP, TSA, …
24. BAM doit avoir la possibilité de tester toutes les mises à niveau logicielles/matérielles avant qu'elles ne soient
promues dans un environnement réel.
BARID AL-MAGHRIB
Direction Achats
25. Le Prestataire guidera BAM sur les impacts opérationnels ou utilisateur de tout nouveau logiciel et les domaines
nécessitant des tests d'acceptation par l'utilisateur (UAT).
Fiabilité et disponibilité
26. Le système prendra en charge l'automatisation et la gestion des interfaçages avec d'autres systèmes avec lesquels
il échange des données.
27. Le système devrait avoir une disponibilité de 99,9 % sur une base annuelle.
Performance
28. Le système fournira des performances entièrement évolutives capables de répondre aux prévisions de volumes
d'utilisateurs. La technologie ainsi que la solution fournie doivent être évolutives pour répondre aux exigences du
futur et elles doivent être suffisamment flexibles pour absorber les nouveaux développements avec un
remplacement minimal de composants.
29. Le système comporte des outils de monitoring et de diagnostic.
30. Les configurations matérielles/logicielles seront évolutives dans un environnement virtualisé (comme
l'environnement VMware).
Standards
Algorithmes asymétrique (au minimum)
31. Prise en charge de RSA (2048, 4096, 6144).
32. Prise en charge de DSA (2048, 4096).
33. Prise en charge de ECC (224, 256, 384).
Algorithmes de signature numérique
34. Prise en charge de DSA conformément à la norme de signature numérique, IEEE P1363 et ISO/IEC 14888-3.
35. Prise en charge de ECDSA conformément à ANSI X9.62, IEEE P1363, ISO/IEC 14888-3.
36. Prise en charge de RSA conformément à la spécification des normes cryptographiques à clé publique (PKCS)
PKCS#1 Version 2.0, IEEE P1363 et ISO/IEC 14888-3.
Fonctions de hachage à sens unique
37. Support au minimum SHA-2.
Algorithmes d'échange de clés
38. Prise en charge de l’échange de clé Elliptic Curve Diffie-Hellman (ECDH) selon plusieurs normes/standards
(exemple : ANSI X9.63, NIST SP 800-56A, …).
39. Prise en charge des dernières versions SSL et TLS.
Techniques d'intégrité symétrique
40. Prise en charge MAC conformément à ANSI X9.19 et autres.
BARID AL-MAGHRIB
Direction Achats
- Spécifications techniques des principales composantes de la solution :
1. Autorité de certification racine (AC racine)
41. L'autorité de certification racine doit fonctionner sur une architecture dédiée (serveur, HSM, ...).
42. L'autorité de certification racine doit être maintenue hors ligne.
43. La solution doit prendre en charge plusieurs systèmes d'exploitation (OSs) tels que Windows, Linux (Redhat, ou
autre, …) sous les versions récentes et supportées par leurs éditeurs respectives.
Le Prestataire s’engage à assurer les migrations, en cas de besoin (Conformité, Sécurité, …), vers une éventuelle
évolution des OSs utilisés.
L'administration de la politique de sécurité doit être cohérente sur toutes les plateformes.
44. La solution doit prendre en charge différentes plates-formes de système d'exploitation.
45. Le certificat de l'autorité de certification racine doit être un certificat X.509 version 3 auto-signé conformément à
la RFC 5280 et éventuellement ses mises à jour si c’est nécessaire.
46. Les clés privées de l'autorité de certification racine doivent être cryptées et prendre en charge le module de
sécurité matérielle pour le stockage et l'utilisation de la clé privée de signature de l'autorité de certification. Le
HSM doit avoir au minimum la validation critères communs EAL4+ Protection Profil. (Une certification selon
FIPS serait un plus souhaité).
47. L'accès à la clé privée de l'AC racine doit nécessiter plusieurs autorisations et des mesures de sécurité strictes.
48. L'administrateur de l'AC racine ne sera autorisé à exécuter diverses tâches sur le serveur de l'AC racine qu'après
une authentification stricte et l'obtention de plusieurs autorisations.
49. La clé de l’AC racine doit avoir une longueur de 2048/4096/6144 bits au minimum.
50. Les certificats émis par l'autorité de certification racine doivent être des certificats X.509 version 3 conformément
à la RFC 5280 et éventuellement ses mises à jour si c’est nécessaire.
51. Il devrait y avoir des procédures testées en place pour traiter la révocation de la clé de l'autorité de certification
racine et toutes les actions associées.
2. Autorités de certification intermédiaire (ou de politique)
52. La ou les Autorités de certification de politique (Intermédiaire ou Niveau -1) doivent s'exécuter sur une
architecture dédiée.
53. L'AC de politique doit être conservée hors ligne.
54. L'autorité de certification de politique doit avoir la capacité d'émettre des certificats conformes à la version 3 de
X.509 V3.
55. L'autorité de certification de politique doit prendre en charge toutes les extensions de certificat X.509 standard.
56. L'autorité de certification de politique doit permettre d'émettre des listes de révocation de certificats (CRL)
conformes à la version 2 de X.509.
57. La solution doit prendre en charge différents systèmes d'exploitation (OSs) tels que Windows, Linux (Redhat, …)
sous les versions récentes et supportées par leurs éditeurs respectives.
58. L'autorité de certification de politique doit prendre en charge les algorithmes ECC, RSA et DSA pour la signature
numérique des certificats.
59. La clé de l'autorité de certification de politique doit avoir une longueur minimale de 2048/4096 bits.
60. L'AC de politique doit prendre en charge l'émission de certificats des ACs subordonnées.
61. L'autorité de certification de politique doit être en mesure de générer et de publier une liste de révocation de
certificats mise à jour dans un référentiel de certificats immédiatement après la révocation d'un certificat.
62. Les clés privées de l'AC de politique doivent être chiffrées et stockées dans un HSM qui doit avoir au minimum
la validation critères communs EAL4+ augmenté par les profils de protection correspondants. (Une certification
selon FIPS serait un plus).
63. L'administrateur de l'AC de politique ne sera autorisé à exécuter diverses tâches sur le serveur de l'AC
subordonnée qu'après une authentification stricte et l'obtention de plusieurs autorisations selon les politiques qui
seront mises en place.
64. L'accès d’administration de l'autorité de certification de politique doit utiliser un accès M sur N à clé partagée
pour effectuer toutes les opérations cryptographiques.
65. L'AC de politique doit prendre en charge les rôles pour la séparation et la délégation des fonctions administratives
privilégiées.
3. Autorité de certification subordonnée (AC subordonnée) - AC émettrice
66. Les CA subordonnées doivent fonctionner sur un matériel dédié conservé dans un environnement hautement
sécurisé.
67. Les AC subordonnées doivent être maintenues en ligne.
BARID AL-MAGHRIB
Direction Achats
68. L'AC subordonnée doit être accessible uniquement par des agents d'AC limités qui doivent être authentifiés à
l'aide de cartes à puce ou de jetons, avec l'application de plusieurs autorisations et de mesures de sécurité strictes.
69. La base de données de l'autorité de certification émettrice et les autres logiciels requis doivent être sauvegardés de
manière sécurisée et efficace.
70. Le certificat de l’AC émettrice doit être un certificat X.509 version 3 conformément à la RFC 5280 et
éventuellement ses mises à jour si c’est nécessaire signé par la CA racine.
71. Les clés privées de l'AC subordonnée doivent être chiffrées et stockées dans un HSM qui doit avoir au minimum
la validation critères communs EAL4+ augmenté par les profils de protection correspondants. (Une
certification selon FIPS serait un plus souhaité).
72. L'administrateur de l'AC subordonnée ne sera autorisé à exécuter diverses tâches sur le serveur de l'AC
subordonnée qu'après une authentification stricte et l'obtention de plusieurs autorisations.
73. La clé de CA subordonnée doit avoir une longueur de 2048/4096 bits au minimum.
74. Les ACs émettrices (ou subordonnées) doivent prendre en charge l'émission de plusieurs types de certificats (par
exemple, certificats d'authentification, de signature de cachet de signature, de chiffrement, d’authentification de
sites web, …).
75. L'AC Subordonnée prendra en charge la génération on-token (sur cartes à puce et clés USB) et off-token (hors
cartes à puce et clés USB) des clés privées de déchiffrement de l'Abonné.
76. Les certificats émis par l'AC subordonnée doivent être des certificats X.509 version 3 conformément à la RFC
5280 (Certificat d'infrastructure à clé publique Internet X.509 et profil CRL) et éventuellement ses mises à jour si
c’est nécessaire.
77. L'AC Subordonnée publiera les certificats de l'Abonné dans le référentiel et mettra à jour les services de
validation lors de l'émission des certificats.
78. L'AC Subordonnée déclarera les certificats de l'Abonné comme invalides ou révoqués et mettra à jour les services
de validation lors de la révocation des certificats.
79. L'AC subordonnée doit supporter la certification des ACs subordonnées (ACs déléguées) et procéder à la
certification croisée avec d'autres AC.
80. L'AC subordonnée doit prendre en charge la séparation des rôles et appliquer un double contrôle sur les fonctions
d’administrations sensibles.
81. L'autorité de certification subordonnée doit supporter plusieurs autorités d'enregistrement et AEDs.
82. L'AC subordonnée doit certifier les clés sur demande uniquement des AEs autorisées.
83. Les opérations de l'autorité de certification subordonnée doivent être limitées par des politiques définies par
l’Autorité Nationale.
84. La solution doit prendre en charge différents systèmes d'exploitation (OSs) tels que Windows, Linux (Redhat, …)
sous les versions récentes et supportées par leurs éditeurs respectives.
4. Autorité d'enregistrement (AE) ou AED
NB. Dans ce paragraphe les exigences pour vont concerner les AEs et/ou les AEDs ou les deux selon le cas
Généralité
85. Les AEs doivent être certifiées par l'AC correspondante et doivent prendre en charge la réduction des droits
d'accès pour l'opération conformément à la PC correspondante.
86. L'AE doit être conçue et mise en œuvre pour prendre en charge l'exécution de certaines fonctions de gestion du
cycle de vie des clés/certificats, telles que le lancement d'une demande de révocation/suspension ou une opération
de récupération de clé au nom de l'Abonné.
87. L’AE doit être conçue et mise en œuvre pour garantir que toutes les communications entre l’AE et les autres
composants PKI soient cryptées. Toutes ses communications seront signées numériquement avec la clé de
signature privée de l'AE. Ces demandes doivent être conformes aux normes afférentes.
88. L'AE doit pouvoir s'exécuter sur différentes plates-formes ou systèmes d'exploitation, pour permettre le
déploiement sur les différentes AC.
5. Sauvegarde des clés
89. Les clés de signature privées des abonnés ne seront pas sauvegardées.
90. Le service de sauvegarde doit permettre les fonctionnalités suivantes :
• Stocker en toute sécurité les certificats actifs et la clé privée de déchiffrement ;
• Récupérez en toute sécurité les certificats perdus ou corrompus et la clé privée de déchiffrement.
91. La solution PKI doit garantir que les ACs sauvegardent les certificats actifs et les clés de déchiffrement dans le
cadre du processus d'émission.
6. Les référentiels
BARID AL-MAGHRIB
Direction Achats
92. Les référentiels doivent être utilisés pour rendre les informations PKI disponibles. Voici des exemples
d'informations PKI à contenir dans les référentiels :
• Certificats numériques des utilisateurs ;
• Les parties de confiance ;
• Les autorités de certification ;
• Listes de révocation de certificats (CRL) ;
• Listes de révocation d'autorité (ARL) ;
• …
93. Les référentiels doivent être dans une architecture HA/DR à l’instar de l’ensemble des composants en ligne.
94. Chaque AC doit disposer d'un référentiel pour ses certificats et CRL générés.
95. Le service d'annuaire hébergeant le référentiel doit être conforme à l'ensemble des normes d'annuaire LDAP v3
pour les services d'annuaire et hébergerait un annuaire basé sur LDAP.
96. Il doit y avoir deux types de référentiels : Protégé et Public. Les référentiels protégés ne seront accessibles qu'aux
composants PKI de BAM, contenant toutes les informations destinées à un usage public en plus des informations
exclusives destinées à un usage interne.
97. Les référentiels publics seront accessibles par les parties utilisatrices et les abonnés conformément aux PCs des
ACs émettrices. Ils contiennent une copie des informations destinées à un usage public et reproduisent les
données avec les référentiels privés correspondants au moyen d'un shadowing (X500).
98. Pour les exigences de haute disponibilité, de tolérance aux pannes et d'équilibrage de charge, les serveurs du
référentiel doivent être équilibrés en charge via l'utilisation d'un équilibreur de charge sensible à la session.
99. Des mesures de sécurité appropriées doivent être activées pour les serveurs de référentiel, telles que la prise en
charge de la communication sécurisée et l'application des contrôles d'accès.
100. Le référentiel doit prendre en charge la surveillance à distance au niveau de l'application (par exemple, SYSLOG,
SNMP, …).
101. Le référentiel doit permettre d’auditer les actions administratives.
7. Services de validation
102. Le service de validation doit prendre en charge au minimum les éléments suivants :
• CRL (Voir sa liste des conformités ci-dessous) ;
• OCSP (Voir sa liste des conformités ci-dessous).
Certificate Revocation List (CRL)
103. Les CRL doivent être, au minimum, accessibles via des protocoles tels que : LDAP, LDAPS, HTTPS, HTTP.
104. Les listes de révocation de certificats peuvent résider sur un serveur d'annuaire distinct ou faire partie d'un serveur
de référentiel.
105. La solution doit avoir un mécanisme de gestion des CRLs permettant une exploitation optimale des CRLs. Ceci
est essentiel pour optimiser l’exploitation et le temps de réponse des services tiers internes et externe (Exemple :
l’OCSP, Adobe, Applications clients, …).
106. Le profil CRL doit être conforme au profil X.509 CRL v2 et aux extensions CRL X.509 v3 qui sont spécifiées par
la RFC 5280 et éventuellement ses mises à jour si c’est nécessaire.
107. La mise à jour de la liste CRL doit être configurée pour minimiser le délai entre la révocation effective du
certificat et la publication de la révocation.
108. Les CRL doivent être signées par les ACs correspondantes.
109. La publication manuelle des informations de révocation ainsi que la possibilité d'automatiser l'émission des CRL
doivent être prises en charge.
110. La mise en cache des CRL avec des vérifications de mise à jour appropriées doit être prise en charge.
Online Certificate Status Protocol (OCSP)
111. Un répondeur OCSP de confiance doit être utilisé pour traiter les demandes d'informations de vérification et
d'état.
112. Le répondeur OCSP doit répondre aux demandes via le protocole OCSP conformément à la RFC 6960 et
éventuellement ses mises à jour si c’est nécessaire.
113. La validation OCSP mise en œuvre dans la solution PKI doit prendre en charge la signature numérique des
demandes et/ou réponses OCSP.
114. Les réponses OCSP doivent être signées par la clé de l'un des éléments suivants :
• L'AC qui a émis le certificat en question ;
• Répondeur autorisé par AC qui détient un certificat spécialement marqué délivré directement par l’AC
indiquant que le répondeur est digne de confiance pour émettre des réponses OCSP pour cette AC.
115. Les messages de demande et de réponse OCSP doivent être correctement structurés et traités conformément à la
RFC 6960 et éventuellement ses mises à jour. De plus, les messages d'erreur doivent être traités efficacement
pour éviter les réponses fictives conformément à la RFC 6960 et éventuellement ses mises à jour si c’est
nécessaire.
116. Les réponses OCSP doivent également contenir des informations appropriées sur l'horodatage conformément à la
RFC 6960 et éventuellement ses mises à jour si c’est nécessaire.
BARID AL-MAGHRIB
Direction Achats
117. La demande OCSP doit contenir au minimum le nom de l'AC, le numéro de série du certificat et le numéro de
version du protocole et la réponse doit contenir au minimum les informations d'état du certificat, la période de
validité des informations, l'identifiant du certificat et les informations d'horodatage.
118. Les services OCSP seront protégés contre l'accès par du personnel non autorisé (exemple : une attaque DDoS,
…).
119. L'OCSP doit avoir la capacité de maintenir des journaux d'audit détaillés qui enregistrent des informations telles
que les demandes de validation, les réponses de validation, les exceptions ou les erreurs et les actions
administratives.
120. L'autorité de validation doit exiger une authentification forte (c'est-à-dire cryptographique) d'un opérateur avant
d'autoriser l'exécution de fonctions privilégiées.
121. Toutes les interfaces basées sur un navigateur dans l'autorité de validation doivent prendre en charge les
navigateurs standard actuels, avec la capacité de s'adapter aux futures technologies de navigateur.
122. L'autorité de validation doit prendre en charge la surveillance à distance au niveau de l'application (par exemple
SNMP, MIB, …).
123. Le répondeur OCSP doit supporter la vérification de statut des certificats en temps réel (realtime CRL database
checking).
124. Le répondeur OCSP doit offrir un mécanisme d’authentification forte basé sur les tokens pour une
administration sécurisée.
8. Application Program Interfaces (APIs)
125. Des API doivent être fournies avec la solution pour faciliter l’intégration PKI dans diverses applications.
126. Les API s’intègrent de manière transparente à la solution PKI et aux applications installées sur le système cible.
127. Les API doivent prendre en charge les standards des services web REST ou SAOP.
9. Services d’horodatage (Time Stamping Services)
128. Les fonctionnalités d’horodatage offertes par le service d’horodatage comprennent l’horodatage de la date et de
l’heure locales ainsi que l’horodatage de l’heure universelle ou de la différence entre l’heure locale et l’heure
universelle.
129. Le service d’horodatage doit être hautement disponible (HA/DR).
130. Les réponses du TSA doivent être signées par le TSA.
131. Le TSA doit utiliser une source de temps digne de confiance (Dans notre cas serait les serveurs NTP fournis dans
le cadre de cet AO).
132. Le TSA doit inclure une valeur temporelle fiable pour chaque jeton d’horodatage.
133. Le TSA doit inclure un entier unique pour chaque jeton d’horodatage nouvellement généré.
134. Le TSA doit produire un jeton d’horodatage à la réception d’une demande valide du demandeur.
135. La TSA ne doit horodater qu’une représentation de hachage des données hachées par une fonction de hachage
unidirectionnelle résistante aux collisions et identifiée de manière unique par un OID.
136. Les opérations TSA doivent être conformes à la RFC 3161.
137. Le service TSA doit offrir nativement un mécanisme d’authentification forte base sur les tokens pour une
administration sécurisée.
138. Le service TSA doit supporter la séparation des rôles et permissions.
139. Le service TSA doit supporter le double contrôle pour les opérations critiques.
140. Le service TSA doit supporter l’autoarchivage sécurisé des journaux de la base de données.
141. Mode d’accès au service d’horodatage possible en http et en https.
142. Possibilité de limiter le nombre des jetons à consommer par un client /application.
143. Disposer des reporting des consommations par client par dates et intervalles de temps exportables en format CSV
et PDF.
10. Object Identifiers (OIDs)
144. Les OID doivent être utilisés à partir de l'arc OID alloué par l'autorité d'enregistrement des OID de BAM (Barid
eSign).
11. Hardware Security Module (HSM)
145. Les HSMs doivent être connectés aux AC et aux CA de politique/émettrice pour sécuriser les clés privées de l'AC
et les opérations cryptographiques. Ces connexions doivent être effectuer dans la conformité totale des exigences
du régulateur et des spécifications du présent marché.
146. Les HSM doivent être des entités physiquement séparées qui doivent communiquer avec les composants PKI de
manière sécurisée.
147. Les HSMs proposés doivent permettre au minimum 400 signatures par seconde avec une clé RSA d’une longueur
de 2048 bits.
148. Les HSM doivent utiliser des API conçues spécifiquement pour les opérations cryptographiques, telles que
PKCS#11, CNG, Java JCE et Open SSL.
149. Des mesures strictes de sécurité, d'authenticité et de confidentialité des applications doivent être prises lors de la
communication entre les ACs et leurs HSM pour éviter les vulnérabilités ou qu’ils soient compromis.
150. La génération de la clé privée doit être effectuée exclusivement dans les limites sécurisées du HSM.
151. Les clés privées doivent être stockées à tout moment dans le HSM pour assurer leur sécurité et leur intégrité.
BARID AL-MAGHRIB
Direction Achats
152. Les clés privées doivent être sauvegardées directement via les HSM.
153. Toutes les opérations de signature et de chiffrement de certificat par les ACs doivent être effectuées
exclusivement au sein des HSM.
154. Les HSM doivent fournir les fonctions de répartition de charges « Load balancing capability » (La synchronisation
des clés HSM doit être automatique).
155. Le HSM disposera d’un système d’authentification n parmi m pour les fonctions de création, suppression et
export de clés.
Lorsqu’il est en ligne, l’utilisation de certaines clés pourra être réalisée via une authentification simple (AC «
filles » par exemple).
156. Les clés stockées dans le Hardware Security Module devront pouvoir être conservées pour une durée minimum
de 40 ans.
157. Possibilité d'administrer d'une manière sécurisée les HSM localement ou à distance incluant le M of N.
158. Une application & interface d’administration graphique et ergonomique doit être fournie pour administrer les
HSM.
12. Multi-langue
159. La solution doit supporter l’UTF-8.
13. Network Time Servers
160. Plusieurs serveurs de temps doivent être situés dans le centre de données de la PKI.
161. Les serveurs de temps doivent être utilisés doivent fonctionner comme des serveurs NTP et s'adapter à SNTP
conformément à la RFC 5905.
162. L'heure doit être offerte au format UTC.
163. Les formats des messages échangés entre les clients et les serveurs doivent être conformes à la RFC 5905 pour la
communication basée sur NTP et à la RFC 5905 pour la communication basée sur SNTP.
14. Logging
164. Le système de journalisation doit prendre en charge la génération de divers rapports et doit fournir les
informations nécessaires pour auditer les opérations telles que décrites dans la RFC 3647.
165. Le système de journalisation doit contenir, au minimum, un historique de :
- Provisionnement des comptes administrateur ;
- Provisionnement du compte utilisateur ;
- Abonnés et AC Clés/Certificats Opérations du cycle de vie ;
- Abonnés et AC clés/certificats cycle de vie des opérations autorisations Sauvegarde / Restauration ;
- Activités des administrateurs, authentification et tentatives de connexion infructueuses ;
- Tentatives d'accès non autorisées ;
- Opérations de validation ;
- Opérations d'accès aux répertoires/référentiels ;
- Opérations PKI (chiffrement, signature, authentification) ;
- Accès aux clés/certificats à l'aide de la fonction de sauvegarde/archivage
- Accès aux clés/certificats à l'aide de la fonction d'entiercement ;
- Utilisation des clés des ACs ;
- Accès aux clés stockées sur les HSM ou d'autres types de supports ;
- Utilisation des HSM ;
- Opérations de certification croisée ;
- Informations sur la demande de certificat.
Le Prestataire s’engage à inclure d’autres logs si ceci sera exigé par le régulateur ;
Pour les éventuels logs supplémentaires qui peuvent être demandée par BAM, ils seront discutés et validés en
commun accord avec le Prestataire en validant l’ensemble des modalités (échéances, charge, …).
166. Chaque entrée de journal doit contenir au minimum les éléments suivants :
- Date et heure de l'entrée ;
- Numéro de série ou de séquence de l'entrée ;
- Composant générant l'entrée ;
- Source de l'entrée (utilisateur, port, terminal, etc.) ;
-…
167. . Les journaux d'audit doivent être infalsifiables et cryptés.
16. Intégration
168. La solution proposée doit se composer des logiciels standards et transparents qui seront facilement interfaçable
avec les applications BAM existantes et avec un effort de développement ou de configuration minimale.
169. Lors de la mise en œuvre/configuration des AC émettrices, elles doivent être intégrées à l'infrastructure
informatique existante, mais principalement au workflow https://online.baridesign.ma.
BARID AL-MAGHRIB
Direction Achats
2.4.1.2- SPÉCIFICATIONS TECHNIQUES POUR LES SERVICES AUTOUR DE LA

SIGNATURE :
La plateforme de signature et de workflow de signature doit respecter au minimum les exigences

suivants :
17. Exigences de sécurité
170. La solution proposée doit fournir un système d’accès sécurisé basé sur les rôles. Ce système doit aussi flexible,
audité et précis.
171. La solution doit être complétement cloisonnée avec la prise en charge de plusieurs niveaux d'autorisations pour
empêcher les clients, des départements et des groupes d'utilisateurs distincts d'accéder aux données et aux
processus métier des uns et des autres.
172. Le client doit être en mesure de proposer plusieurs options d'authentification pour authentifier la ou les personnes
distantes qui signent le document. Les options disponibles doivent inclure l'e-mail, le mot de passe AD, le code
PIN, le certificat numérique, les protocoles d'authentification tiers, le secret partagé, l'authentification par SMS
OTP, la signature numérisée, l'authentification d'identité Web tierce, l'authentification basée sur les connaissances
et le service de confirmation d'identité tiers (Notamment celui de la DGSN via OpenID Connect).
173. La modification ou la falsification d'un document signé électroniquement devrait invalider l'authenticité du
document et des signatures. Lors de la visualisation d'un document modifié, il doit être clairement marqué comme
étant invalide.
174. La solution doit s'assurer que les données et les dossiers sont toujours protégés contre tout accès non autorisé.
Cela inclura toute personne qui peut avoir accès aux systèmes qui stockent ou transportent les données.
175. Toutes les opérations et communications de la solution de signature électronique doivent respecter les normes de
sécurité et les meilleures pratiques de l'industrie (Ex. rfc8446, …). La solution proposée ne devrait pas présenter
de risque de sécurité ou opérationnel pour BAM et ses clients utilisateurs de plateforme.
18. Exigences de sécurité liées à la nature cloud de la solution
176. Le Prestataire doit, à l’instar de la plateforme PKI, installer la solution de signature/Workflow de signature dans
une architecture HA (actif-actif) / DR (sur site de backup de BAM). Il doit aussi fournir un plan de reprise après
sinistre et de sécurité de l'information incluant la réplication sur le site de backup.
177. Toutes les informations (données et processus sous-jacents) doivent rester dans les datacenters de BAM (site
principal et backup). Aucune données ou information ne doit transiter ou être traitée par un module externe.
178. Toutes les données (en transit et au repos) doivent être cryptées selon les normes de l'industrie.
19. Exigences d'intégration et de compatibilité
179. La solution doit être parfaitement intégrée avec la PKI et le Portail des services de confiances. Toutes les
interactions/interfaçages doivent être conforme en termes de sécurité et selon les dispositions de la loi 43.20 et les
exigences de l’Autorité Nationale.
180. La solution proposée doit fournir des APIs et doit supporter les standards des services web pour que BAM puisse
créer des fonctionnalités supplémentaires et pour interfacer la solution avec d’autres systèmes opérants
(Commercial, référentiels de données, …).
181. La solution doit permettre l'exportation de documents signés vers une autre plateforme dédiée à l’archivage
électronique (légal et/ou à long terme) via des webservices tout en garantissant l’intégrité, la confidentialité et la
sécurité.
182. La solution doit être capable de s’interfacer, à travers des APIs, de s’interfacer avec les SIs (CRM, …) des clients
de BAM en garantissant l’intégrité, la confidentialité et la sécurité.
183. La solution proposée doit supporter la communication (dans les deux sens) des informations nécessaires au SI
commercial de BAM (gestion des contrats et de facturation) pour la gestion de la facturation. La solution doit
aussi permettre l’extraction de ces données sur des fichiers standards (EX : XML, csv, json, …). Un petit module
de gestion de la facturation dans la solution, serait vivement souhaitable.
184. La solution doit supporter le traitement de la signature des documents PDF en garantissant les caractéristiques et
les fonctions suivantes :
- Signatures visibles ;
- Différents niveaux de certification ;
- Demande et intégration de réponses d'horodatage ;
- Demande et intégration de CRLs ;
- Demander et intégrer des réponses OCSP ;
- …
BARID AL-MAGHRIB
Direction Achats
185. Format de signatures
- XML (XMLdSig)
- XAdES (XAdES-BES and XAdES-T)
- PADES
- CMS/PKCS#7
- CMS signing avec support de l’Horodatage ;
- …
20. Exigences techniques et standards
186. La solution proposée doit supporter le relookage de l’image (rebranding).
187. Au-delà de la signature, la solution proposée doit aussi inclure le rôle de quelqu'un qui doit approuver.
188. La solution proposée doit offrir la possibilité de sauvegarder et réutiliser des scenarios de workflows.
189. La solution proposée doit offrir la possibilité d’envoyer des messages individuels destinés à chaque intervenant
dans le workflow avec la possibilité d’utilisation des Templates d’emails au format HTML.
190. La solution proposée doit offrir la possibilité de rajouter un mot de passe à un document avant son ouverture.
BARID AL-MAGHRIB
Direction Achats
2.4.2 – SPÉCIFICATIONS TECHNIQUES COMPLÉMENTAIRES :

2.4.2.1- SPÉCIFICATIONS TECHNIQUES POUR LES SERVICES DE CERTIFICATION :
- Spécifications techniques générales de la solution :
Opérationnel, Juridique, Normes & Conformité
191. L’éditeur possède une politique cryptographique post-quantique.
Génération et stockage de clés
192. Les autorités de certifications sont certifiées EAL 4+
193. Les autorités de certifications sont certifiées selon FIPS niveau 3
194. Les clés de signature des ACs sont stockés dans un HSM certifié selon FIPS niveau 3
Standards
Fonctions de hachage à sens unique
195. Prise en charge des fonctions de hachage SHA-224, SHA-256, SHA-384 et SHA-512 conformément à
plusieurs normes (FIPS 180-2, FIPS 180-3, ANSI X9.30 Part 2, …).
Algorithmes d'échange de clés
196. Prise en charge de l'authentification SPKM (Simple Public-Key GSS-API Mechanism) et de l'accord de clé
conformément à RFC 2025, ISO/IEC 9798-3, …
197. Prise en charge du transfert de clé RSA conformément aux RFC 1421 et RFC 1423 (PEM), PKCS#1 Version 2.0
et IEEE P1363.
Techniques d'intégrité symétrique
198. Prise en charge de HMAC conformément à la RFC 2104 et FIPS 198-1, …
Générateur de nombres pseudo-aléatoires
199. Générateur de nombres pseudo-aléatoires conformément à ANSI X9.17 et FIPS 186-3.
200. Générateur d'aléa déterministe :
Support de plusieurs normes/standards. Exemple (SP800-90A, ISO18031, …).
BARID AL-MAGHRIB
Direction Achats
- Spécifications techniques des principales composantes de la solution :
1. Autorité de certification racine (AC racine)
201. Prise en charge des SGBDs ci-dessous :
- PostgreSQL
- Microsoft SQL
- Oracle
Le choix de la base de données sera fixé durant les ateliers d’ingénierie.
202. L'AC racine effectue ses opérations conformément à la RFC 4210 et éventuellement ses mises à jour si c’est
nécessaire.
2. Autorités de certification intermédiaire (ou de politique)
203. Prise en charge des SGBDs ci-dessous :
- Postgres
- Microsoft SQL
- Oracle
3. Autorité de certification subordonnée (AC subordonnée) - AC émettrice
204. Une AC émettrice prend en charge plusieurs modèles (ex : une paire de clés, deux paires de clés et troispaires
de clés, …).
205. L'AC Subordonnée validera les demandes envoyées par les AEs avant de prendre des mesures ultérieures (ex.
émission de certificats, révocation de certificats). Par exemple, l'AC s'assure que les demandes ont été
envoyées par l’AE et non par quelqu'un d'autre.
206. L'autorité de certification subordonnée est capable de générer plusieurs types de certificats sous une seule
politique et action d'enregistrement.
207. L'autorité de certification subordonnée prend en charge la possibilité de définir des extensionspersonnalisées
de certificat.
208. La solution d'autorité de certification subordonnée prend en charge différentes plates-formes de système
d'exploitation. Les solutions basées sur l’Appliance ne sont pas préférées étant donné que le client peut utiliser
son matériel / système d'exploitation existant et également pour plus de flexibilité.
209. Prise en charge les bases de données suivantes :
- PostgreSQL
- Microsoft SQL
- Oracle
4. Autorité d'enregistrement (AE) ou AED
NB. Dans ce paragraphe les exigences concernent les AEs et/ou les AEDs ou les deux selon le cas
Généralité
210. L’AE permet une flexibilité dans les certificats, pour prendre en charge les extensions de certificat. La solution
permet l'inclusion des extensions personnalisées dans les certificats émis par l'autorité de certification.
211. L'AE dispose d'une flexibilité de création du Common Name (CN) de certificat. C'est-à-dire à partir
d'informations saisies par l'utilisateur sur un formulaire HTML lors de l'inscription, ou à partir d'entrées
contenues dans un annuaire LDAP.
Gestion des utilisateurs
212. L’autorité d’enregistrement de la solution proposée est dotée d’une interface Web permettant aux administrateurs
de gérer les comptes d'utilisateurs, elle permet aux administrateurs ayant le rôle et les
autorisations appropriées de créer et de gérer des comptes d'utilisateurs, et de traiter les demandes des utilisateurs
finaux ou d'autres administrateurs.
213. Le processus AE prend en charge plusieurs méthodes d'inscription, notamment : l'inscription en ligne,
l'inscription en masse, l'inscription automatique et l'inscription en face à face.
214. Les AEs supportent deux options pour l'enregistrement des utilisateurs : la création par lots et la création
utilisateur par utilisateur.
Gestion des certificats Web et des CSRs
215. L’autorité d’enregistrement de la solution proposée propose un service Web permettant de soumettre des
demandes de certificat, télécharger des certificats et vérifier l'état des demandes en attente, ainsi que pour vérifier,
approuver et traiter les demandes de certificat en attente.
216. L’autorité d’enregistrement de la solution proposée propose une interface Web permettant aux administrateurs
de soumettre des demandes de certificats, de télécharger des certificats et de vérifier l'état des
demandes en attente.
BARID AL-MAGHRIB
Direction Achats
217. L’autorité d’enregistrement de la solution proposée fourni un mécanisme pour automatiser la notification
d'expiration et le renouvellement des certificats. Notamment pour les certificats des serveurs Web et les serveurs
VPN.
218. L’autorité d’enregistrement de la solution proposée fourni des applications d'administration basées sur le
Web qui interagissent avec une ou plusieurs AC gérées pour soumettre et traiter les demandes de signature de
certificat.
Service de gestion des dispositifs mobiles (MDM) et équipements réseaux
219. L’autorité d’enregistrement de la solution proposée offre un service Web de gestion des dispositifs mobiles
(MDM), il s’agit d’un service Web qui communique avec un produit de gestion des dispositifs mobiles.
220. L’autorité d’enregistrement de la solution proposée est dotée d’un protocole de communication PKI qui permet
aux périphériques réseau de s'inscrire dans une PKI et d'obtenir un certificat pour établir des connexions
authentifiées sécurisées avec d'autres composants du réseau. Ce service Web traite les demandes des
périphériques réseau et les soumettre à l'autorité de certification gérée pour traitement.
Fonctionnalités d’administrations
221. La solution proposée est dotée d’un client capable de faire la gestion du cycle de vie automatisée des
administrateurs de la plateforme.
Ce client offre des fonctionnalités cryptographiques de chiffrement et signature à l’administrateur.
222. Le logiciel AE permet aux administrateurs d'effectuer l'auto-enrôlement, l'auto-récupération et la gestion du
cycle de vie de leurs certificats d’une manière automatisées.
223. L'AE prend en charge la révocation/le renouvellement automatisés des certificats des administrateurs de la
plateforme.
224. L’autorité d’enregistrement de la solution proposée offre une interface Web permettant auxadministrateurs
de créer et de gérer leurs propres comptes et leurs identifiants numériques.
5. Sauvegarde des clés
225. Les abonnés ou leurs représentants autorisés pourront récupérer leur clé privée de décryptage et récupérer leurs
certificats en cas de corruption ou de perte de l'un d'entre eux.
226. Lorsqu'un certificat ou une demande de récupération de clé est émis, l'AC autorise la demande et émettre un ordre
pour récupérer la clé/le certificat demandé auprès du service de sauvegarde, et le retourner au demandeur.
227. Toutes les clés archivées d'un utilisateur (c'est-à-dire l'historique complet des clés de l'utilisateur) sont
récupérées en une seule étape sans que les utilisateurs et administrateurs n'aient à effectuer des opérations
manuelles pour chaque paire de clés récupérée.
6. Les référentiels
228. Les référentiels protégés sont conservés dans un environnement sécurisé et sauvegardés régulièrement.
229. Le logiciel d'annuaire LDAP prend en charge l'observation, le chaînage et la requête/réponse client.
230. La solution proposée prend en charge l'intégration avec un référentiel existant déjà rempli de noms et
d'attributs.
231. Le référentiel prend en charge les rôles pour la séparation et la délégation des fonctions administratives
privilégiées.
7. Services de validation
232. La solution PKI est à l'épreuve du temps et allouer un support pour les développements futurs tels que les
technologies de vérification basées sur XML (exemple : XKMS, …).
Certificate Revocation List (CRL)
233. Support des CRLs partitionnées et les CRL combinées.
Online Certificate Status Protocol (OCSP)
234. Conformité de l’OCSP à la RFC 8954 (pour réduire le risque de déni de service).
235. L'autorité de validation prend en charge la mise en miroir pour l'équilibrage de charge et la tolérance auxpannes.
236. Le Prestataire dispose des outils applications logicielles pour intégrer le processus de demande de validation de
certificat dans les applications de confiance.
237. Le répondeur OCSP prend en charge la republication des CRLs dans un Serveur Web comme moyen desecours.
238. Le répondeur OCSP prend en charge le monitoring automatique de plusieurs émetteurs de CRL en vérifiant et
validant les CRL avant l’importation.
239. Le répondeur OCSP prend en charge la notification en temps réel du statut de l’importation des CRLs,comme
en cas d’indisponibilité à titre d’exemple.
240. Le répondeur OCSP prend en charge plusieurs formats de CRL (CRLs combinées, les Delta CRLs, CRLs
partitionnées, …).
241. Le répondeur OCSP supporte l’authentification des clients par filtrage IP, l’authentification X509 basée surdes
certificats SSL/TLS, ou en signant les requêtes OCSP.
242. Pour renforcer la sécurité le répondeur OCSP supporte le mode gateway pour minimiser les risques liés à la
publication.
243. Le répondeur OCSP assure la séparation des rôles et permissions.
BARID AL-MAGHRIB
Direction Achats
244. Le répondeur OCSP supporte le double contrôle pour les opérations critiques.
245. Tous les enregistrements des logs de la base de données sont protégés cryptographiquement pour empêcher la
modification, la suppression ou l’ajout d’enregistrements avec un process automatique pour valider leur intégrité.
246. Le répondeur OCSP supporte l’auto-archivage sécurisé des journaux de la base de données.
247. Le répondeur OCSP supporte les fonctions de hachage SHA-2 et SHA-3.
248. Le répondeur OCSP supporte l’externalisation des logs via syslog et permettre le repli automatique vers un
deuxième serveur syslog en cas d’indisponibilité du premier.
249. Support de plusieurs modèles de confiances par le serveur OCSP.
250. Conformité de l’OCSP au CWA 14167-1 (Pour son exploitation pour offrir des services qualifiés et avancés).
8. Application Program Interfaces (APIs)
251. Les API sont développées et fournies par le même éditeur de la solution PKI ou le cas échéant avoir un cadre de
support avec l’éditeur des APIs.
252. Fournir une preuve d’intégration transparente avec la solution PKI et les applications installées sur le système
cible, ainsi que des études de cas et des références si les API ne sont pas développées et fournies par l’éditeur de
la solution PKI.
253. Les API fournies prennent en charge plusieurs langages de programmation et de script, framework de
développement et systèmes d’exploitation.
Exemple :
- C/C++
- C# / ASP / PHP
- J2EE et .NET Framework.
254. Les API prennent en charge des applications s’exécutant sur différents OS et Plateformes :
• Windows / MAC OS / Linux
• Unix
• Navigateurs & Application Mobile
• …
255. Prise en charge d’une stratégie de limitation de débit des requêtes contre les attaques de déni de service et de
brute force.
9. Services d’horodatage (Time Stamping Services)
256. Le Service TSA peut offrir la possibilité de transférer la demande d'horodatage à un autre TSA externe
Le Service TSA peut faire office de concentrateur pour les demandes d'horodatage.
257. Pour des raisons de scalabilité du système, il est souhaitable que le service TSA supporte plus de 1000 TPS en
utilisant des clés RSA 2048 stocké dans un HSM.
258. Prise en charge des SGBDs ci-dessous par le serveur TSA :
- PostgreSQL
- Microsoft SQL
- Oracle.
259. La TSA permet d’inclure (Option configurable) dans chaque jeton d’horodatage un identifiant pourindiquer
de manière unique la politique de sécurité en vertu de laquelle le jeton a été créé.
260. La TSA examine l’OID de la fonction de hachage unidirectionnelle résistante aux collisions et vérifier que la
longueur de la valeur de hachage est cohérente avec l’algorithme de hachage.
261. Le TSA n’inclut aucune identification de l’entité demandeuse dans les jetons d’horodatage.
262. Le service TSA offre la possibilité de ne traiter que les demandes émanant d’identifiants de politiques
autorisées.
263. Le service TSA offre la possibilité de mettre en place une liste blanche des algorithmes de hachage autorisés.
264. Le service TSA supporte la suite NIST ECDSA.
265. Le service TSA prend en charge le protocoles TLS 1.2 et TLS 1.3.F
266. Le service TSA supporte le partage des secrets en assurant un contrôle MofN.
267. Tous les enregistrements des logs de la base de données sont protégés cryptographiquement pour empêcher
la modification, la suppression ou l'ajout d'enregistrements avec un process automatique pour valider leur
intégrité.
268. Le service TSA supporte les fonctions de hachage SHA-2 et SHA-3.
269. Le service TSA supporte l’externalisation des logs via syslog et permettre le basculement automatique versun
deuxième serveur syslog en cas d’indisponibilité du premier.
270. Le service TSA supporte plusieurs serveurs NTP (Exemple : Stratum2 et 3, Serveur NTP GPS, …) pour
garantir une heure précise et fiable.
271. Le service TSA supporte les jetons d’horodatage Authenticode.
11. Hardware Security Module (HSM)
272. Le logiciel des composants PKI utilise les services cryptographiques du HSM via une API.
273. Possibilité de mettre en œuvre plusieurs HSM virtuels/partitions dans le même HSM physique (Au minium Trois
HSM virtuel/partitions pour chaque HSM physique).
274. Les HSM prend en compte l’alimentation électrique redondante.
BARID AL-MAGHRIB
Direction Achats
12. Multi-langue
275. Pour que BAM puisse répondre aux exigences des clients en matière de langue, notamment les langues
officielles, l’Arabe et l’Amazigh. La solution PKI supporte plusieurs langues dans les standards du multi-
lang (ex. Support de l’UTF8).
276. L'AC, l'AE, les annuaires, les applications côté client et serveur et les API permettent la prise en charge de la
langue arabe et Amazigh en plus du français et l'anglais.
277. Les certificats permettent de coder les informations en Anglais, Français, Arabe et Amazigh et les
composants PKI sont capables de reconnaître les codages pour les différentes langues.
278. Le codage pour l'Arabe et l’Amazigh est effectué à l'aide du schéma de codage UTF-8. Les rédacteurs et les
analyseurs syntaxiques UTF-8.
13. Network Time Servers
279. Le serveur de temps d'une zone de sécurité supérieure se synchronise avec un serveur d'une zone de sécurité
inférieure.
280. L'interrogation des serveurs d'horloge atomique est transmise de manière séquentielle aux autres serveurs encas
d'échec de la réponse.
281. Les serveurs de temps qui seront utilisés peuvent communiquer avec d'autres serveurs de temps.
282. Les serveurs de temps prennent en charge plusieurs systèmes d’exploitation et dans plusieurs versions(Unix,
Linux, Windows, …).
283. Les serveurs de temps offrent une interface utilisateur graphique pour la gestion.
284. Les serveurs de temps peuvent enregistrer des événements détaillés.
285. Le serveur NTP est capable de diffuser l'heure en réponse aux requêtes des clients actifs et l'heure de
diffusion aux clients passifs.
286. Les clients NTP peuvent interroger activement les serveurs de temps ou rester passifs pour être mis à jourpar le
serveur.
287. Prise en charge des fonctionnalités de NTP v4 (En particulier : Authentification basée sur la clé publique IP
version 6).
14. Logging
288. Le système de journalisation conserve une archive de toutes les transactions PKI effectuées sur lescomposants
PKI.
289. Le système de journalisation prend en charge la publication de journaux d'audit personnalisés via le
protocole SNMP (Simple Network Management Protocol) vers des solutions de gestion de réseau tierces et ce,
dans le respect total des normes de sécurité exigée pour les PKI.
290. Le système de journalisation prévoit la délégation et la séparation des tâches administratives afin de garantir
qu'aucun administrateur ne puisse compromettre l'intégrité du système.
291. Le système de journalisation est capable d'importer/exporter les informations de rapport dans une application
définie par BAM via ODBC pour des requêtes supplémentaires.
15. Paires de clés
292. La solution prend en charge les utilisateurs avec une seule paire de clés, deux paires de clés et plusieurs paires
de clés.
293. Les paires de clés pour la signature et le chiffrement ont des dates d'expiration indépendantes.
16. Intégration
294. La solution proposée est techniquement intégrable à d'autres applications telles que le système de gestion decarte.
BARID AL-MAGHRIB
Direction Achats
2.4.2.2- SPÉCIFICATIONS TECHNIQUES POUR LES SERVICES AUTOUR DE LA

SIGNATURE :
17. Exigences de sécurité
295. La solution fournit plusieurs modes d'authentification préalable pour confirmer l'identité du signataire distantavant
de permettre à la personne d'accéder au(x) document(s) en ligne.
296. Les administrateurs des clients sont en mesure de paramétrer le mode d’authentification selon leurs besoins
(valeur juridique, sensibilité, exigences de sécurité, …) pour exiger d'un signataire ou utilisateur distant qu'il
fournisse des types d'authentification nécessaires (Certificat électronique, e-mail, mot de passe, SMS, …).
297. La solution prend en charge un système d'authentification unique (SSO) pour la gestion des comptes
utilisateur. Le système fournit un mécanisme d'ajout et de suppression automatisés et manuels de comptes
d'utilisateurs sans intervention de BAM ou du soumissionnaire retenu.
298. La solution de signature électronique permet (en fonction des choix des clients de BAM de ce service) de
conserver une copie des documents ou leurs hash signés électroniquement avec le dossier de preuves avec des
durées de rétention paramétrables où les mettre à disposition d’un système d’archivage électronique avec des
métadonnées supplémentaires pour les besoins d’archivage (Nom client BAM, Type document, Format, duré de
conservation, …).
299. La solution garde la traçabilité de toutes les actions des utilisateurs (Audit trails), ces traces sont sécurisées,
générées par ordinateur et horodatées pour enregistrer de manière indépendante la date et l'heure des entrées et
des actions de l'opérateur.
300. Le système est en mesure de restreindre ou d'activer l'accès des utilisateurs aux modèles de signature électronique
ou aux documents partagés, ou de récupérer des documents en fonction des groupes définis par les clients de
BAM dans ses espaces respectifs. Il permet également d'octroyer différents niveaux de privilèges en fonction des
groupes (ou rôles) définis par les clients.
301. La solution est capable de capturer les informations sur l'appareil/le système du signataire distant pour des
mesures de sécurité supplémentaires et une assistance opérationnelle (EX. : système d'exploitation installé, les
informations du navigateur, l'adresse IP, la carte réseau, la géolocalisation, ...).
302. La solution est en mesure de stocker toutes les données saisies dans les documents et rendre ces données
disponibles etrécupérables, si c’est nécessaire, selon les besoins et conformément aux règles de sécurité et de
conformité.
18. Exigences de sécurité liées à la nature cloud de la solution
303. La solution traite en toute sécurité, et selon les normes de l’industrie, toutes les données en fonction de ses
politiques de conservation réglementaires.
19. Exigences d'intégration et de compatibilité
304. Il serait souhaitable que la solution proposée possède des modules d’interfaçage avec les plates-formes de
collaboration de contenu courantes (OneDrive, GoogleDrive, DropBox, …).
20. Exigences techniques et standards
305. La solution utilise des langages de programmation et des Framework de développement standard et connu.
306. Les APIs fournies ou à développer prennent en charge plusieurs langages de programmation et de script,
Framework de développement et systèmes d'exploitation.
Exemple :
C/C++
C# / ASP / PHP
J2EE et .NET Framework.
307. Support des formats standards pour :
- PAdES :
• PDF Advanced Electronic Signature ETSI TS 102 778 ; incluant le format LTV (part 4) et le visuel de
signature (part6) ;
• Support de PAdES-B-B, PAdES-B-T, PAdES-B-LT and PAdES-B-LTA et ce, selon la norme ETSI TS
103 172 ;
• PAdES (PDF Advanced Electronic Signature ETSI EN 319 142-1&2).
- XAdES : XML Advanced Electronic Signature ETSI TS 101 903 ;

• Support de XAdES-B-B, XAdES-B-T, XAdES-B-LT and XAdES-B-LTA et ce, selon la norme ETSI TS
103 171 ;
• XAdES (XML Advanced Electronic Signature ETSI EN 319 132-1&2) ;
• CAdES : CMS Advanced Electronic Signature ETSI TS 101 733 ;
• Support de CAdES-B-B, CAdES-B-T, CAdES-B-LT and CAdES-B-LTA et ce, selon ETSI TS 103 173
• CAdES (CMS Advanced Electronic Signature ETSI EN 319 122-1&2).
BARID AL-MAGHRIB
Direction Achats
308. Support des formats standards généré :
- ISO 32000-1, (PDF/A, PDF/E, PDF/X et PDF/H).
309. Support des formats et normes de Validation de signature :
- Prise en charge de la validation XML et XAdES (XAdES-BES et XAdES-T) ;
310. Algorithmes supportés par la solution proposée :
- RSA : Clés jusqu'à 8192 bits ;
- DSA : Clés jusqu'à 1024 bits ;
- ECDSA ;
- Algorithmes de hachage : SHA-2, SHA-3
- …
311. Le parapheur permet aux utilisateurs de demander un niveau d'assurance par signature (LoA).
312. La solution proposée supporte le standard CSC (Cloud Signature Consortium) notamment la Signature &cachet
électronique à distance.
313. La solution proposée supporte la langue arabe nativement. Le support natif de la langue Amazigh est
vivement souhaitable.
314. La solution proposée fournit une application mobile IOS et Android.
315. La solution proposée supporte les standards OpenID Connect, OAuth, SAML 2.O IDP's.
316. La solution proposée supporte le workflow en série, en parallèle, individuel et un hybride de ceux-ci.
317. La solution proposée supporte la norme PAdES Part 4 Long-term signatures.
Il s'agit de signatures spéciales à long terme pour lesquelles la preuve intégrée peut être continuellement étendue
dans le temps pour que, les signatures n'expirent jamais.
318. La solution proposée exige le consentement.
21. Exigences techniques pour la validation/Conservation de signature/Cachet électronique
319. Support des normes de la validation de signature :
- ETSI TS 102 853 ;
- ETSI TS 119 101.
BARID AL-MAGHRIB
Direction Achats
ARTICLE 2.5 : SUPPORT DES NORMES

L’offre du Prestataire doit supporter au minimum les normes ci-dessous. Le support des normes
facilitera la tâche pour la mise en conformité au niveau de la tranche conditionnelle n°1 et pour les
éventuelles reconnaissances mutuelles.
Liste des normes/Standards
Brique / Module Normes / Standards Référentiels / Certification

Exigences générales
applicables pour tous ETSI EN 319 401
les services de
confiances
- Certification EAL4+ augmentée de AVA_VAN.5 selon le profil de protection CEN EN419 221-5
HSMs pour CA, TSA
- CEN EN 419 241-1 & CEN EN 419 241-2
& Remote signature
Certification et Horodatage Qualifié

ETSI EN 319 411-1
Autorité de
ETSI EN 319 411-2
certification ETSI EN 319 412-1/2/3/4/5 (X.509) pour les profils de certificat
ETSI EN 319 421
Autorité d’Horodatage ETSI EN 319 422 (RFC 3161)
Services autour de la signature
Création et Validation de signature
EN 419 241-1 Pour le serveur de signature

EN 419 241-2 Pour l’environnement d'exécution sécurisé au sein du HSM
Electronic Signatures and Infrastructures (ESI);
Procedures for Creation and Validation of AdES Digital Signatures ;
ETSI EN 319 102
- Part 1: Creation and Validation ;
- Part 2 : Signature Validation Report.
ETSI TR 119 100 The framework for standardization of signatures: overview
ETSI TS 119 101 Policy and security requirements for applications for signature creation and signature validation
Electronic Signatures and Infrastructures (ESI); Procedures for Creation and Validation of AdES Digital
Signatures :
ETSI TS 119 102
Part 1 : Signature creation and validation
Part 2 : Signature Validation Report
Validation de signature
ETSI TS 119 441 Policy requirements for TSP providing signature validation services
ETSI TS 119 442 Protocol profiles for trust service providers providing AdES digital signature validation services
Format de signature
Norme pour les ETSI EN 319 132
formats XAdES (Obligatoire)
formats PAdES (Obligatoire)
Normes pour les ETSI EN 319 102 (Pour environnement Mobile)
formats AdES (Obligatoire)
- ETSI EN 319 162 (Obligatoire pour la solution de signature avancée)
ASiC - ETSI EN 319 192

formats CAdES
JAdES digital ETSI TS 119 182
signatures
BARID AL-MAGHRIB
Direction Achats
Remote signature
• TSP service components operating a remote QSCD / SCDev

ETSI TS 119 431-1
• TSP service components supporting AdES digital signature creation
ETSI TS 119 431-2
ETSI TS 119 432 • Protocols for remote digital signature creation

• Trustworthy Systems Supporting Server Signing - Part 1: General System Security Requirements
CEN EN 419 241-1
• Trustworthy Systems Supporting Server Signing - Part 2: Protection profile for QSCD for Server
CEN EN 419 241-2
Signing
Conservation de signature
ETSI TS 119 511 Policy and security requirements for trust service providers providing long-term preservation of
digital signatures or general data using digital signature techniques
ETSI TS 119 512
Protocols for trust service providers providing long-term data preservation services
Cryptographie
• Signer Certificates (IETF RFC 5280 [i.9] and IETF RFC 3279 [7]).
• Certificate Revocation Lists (IETF RFC 5280 [i.9] and IETF RFC 3279 [7]).
• OCSP responses (IETF RFC 6960 [13]).
• Certification Authority Certificates (IETF RFC 5280 [i.9] and IETF RFC 3279 [7]).
ETSI TS 119 312 • Self-signed certificates for CA certificates (IETF RFC 5280 [i.9] and IETF RFC 3279 [7]).
• Time-Stamping Tokens (TSTs) (IETF RFC 3161 [12] and ETSI EN 319 422 [i.15]).
• Time-Stamping Unit certificates (IETF RFC 3161 [12] and ETSI EN 319 422 [i.15]).
• Self-signed certificates for TSU Certificates (IETF RFC 5280 [i.9] and IETF RFC 3279 [7]).
•…
• PKCS#1 RSA Cryptography Standard (1024, 2048 bit) ;
• PKCS#3 Diffie-Hellman Key Agreement Standard ;
• PKCS#5 Password Based Cryptography Standard ;
• PKCS#7 Cryptographic Message Syntax standard ;
PKCS (Public • PKCS#8 Private Key Information Syntax standard ;
Key • PKCS#9 Selected Attribute Types ;
Cryptography • PKCS#10 Certification Request Syntax standard ;
Standard) • PKCS#11 Cryptographic Token Interface Standard ;
• PKCS#12 Personal Information Exchange Syntax standard ;
• PKCS#13 : Elliptic Curve Cryptography Standard ;
• PKCS#15 Cryptographic Token Information Format Standard ;
• …
BARID AL-MAGHRIB
Direction Achats
ARTICLE 2.6 : CAPACITÉ ET PERFORMANCES DES SOLUTIONS/PLATEFORMES

PROPOSÉES
2.6.1 – COMPATIBILITÉ :
L’ensemble des briques proposées (ACs, OCSP, TSA, HSMs, NTPs, Parapheur, …) doivent
fonctionner/Interopérer d’une façon très simple et efficiente voir native ;
2.6.2 – VOLUMES/LICENCES/CAPACITÉS DE TRAITEMENT :
Ce projet a pour objectif de couvrir au minimum les besoins détaillés dans le tableau ci-dessous (faites
sur la base de 100 000 certificats qualifiés (tout usage confondu)). L’objectif est de pouvoir fournir, à
cette population cible, une offre packagée englobant l’ensemble des services de confiances.
Nombre Capacité et Performance

minimal Nombre
Licences
d’utilisateurs d’usage HA DR DEV Performance Min TPS *
actifs
Certificats qualifiés (tous les usages) 100 000 Illimité Oui Oui Oui 20 à 30
Signature électronique, cachet
électronique et pour authentification
des sites internet ;
Certificats simples/avancés (tous les 50 000 Oui Oui Oui 20 à 30

usages)
Service d’Horodatage ; 100 000 Illimité Oui Oui Oui 500 à 1000
Parapheur électronique 100 000 Illimité Oui Oui Oui 50
Validation de signatures (et de 50 000 Illimité Oui Oui Oui 10

cachets) qualifiés électroniques ou
de cachets électroniques ;
Conservation de signatures (et de 50 000 Illimité Oui Oui Oui 10

cachets) électroniques, de cachets
électroniques ou de certificats
relatifs à ces services ;
Services de signatures (et de 100000 Illimité Oui Oui Oui 10

cachets) électroniques à la volée,
avancées et qualifiés en remote.
(Les signatures qualifiées en remote
seront à priori délimités par les
HSMs qui seront proposés)
* TPS (nombre de transactions par seconde) : Les performances indiquées doivent être par nœud avec comme référence une
clé de 2048 et SHA-256 avec HSM. & le TPS pour les HSMs est de 400.
BARID AL-MAGHRIB
Direction Achats
ARTICLE 2.7 : ENGAGEMENTS DU PRESTATAIRE

Dans le cadre de la réalisation des prestations objet de ce marché, le prestataire s’engage à respecter
les engagements suivants :
• La fourniture d’une solution avec l’ensemble des briques matérielles et logicielles (outres que
celles qui seront fournies par BAM et cité dans le présent marché) nécessaires pour la gestion et
l’exploitation au minimum des services suscités.
• La réalisation de l’ensemble des prestations nécessaires pour une conformité selon eIDAS et
pour l’obtention des agréments des services de confiance objet du présent marché. Ces travaux
doivent inclure entre autres l’audit/conformité, la rédaction du corpus documentaire (politiques,
procédures, modes opératoire, …).
• La réalisation de l’ensemble des prestations nécessaires pour l’obtention des agréments des
services de confiance objet du présent marché (au minimum), notamment les prestations
d’audit/conformité, la rédaction du corpus documentaire (politiques, Déclaration des pratiques,
procédures, modes opératoire, …). Ce deuxième point sera entamé dans la Tranche
conditionnelle 1. Le prérequis principal de son lancement sera la publication de l’ensemble des
textes de mise en application de la loi 43.20 (Décrets, Référentiels, …) par l’Autorité Nationale.
• Le Prestataire doit s’assurer et garantir que l’ensemble de sa solution (matériels, logiciels) est
conforme à la loi 43-20 et eIDAS. En particulier, le Prestataire doit s’assurer que l’ensemble de
son offre (matériels, logiciels, implémentations, paramétrage, process, livrables, …) est
conforme à la loi 43.20 et eIDAS pour l’ensemble des services de confiances qualifiés objet du
présent marché.
• Le Prestataire s’engage, pour les quatre (04) ans qui suivent la date fin de la période de la
maintenance, à répondre favorablement si BAM lui consulte pour assurer la maintenance de la
solution.
• Le Prestataire doit avoir des contrats de support (au nom de BAM ou en son nom pour le compte
de BAM) avec l’ensemble des Éditeurs/Constructeurs des briques matérielles/logicielles qu’il
propose pour le présent marché, et doit aussi s’engager à assurer une veille et d’informer BAM
de l’ensemble des évolutions qui seront prévus, principalement des évolutions de sécurité, de la
technologie et des normes/certification.
• Lors de la livraison de chaque composant matériel de la solution cible, le Prestataire s’engage à
déposer une attestation du Constructeur attestant que ledit matériel dispose d’une garantie de
trois (03) ans au minimum.
ARTICLE 2.8 : EQUIPES PROJET
2.8.1 – ÉQUIPE PROJET DU PRESTATAIRE :

Le prestataire est tenu de présenter une équipe projet expérimentée et disposant de l’expertise dans la
réalisation de projets et solutions similaires à celles du présent projet.
Le prestataire doit proposer dans son offre une équipe projet composée au minimum de :
• Un Chef de projet :
o Niveau de formation : Bac+5 dans un domaine technique ou de gestion ;
o Nombre d’années d’expérience : Dix (10) ans au minimum en tant que Chef de projet
dans le domaine IT ;
o Projets réalisés, en tant que Chef de projet, dans le domaine objet du présent marché :
deux (02) projets.
• Expert technique PKI
o Niveau de formation : Bac+5 dans le domaine informatique ;
o Nombre d’années d’expérience : Six (06) ans au minimum en tant qu’Expert technique
BARID AL-MAGHRIB
Direction Achats
PKI ;
o Projets PKI réalisés : Cinq (05) projets.
• Expert fonctionnel PKI
o Nombre d’années d’expérience : Six (06) ans au minimum en tant qu’Expert fonctionnel
PKI ;
o Projets PKI réalisés : Cinq (05) projets.
• Expert technique Signature électronique & Workflow de signature
o Nombre d’années d’expérience : Six (06) ans au minimum en tant qu’Expert technique
Signature électronique & Workflow de signature ;
o Projets d’implémentation des solutions de signatures/eParapheur réalisés : Cinq (05)
projets.
• Expert fonctionnel en Signature électronique & Workflow de signature
o Nombre d’années d’expérience : Six (06) ans au minimum en tant qu’Expert fonctionnel
en Signature électronique & Workflow de signature ;
o Projets d’implémentation des solutions de signatures/eParapheur réalisés : Cinq (05)
projets.
• Expert dans la rédaction et la mise à niveaux des procédures afférents au scope de ce
projet :
o Nombre d’années d’expérience : Six (06) ans au minimum en tant qu’Expert dans la
rédaction et la mise à niveaux des procédures dans le domaine IT ;
o Projets de mise en place de procédures réalisés dans le domaine objet du présent marché :
Cinq (05) projets.
Cette équipe sera placée sous la responsabilité d’un chef de projet dédié, qui sera l’interlocuteur
principal de BAM pour toutes les prestations relatives au projet.
NB : Les prestations dues pendant la phase de fonctionnement (production) seront placées sous la
responsabilité d’un chef de projet qui pourra être différent du chef de projet désigné pour la phase projet ;
Le Prestataire est responsable et reste garant, vis-à-vis de BAM, de tout son personnel, en toutes
circonstances. Il s’en suit que le Prestataire fera son affaire du transport, de l'hébergement, de la
nourriture et de la santé ainsi que, de manière générale, de toutes ses obligations envers son personnel.
Enfin, en conformité avec les dispositions de l’article 18 du CCAG-EMO, il est rappelé ce qui suit :
1. Le Prestataire est tenu d’affecter à l’exécution des Prestations l’équipe proposée dans son offre sur la
base de laquelle le Marché lui a été attribué.
2. Sauf dans le cas où le Maître d’Ouvrage en aurait décidé autrement, le Prestataire ne peut apporter
aucun changement au personnel proposé dans son offre.
Si pour des raisons indépendantes de la volonté du Prestataire, il s’avère nécessaire de remplacer un
des membres du personnel, le Prestataire présentera à l’agrément du Maître d’Ouvrage, une
personne de qualification égale ou supérieure à celle dont le remplacement est demandé.
3. Si le Maître d’Ouvrage découvre qu’un des membres du personnel du Prestataire s’est rendu
coupable d’un manquement sérieux et/ou poursuivi pour délit ou crime ou s’il a des raisons
suffisantes de n’être pas satisfait de la performance d’un des membres du personnel, le Prestataire
devra, sur demande motivée du Maître d’Ouvrage, fournir immédiatement un remplaçant dont les
qualifications et l’expérience doivent, au moins, être égales à celles de la personne à remplacer.
4. Le Prestataire ne peut prétendre à aucune indemnité du fait de ces changements.
2.8.2 – ÉQUIPE PROJET DE BAM :
Pour sa part, BAM désignera un chef de projet, interlocuteur exclusif du Prestataire pour la phase de
BARID AL-MAGHRIB
Direction Achats
mise en œuvre, au sein d’une équipe projet dédiée au projet.
L’équipe projet de BAM aura pour principale tâche le suivi et la validation des livrables produits par le
Prestataire.
2.8.3 – INSTANCE DE SUIVI : COMITE DE PROJET :
Un Comité de projet sera constitué pour suivre le déroulement du projet. Les principaux interlocuteurs
en charge du projet chez le prestataire et au sein de BAM seront membres de ce comité.
Ce comité de projet se réunira toutes les deux semaines, dans les locaux de BAM à Rabat (ou à distance
si c’est justifié et suffisant). Si besoin, et à la demande de BAM ou du Prestataire, des comités projets
supplémentaires pourront se tenir.
L’ordre du jour de ces réunions comprendra notamment les points suivants :
- Suivi de l’avancement du projet ;
- Examen des éléments de reporting produits par le Prestataire ;
- Difficultés rencontrées et ébauches de solutions ;
- Planning de(s) phase(s) suivante(s).
Le Prestataire prendra à sa charge :
- L’élaboration des compte-rendu des réunions du Comité de projet, adressés par e-mail
pour validation au Comité de projet dans les 2 jours ouvrables suivants le comité ;
- L’élaboration et la mise à jour des tableaux de pilotage permettant de suivre l’avancée de
tous les travaux du soumissionnaire, présentés en Comité de projet et adressés par e-mail pour
validation dans les 2 jours ouvrables suivant le comité.
NB. : le Prestataire devra informer BAM par courriel de tout retard éventuel sur le projet en précisant la
nature, l’ampleur et les circonstances ayant amené à ce retard.
2.8.4 – INSTANCE TECHNIQUE : COMITE TECHNIQUE :
Un Comité technique sera constitué pour définir et valider les orientations techniques. Les principaux
interlocuteurs techniques en charge du projet chez le prestataire et BAM seront membres de ce comité.
Le Prestataire nommera dans son équipe un interlocuteur technique qui participera à ces comités
techniques.
Le Prestataire indiquera le nombre de rencontres nécessaires ; à minima, le comité technique se réunira
toutes les 2 semaines, dans les locaux de BAM à Rabat (ou à distance si c’est justifié et suffisant).
Si besoin, et à la demande de BAM, des comités techniques supplémentaires pourront se tenir. L’acteur
à l’origine de la tenue du comité en définira l’ordre du jour.
Les points suivants pourront notamment être abordés :
- Architecture technique ;
- Haute disponibilité ;
- Attentes en termes d’exploitation, d’administration, de supervision ;
- Intégration avec les SIs de BAM :
- SI Commerciale :
- Plateformes Barid eSig actuelles (Workflow, Gateway PKI, PKI actuelle, …) ;
- Mise en production et suivi ;
De plus, le comité technique pourra remonter des points au comité projet pour décision. Les compte-
rendu des réunions du comité technique seront élaborés par le soumissionnaire, adressés par e-mail pour
validation au comité technique dans les 2 jours ouvrables suivant le comité.
BARID AL-MAGHRIB
Direction Achats
2.8.5 – AUTRES INSTANCES :
Le Prestataire pourra être invité ponctuellement, le cas échéant, à d’autres instances de suivi et de
pilotage.
ARTICLE 2.9 : MAINTENANCE DE LA SOLUTION CIBLE

1. CONTENU DU SERVICE
Le prestataire s’engage à fournir une attestation du renouvellement du support des éditeurs dans le cadre
de la maintenance.
Le prestataire s’engage aussi à fournir, durant les périodes de garantie et de maintenance, un contact
unique qui assurera le suivi pour le compte de BAM des niveaux de services, des incidents (en
particulier les incidents critiques) et des opérations de maintenance.
Les prestations demandées dans la suite de ce chapitre s’appliquent pour les prestations de garantie et de
maintenance.
Les prestations de garantie et de maintenance couvrent toutes les composantes de la solution cible.
Tous les frais de déplacement, les interventions objet de la période de garantie et de la maintenance sont
à la charge du prestataire.
2. MAINTENANCE CURATIVE
Le prestataire s’engage, pendant la période de garantie et de la maintenance, sur les prestations
suivantes au minimum :
• Mettre à la disposition de BAM un centre de support pour la déclaration de tout
dysfonctionnement constaté au niveau de la solution cible.
• Assurer une assistance téléphonique selon la plage horaire demandée par BAM.
• Intervenir à sa charge et selon le délai d’intervention demandé par BAM pour diagnostic et
résolution des dysfonctionnements.
• Fournir à BAM à l’issue de chaque intervention et après résolution du dysfonctionnement, un
rapport d’incident décrivant l’origine du problème, les actions de résolutions et les
recommandations éventuelles. Ce rapport sera signé contradictoirement par BAM et le
Prestataire.
Le prestataire s’engage à réaliser les prestations de maintenance curative selon les niveaux de service
définis dans le paragraphe « Niveaux de services » ci-dessous et veillera à réaliser les actions de
résolution en prenant soin de ne pas impacter les systèmes en production.
3. MAINTENANCE PRÉVENTIVE ET PÉRIODIQUE

Les prestations de maintenance préventives consistent à assurer les services suivants au minimum :
• Visites d’entretien et contrôles périodiques, assurés par une ressource qualifiée, pour l’entretien
de la solution cible et réalisation des actions nécessaires en vue de maintenir le bon niveau de
performances et de fonctionnement optimal de la solution. Cette maintenance a pour objet au
minimum :
o Test de bon fonctionnement du logiciel, la configuration, le paramétrage et la mise à jour
des logiciels et des licences ;
o L’analyse de l’environnement, du comportement des logiciels et des journaux des
évènements ;
o L’identification des risques de dysfonctionnement et les améliorations liées à l'évolution
du système ou de la normalisation ;
o Le contrôle de la sécurité logique ;
o Le réglage, les vérifications nécessaires, le nettoyage et toute autre opération visant à
maintenir la solution dans les conditions d'utilisation optimales selon les performances et
les consignes de l’éditeur de la solution ;
o Toute autre action de maintenance préventive nécessaire au maintien en condition
BARID AL-MAGHRIB
Direction Achats
opérationnelle de la solution cible ;
o Élaboration d’un rapport d’entretien englobant une analyse de l’état de santé des
composants de la plate-forme et de son fonctionnement ainsi les recommandations sous
forme de plan d’actions pour le maintien du fonctionnement optimal de la solution ;
o Mise en place des changements nécessaires après accord avec BAM et selon le planning
fixé conjointement, pour le maintien du fonctionnement optimal de la solution cible.
• Apporter à BAM son conseil et son assistance ainsi que ses recommandations selon les
meilleures pratiques de design en cas de demande formalisée par BAM, dans le cadre de la
maintenance, pour la revue et évolution de la solution.
• Communiquer à BAM, dès leur apparition, une qualification ainsi que les recommandations
d’applications selon le contexte BAM, des nouvelles versions majeures et mineures, patchs et
correctifs.
• Fournir et installer, suite accord avec BAM et selon la planification définie conjointement avec
BAM, les nouvelles versions majeures et mineures, patchs et correctifs, licences associées ainsi
que la documentation associée.
• Mettre à jour la documentation et transfert de compétence vers l’équipe BAM.
Le prestataire s’engage à proposer et à réaliser les plans d’évolution et d’amélioration, dans le cadre de
la maintenance préventive, selon une démarche de changement rigoureuse et sans impact sur les services
en production de BAM.
Le prestataire s’engage à fournir un rapport de maintenance préventive à l’issue de chaque période de
maintenance précisant les opérations de maintenance préventives et plans d’action issus des
recommandations, les statuts de réalisation, les résultats et améliorations obtenues.
4. NIVEAUX DE SERVICE
Les niveaux de service demandés au minimum :
Type de la
Détail du service Délais
maintenance
Maintenance curative
Niveau d’assistance et service 24h/24, 7j/7
et préventive
Délai de mise en place d’une
solution de contournement 2 heures
Maintenance curative provisoire
6 heures pour les incidents majeurs
Délai de résolution
48 heures pour les incidents mineurs
Maintenance préventive Trimestrielle
Maintenance
Selon planning de publication des mises à jour
préventive Applications des mises à jour
par les éditeurs et après validation de BAM
Le délai de résolution est calculé à partir du moment de déclaration de l’incident au centre de support du
prestataire.
• Incident majeur : incident provoquant un arrêt complet de la solution ou causant une
indisponibilité ou une dégradation importante du service utilisateur.
• Incident mineur : incident provoquant un dysfonctionnement mineur de la solution sans impact

ou avec impact mineur sur le service utilisateur.
5. LIVRAISON ET INSTALLATION DES NOUVELLES VERSIONS DE(S) LOGICIEL(S) FORMANT LA

SOLUTION CIBLE
Le Prestataire met à la disposition de BAM les services suivants :
- Information de BAM par courrier électronique de toutes les évolutions des logiciels constituant
la Solution Cible et annoncées par les éditeurs des applications informatiques intégrées.
BARID AL-MAGHRIB
Direction Achats
- Livraison des applications informatiques licenciées constituant la Solution Cible et de leurs
mises à jour et des corrections accompagnées de leur documentation (en français dans la mesure
de leur disponibilité).
- Résolution des anomalies bloquantes apparues suite à l’application de mises à jour ou de
corrections.
- Lorsque l’éditeur d’une application informatique constituant la Solution Cible développe une
nouvelle version de son application, le Prestataire assurera le support de la version précédente
durant 18 mois à partir de la date à laquelle le Prestataire aura informé BAM de la disponibilité
de la nouvelle version.
- A la suite de l’annonce de la disponibilité d’une (de) nouvelle(s) version(s) des applications
informatiques objet(s) du marché, le Prestataire qualifiera l’apport de celle(s)-ci pour BAM et
ses répercussions sur l’exploitation générale du système. La décision de mise à jour sera alors
décidée d’un commun accord entre BAM et le Prestataire.
Le Prestataire ne sera pas tenu de fournir les services de support dans les cas suivants :
- Si la Solution Cible a été modifiée sans l’approbation du Prestataire ;

- Si l’origine de la panne est due à une Solution informatique non couverte par le marché ;
- Si la panne est due au non-respect des spécifications relatives à l’environnement telles que
définies lors de la mise en place de la Solution Cible ;
- Si la Solution Cible n’est pas utilisée conformément à sa documentation validée.
6. INTERVENTIONS DU PRESTATAIRE À LA DEMANDE
Le Prestataire doit mobiliser l’équipe projet, à la demande de BAM, pour apporter d’éventuelles
évolutions à la solution mise en place.
Chaque intervention demandée par BAM fera l’objet, avant exécution, d’une proposition émise par le
prestataire qui indiquera notamment les éléments suivants :
- La liste et le descriptif des tâches à réaliser ;

- Les intervenants désignés pour la réalisation ;
- Le volume de jours / hommes à retenir ;
- Le planning et la durée de réalisation ;
- Le cas échéant, les moyens requis à mettre en œuvre spécifiquement par BAM.
Après validation par BAM de la proposition précitée et préalablement à chaque intervention, une lettre
de commande sera notifiée au prestataire précisant les quantités demandées et leurs délais d’exécution.
Le Prestataire doit dresser un rapport pour chaque intervention réalisée et doit le soumettre à la
validation de BAM.
ARTICLE 2.10 : LIEU DE REALISATION DES PRESTATIONS

Les prestations objet du présent marché doivent mise en œuvre par les moyens propres du prestataire au
niveau du Datacenter de Barid Al-Maghrib (site principal et celui de secours).
ARTICLE 2.11 : SYSTEME QUALITE LIE AUX PRESTATIONS
2.11.1 : ASSURANCE QUALITÉ
Le Prestataire s’engage à réaliser les Prestations dans les délais impartis, de manière efficace et
BARID AL-MAGHRIB
Direction Achats
professionnelle, en conformité avec les normes généralement admises pour des projets similaires et à
rectifier, sans frais, toute prestation refusée par BAM ou signalée par elle comme étant incomplète ou
non conforme. À cet effet, le Prestataire devra mettre en place un système d’assurance qualité et le
décliner au niveau du plan qualité. Ce dernier devra préciser notamment les éléments suivants :
- Les méthodes, normes et principes de base à adopter pour la réalisation des Prestations ;
- Les moyens humains et matériels qui seront mobilisés pour la réalisation des Prestations ;
- Le programme détaillé de réalisation des Prestations en précisant la durée de participation et les
dates d’intervention de chaque membre de l’équipe du Prestataire ;
- Les procédures d’exécution et de contrôle qui seront mises en œuvre.
- Les outils utilisés pour le suivi qualité et l’implémentation de la méthodologie
2.11.2 : CONTRÔLE QUALITÉ PAR BAM
Le Maître d’Ouvrage peut procéder, sans aucune limitation, au contrôle des Prestations confiées au
prestataire.
De plus, les contrôles ainsi effectués par le Maître d’Ouvrage ne pourront en aucun cas décharger le
prestataire d’une quelconque de ses responsabilités ou garanties résultant du Marché.
2.11.3 : MISES AU POINT ET REPRISES DES PRESTATIONS
Avant de valider les Prestations, BAM ferait les mises au point requises. Les reprises et ajustements qui
pourraient être demandés au Prestataire en conséquence lui seront notifiées par écrit ; étant précisé que
celles-ci n’emportent pas allongement des délais contractuels et n’ouvriront droit, dans tous les cas, à
aucun paiement supplémentaire.
ARTICLE 2.12 : OBLIGATIONS COMPLEMENTAIRES DU PRESTATAIRE
2.12.1 : REPRÉSENTANT HABILITÉ DU PRESTATAIRE
Le prestataire s'engage à désigner un représentant habilité unique, compétent et qualifié. Il sera
responsable du parfait déroulement du Marché. Il assistera le personnel de BAM chargé de contrôler ce
déroulement et se mettra à leur disposition en tant que besoin.
En outre, le prestataire doit procéder au remplacement immédiat de son représentant habilité en cas
d’indisponibilité (congés, maladie…) ; étant précisé que le remplaçant devra avoir les mêmes pouvoirs
et être agréé préalablement par BAM.
2.12.2 : INTÉGRATION DES DISPOSITIONS DE LA CHARTE RSE DU GROUPE BAM
Le prestataire s'engage à intégrer les dispositions de la charte RSE du Groupe BAM et à prendre des
mesures à même de favoriser son application.
ARTICLE 2.13 : DOCUMENTS LIES AUX PRESTATIONS
2.13.1 : DOCUMENTS À COMMUNIQUER PAR BAM AU PRESTATAIRE
Sans objet
2.13.2 : PRÉSENTATION PAR LE PRESTATAIRE DES LIVRABLES ET DES AUTRES RÉSULTATS
Les livrables et les autres résultats de la Prestation seront fournis à BAM par le Prestataire, sur support
papier et sur support électronique, au format modifiable pour les pièces écrites et comportant les fichiers
sources.
BARID AL-MAGHRIB
Direction Achats
CHAPITRE 3 : CLAUSES FINANCIERES PARTICULIERES

ARTICLE 3.1 : CARACTÈRE GÉNÉRAL DES PRIX
Les prix du bordereau des prix unitaires - détail estimatif du Marché ont un caractère forfaitaire et
tiennent compte de toutes les sujétions, hormis celles mises explicitement à la charge de BAM dans le
Marché. Ils tiennent, entre autres, compte de ce qui suit :
- Tous les moyens humains et matériels requis ;
- Toutes les fournitures nécessaires ;
- Les frais de déplacements, transports et de séjour engagés par le Prestataire ;
- Tous les frais et les faux-frais inhérents à l’exécution du Marché, dont le Prestataire est réputé avoir
estimé les difficultés et les risques ;
- Les charges financières, les bénéfices, toutes les taxes hormis la TVA et tous les impôts existants
auxquels est soumis le Prestataire à la date de signature du Marché ;
- De manière générale, toutes les suggestions de bonne exécution.
Si le Prestataire devait être soumis, à l’échelle du Maroc, à des taxes ou impôts non applicables lors de
l’établissement du Marché, leur montant serait remboursé par le Maître d’Ouvrage sans aucune
majoration sur présentation des pièces justificatives y afférentes.
Enfin, l’attention du Prestataire étranger est attirée sur le fait que, eu égard au cadre fiscal en vigueur à
la date de passation du Marché, en plus du reversement à l’État marocain de la TVA à percevoir au titre
du Marché, une retenue à la source, égale à 10% (dix pour cent) du montant hors TVA, est appliquée sur
sa rémunération.
ARTICLE 3.2 : ENREGISTREMENT
Le marché est obligatoirement assujetti à la formalité de l’enregistrement conformément à la législation
et la règlementation en vigueur.
ARTICLE 3.3 : GARANTIES FINANCIÈRES ASSOCIÉES AU MARCHÉ
3.3.1 : CAUTIONNEMENT PROVISOIRE
Le cautionnement provisoire est à constituer par le Prestataire selon la forme et dans les conditions
indiquées dans le règlement particulier de la consultation.
3.3.2 : CAUTIONNEMENT DÉFINITIF
- Tranche ferme :
Le montant du cautionnement définitif est fixé à trois pour cent (3%) du montant initial Toutes Taxes
Comprises de la tranche ferme du Marché. Si le Prestataire ne réalise pas le cautionnement définitif dans
un délai de 30 jours à compter de la date de la notification de l’approbation du Marché, le montant du
cautionnement provisoire restera acquis à BAM.
- Tranches conditionnelles :
Pour chaque tranche conditionnelle, le montant du cautionnement définitif y efférent est fixé à trois pour
cent (3%) du montant initial Toutes Taxes Comprises de la tranche conditionnelle.
Ce cautionnement définitif doit être constitué dans les 30 jours qui suivent la réception de l’ordre de
service de commencement de la tranche concernée. Passé ce délai, le Prestataire est passible d’une
pénalité dont le taux est fixé à un pour cent (1%) du montant de cette tranche conditionnelle.
L’acte de cautionnement définitif doit être délivré par une banque marocaine agréée et ne doit en aucun
cas comporter une restriction ou une réserve. De plus, le Prestataire doit veiller à ce que l’acte de
cautionnement demeure valide tant que le marché est en vigueur.
BARID AL-MAGHRIB
Direction Achats
Le cautionnement définitif de chaque tranche sera restitué ou la caution qui le remplace est libérée à la
suite d’une mainlevée délivrée par le Maître d’Ouvrage dès la signature du Procès-Verbal de la
réception définitive de la tranche.
3.3.3 : RETENUE DE GARANTIE
- Pour la tranche ferme et les tranches conditionnelles n° 2, 3, 4 et 5 :
Une retenue de garantie égale à dix pour cent (10%) sera prélevée sur le montant de chaque acompte à
titre de garantie. Elle cessera de croître lorsqu'elle atteindra sept pour cent (7%) du montant initial de la
tranche du marché augmenté le cas échéant, du montant des avenants.
La retenue de garantie est remplacée, à la demande du prestataire, par une caution personnelle et
solidaire constituée dans les conditions prévues par la réglementation en vigueur.
La retenue de garantie est restituée au prestataire ou la caution qui la remplace est libérée à la suite
d’une mainlevée délivrée par le Maître d’Ouvrage dans un délai maximum de trois mois suivant la date
de la signature du Procès-Verbal de la réception définitive de la tranche du marché.
- Tranches conditionnelles n° 1, 6, 7, 8, 9 et 10 :
Pour les tranches conditionnelles n° 1, 6, 7, 8, 9 et 10, il n’est pas prévu de retenue de garantie.
ARTICLE 3.4 : VARIATION DANS LES QUANTITÉS
Les éventuelles variations dans les quantités sont régies par l’article 36 du CCAG-EMO.
ARTICLE 3.5 : RÉVISION DES PRIX
Les prix du Marché sont fermes et non révisables.
ARTICLE 3.6 : AVANCE
Dans le cas d’octroi d’avances par le maître d’ouvrage, il est fait application des dispositions du décret
n° 2-14-272 du 14 Rejeb 1435 (14 mai 2014) relatif aux avances en matière des marchés publics.
Le taux et les conditions de versement et de remboursement des avances sont comme suit :
- Le montant de l’avance est fixé à 10% de la tranche ferme du marché toutes taxes comprises
(TTC).
Le paiement de cette avance ne sera effectué qu’après :
- La réception par le titulaire du marché de l’ordre de service de commencement des prestations ;
- Le dépôt d’une demande d’avance auprès du maître d’ouvrage ;
- La présentation par le titulaire du marché de la caution définitive ;
- La présentation par le titulaire du marché d’une caution personnelle et solidaire d’avance
instaurée par le décret n°2-14-272 précité, dont le montant est de 10% du montant de la tranche
ferme du marché. Cette garantie bancaire demeurera en vigueur jusqu’à ce que le paiement de
l’avance ait été remboursé.
Le remboursement du montant de l’avance sera réalisé comme suit :
- 20% du montant des acomptes ;
- Le remboursement de l’avance commence dès le paiement du 1er acompte. Le remboursement du
montant total de l’avance doit, en tout état de cause, être effectué lorsque le montant des
prestations exécutées par le titulaire du marché atteint 80% du montant TTC des prestations qui
lui sont confiées au titre de la tranche ferme du marché.
En cas de sous-traitance survenue après versement de l’avance, la part de l’avance correspondante au

montant des prestations sous-traitées, doit être prélevée immédiatement en totalité sur les sommes dues
au prestataire.
BARID AL-MAGHRIB
Direction Achats
En cas de nantissement du marché, les attestations des droits constatés doivent tenir compte du montant
de l’avance versée au prestataire.
En cas de résiliation du marché, quelles qu’en soit la cause, une liquidation des comptes d’avances est
immédiatement effectuée sur les sommes dues au titulaire du marché ou à défaut sur la caution
personnelle et solidaire.
ARTICLE 3.7 : MODALITÉS DE PAIEMENT
Pour les modalités de règlement, il sera fait application des dispositions du CCAG-EMO.
Le montant des Prestations réalisées conformément au Marché sera évalué par application des prix
unitaires du bordereau des prix aux quantités réellement exécutées et constatées contradictoirement entre
le Prestataire et le représentant du Maître d’Ouvrage dûment habilité.
Les modalités de règlement applicables sont comme suit :
- Pour le prix n°1.1 :
o 30% du montant du prix n°1.1 à la suite de la remise par le Prestataire et la validation par
BAM des bons de livraison des packages matériel et licences des logiciels liés à la mise
en place de la solution cible ;
o 30% du montant du prix n°1.1 à la suite de l’installation des packages et licences des
logiciels ;
o 40% du montant du prix n°1.1 après réception provisoire de la tranche ferme.
- Pour le prix « Prestation de formation et transfert de compétence » : Après validation par BAM
des prestations de formation et transfert de compétences réalisées ;
- Pour le prix « Intervention à la demande » : le paiement des prestations livrées sera effectué sur
la base des lettres de commande notifiées et des procès-verbaux établis par
le Maître d’Ouvrage après service fait, en application des prix du
bordereau des prix - détail estimatif aux quantités réellement exécutées ;
- Pour les prix « Maintenance » des tranches conditionnelles n°6, 7, 8, 9 et 10 : après validation
par BAM des prestations réalisées au titre de chaque trimestre écoulé.
- Pour les autres prix : Après validation par BAM des prestations réalisées liées à ces prix.
Les montants faisant l’objet des acomptes n’ont pas un caractère définitif.
ARTICLE 3.8 : RÈGLEMENT DES PRIX DES PRESTATIONS SUPPLÉMENTAIRES ET
MODIFICATIVES
Seules les Prestations supplémentaires ou modificatives, faisant l’objet d’un ordre de service écrit et
signé par l’Autorité Compétente, doivent être exécutées par le Prestataire dans les conditions qui y sont
indiquées. Aussi, le Prestataire reconnait-il expressément et accepte que toute Prestation non prévue au
Marché et effectuée sans ordre de l’Autorité Compétente ou contrairement à ses ordres reçus, sera
refusée et restera alors à ses frais et risques.
ARTICLE 3.9 : DÉLAI DE PAIEMENT
Les paiements résultant du Marché seront effectuées à 60 jours après dépôt de la facture accompagné
d’une copie du procès-verbal de réception ou de l’attestation de service fait, par virements à un compte
bancaire ou du trésor sur production d’une facture numérotée, signée, datée et arrêtée en toutes lettres
par le prestataire à déposer à la Direction Achats à travers le Portail Fournisseurs « Barid Suppliers » via
le lien suivant : https://barid-suppliers.ma. La facture doit indiquer la référence du Marché et comporter
l'intitulé exact du compte courant bancaire ou du trésor de l’Entrepreneur à 24 positions.
BARID AL-MAGHRIB
Direction Achats
ARTICLE 3.10 : BORDEREAU DES PRIX UNITAIRES - DÉTAIL ESTIMATIF

TRANCHE FERME : ACQUISITION ET MISE EN SERVICE D’UNE PLATEFORME INTÉGRÉE DES
SERVICES DE CONFIANCE QUALIFIÉS POUR LES TRANSACTIONS ÉLECTRONIQUES
N° prix Libellé Unité Qté

Fourniture et installation de la plateforme matériel et logiciel avec les
packages et licences des logiciels nécessaires à la mise en place de la
solution cible, y compris au minima :
1.1 Forfait 1
- Installation et déploiement de 9 HSM Qualifiés
- Installation de 3 Serveurs de temps
- . ..
Déploiement et mise en production des différents AC et services de
confiances qualifiés ci-dessous :
- Service de fourniture de certificats qualifiés pour signature
électronique ;
1.2 Forfait 1
- Service de fourniture de certificats qualifiés pour cachet électronique ;
- Service de fourniture de certificats qualifiés pour l’authentification
- Service d’horodatage électronique Qualifié.
Déploiement et mise en production des différents AC et services de
1.3 confiances qualifiés ci-dessous : Forfait 1
- Parapheur électronique
1.4 Prestation de formation et transfert de compétence Forfait 1
1.5 Intervention à la demande J/H 50
TRANCHE CONDITIONNELLE N°1 : MISE EN CONFORMITÉ SELON LA LOI 43.20 DE L’ENSEMBLE

DES SERVICES DE CONFIANCE OBJET DE LA TRANCHE FERME

Mise en conformité des différents AC et services de confiances qualifiés ci-
dessous selon les textes d’applications, guides et arrêtés de la loi 43-20 :
- Service de fourniture de certificats qualifiés pour signature
électronique ;
2.1 - Service de fourniture de certificats qualifiés pour cachet électronique ; Forfait 1
- Service de fourniture de certificats qualifiés pour l’authentification
- Service d’horodatage électronique Qualifié ;
- Parapheur électronique
Livraison de la documentations techniques et réglementaires conformément
2.2 Forfait 1
à la loi 43-20 et ses textes d’application, guides et arrêtés ministérielles
BARID AL-MAGHRIB
Direction Achats
TRANCHE CONDITIONNELLE N°2 : MISE EN ŒUVRE DU SERVICE DE CONFIANCE QUALIFIÉ DE

VALIDATION DE SIGNATURES ÉLECTRONIQUES ET DE CACHETS ÉLECTRONIQUES

Déploiement, Mise en production et mise en conformité des différents AC et
3.1 services de confiances qualifiés de validation de signature électroniques et Forfait 1
de cachets électroniques.
3.2 Forfait 1
TRANCHE CONDITIONNELLE N°3 : MISE EN ŒUVRE DU SERVICE DE CONFIANCE QUALIFIÉ DE

CONSERVATION DE SIGNATURES ÉLECTRONIQUES, DE CACHETS ÉLECTRONIQUES OU DE
CERTIFICATS RELATIFS À CES SERVICES

4.1 services de confiances qualifiés de conservation de signatures électroniques, Forfait 1
de cachets électroniques et de certificats relatifs à ces services
4.2 Forfait 1
TRANCHE CONDITIONNELLE N°4 : MISE EN ŒUVRE DES SERVICES DE SIGNATURE À LA VOLÉE

5.1 Forfait 1
services de confiances qualifiés de signatures à la volée simple et avancées.
5.2 à la loi 43-20 et ses textes d’application, guides et arrêtés ministérielles Forfait 1
TRANCHE CONDITIONNELLE N°5 : MISE EN ŒUVRE DES SERVICES DE SIGNATURE QUALIFIÉE

EN REMOTE

6.1 Forfait 1
services de signature qualifié en remote
6.2 Forfait 1
BARID AL-MAGHRIB
Direction Achats
TRANCHE CONDITIONNELLE N°6 : MAINTENANCE DE LA PLATEFORME INTÉGRÉE DES

SERVICES DE CONFIANCE QUALIFIÉS POUR LES TRANSACTIONS ÉLECTRONIQUES OBJET DE LA
TRANCHE FERME
Qté
N° prix Libellé Unité
annuelle
Maintenance de la plateforme intégrée des services de confiance qualifiés
7.1 pour les transactions électroniques objet de la tranche ferme Trimestre 4
TRANCHE CONDITIONNELLE N°7 : MAINTENANCE DU SERVICE DE CONFIANCE OBJET DE LA

TRANCHE CONDITIONNELLE N°2
Qté
annuelle
8.1 Maintenance du service de confiance objet de la tranche conditionnelle n°2 Trimestre 4

Qté
annuelle

Qté
annuelle

Qté
annuelle
Les bordereaux des prix unitaires - détail estimatif sont annexés au niveau de l’acte d’engagement
relatif au présent marché.
BARID AL-MAGHRIB
Direction Achats
Dressé par Signé au nom du Maître d’Ouvrage
Lu et approuvé par le soumissionnaire

(Date, nom, qualité et visa, avec la mention manuscrite ‘lu et approuvé’)
BARID AL-MAGHRIB
Direction Achats
ANNEXE N°1
CHARTE RSE DES FOURNISSEURS
ET SOUS-TRAITANTS DU GROUPE BARID AL-MAGHRIB
La Responsabilité Sociale et Environnementale (RSE) est, de nos jours, un élément structurant dans la bonne gestion des
entreprises. Il s’agit d’un concept qui désigne l’intégration volontaire par l’entreprise des préoccupations sociales, sociétales,
environnementales et de bonne gouvernance dans sa stratégie, sa gestion et ses relations avec ses parties prenantes, sans
toutefois négliger les aspects économiques et financiers.
Autrement dit, être socialement responsable signifie non seulement satisfaire pleinement aux obligations juridiques et
réglementaires applicables, mais aussi aller au-delà et investir davantage dans le capital humain, l’environnement et les
relations avec les parties prenantes.
Le groupe Barid Al-Maghrib s’est engagé à promouvoir, à appliquer et à soutenir dans ses activités et relations, avec ses
parties prenantes, les principes fondamentaux de la Responsabilité Sociale et Environnementale (RSE). Les principes
directeurs de la politique RSE sont notamment déclinés au sein de son service achat.
La démarche d’achat responsable est appréhendée comme un support à notre politique RSE. Elle constitue un puissant levier
pour orienter les actions de Barid Al-Maghrib vers un développement durable susceptible d’améliorer la qualité de son
système d’exploitation, de limiter ses impacts négatifs sur l’environnement et de participer au progrès social.
La présente « Charte RSE des Fournisseurs » a pour objectif de partager, et de faire adhérer les fournisseurs (existants ou
potentiels) et les sous-traitants aux divers principes régissant les achats responsables chez Barid Al-Maghrib et de préciser
les engagements attendus des fournisseurs et sous-traitants en retour.
Cette « Charte » s’applique à tous les fournisseurs de Barid Al-Maghrib et ses filiales.
Tout fournisseur ou sous-traitant de Barid Al-Maghrib doit prendre connaissance de cette charte et s’engager à la respecter
par sa signature lors des soumissions.
I - PRINCIPES ADOPTES PAR LE GROUPE BARID ALMAGHRIB DANS LE DOMAINE DES ACHATS :
1 - Respect des principes RSE du pacte mondial de l’ONU : Ces principes portent sur quatre grands thèmes :
• Droits de l’Homme
• Droit du travail
• Environnement
• Lutte contre la corruption
2 – Principes guidant nos achats responsables :
La démarche d’achat responsable s’inscrit dans la politique de déploiement de la RSE au sein du Groupe Barid Al-Maghrib.
Elle trouve son fondement dans le concept de développement durable qui vise à réconcilier trois exigences interdépendantes
et complémentaires :
• Le développement économique, en cherchant à rationaliser les achats et à réduire les coûts globaux tout en évitant les
gaspillages ;
• Le développement social qui se réfère à l’équité sociale et renvoie aux questions de droits humains, d’équité, de
solidarité, de sécurité, de formation… ;
• La protection de l’environnement qui vise à préserver, améliorer et valoriser l’environnement ainsi que les ressources
naturelles à long terme.
II - ENGAGEMENTS DES FOURNISSEURS OU SOUS-TRAITANTS VIS-A-VIS DE NOTRE GROUPE
Le Groupe Barid Al-Maghrib attend de ses Fournisseurs le respect des principes suivants :
• Protection de la santé et de la sécurité
Les fournisseurs s'engagent à mettre en œuvre des mesures de prévention des risques au travail afin d'assurer la sécurité et de
protéger la santé physique et mentale des travailleurs (Actions d’information et de formation ; mise en place d’une
organisation et de moyens adaptés…). Le prestataire veille à ce que ses activités ne nuisent pas à la santé et à la sécurité de
son personnel, de ses sous-traitants, des intervenants liés à l’opération, des populations avoisinantes, et des utilisateurs de ses
produits.
Des actions proactives en matière d'hygiène et de santé doivent être menées par le prestataire. Les risques liés à son activité
doivent être évalués et des plans de progrès doivent être menés pour les prévenir.
• Respect des dispositions relatives au contrat de travail
Les fournisseurs s’engagent à se conformer, au minimum, à l’ensemble des réglementations relatives aux rémunérations et
aux heures de travail, y compris celles qui concernent le salaire minimum, la rémunération des heures supplémentaires, et
tout autre élément de rémunération. Les fournisseurs pourvoient, en outre, aux avantages requis par la législation.
• Respect du droit de représentation et d’expression des salariés
BARID AL-MAGHRIB
Direction Achats
Les fournisseurs s'engagent à reconnaître et respecter les droits des salariés à la liberté syndicale, d’organisation et de
négociation collective et permettre le développement du dialogue social en favorisant la liberté d’expression et d’association
des travailleurs.
• Interdiction du travail des enfants
Les Fournisseurs s’engagent à appliquer les dispositions relatives à l’élimination du travail des enfants et à leur protection. Il
s’engage en particulier à ne pas employer de personnes n’ayant pas atteint l’âge minimum requis pour travailler.
III - ENGAGEMENT DU GROUPE BARID AL-MAGHRIB VIS-A-VIS DE SES FOURNISSEURS
Nos fournisseurs jouent un rôle clé dans la croissance et le succès de Barid Al-Maghrib. Aussi, il est important de rappeler
les engagements que nous prenons, à travers notre charte Achats, envers eux.
• Inciter et encourager les partenaires (fournisseurs et sous-traitants) à adopter les bonnes pratiques
environnementales et écologiques ;
• Protéger les données personnelles des fournisseurs ;
• Respecter les règles de concurrence ;
• Respecter les droits des fournisseurs.
• Inciter les fournisseurs à respecter les engagements sociétaux ;
• Inciter les sous-traitants au respect de la réglementation du travail.
En adhérant aux principes de cette charte, les fournisseurs et sous-traitants du Groupe Barid Al-Maghrib s’engagent à
accompagner Barid Al-Maghrib dans le déploiement de sa stratégie RSE et acceptent d’être évalués par Barid Al-Maghrib
sur les principes énoncés ci-dessus.
Ils s’engagent à mettre en place les moyens nécessaires afin de s’y conformer et s’engagent également à en répercuter le
contenu à l’ensemble de leurs propres fournisseurs et sous-traitants.
ENGAGEMENT
Nous confirmons par la présente :

- que nous avons reçu et pris pleinement connaissance de la Charte des Achats Responsables du Groupe Barid Al-Maghrib ;
- que nous sommes engagés par la mise en œuvre de ces principes et que leur non-respect pourra être considéré comme un
manquement à nos obligations, de nature à entraîner, selon la gravité de ce non-respect, la résiliation du contrat ;
- que nous informerons par conséquent tous nos fournisseurs directs, et les encouragerons à suivre ces principes.
Date : ....... / ….... / ……….
Nom de l’entreprise : ……………………………………………………………………..
Nom du représentant : …………………………………………………………………...
Titre du représentant : …………………………………………………………………….
Signature :
BARID AL-MAGHRIB
Direction Achats
ANNEXE N°2 : DÉCLARATION D’INTÉGRITÉ

« Nous déclarons et nous nous engageons à ce que ni nous ni aucune autre personne, y compris parmi nos dirigeants,
employés, représentants, partenaire en coentreprise ou sous-traitant agissant en notre nom sur la base de nos instructions en
bonne et due forme ou avec notre connaissance et accord, ou avec notre consentement, ne commette ou ne commettra une
quelconque Pratique interdite (telle que définie ci-dessous) en rapport avec la procédure d’appel d’offres ou dans le cadre de
l’exécution ou de la fourniture de travaux, biens ou services concernant le présent marché, et à vous informer au cas où une
telle Pratique interdite serait portée à l’attention de toute personne chargée, au sein de notre société, de veiller à l’application
de la présente déclaration.
Pendant la durée de la procédure d’appel d’offres et, si notre offre est retenue, pendant la durée du Marché, nous désignerons
et maintiendrons dans ses fonctions une personne-qui sera soumise à votre agrément, et auprès de qui vous aurez un accès
illimité et immédiat-et qui sera chargée de veiller, en disposant des pouvoirs nécessaires à cet effet, à l’application de la
présente Déclaration.
Si (i) nous-mêmes ou un dirigeant, employé, représentant ou partenaire en coentreprise, le cas échéant agissant comme
indiqué ci-dessus, avons (a) été condamné par un tribunal, quel qu’il soit, pour un délit quelconque impliquant une Pratique
interdite en rapport avec n’importe quelle procédure d’appel d’offres ou fourniture de travaux, biens ou services au cours des
cinq années précédant immédiatement la date de la présente Déclaration, ou (ii) un quelconque de ces dirigeants, employés
ou représentants ou encore le représentant d’un partenaire en coentreprise, le cas échéant, a été renvoyé ou a démissionné de
quelque emploi que ce soit parce qu’il était impliqué dans quelque Pratique interdite que ce soit, vous trouverez ci-après des
précisions au sujet de cette condamnation, ce renvoi ou cette démission, ainsi que le détail des mesures que nous avons
prises, ou prendrons, pour garantir que ni nous ni aucun de nos employés ne commettrons (commettra) aucune Pratique
interdite en rapport avec le présent Marché.
Au cas où le présent Marché nous serait attribué, nous accordons à BAM et aux auditeurs nommés par l’un ou l’autre d’entre
eux, ainsi qu’à toute autre autorité compétente selon la loi marocaine, le droit d’inspecter nos documents. Nous acceptons de
conserver lesdits documents durant la période généralement prévue par la législation en vigueur mais, quoi qu’il en soit,
pendant au moins la durée d’archivage appliquée par BAM et à compter de la date de réception provisoire du Marché.
À l’effet des présentes dispositions, les expressions suivantes sont définies comme indiqué ci-dessous :
• « Manœuvre de corruption » : fait d’offrir, promettre ou accorder un quelconque avantage indu en vue d’influencer la
décision d’un responsable de BAM, ou de menacer de porter atteinte à sa personne, son emploi, ses biens, ses droits ou sa
réputation, en rapport avec la procédure de passation des marchés ou dans l’exécution d’un marché, dans le but d’obtenir
ou de conserver abusivement une affaire ou d’obtenir tout autre avantage indu dans la conduite de ses affaires.
• « Manœuvre frauduleuse » : déclaration malhonnête ou dissimulation d’informations ou recel dans le but d’influencer une
procédure de passation d’un marché ou l’exécution d’un marché au préjudice de BAM, et qui comporte des pratiques
collusoires entre soumissionnaires (avant ou après la remise des offres) ou entre un soumissionnaire et un consultant ou
un représentant de BAM en vue de fixer les prix des soumissions à des niveaux non compétitifs et de priver BAM des
avantages d’une mise en concurrence équitable et ouverte.
• BAM : la personne désignée comme telle dans les documents d’appel d’offres ou le Marché.
• « Pratique interdite » : tout acte qui est une Manœuvre de corruption ou une Manœuvre frauduleuse ou tout acte
d’engager, en tant que salariés de l’entreprise, le personnel de BAM.
ENGAGEMENT
Nous confirmons par la présente que :
- nous avons reçu et pris pleinement connaissance des principes du Groupe Barid Al-Maghrib ;
- nous sommes engagés par la mise en œuvre de ces principes et que leur non-respect pourra être considéré comme un
manquement à nos obligations, de nature à entraîner, selon la gravité de ce non-respect, la résiliation du marché ;
- nous informerons par conséquent tous nos fournisseurs sous-traitants le cas échéant, et les encouragerons à suivre ces
principes.
- nous attestons que nous ne sommes pas et qu'aucun des membres de notre groupement n'est dans l'une des situations de
conflit d'intérêt effectif, apparent ou potentiel.
- nous nous engageons à communiquer sans délai indu au Maître d'Ouvrage, tout changement de situation au regard des
présentes dispositions ainsi que toute situation éventuelle de conflit d'intérêts, qui pourrait venir perturber la procédure de
passation ou d’exécution d’un marché. Le cas échéant, Nous nous engageons à prendre toute mesure nécessaire pour y
remédier ou en limiter les effets.
Date : ....... / ….... / ……….
Nom de l’entreprise : ……………………………………………………………………..
Nom du représentant : …………………………………………………………………...
Titre du représentant : …………………………………………………………………….
Signature : ………………………………………………………………………………...
BARID AL-MAGHRIB
Direction Achats
BARID AL-MAGHRIB
Marché à Tranches Conditionnelles

N° I-6922/2022
Relatif à :
Acquisition, mise en service et maintenance d’une

plateforme intégrée des services de confiance
qualifiés pour les transactions électroniques.
(Marché à Tranches Conditionnelles)
PRESTATAIRE : (à renseigner par le soumissionnaire) ANNEE : 2022
BARID AL-MAGHRIB
Direction Achats
Marché à Tranches Conditionnelles n° I-6922/2022
Acquisition, mise en service et maintenance d’une plateforme intégrée des services de

confiance qualifiés pour les transactions électroniques.
LU ET ACCEPTÉ PAR SIGNATAIRE AU NOM

LE PRESTATAIRE
DU MAÎTRE D’OUVRAGE
(Date, nom, qualité et visa, avec la mention
manuscrite ‘lu et accepté’)
APPROUVÉ PAR :

Aoo 89-2022 - CPS V4

Transféré par

Droits d'auteur :

Formats disponibles

Aoo 89-2022 - CPS V4

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Aoo 89-2022 - CPS V4

Transféré par

Droits d'auteur :

Formats disponibles

BARID AL-MAGHRIB

CAHIER DES PRESCRIPTIONS SPECIALES

Acquisition, mise en service et maintenance d’une

TABLE DES MATIERES

PARTIES CONTRACTANTES .................................................................................................. 4

CHAPITRE 1 : CLAUSES ADMINISTRATIVES PARTICULIERES ................................. 5

CHAPITRE 2 : CLAUSES TECHNIQUES PARTICULIERES ........................................... 16

CHAPITRE 3 : CLAUSES FINANCIERES PARTICULIERES .......................................... 67

Représentée valablement par : (à renseigner par le soumissionnaire)

Désigné(e), ci-après, par le terme « Prestataire ».

Il a été arrêté et convenu ce qui suit :

CHAPITRE 1 : CLAUSES ADMINISTRATIVES PARTICULIERES

ARTICLE 1.1 : OBJET DU MARCHE

- Le règlement des marchés de BAM du 04/04/2017;

L’approbation du Marché doit intervenir avant tout commencement d’exécution de la Prestation.

ARTICLE 1.9 : REPRESENTATION DU MAITRE D’OUVRAGE

ARTICLE 1.11 : PROTECTION DES DONNEES A CARACTERE PERSONNEL

ARTICLE 1.14 : DELAIS ET MODALITÉS D’EXECUTION DU MARCHE

Tranches conditionnelles n°1, 2, 3, 4 et 5 :

L’exécution de la prestation « Intervention à la demande » se fera sur la base de lettres de commandes

Le délai d’exécution de la prestation « Intervention à la demande » commence à courir à partir du

1.14.3 : DÉLAIS DE VÉRIFICATION ET DE REPRISE DES LIVRABLES

ARTICLE 1.20 : RÉSILIATION DU MARCHÉ POUR FAUTE DU PRESTATAIRE ET

événements passés par l'identification, la collecte, la préservation, l’examen, l’interprétation et le rapport

ARTICLE 1.25 : ENGAGEMENT DE REVERSIBILITE

CHAPITRE 2 : CLAUSES TECHNIQUES PARTICULIERES

ARTICLE 2.1 : CONTEXTE ET DESCRIPTION DE L’EXISTANT

Ce projet a pour objectif de satisfaire deux ambitions majeures de BAM :

• Permettre à Poste Maroc de se positionner et de confirmer sa position comme Prestataire des

2.1.2 – DESCRIPTION DE L’EXISTANT :

- Principaux SIs actuels de Barid eSign :

• Le ‘Workflow Barid eSign’ : Guichet électronique Barid eSign

- Parc des serveurs de virtualisations :

- Infrastructure réseau et sécurité :

ARTICLE 2.2 : DESCRIPTION DU BESOIN ET DEMARCHE DE REALISATION

2.2.1 – POUR LA TRANCHE FERME :

2.2.1.1 – Description du besoin :

• Services de confiances qualifiés :

- Mise en œuvre des services de confiances :

• Phase 1 (Qualification des services)

• Phase 2 (Implémentation des services de confiances selon eIDAS)

- Mise en œuvre du parapheur électronique :

confiance objet du présent marché (Validation et Conservation de signature/cachet électronique &

2.2.1.2 – Démarche de réalisation :

PHASE 1 : CONCEPTION ET RÉALISATION

Dossier de conception générale.

o Autres composants logiciels et matériels liées (NTP, Load Balancer/Failover, …) ;

Conditions de passage à l’étape suivante

• Guide d’architecture validé par la BAM.

❖ Manuels d’exploitation et d’administration de la solution, conformément au modèle

- La volumétrie des fichiers de la base de données utilisée :

Conditions de passage à l’étape suivante

Préparation et mise à niveau des environnements

Installation en environnement d’Intégration Applicative (environnement de préproduction)

BAM vérifiera alors :

• La viabilité technique du package fourni par le Prestataire (installation, assemblage des

Conditions de passage à l’étape suivante

- Travaux à la charge de BAM

- Assistance du Prestataire pendant la recette fonctionnelle