Soumissio
№ 2026SPR027 · ocds-ec9k95-20135073

Services professionnels en sécurité de l’information (services achetés)

Services professionnels Avis d’appel d’offres
Donneur d'ouvrage
CISSS de Chaudière-Appalaches
Statut
active
Ouverture
8 avril 2026
Clôture
6 mai 2026 (27 jours)

Description

1.RENSEIGNEMENTS GÉNÉRAUX

1.1MANDAT

Le Centre opérationnel de Cyberdéfense (COCD) du CISSS de Chaudière-Appalaches (CISSS-CA) souhaite recevoir des offres de services professionnels, sous la forme d’un taux horaire, dans le domaine de la sécurité de l’information.

L’adjudicataire fournira les ressources nécessaires à la réalisation du mandat qui consiste à effectuer des tests de pénétration applicatifs, d’infrastructure et infonuagique. Plus spécifiquement :

Effectuer la reconnaissance des points d’entrées possibles ;

Effectuer des tests de sécurité automatisés ;

Effectuer des tests manuels de sécurité à l’aide d’outils reconnus ;

Procéder à la revue de code, si nécessaire ;

Rédiger un rapport des vulnérabilités détectées avec les preuves de concept ;

Identifier les correctifs à apporter ;

S’assurer que les correctifs identifiés ont été appliqués par le détenteur de l’actif ;

Produire un rapport technique avec un sommaire exécutif.

1.2CONTEXTE TECHNOLOGIQUE 

Santé Québec, ses organismes publics et les établissements du réseau de la santé et des services sociaux (RSSS), constitué de trente-quatre (34) établissements situés dans la province de Québec, disposent des plateformes technologiques requises pour le fonctionnement des systèmes médico-administratifs, bureautiques et cliniques propres à chacune des régions administratives du Québec. Certains actifs sont exposés sur l’Internet afin d’être accessible aux utilisateurs ciblés.

1.3 DURÉE DU MANDAT

Le mandat débutera vers le 15 mai 2026 pour une durée approximative de vingt-quatre (24) mois. Un total de 3 000 heures est requis pour la durée du mandat.

1.4 LIEU DE RÉALISATION DES TRAVAUX

Les travaux se réaliseront en télétravail, mais la ressource pourrait être appelée à se présenter à des rencontres en présentiel. 

1.5 HABILETÉS

L’adjudicataire devra clairement démontrer son habileté à communiquer, à développer et à maintenir des relations interpersonnelles harmonieuses, à animer efficacement des rencontres et à faire preuve d’autonomie.

Langue exigée : Le français est obligatoire.

1.6 EXIGENCES RELATIVES À L’EXÉCUTION DU MANDAT

L’adjudicataire devra utiliser et se conformer à l’encadrement méthodologique et normatif en vigueur au CISSS-CA. La liste des responsabilités spécifiées à la section 1.1 « Mandat » est non exhaustive. Elle pourrait se préciser en cours de mandat, tout en demeurant dans le domaine des tests de pénétration.

1.7 EXIGENCES EN REGARD DE L’OFFRE DE PRIX

L’offre de prix doit être présentée sur la base de « taux horaire ». Les soumissionnaires de services doivent remplir le formulaire « Bordereau de prix » », joint avec la documentation requise afin d’appuyer son offre de services en fonction de l’expérience et des habiletés requises pour le présent mandat. 

Le taux horaire soumis au formulaire « Bordereau de prix » est applicable pour la durée de validité du mandat, et ce, en tout temps.


2. EXIGENCES MINIMALES REQUISES

2.1EXPÉRIENCES 


Toutes les ressources proposées (1 ressource demandée) par le prestataire de services doivent minimalement :

1.Détenir un minimum de trois (3) années d’expérience dans la réalisation de tests de pénétration applicatifs en sécurité de l’information ;

2.Posséder la connaissance de langages de programmation, tels que HTML, SQL, Python, PHP, etc. ;

3.Détenir une ou plusieurs certifications reconnues en réalisation de tests de pénétration. La détention d’une certification est requise et ne peut être substituée par un diplôme universitaire ou collégial.

4.Posséder une connaissance approfondie du OWASP top 10.

 Le CISSS-CA procédera à une entrevue avec la ou les ressources proposées afin de valider que l’expérience et les connaissances requises sont conformes aux exigences signifiées.

3. INSTRUCTIONS

Vous devez compléter le formulaire de soumission et joindre en annexe les références et curriculum vitae.   Nous demandons des références clients pour les mandats exécutés par la ressource.


Conditions

Conditions d’admissibilité (2)
  • L’organisme public se réserve le droit de rejeter la soumission d’un soumissionnaire qui, dans les deux (2) années précédant l’ouverture des soumissions, a:
    • Fait l’objet d’une évaluation de rendement insatisfaisant de la part de l’organisme public;
    • Omis de donner suite à une soumission ou un contrat; ou
    • Fait l’objet d’une résiliation de contrat en raison de son défaut d’en respecter les conditions.
  • L’offre doit être présentée par un fournisseur ayant un établissement au Québec ou dans un des territoires visés par les accords applicables.
Autres conditions (2)
  • Autres conditions

    1.09 Admissibilité

    Le défaut d’un SOUMISSIONNAIRE ou PRESTATAIRE DE SERVICES de respecter l’une ou l’autre des conditions ci-dessous décrites le rend inadmissible, et sa Soumission ne peut être considérée.

    Cette clause fait partie du « Cahier des clauses administratives générales » (CCAG) et s'applique aux appels d'offres publics en services informatiques.

    a) Le SOUMISSIONNAIRE ou PRESTATAIRE DE SERVICES doit posséder les qualifications, les autorisations, les permis, les licences, les enregistrements, les certificats, les accréditations et les attestations nécessaires;

    b) Le SOUMISSIONNAIRE ou PRESTATAIRE DE SERVICES doit remplir la condition concernant son Établissement prévue à la clause 1.02 de la Régie;

    c) Le SOUMISSIONNAIRE ou PRESTATAIRE DE SERVICES doit, conformément à la clause «Attestation de Revenu Québec», détenir une Attestation de Revenu Québec valide et n'ayant pas été délivrée après la date et l’heure limites de réception des Soumissions;

    d) Cependant, s’il n’a pas un Établissement au Québec, le SOUMISSIONNAIRE ou PRESTATAIRE DE SERVICES doit plutôt présenter avec sa Soumission, en lieu et place d'une Attestation de Revenu Québec, le formulaire «Absence d’établissement au Québec» dûment rempli et signé;

    e) Le SOUMISSIONNAIRE ou PRESTATAIRE DE SERVICES ne doit pas, au moment de déposer sa Soumission, être inscrit au registre des entreprises non admissibles aux contrats publics (RENA) ou, s’il y est inscrit, être en période d’inadmissibilité;

    Le registre des entreprises non admissibles (RENA) peut être consulté sur le site Internet de l’Autorité des marchés publics à l’adresse suivante : Autorité des marchés publics (AMP) | AMP. Pour tout renseignement complémentaire concernant le RENA, communiquer avec l’AMP par téléphone au 1 888 335-5550 ou par courriel en remplissant le formulaire indiqué au https://amp.quebec/nous-joindre/. Pour plus d'information au sujet du registre des entreprises non admissibles, il faut consulter les articles 21.1 et s. de la Loi sur les contrats des organismes publics (RLRQ, c. C-65.1).

    f) Le SOUMISSIONNAIRE ou PRESTATAIRE DE SERVICES doit avoir produit avec sa Soumission le formulaire « Déclaration Concernant les Activités de Lobbyisme » dûment signé;

    g) Le SOUMISSIONNAIRE ou PRESTATAIRE DE SERVICES doit respecter les conditions en lien avec la Charte de la langue française prévues à la clause «Charte de la langue française» de la Régie de l'Appel d'Offres;

    h) Le SOUMISSIONNAIRE ou PRESTATAIRE DE SERVICES ne doit pas être une personne qui a participé à la réalisation d’un contrat visé par une clause de limitation prévue dans les Documents d’Appel d’Offres ni être une entreprise contrôlée directement ou indirectement par une telle personne;

    i) Le SOUMISSIONNAIRE ou PRESTATAIRE DE SERVICES doit satisfaire à toute autre condition d’admissibilité prévue dans les Documents d’Appel d’Offres.

  • Conditions de conformité

    1.11 Conformité

    1.11.01 Cas de rejet automatique

    Toute Soumission ne satisfaisant pas à l’une ou l’autre des conditions ci-dessous décrites est jugée non conforme et est automatiquement rejetée.

    Cette clause fait partie du « Cahier des clauses administratives générales » (CCAG) et s’applique aux appels d'offres publics en services informatiques.

    a) le non-respect de la date et de l’heure limites fixées pour la réception des Soumissions et, dans le cas d’une Soumission transmise sur support papier, le non-respect de l’endroit prévu pour sa réception;

    b) l’absence du document constatant l’engagement du SOUMISSIONNAIRE ou du document relatif au prix soumis ou, dans le cas d’une Soumission transmise sur support papier, l’absence d’une signature requise d’une personne autorisée sur l’un ou l’autre de ces documents; 

    c) si le formulaire «Déclaration d’intégrité» (annexe 7.00) est absent ou si ce formulaire n’est pas signé par une personne autorisée;

    Ce cas de rejet automatique ne s'applique pas à un SOUMISSIONNAIRE qui détient une autorisation de contracter délivrée par l'Autorité des marchés publics (AMP).

    d) dans le cas d’une Soumission transmise par voie électronique, le fait qu’elle ne l’ait pas été par l’intermédiaire du SEAO ou le fait qu’elle soit inintelligible, infectée ou autrement illisible une fois son intégrité établie par le SEAO.

    Par ailleurs, dans le cas d’une Soumission transmise par voie électronique dont l’intégrité n’a pas été constatée, le fait de ne pas remédier à cette irrégularité dans les 2 jours ouvrables suivant l’avis de défaut transmis par l’ORGANISME PUBLIC entraînera le rejet de la Soumission;

    e) lorsque l’Appel d’Offres comprend l’acquisition de biens soumis à des spécifications techniques ou à des essais de conformité, le non-respect des exigences requises à cet égard;

    f) le dépôt par un SOUMISSIONNAIRE de plusieurs Soumissions pour un même Appel d’Offres entraîne le rejet automatique de toutes ses Soumissions. La transmission d'une même Soumission par voie électronique et sur support papier n’est pas réputée être un dépôt de plusieurs Soumissions. Une telle transmission entraîne le rejet automatique de la Soumission sur support papier;

    g) le non-respect de toute autre condition de conformité indiquée dans les Documents d’Appel d’Offres comme entraînant le rejet automatique d’une Soumission;

    h) si dans le bordereau de prix le montant total est absent, nous le considèrerons comme étant nul;

    i) la Soumission n’est pas rédigée en français;

    Une Soumission est non conforme et peut être rejetée par l’ORGANISME PUBLIC si elle est conditionnelle ou restrictive (voir Définition des termes).

    1.11.02 Autres cas d'irrégularités

    Toute Soumission comportant un manquement à une exigence autre que celles visées à la clause 1.11.01 entraîne le rejet de la Soumission selon les modalités suivantes :

    a) dans le cas d’une irrégularité majeure, soit celle qui peut entrainer une modification du prix soumis ou avoir une incidence sur l’égalité des SOUMISSIONNAIRES, l’ORGANISME PUBLIC doit rejeter la Soumission;

    b) dans le cas d’une irrégularité mineure, si le SOUMISSIONNAIRE ne remédie pas à l’irrégularité que lui indique l'ORGANISME PUBLIC, dans le délai qu’il fixe.

    1.11.03 Transmission par voie électronique

    Si, dans le cas d’une Soumission transmise par voie électronique dont l’intégrité n’a pas été constatée lors de l’ouverture des Soumissions, le SOUMISSIONNAIRE ne remédie pas à cette irrégularité dans les DEUX (2) jours ouvrables suivant l’avis de défaut transmis par l'ORGANISME PUBLIC, la Soumission doit être rejetée, étant entendu qu'une Soumission transmise par voie électronique dans le délai fixé ci-dessus pour remédier au défaut d’intégrité d’une Soumission transmise antérieurement se substitue à cette dernière dès que son intégrité est constatée par l’ORGANISME PUBLIC. Cette Soumission est alors réputée avoir été transmise avant la date et l’heure limites fixées pour la réception des Soumissions.

Documents officiels (4)

  • Devis
    Devis_2026SPR027
    Français · 4 p. · 8 1/2 x 14 po.
  • Devis
    Formulaire de soumission - 2026SPR027
    Français · 17 p. · 8 1/2 x 11 po.
  • Devis
    Régie - 2026SPR027
    Français · 38 p. · 8 1/2 x 11 po.
  • Devis
    Contrat - 2026SPR027
    Français · 63 p. · 8 1/2 x 11 po.

Téléchargement via SEAO (compte gratuit requis) — ouvrir l'avis.

Addendas (4)

  1. 2026-04-13
    ADD_1_2026SPR009
    Amendement
  2. 2026-04-13
    ADD_2_2026SPR027
    Amendement
  3. 2026-04-15
    ADD_3_2026SPR027
    Questions/Réponses
  4. 2026-04-17
    ADD_4_2026SPR027
    Questions/Réponses

Codes UNSPSC

811118018010150781110000

Donneur d'ouvrage

CISSS de Chaudière-Appalaches
960 rue de la Concorde Lévis QC CAN G6W8A8
Contact responsable
Voir l'AO sur le SEAO →

Vous voulez être averti des AO comme celui-ci ?

Soumissio vous envoie un courriel le matin avec les nouveaux AO scorés pour votre firme.

Activer la veille gratuite