Le Projet d’Accélération de la Transformation Numérique au Cameroun (PATNUC) qui résulte d’un accord entre le Gouvernement du Cameroun et la Banque mondiale a pour objectif d'accroître l'inclusion numérique et l'utilisation de solutions agricoles numériques par des petits exploitants agricoles acteurs des chaînes de valeur agricoles cibles. Ainsi, le PATNUC incarne l’approche de la transformation numérique, ciblant un secteur hautement stratégique pour le Cameroun tout en proposant de réformer le cadre règlementaire du secteur des Technologies de l’Information et de la Communication (TIC). Ce projet, avec son investissement dans la connectivité et les compétences numériques, soutient des interventions qui tirent parti des innovations numériques pour stimuler la croissance économique.
Le PATNUC est structuré autour de 4 composantes : (i) Stratégie, politique publique et réglementation numériques pour l’inclusion et la transformation numérique ; (ii) connectivité et inclusion numériques ; (iii) facilitation de l’implémentation des solutions numériques basées sur les données dans le secteur agricole ; et (iv) gestion du projet et l’engagement citoyen. Ainsi, le gouvernement à travers la SND30, ambitionne d’enclencher véritablement la transformation structurelle de l’économie camerounaise qui s’appuiera sur une modernisation du secteur agricole (agriculture, élevage, pêche et aquaculture) à travers l’amélioration de la productivité et la compétitivité des exploitations familiales agricoles et la promotion d’une dynamique d’industrialisation véritable.
La transformation digitale passera forcément par un renforcement de capacité des principaux acteurs du numérique dans l’écosystème camerounais. Le PATNUC à travers sa Sous-composante 1.2 : Environnement propice pour des services numériques sûrs et résilients envisage financer des sessions de formation et programmes de renforcement des capacités, en particulier pour les entités de sécurité réseau dédiées telles que l'équipe d'intervention d'urgence informatique (CIRT) de l’Agence Nationale des Technologies de l’Information et le Communication (ANTIC) et les départements de sécurité informatique d'autres agences gouvernementales telles que la direction de la sécurité des réseaux et des systèmes d’information du MINPOSTEL.
1.2. Justificatif de la mission
Le Décret n° 2012/512 du 12 novembre 2012 portant organisation du Ministère des Postes et télécommunications, confère à la direction de la sécurité des réseaux et systèmes d’informations du MINPOSTEL, la sécurisation des infrastructures critiques de l'Etat et des applications des Administrations Publiques et des Collectivités Territoriales Décentralisées, en liaison avec les administrations et organismes concernés.
Par ailleurs, à la faveur de la loi N°2010/012 du 21 décembre 2010, L’Agence Nationale des Technologies de l’Information et de la Communication (ANTIC) s’est vue attribuée la responsabilité d’assurer la sécurité du cyberespace camerounais à travers des activités telles que la veille cybernétique assurée par son CIRT, les audits de sécurité, les investigations numériques, la cryptographie et la certification électronique.
Pour assurer ces missions au combien importantes et délicates, ces agences (DSR MINPOSTEL ET CIRT ANTIC) ont effectué ces dernières années, plusieurs vagues de recrutement d’ingénieurs IT relativement jeunes dont il est indispensable de renforcer les capacités opérationnelles, avec des indicateurs permettant d’apprécier leur évolution, afin d’assurer de manière plus efficace leurs missions au sein de ces structures.
Le PATNUC de concert avec lesdites structures ont conçu un programme de renforcement des capacités qui s’articule autour de quatre (04) cursus répartis chacun en trois (03) niveaux (débutant, professionnel et expert). Il s’agit du Forensic Investigation, Audit and Pentesting, Governance and Incident Management, Offensive security et Cyberintelligence and OSINT qui mettront l’accent sur les risques, les menaces et les stratégies d'atténuation de la violence en ligne à l'égard des femmes. Cela devrait contribuer de manière significative au renforcement de notre souveraineté numérique. Pour chacun de ces domaines et à différents niveaux, des formations pratiques certifiantes ont été identifiées par les parties prenantes il s’agit de :
Security Audit & Penetration Testing
|
Skill Level |
Organization |
Course Title |
Description |
Observation |
|
Beginner |
SANS |
GIAC Security Essentials Certification (GSEC) |
Validate foundational knowledge in information security, covering essential concepts and best practices |
Base de formation |
|
Intermediate |
SANS |
GIAC Certified Penetration Tester (GPEN) |
Attest to the skills to perform penetration tests methodically, focusing on offensive techniques |
Specialization |
|
Intermediate |
SANS |
GIAC Web Application Penetration Tester (GWAPT) |
Prove the ability to identify and exploit vulnerabilities specific to web applications |
Specialization |
|
Advanced |
SANS |
GIAC Exploit Researcher and Advanced Penetration Tester (GXPN) |
Validate in-depth expertise in exploit research and development, as well as advanced penetration testing |
Expertise |
Offensive Security (Threat Intelligence)
|
Skill Level |
Organization |
Course Title |
Description |
Observation |
|
Beginner |
SANS |
GIAC Security Essentials Certification (GSEC) |
Validate foundational knowledge in information security, covering essential concepts and best practices |
Base de formation |
|
Intermediate |
SANS |
GIAC Open-Source Intelligence (GOSI) |
Validate the skills to effectively gather and analyze information from publicly available sources for intelligence purposes. |
Specialization |
|
Intermediate |
SANS |
GIAC Cyber Threat Intelligence |
Certify the ability to produce and utilize cyber threat intelligence to understand threat actors and their campaigns. |
Specialization |
Governance and Incident Management
|
Skill Level |
Organization |
Course Title |
Description |
Observation |
|
Beginner |
SANS |
GIAC Security Essentials Certification (GSEC) |
Validate foundational knowledge in information security, covering essential concepts and best practices |
Base de formation |
|
Skill Level |
Organization |
Course Title |
Description |
Observation |
|
Intermediate |
SANS |
GIAC Certified Incident Handler (GCIH) |
Validate the in-depth knowledge and skills required to detect, respond to, and recover from security incidents. |
Specialization |
|
Intermediate |
SANS |
GIAC Strategic Management (GSM) |
Certify the understanding of strategic security management principles and practices for organizational leadership. |
Specialization |
Forensic Investigations
|
Skill Level |
Organization |
Course Title |
Description |
Observation |
|
Beginner |
SANS |
GIAC Security Essentials Certification (GSEC) |
Validate foundational knowledge in information security, covering essential concepts and best practices |
Base de formation |
Tableau 1 : Besoins en formation GIAC des entités dédiées à la sécurité des réseaux.
OBJECTIFS DE LA MISSION
Le présent projet vise à permettre au personnel des entités dédiées à la sécurité des réseaux et CERT d'acquérir les compétences avancées pratiques nécessaires pour gérer, maintenir et sécuriser le cyberespace Camerounais. De manière spécifique, il s’agira de :
Valider un contenu pédagogique et les objectifs y afférents en français et en anglais pointu et adapté aux menaces cyber actuelles et futures, permettant à la DSR MINPOSTEL et du CIRT ANTIC de remplir efficacement sa mission de protection du cyberspace national ;
Définir un site de formation fixe pour la durée de la formation ;
Définir et proposer un calendrier de formation pour toutes les ressources, tenant compte des différentes vagues de personnel devant participer à la formation ;
Faire une évaluation optimale des coûts des différentes formations ;
Assurer la mise à disposition de tout le matériel nécessaire pour la formation et des supports de formation
Définir les modules de formation et une durée de formation optimale pour chaque module, garantissant une acquisition approfondie des compétences nécessaires à la lutte contre la cybercriminalité et à la sécurisation des infrastructures nationales et accompagner de sessions pratiques les différents modules abordés ;
Doter les Ingénieurs de la DSR MINPOSTEL et du CIRT ANTIC d’aptitudes et de compétences leur permettant d’assurer de manière efficace les missions de veille cybernétique et de sécurisation des infrastructures critiques et assurer des travaux pratiques et étude de cas ;
Doter les Ingénieurs du CIRT ANTIC et les entités dédiées à la sécurité informatique (la DSR du MINPOSTEL) d’aptitudes et de compétences leur permettant de réaliser de manière efficace les activités d’audit de sécurité et de tests d’intrusion et assurer des travaux pratiques et études de cas ;
Doter les Ingénieurs de la DSR MINPOSTEL ET CIRT ANTIC d’aptitudes et de compétences leur permettant de réaliser de manière efficace les activités CyberIntelligence et de s’imprégner des techniques et tactiques de Open Source Intelligence (OSINT) et assurer des travaux pratiques et études de cas ;
Assurer des évaluations formatives régulières pour s’assurer de la bonne acquisition des connaissances,
Former et certifier cinq personnels en GIAC Reverse Engineering Malware (GREM) et Smartphone Forensic analysis in depth GASF certification et Advanced Open-Source Intelligence (OSINT) Gathering and Analysis à SANS INSTITUTE ;
Veiller que la présence par participants et par modules soit supérieure ou égale à 90% (preuves : feuilles d’émargement et journaux de connexion aux labs) ;
Veiller au suivi efficace afin d’atteindre le taux de réussite minimale acceptable de 70% dans les 120 jours suivant chaque session (preuves : certificats / e-mails des organismes) ;
Payer la totalité des frais des deux formations et de certifications de niveau expert pour cinq cadres.
Capaciter les cadres à l'analyse et à la compréhension des fonctionnalités d’un logiciel malveillant par des techniques de rétro-ingénierie
Assurer la délivrance des attestations et certificats de compétences à tous les participants.
PORTEE DE LA MISSION
Il sera question de capaciter cinq (05) personnels en ligne sur deux formations à savoir :
- Smartphone Forensic analysis in depth GASF certification;
- Advanced Open-Source Intelligence (OSINT) Gathering and Analysis.
NB : Il n’est prévu aucun déplacement à l’étranger dans le cadre de cette prestation.
METHODOLOGIE
Dans une démarche pragmatique orientée vers les résultats, le centre de formation en liaison avec l’UGP et les parties prenantes devront sur la base des besoins de formations qui ont été exprimé arrêter un calendrier de formation qui permettra aux personnels de mieux cerner leur cursus et de pouvoir valider les examens de certifications GIAC.
Afin de faciliter une meilleure appropriation des connaissances dispensées, il serait indiqué que les apprenants bénéficient d’un environnement propice (matériel didactique, infrastructure réseau). A cet effet, le Centre de formation devra apprêter des dispositifs logistiques permettant d’héberger les participants dans un environnement approprié, de les transporter et de les nourrir durant la durée de la formation.
Les consultants proposeront une méthodologie de mise en œuvre de cette activité. Toutefois, des séances de travail avec les responsables désignés pour le suivi de cette activité seront faites pour l’appropriation et la validation de la méthodologie proposée. Dans l’exécution de chacune des tâches prévues, il devra travailler de manière étroite avec ces responsables du suivi.
L’exécution de cette prestation se fera par un centre de formation agrée SANS INSTITUTE.
Il devra dans son offre de services :
Disposer du personnel qualifié en fonction des modules de formation, ainsi que les ressources matérielles, logicielles et logistiques nécessaires ;
Proposer les différents modules et méthodologie de la formation ;
Justifier de son expérience et son expertise dans chacune des formations à dispenser.
Au cours de la réunion de cadrage, le consultant devra proposer la démarche à suivre selon une méthodologie bien détaillée dont les contenus seront envoyés et validés préalablement par le groupe de travail commis pour le suivi de cette activité, et qui devra comprendre :
La mise à disposition de chaque participant du matériel approprié ordinateur performant pour suivre le cursus, simuler des ateliers pratiques sur les logiciels et les équipements réseaux et sécurité mettre en exergue dans des équipements réels en production préparer à cet effet (en cas d’impossibilité d’avoir accès au matériel adéquat pour des ateliers, le consultant devra soumettre des alternatives pertinentes).
La fourniture de toute la documentation nécessaire à la formation :
Les différentes formes clairement détaillées, sous lesquelles la formation se déroulera :
Cours théoriques (Exposés théoriques sur les technologies de transmission) ;
Ateliers pratiques (installation, configuration et maintenance des équipements) ;
Mise en situation et études de cas concrets (démonstrations et études de cas sur des scénarii réels de gestion et d'optimisation des réseaux) ;
Evaluations des acquis (exercices pratiques, mini test).
RESULTATS ATTENDUS
Aux termes de ces formations, les résultats attendus sont les suivants :
Un contenu pédagogique en français et en anglais pointu et adapté aux menaces cyber actuelles et futures, permettant à la DSR MINPOSTEL et du CIRT ANTIC de remplir efficacement sa mission de protection du cyberspace national Validé ;
Un site de formation fixe pour la durée de la formation est défini ;
Une durée de formation optimale pour chaque module, garantissant une acquisition approfondie des compétences nécessaires à la lutte contre la cybercriminalité et à la sécurisation des infrastructures nationales ;
Une évaluation optimale des coûts des différentes formations est effective ;
Les Ingénieurs de la DSR MINPOSTEL et du CIRT ANTIC sont Dotés d’aptitude et de compétence leur permettant d’assurer de manière efficace les missions de veille cybernétique et de sécurisation des infrastructures critiques ;
Le matériel nécessaire pour la formation et des supports de formation est mis à disposition ;
Les modules de formation et une durée de formation optimale pour chaque module, garantissant une acquisition approfondie des compétences nécessaires à la lutte contre la cybercriminalité et à la sécurisation des infrastructures nationales et accompagner de sessions pratiques les différents modules abordés sont déterminés ;
Les Ingénieurs des CIRT et DSR MINPOSTEL sont dotés d’aptitudes leur permettant de réaliser de manière efficace les activités D’investigations forensique ;
Les frais des formations et de certifications de niveau expert pour cinq cadres sont payés ;
Cinq personnels sont Formés et certifiés Smartphone Forensic analysis in depth GASF certification et Advanced Open-Source Intelligence (OSINT) Gathering and Analysis ;
La totalité des frais de formation et de certification de niveau expert pour cinq cadres est payée ;
L’analyse et la compréhension de la fonctionnalité d'un logiciel malveillant par des techniques de rétro-ingénierie sont maitrisés ;
Le taux présence par participants et par modules d’au moins 90% est atteint ;
Un taux de réussite d’au moins de 70% dans les 120 jours suivant chaque session (preuves : certificats / e-mails des organismes) est acquis.
La formation en ligne est prévue pour une durée de 05 jours par formation :
- Smartphone Forensic analysis in depth GASF certification;
- Advanced Open-Source Intelligence (OSINT) Gathering and Analysis.
CONTENU DE LA FORMATION
Le consultant proposera les contenues jugée pertinente pour les deux (02) formations ci-dessus.
Afin de garantir le succès total des participants aux examens certifiants, les critères d’acception pour la validation de cette prestation sont les suivants :
Présence ≥ 90 % (preuves : émargement, logs labs) ;
Réussite examens ≥ 70 % (preuves : certificats) ;
Complétion des labs ≥ 85 % (preuves : rapports plateforme) ;
Satisfaction ≥ 4/5 (preuves : questionnaires agrégés) ;
Inclusion : part des femmes ≥ 30 % (si possible) — liste agrégée.
DUREE DE LA MISSION
La durée de réalisation de la prestation est de 40 jours :
07 jours pour la tenue de la réunion de cadrage ;
05 pour la formation smartphone forensic analysis in depth ;
05 jours pour la formation Advanced open-source intelligence Gathering and analysis;
20 jours pour l’élaboration du rapport de suivi.
9.1. Qualifications du centre de formation
Le cabinet ou groupement de cabinets sélectionné sera un centre de formation et de certification en cybersécurité ou une école de formation polytechnique spécialisée dans l’ingénierie informatique/télécom).
9.2. Profil du personnel
Le cabinet devra respecter les exigences ci-après :
Le personnel formateur du centre doit disposer d’au moins cinq (05) ans d’expérience dans le domaine de la cybersécurité et certifié SANS ou équivalent ;
Le cabinet doit disposer du matériel nécessaire pour la réalisation des travaux pratiques afférents à la formation ;
Les formateurs doivent avoir une maitrise de la langue anglaise ou française ;
Pour chacune des formations, le cabinet doit présenter un ou des experts certifiés dans la Smartphone Forensic analysis in depth GASF certification et Advanced Open-Source Intelligence (OSINT) Gathering and Analysis.
METHODE DE SELECTION
Il est porté à l’attention des Consultants que les Cabinets ou Groupement de Cabinets/Bureau d’études seront sélectionnés selon la Méthode « Sélection Fondée sur la Qualification des Consultants » (SQC) telle que décrite dans le Règlement de Passation des Marchés pour les Emprunteurs sollicitant le Financement de Projets d’Investissement (FPI) de la Banque Mondiale édition de Novembre 2020. La langue de travail est le français et l’anglais. Il est également porté à l’attention des Consultants que les dispositions relatives aux règles de la Banque Mondiale en matière de conflit d’intérêts sont applicables.
CONTENU DES MANIFESTATIONS À ADRESSER AU PATNUC
Le Coordonnateur National du Projet d’Accélération de la Transformation Numérique au Cameroun (PATNUC) invite, en vue d’élaborer la liste restreinte, les consultants admissibles à manifester leur intérêt à fournir les services décrits ci-dessus. Les cabinets/groupement de cabinets intéressés doivent fournir les informations (dépliants, brochures, etc.) indiquant qu’ils sont qualifiés pour exécuter les services. Cette manifestation rédigée en français ou en anglais devra contenir :
Une lettre de manifestation d’intérêt datée et signée ;
La justification du statut juridique du consultant
La méthodologie de travail accompagnée d’un calendrier de mobilisation des experts impliqués ;
Les pièces justificatives (copies des marchés similaires ou contrat, attestation de services fait, référence des experts) permettant la vérification des critères de sélection tel que présenté ci-dessus.
Les dossiers doivent parvenir au plus tard le 17 octobre 2025 à 16 heures :
Soit par courriel à : procurement@patnuc.cm avec copie à patnuc.composante1@patnuc.cm ;
Soit déposés sous pli fermé en cinq (05) exemplaires (un original et quatre copies) à l’Unité de gestion du Projet, à la nouvelle route Bastos, derrière Tradex, bâtiment Ancien SNV. Tél. : +237 222 232 628. (Coordonnées géographiques : 3.88433, 11.51239) portant la mention :
« AVIS DE SOLLICITATION A MANIFESTATION D’INTERET N°015/ASMI/MINPOSTEL/PATNUC/UGP/RC2/SPM/2025 POUR LA SELECTION D’UN CONSULTANT POUR LE RENFORCEMENT DES CAPACITES DES ENTITES DEDIEES A LA SECURITE DES RESEAUX, FORMATION A LA CERTIFICATION GIAC (GLOBAL INFORMATION ASSURANCE CERTIFICATION) DE L’ORGANISME SANS. »