Intgrer la scurit dans un projet fortes contraintes

Intégrer la sécurité dans un projet à fortes contraintes réglementaires, techniques et calendaires 2ème édition des GS Days Hervé Schlosser – France Pari Anne Mur – Edel. Web - GS Days © Edel. Web – ON-X Sécurité 30 novembre 2010

Sommaire 2 l Présentation de France Pari l Les enjeux liés à la Sécurité du Système d’Information l La problématique l Les principaux écueils l L’intégration de la sécurité dans le projet § Les objectifs § Les contraintes réglementaires § L’architecture fonctionnelle et technique § Le dossier de maturité SSI § La méthode d’intégration de la sécurité dans le projet l Le retour d’expérience GS Days – 30 novembre 2010 © Edel. Web – ON-X Sécurité

Qui est France Pari ? 3 l Opérateur français de paris sportifs en ligne l Société indépendante détenue par les dirigeants l Trois ambassadeurs § Alain Prost § Fabien Pelous § Frank Leboeuf l Propriétaire de sa solution technologique § Utilisée pour ses besoins propres § Revendue à d’autres opérateurs (Joa. Group) l Partenariat avec Keynectis pour vendre la solution à l’étranger l Partenariat avec Zeturf pour les paris hippiques GS Days – 30 novembre 2010 © Edel. Web – ON-X Sécurité

4 Le projet de France Pari GS Days – 30 novembre 2010 © Edel. Web – ON-X Sécurité

Les enjeux liés à la sécurité du SI 5 l Une volonté forte d’être parmi les premiers agréés l Préserver l’activité et la pérennité de la société § Garantir le respect des exigences de l’ARJEL § Garantir la continuité des activités d’opérateur de paris sportifs en ligne § Garantir la confidentialité, l’intégrité et la disponibilité de l’information du client (joueur) l Limiter les pertes dues à un manquement de sécurité du SI § Condamnations, pertes financières, perte de clientèle l Préserver la notoriété de France Pari GS Days – 30 novembre 2010 © Edel. Web – ON-X Sécurité

La problématique 6 l Les délais § Calendrier très serré § Un cahier des charges provisoire est sorti 2 mois avant la date de dépôt § Les textes définitifs sont sortis le 18 mai 2010 et le dépôt a été fait le 20 mai 2010 l La réglementation § Des exigences juridiques et financières très fortes § Des exigences techniques très contraignantes l Les moyens et les compétences § Petite structure avec un manque de maturité en SSI § Besoin de compétences multiples complémentaires l La complexité technique § Un système en construction § De nombreux acteurs GS Days – 30 novembre 2010 © Edel. Web – ON-X Sécurité

Les principaux écueils 7 l Trouver le bon équilibre § Organisation et mode de fonctionnement entre les équipes internes et externes § Parler le même langage l Répondre au bon niveau aux attentes de l’ARJEL l Manque de maturité de certains fournisseurs l Obtenir à temps une documentation appropriée des fournisseurs GS Days – 30 novembre 2010 © Edel. Web – ON-X Sécurité

8 Intégration de la sécurité dans le projet Le dossier de maturité SSI GS Days – 30 novembre 2010 © Edel. Web – ON-X Sécurité

Objectifs de l’opérateur 9 § Disposer d’une plate-forme opérationnelle pour l’ouverture des jeux en ligne § Obtenir l’agrément de l’ARJEL GS Days – 30 novembre 2010 © Edel. Web – ON-X Sécurité

Les contraintes règlementaires Lois et décrets 10 l Loi n° 2010 -476 du 12 mai 2010 relative à l'ouverture à la concurrence et à la régulation du secteur des jeux d'argent et de hasard en ligne § 1° Prévenir le jeu excessif ou pathologique et protéger les mineurs ; § 2° Assurer l'intégrité, la fiabilité et la transparence des opérations de jeu ; § 3° Prévenir les activités frauduleuses ou criminelles ainsi que le blanchiment de capitaux et le financement du terrorisme ; § 4° Veiller au développement équilibré et équitable des différents types de jeu afin d'éviter toute déstabilisation économique des filières concernées. l Création d’une autorité de régulation des jeux en ligne l Décret n° 2010 -509 du 18 mai 2010 relatif aux obligations imposées aux opérateurs agréés de jeux ou de paris en ligne en vue du contrôle des données de jeux par l'Autorité de Régulation des Jeux en Ligne GS Days – 30 novembre 2010 © Edel. Web – ON-X Sécurité

Les contraintes règlementaires Avant ouverture du site 11 Obtenir l’agrément (déposer un dossier d’agrément) l l Partie juridique et financière § Informations personnelles § Informations économiques, financières et comptables § Informations relatives au site de jeux en ligne § Informations relatives aux opérations de jeux ou de paris en ligne proposées § Informations relatives aux comptes joueurs § Informations relatives à la lutte contre les activités frauduleuses ou criminelles, Informations relatives à la lutte contre le jeu excessif ou pathologique § Prévention des conflits d’intérêts Partie technique § Frontal : Capteurs + coffre fort § Logiciel de jeu – le rapport d’analyse de vulnérabilités – le rapport d’analyse du générateur de nombre aléatoire, le cas échéant – le rapport d’analyse de la conformité aux règles du jeu – les codes sources § Plate-forme de jeu § Maturité sécurité des systèmes d’information (SSI) GS Days – 30 novembre 2010 © Edel. Web – ON-X Sécurité

Les contraintes règlementaires Après ouverture du site 12 l Six mois après l’ouverture § Certification du support matériel d’archivage l Un an après l’ouverture § Certification sur l’ensemble des obligations légales et réglementaires § Actualisation annuelle l Tout au long du cycle de vie du système § Maintenir le système en condition de sécurité § Assurer le suivi et le contrôle § Permettre en permanence à l’ARJEL d’accéder aux traces GS Days – 30 novembre 2010 © Edel. Web – ON-X Sécurité

Architecture fonctionnelle et technique 13 Périmètre technique du Système d’Information l les différents modules du frontal l l’ensemble des composants, aux niveaux système, réseau et applicatif et, plus généralement, tout système ou application susceptible d’interagir avec les plates-formes de jeux de l’opérateur GS Days – 30 novembre 2010 © Edel. Web – ON-X Sécurité

Le périmètre du dossier technique de maturité SSI 14 Il doit couvrir la totalité du périmètre du système d’information l Les personnes (salariés, joueurs, partenaires, fournisseurs) l La plate-forme de jeux l Le frontal l Les composants système, réseau et applicatif interagissant avec la plate-forme de jeux l L’ensemble des processus métiers l L’organisation de France Pari (fonctions, rôles et responsabilités) l Les données § algorithmes § codes source § bases de données § fichiers marketing § documents : savoir-faire de France Pari l La documentation GS Days – 30 novembre 2010 © Edel. Web – ON-X Sécurité

La méthode d’intégration de la sécurité dans le projet Contraintes Stratégie d’entreprise ARJEL 15 Expression des besoins Plan projet Schéma directeur Spécifications fonctionnelles et techniques Réalisation et tests en pré-production Validation Mise en œuvre l Schéma Directeur l Code source des logiciels de jeu GS Days – 30 novembre 2010 © Edel. Web – ON-X Sécurité Analyse technique et fonctionnelle l Dossier de définition l Architecture fonctionnelle l Architecture technique l Document technique du logiciel de jeu Objectifs de sécurité l Rapport d’analyse de risques Exigences de sécurité l Politique de Sécurité SI l Note d'organisation l Charte d'utilisation des moyens informatique Exploitation Maintien en condition opérationnelle Définition du périmètre l Plan de continuité d'activité l Procédures opérationnelles Analyse de risques Evaluation de la sécurité Suivi et contrôle Maintien en condition de sécurité Plan de sécurité Dossier de maturité SSI

Mesure des écarts et formalisation d’un plan d’action Matrice de conformité des exigences 16 GS Days – 30 novembre 2010 © Edel. Web – ON-X Sécurité

Le contenu du dossier technique de maturité SSI Bonnes pratiques 27002 Dossier technique de maturité SSI l Politique de sécurité l Analyse de risques SI l l Organisation de la SI l Politique de Sécurité SI l l Gestion des biens l Note d'organisation l Sécurité liée aux RH l l l Sécurité physique et environnementale Gestion de l’exploitation et télécommunications Contrôle d’accès Acquisition, développement et maintenance des SI Gestion des incidents liés à la SSI l Gestion du PCA l Conformité GS Days – 30 novembre 2010 © Edel. Web – ON-X Sécurité Charte d'utilisation des moyens informatique l Plan de continuité d'activité l Procédures opérationnelles ü ü ü ü classification des données contrôle d'accès politique de durcissement de la sécurité gestion des incidents gestion des prestataires externes gestion des ressources humaines sécurité environnementale … l l 17 Schéma Directeur Code source des logiciels de jeu Dossier de définition Document d'architecture fonctionnelle Document d'architecture technique Document technique du logiciel de jeu

Retour d’expérience Pendant le projet 18 l Nouvel entrant sur le marché § Peu d’expérience en SSI § Un vrai savoir faire métier et SI § Peu de moyens et de ressources § Une réactivité importante l Une volonté forte d’être dans les premiers agréés § Moyens concentrés vers cet objectif § Implication forte de toute l’équipe § Appel à des experts spécialisés dans les secteurs Finance, Juridique et Technique / sécurité GS Days – 30 novembre 2010 © Edel. Web – ON-X Sécurité

Retour d’expérience Les résultats 19 l Parmi les premiers agréés l Plate-forme lancée 10 jours après l’obtention de l’agrément l Plate-forme en exploitation : aucun incident de sécurité significatif § Pas de perte de disponibilité § Pas de perte de données l Une acquisition de compétences et de maturité significative GS Days – 30 novembre 2010 © Edel. Web – ON-X Sécurité

Les enjeux actuels et futurs 20 l Conserver l’agrément l Maintenir le niveau de service l Maintenir la sécurité de la plate-forme l Rendre opérationnelles toutes les procédures GS Days – 30 novembre 2010 © Edel. Web – ON-X Sécurité

21 ? GS Days – 30 novembre 2010 © Edel. Web – ON-X Sécurité