relations gagnants - European Lotteries
relations gagnants - European Lotteries
relations gagnants - European Lotteries
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
la Valeur aJoutée de la<br />
séCurité de l’iNForMatioN<br />
daNs le seCteur de la loterie<br />
introduction<br />
La sécurité de l’information tient évidemment<br />
une place essentielle dans le secteur de<br />
la loterie puisqu’elle est directement associée<br />
à la confiance des clients et donc à la rentabilité<br />
et à l’image de marque de la loterie, ainsi<br />
qu’aux exigences légales et réglementaires<br />
auxquelles ce secteur est soumis. Résultat, la<br />
sécurité de l’information est généralement<br />
perçue comme le meilleur moyen de gérer le<br />
risque commercial en éliminant les menaces<br />
de violation de la confidentialité, de l’intégrité<br />
et de la disponibilité des informations.<br />
Pourtant, cette perception de la sécurité de<br />
l’information basée sur le risque n’est pas totalement<br />
exacte.<br />
L’évolution des normes, des modèles, des<br />
cadres et des bonnes pratiques a transformé<br />
la sécurité de l’information en un catalyseur<br />
qui aide les entreprises, non seulement à limiter<br />
le risque, mais également à devenir plus<br />
compétitives, plus rentables et plus efficaces<br />
grâce à une meilleure autosensibilisation et à<br />
un meilleur contrôle dans la mise en œuvre<br />
des processus commerciaux. En se basant sur<br />
deux réussites concrètes, cet article explique<br />
la valeur ajoutée que le respect des normes<br />
de sécurité de l’information peut apporter au<br />
secteur de la loterie.<br />
Première réussite: la valeur de<br />
l’intégrité des Processus commerciauX<br />
Une des composantes clés de la sécurité<br />
de l’information est l’intégrité, c’est-à-dire<br />
la préservation de la fidélité et de l’intégralité<br />
des ressources d’entreprise. Toutes les<br />
ressources sont concernées, qu’il s’agisse<br />
d’actifs, corporels ou non, de processus<br />
commerciaux, de procédures, de personnel,<br />
d’informations ou de technologies.<br />
En 2008, INTRALOT SA a été le premier fournisseur<br />
international à recevoir la certification<br />
Security Control Standard (SCS) de la World<br />
Lottery Association (WLA). La mise en œuvre<br />
d’un système de gestion de la sécurité de l’information<br />
conforme à cette norme a permis<br />
à INTRALOT de mesurer et d’améliorer l’intégrité<br />
de ses processus commerciaux. Pour<br />
mieux comprendre ce qui s’est passé, nous allons<br />
étudier de près un processus commercial<br />
lié au test des systèmes de loterie.<br />
Pour garantir l’intégrité (fidélité et intégralité)<br />
du processus de test, INTRALOT a analysé le<br />
processus afin d’identifier les menaces, les<br />
risques et les vulnérabilités potentiels puis<br />
d’évaluer l’impact commercial que représenterait<br />
la concrétisation d’une menace. Toutes<br />
les ressources associées ont été prises en<br />
compte: personnel, connaissances, systèmes<br />
de test, installations physiques, données de<br />
test et relation entre le processus de test et<br />
l’image de marque de la société. La procédure<br />
de test a été analysée étape par étape pour<br />
déterminer si chacune des tâches de test était<br />
couverteparlaprocédureécrite,s’ilexistaitdes<br />
documents consignant les tests réalisés sur les<br />
systèmes de loterie et si des autorisations relatives<br />
à certains points de contrôle spécifiques<br />
étaient fournies par la direction. Chaque<br />
phase de test, depuis la livraison du système<br />
par les développeurs jusqu’à sa mise à disposition<br />
des clients, a été contrôlée au moyen<br />
d’un processus concis adapté au secteur de la<br />
loterie. Les dispositions de la certificationWLA<br />
SCS relatives à la prévention de l’utilisation<br />
des données immédiates à des fins de test et à<br />
l’utilisation des informations personnelles des<br />
joueurs ont été prises en compte.<br />
Les résultats obtenus suite au déploiement<br />
du système de gestion certifié SCS WLA ont<br />
été validés par une augmentation de la satisfaction<br />
client, une amélioration des performances<br />
du projet, une meilleure productivité<br />
des employés qui avaient à leur disposition<br />
un processus personnalisé, un suivi amélioré<br />
de toutes les étapes de la procédure de<br />
test, ainsi que la confiance des clients et des<br />
actionnaires qui étaient ainsi assurés de la<br />
conformité officielle du processus de test aux<br />
dispositions légales de protection des données<br />
personnelles.<br />
deuXième réussite: maturation et<br />
amélioration<br />
Les systèmes de management de la sécurité<br />
de l’information (SMSI) servent de cadre pour<br />
gérer la sécurité de l’information, depuis la<br />
planification jusqu’à l’amélioration, en passant<br />
par la mise en œuvre et le contrôle. Pour<br />
prouver la valeur commerciale de la mise en<br />
œuvre de tels systèmes, nous avons étudié<br />
l’exemple d’INTRALOT NEDERLANDS BV,<br />
un opérateur de loterie des Pays-Bas qui a été<br />
certifié ISO 27001 etWLA SCS en 2010.<br />
Un des principaux processus commerciaux<br />
liés à l’image de marque de l’entreprise<br />
concerne la gestion du Contrat de niveau de<br />
service. La disponibilité du service (dans le<br />
Partenaires Premium<br />
23 news 35 déceMbre 2010<br />
cadre des plages horaires définies), qui est un<br />
des principes de base de la sécurité de l’information,<br />
ne concerne pas uniquement les<br />
technologies des systèmes de loterie, tels que<br />
les réseaux, les bases de données, les terminaux,<br />
les systèmes de traitement des transactions<br />
et les applications. Elle concerne également<br />
le fonctionnement de la loterie dans<br />
son ensemble. Pendant la phase de mise en<br />
œuvre du SMSI, tous les aspects du processus<br />
de gestion du niveau de service ont été analysés.<br />
Les principes d’autres normes, telles<br />
que la norme ISO 20000, ont également été<br />
pris en compte. Le SMSI était utilisé comme<br />
cadre d’amélioration continue, et des indicateurs<br />
étaient mis au point pour mesurer<br />
l’efficacité du processus, avec notamment la<br />
répétition des événements, les commentaires<br />
des clients, les résultats d’audit interne, la disponibilité<br />
générale du système et la compétence<br />
du personnel. Pour chaque indication<br />
d’un dysfonctionnement possible du processus,<br />
une analyse des causes profondes était<br />
réalisée et une action de prévention proposée<br />
à la direction. L’action de prévention décrivait<br />
l’action concrète à exécuter (par exemple,<br />
amélioration d’une étape du processus), les<br />
ressources et le temps nécessaires à sa réalisation,<br />
ainsi que les différents rôles et responsabilités<br />
de chacun.<br />
Ce processus d’amélioration continue et de<br />
maturation a permis d’aboutir à un processus<br />
commercial de pointe qui tient compte de<br />
tous les paramètres et garantit la disponibilité<br />
du service, la confiance des clients et donc la<br />
réalisation des objectifs des dirigeants locaux.<br />
conclusions<br />
Il va sans dire que la confiance des joueurs et<br />
des actionnaires est le principal objectif de<br />
tout système de sécurité de l’information dans<br />
le secteur de la loterie, de par la nature sociétale,<br />
commerciale et légale de ce secteur. Mais,<br />
la gestion de la sécurité de l’information va<br />
beaucoup plus loin que cela et ne doit pas être<br />
réduite à sa composante de gestion du risque.<br />
Basée sur la gestion de la confidentialité, de<br />
l’intégrité et de la disponibilité des ressources<br />
d’entreprise, la sécurité de l’information doit,<br />
pour être efficace et apporter de la valeur<br />
ajoutée à l’entreprise, être considérée comme<br />
un moyen d’améliorer le contrôle, la mesure<br />
et l’amélioration de tous les paramètres favorisant<br />
l’exécution de la stratégie commerciale<br />
d’une loterie.