Inscrivez-vous gratuitement à la Newsletter BFM Business
La Coupe du monde de football sert de rampe de lancement aux opérateurs privés de paris sportifs en ligne, récemment autorisés en France. Leur système d'information doit répondre à une batterie d'exigences techniques, sous le contrôle de l'Arjel.
Le 11 juin prochain, à l'ouverture de la Coupe du monde, les internautes français pourront, pour la première fois, parier légalement en ligne sur les matchs de foot auprès d'opérateurs privés. A priori, ils auront l'embarras du choix : Eurosportbet, Unibet, Betclic, Sajoo… A cette date, enjeux financiers obligent, plusieurs nouveaux opérateurs privés auront certainement été autorisés à exercer leur activité sur le territoire français. Cela grâce à la promulgation, mi-mai 2010, de la loi relative à l'ouverture à la concurrence du secteur des jeux d'argent et de hasard en ligne (paris sportifs et hippiques, poker). Même le pari en direct (live betting) est désormais autorisé.Pour autant, les opérateurs devront avoir reçu au préalable l'agrément de l'Arjel (Autorité de régulation des jeux en ligne), chargé de contrôler cette activité. Pour décrocher ce sésame, le cahier des charges, qui inclut d'importantes exigences techniques, doit satisfaire aux conditions requises. La première exigence, plutôt structurante, porte sur l'architecture du système d'information de l'opérateur candidat. Le “ frontal ” en constitue la clé de voûte. Ce dispositif technique s'interpose entre le joueur et la plate-forme de jeu proprement dite. Mis en position d'archiver l'intégralité des données échangées entre ces deux parties, il contient ainsi toutes les informations nécessaires aux missions de contrôle du régulateur, lequel doit être en mesure d'y accéder à tout instant à distance, de façon à effectuer des contrôles inopinés. Ce système doit impérativement être hébergé en France.Le frontal se compose, selon la terminologie du régulateur, d'un “ capteur ” chargé d'assurer la collecte et le formatage de toutes les transactions, ainsi que d'un “ coffre-fort ” pour l'archivage des données. “ Notre société a choisi de tout localiser en France, à savoir le frontal et notre plate-forme de jeu proprement dite pour servir les parieurs sur le marché hexagonal. Le coffre-fort sécurisé, quant à lui, est hébergé chez un prestataire différent qui assure l'infogérance avec l'aide d'un éditeur spécialisé ”, explique Pierre Puchois, directeur de la production informatique d'Eurosportbet (filiale de TF1), opérateur de jeux et de paris en ligne.
Les opérateurs sont obligés de fournir le code source de leurs logiciels
Seul l'Arjel est habilité à accéder à ce coffre-fort électronique ? véritable boîte noire ?, à distance ou sur site. L'Autorité dispose, pour ce faire, de clés numériques lui servant à déchiffrer le contenu des données archivées. “ Dans la procédure d'agrément de l'Arjel, la cérémonie des clés se déroule en présence d'un huissier. Elle concerne le scellement électronique des dépôts au coffre, ainsi que l'initialisation des clés d'authentification pour les accès, par les représentants de l'Arjel, aux données du coffre-fort ”, précise Pierre Puchois. L'opérateur doit communiquer le code source de chaque logiciel de jeux et de paris destiné à être utilisé par les joueurs et les parieurs français. En revanche, il reste libre dans le choix des solutions techniques qui composeront sa plate-forme.Enfin, le niveau de sécurité du système d'information de l'opérateur sera évalué. Le cahier des charges précise que l'opérateur candidat doit fournir un rapport d'analyse des vulnérabilités techniques. Objectif : constater les vulnérabilités identifiées sur la plate-forme de jeu, exposer leur impact et proposer un plan d'action.
Anticiper les actions malveillantes
Le jeu en ligne constitue en effet une cible de choix. “ Les attaques de type déni de service ou les tentatives de piratage dirigées contre les sites de paris en ligne ne sont pas un mythe. C'est pourquoi nous avons mis en place un haut niveau de sécurisation pour protéger notre système d'information, confirme Pierre Puchois. Le régulateur exige, par ailleurs, que les opérateurs se soumettent à une procédure d'homologations comportant des audits de sécurité pour le code, l'infrastructure, et les règles du jeu. ” Une manière indirecte de tirer vers le haut les opérateurs, en élevant le niveau d'exigence qui pèse sur leur informatique.
Votre opinion