NEWS 47 MAGAZINE DES LOTERIES EUROPÉENNES, 2014, DÉCEMBRE. Joyeux Noël Bonne Année

Transcription

1 NEWS 47 MAGAZINE DES LOTERIES EUROPÉENNES, 2014, DÉCEMBRE Joyeux Noël Bonne Année

2 AGENDA 2015 FÉVRIER ATELIER CONJOINT EL/ WLA SUR LA RÉFLEXION CONCEPTUELLE Date : 4 février Lieu : Londres, Royaume-Uni SÉMINAIRE CONJOINT EL/WLA DE MARKETING Dates : 4 au 6 février Lieu : Londres, Royaume-Uni MAI SÉMINAIRE SUR LA VENTE AU DÉTAIL Dates : 4 au 6 mai Lieu : St. Julian s, Malte Hôte : Maltco Lotteries Ltd. SÉMINAIRE CONJOINT EL/WLA DES PARIS SPORTIFS Dates : 26 au 28 mai Lieu : Varsovie, Pologne Hôte : Totalizator Sportowy Sp. z.o.o. JUIN ASSEMBLÉE GÉNÉRALE EL Date : 8 juin (après-midi) Lieu : Oslo, Norvège CONGRÈS EL Dates : 8 au 11 juin Lieu : Oslo, Norvège Hôte : Norsk Tipping AS SÉMINAIRE DE L ORDRE PUBLIC Dates : à confirmer Lieu : Prague, République Tchèque Hôte : SAZKA a.s. SEPTEMBRE ELU Dates : 30 août au 4 septembre Lieu : Dubrovnik, Croatie Hôte : Hrvatska Lutrija d.o.o. SÉMINAIRE DU JEU RESPONSABLE Dates : 16 au 18 septembre Lieu : Helsinki, Finlande Hôtes : RAY Rahaautomaattiyhdistys & Veikkaus Oy SÉMINAIRE CRÉATIVITÉ ET INNOVATION (DÉVELOPPEMENT DE JEU) Dates : 23 au 25 septembre Lieu : Varsovie, Pologne Hôte : Totalizator Sportowy Sp. z.o.o. OCTOBRE ATELIER RELATIONS PUBLIQUES ET COMMUNICATION MÉDIAS SOCIAUX Dates : à confirmer Lieu : à confirmer Hôte : à confirmer SÉMINAIRE CONJOINT EL/WLA DE LA SÉCURITÉ ET DE LA GESTION DU RISQUE Dates : à confirmer Lieu : à confirmer Hôte : à confirmer SÉMINAIRE DES AFFAIRES JURIDIQUES Dates : à confirmer Lieu : Budapest, Hongrie Hôte : Szerencsejáték Zrt. NOVEMBRE TABLE RONDE SUR LES EGM Dates : à confirmer Lieu : Londres, Royaume-Uni Les inscriptions à tous nos séminaires peuvent se faire en ligne Toutes les manifestations sont mentionnées sur notre site Internet (sous la rubrique EVENTS). Les annonces sont publiées plusieurs mois avant les manifestations. THE EUROPEAN LOTTERIES PRÉSIDENT Dipl. Ing. Friedrich STICKLER Directeur Général Adjoint AUSTRIAN LOTTERIES, Autriche 2ÈME VICE-PRÉSIDENT Dipl.-Kfm. Hansjörg HÖLTKEMEIER Membre du Conseil d Administration DEUTSCHE KLASSENLOTTERIE BER- LIN, Allemagne MEMBRES DU COMITÉ M. Torbjørn ALMLID, Ph.D. Président-Directeur Général NORSK TIPPING AS, Norvège M. Andy DUNCAN Directeur Général CAMELOT UK LOTTERIES LTD., Royaume-Uni M. Franci KRIŽAN Membre du Comité de Direction LOTERIJA SLOVENIJE D.D., Slovénie M. Fernando PAES AFONSO Vice-président SANTA CASA DA MISERICÓRDIA DE LISBOA, Portugal Mme Stéphane PALLEZ Présidente-Directrice Générale LA FRANÇAISE DES JEUX, France M. Emilio PETRONE Directeur Général SISAL S.p.A., Italie M. Wojciech SZPIL Directeur Général TOTALIZATOR SPORTOWY Sp. z.o.o., Pologne M. Arjan VAN T VEER Membre du Comité NEDERLANDSE STAATSLOTERIJ, Pays-Bas M. Evgeniy VLASENKO Conseiller du Président MSL, Ukraine SECRÉTARIAT GÉNÉRAL Mme Bernadette LOBJOIS Secrétaire Générale Av. de Béthusy 36 CH 1005 LAUSANNE Tel Fax info@european-lotteries.org AGENDA THE EUROPEAN LOTTERIES NEWS DÉCEMBRE 2014

3 MOT DU PRÉSIDENT CHERS MEMBRES EL, CHERS AMIS, Une nouvelle année est sur le point de commencer et elle sera non moins intéressante et stimulante pour notre secteur et notre Association que l a été 2014! Le travail pour notre prochain Congrès et Assemblée générale en juin 2015 à Oslo a commencé il y a quelques temps déjà et nous achèverons les dernières étapes dans les mois à venir. Vous recevrez de plus amples informations dès qu elles seront disponibles et je vous invite d ores et déjà à inscrire le début du mois de juin dans vos calendriers afin d être présents à Oslo et de pouvoir discuter et décider de l avenir de notre Association avec nous. Nous ne sommes, de toute évidence, pas uniquement préoccupés par les questions d organisation mais aussi par les développements politiques qui nous touchent, en particulier ceux qui concernent les institutions de l UE. Les derniers mois ont été d une importance cruciale au niveau européen avec le processus de renouvellement intense et complexe des institutions de l Union européenne. Le Parlement européen compte 751 membres et près de la moitié d entre eux sont tout à fait nouveaux dans cette assemblée. EL a fait parvenir son nouveau livret «Vrai et Faux : Précisions sur le Jeu» à un peu moins d un tiers des nouveaux membres du Parlement européen, à savoir tous les députés des commissions Marché Intérieur et Protection des Consommateurs (IMCO) et Industrie, Recherche et Énergie (ITRE). Nous avons également présenté notre Association et ses activités, en leur souhaitant un mandat fructueux et en offrant notre soutien et notre expertise dans leur travail sur les futurs dossiers potentiels. Il est maintenant primordial pour nous tous de maintenir le contact avec les députés qui ont renouvelé leur mandat mais aussi de rencontrer les nouveaux. Le nouveau Collège des Commissaires européens a pris ses fonctions le 1 er novembre. Le Président Jean-Claude Juncker est soutenu par 7 Viceprésidents et 20 Commissaires. Nous nous intéressons particulièrement à deux Vice-présidents, l Estonien Andrus Ansip en charge du Marché Unique Numérique et le Finlandais Jyrki Katainen, responsable pour l Emploi, la Croissance, l Investissement et la Compétitivité. Outre les Vice-présidents de cette nouvelle structure de la Commission européenne, les Commissaires individuels demeurent les principaux acteurs et les plus activement impliqués dans le développement concret des politiques spécifiques et dans les processus de prises de décisions. Les Commissaires chargés des portefeuilles les plus sensibles pour notre Association seront désormais Elżbieta Bieńkowska (Pologne), avec le Marché Intérieur, Industrie, Entreprenariat et PME ; Tibor Navracsics (Hongrie) en charge de l Éducation, Culture, Jeunesse et Sport, puis Günther Oettinger (Allemagne), chargé de l Économie et la Société Numériques. Nous espérons rencontrer en particulier la nouvelle Commissaire au Marché Intérieur Elżbieta Bieńkowska sous peu. Plusieurs développements ont eu lieu juste avant que la nouvelle Commission ne prenne ses fonctions ; comme déjà annoncé dans sa communication de 2012 «Vers un cadre européen global pour les jeux de hasard en ligne» - appelée communément «plan d action» - la Commission européenne a l intention d explorer la possibilité d une norme européenne sur l équipement des jeux de hasard y compris les logiciels de jeu. Elle a commencé son travail sur cette question avec un atelier pour lequel EL a été invité à désigner deux experts. Nous surveillons aussi les deux décisions distinctes prises par la Commission européenne le 16 octobre de renvoyer la Suède devant la Cour de Justice de l Union européenne dans deux cas de procédure d infraction en matière de jeux de hasard. Ces deux cas sont particulièrement pertinents puisque c est la première fois que la Commission européenne renvoie un État membre devant la Cour concernant sa législation sur les jeux de hasard. Le gouvernement belge a, quant à lui, décidé de demander l annulation de la recommandation de la Commission européenne sur les jeux en ligne devant la Cour de l UE. L année à venir sera donc sans aucun doute à nouveau pleine de défis et j ai hâte de travailler avec vous de manière constructive comme nous l avons fait par le passé. Dans ce contexte, je tenais à tous vous remercier pour avoir participé à notre questionnaire sur «La Sécurité dans les opérations de loterie». Je vous remercie tous pour votre soutien constant, et profite de cette occasion pour vous adresser, ainsi qu à tous ceux qui vous sont proches, mes vœux les meilleurs pour les fêtes de fin d année ainsi que pour la nouvelle année. Cordialement, Friedrich Stickler Président EL MOT DU PRÉSIDENT 1 THE EUROPEAN LOTTERIES NEWS DÉCEMBRE 2014

4 GTECH is an advocate of socially responsible gaming. For more information visit gtech.com Global Solutions, Custom Crafted LOTTERY + SPIELO + INTERACTIVE + BETTING All Together

5 EDITORIAL UNE AUTRE ANNÉE PRODUCTIVE S ACHÈVE, UNE NOUVELLE SE POURSUIT AVEC ENCORE PLUS D ACTIVITÉS! La fin de l année approche à grands pas dans une atmosphère extrêmement active au sein du Secrétariat général, qui se prépare déjà pour L ACCENT MIS SUR LA FORMATION La formation est un de nos objectifs prioritaires, car EL a sans aucun doute un rôle important à jouer dans ce domaine. L Association se consacre à améliorer les connaissances de ses Membres par le biais d ateliers, de conférences, de séminaires et d autres réunions. EL a ainsi mis en place des programmes de formation portant sur des domaines spécifiques tels que la technologie, la sécurité, les canaux de distribution, le jeu responsable, etc. En effet, en 2014, EL a organisé un nombre important de séminaires et ateliers de formation qui ont rencontré un grand succès et attiré de nombreux participants, grâce à un contenu de grande qualité soigneusement préparé pour répondre aux tendances actuelles. Dans cette édition du magazine, vous trouverez un compte-rendu complet des événements organisés lors des trois derniers mois. Nous avons également le plaisir de publier la liste des événements prévus en SPORT : VERS UNE ÉVOLUTION FAVORABLE Ces derniers mois, de nombreuses évolutions positives ont été constatées dans le domaine du sport. La plus significative étant la Convention de l APES contre la manipulation des manifestations sportives, ouverte à la signature. La Convention a déjà été signée par 16 Etats, et d autres devraient faire de même. Comme vous le savez, elle définit les paris sportifs illégaux comme suit : «tout pari sportif dont le type ou l opérateur n est pas autorisé, en vertu du droit applicable dans la juridiction où se trouve le consommateur», ce qui est très positif pour notre modèle de loterie. Ayant reconnu les Loteries comme étant les principaux organismes de financement du sport et en reconnaissance de la contribution importante d EL dans la lutte contre la manipulation des événements sportifs, les membres des groupes d experts «Dimension économique du sport» et «Lutte contre les matchs truqués» de la Commission européenne ont offert à EL le statut d Observateur dans leurs groupes respectifs. PARTENARIATS ESSENTIELS Traditionnellement, les Loteries en Europe partage un engagement envers la société et, bien entendu, envers ses membres les plus vulnérables. Fermement convaincue de la nécessité de l inclusion sociale des personnes handicapées, EL a renouvelé son partenariat avec le Forum européen des personnes handicapées (EDF). L Association a également renouvelé sa coopération pour une année supplémentaire avec SportAccord, organisation qui regroupe toutes les fédérations de sport internationales. Cette coopération se concentre principalement sur la protection de l intégrité du sport. En parallèle, EL est en pourparlers avec l Organisation sportive européenne non gouvernementale (ENGSO), concernant le renouvellement de notre partenariat de longue date pour sera assurément synonyme de nouveaux développements et de nouveaux défis. Soyez certains qu avec le soutien de tous les collaborateurs d EL, je ferai en sorte que les Membres d EL puissent rester informés et que l intérêt des Loteries soit convenablement défendu à tous les niveaux. L un de nos événements majeurs sera sans doute le Congrès d Oslo et l Assemblée générale qui aura lieu pour la première fois avant le Congrès : PROCHAIN CONGRÈS À OSLO N oubliez surtout pas de réserver les dates de notre prochain Congrès EL : du 8 au 11 juin 2015 à Oslo, Norvège. Le programme du Congrès sera bientôt disponible. Enfin, je souhaite remercier toutes les personnes qui ont pris part à nos événements, en particulier les Présidents de nos groupes de travail et les Membres qui ont incontestablement contribué au succès de nos activités. En mon nom et en celui de l équipe d EL, je vous souhaite à nouveau de très belles fêtes. Bernadette Lobjois Secrétaire générale ÉDITORIAL 3 THE EUROPEAN LOTTERIES NEWS DÉCEMBRE 2014

6 LA SÉCURITÉ : Ces dernières années, il est devenu bien plus compliqué pour les Loteries de garantir leur propre sécurité alors que les organisations criminelles ont désormais accès à des outils et à des mécanismes électroniques. Désormais, ces dernières peuvent passer par la toile mondiale pour attaquer, ou se servir de votre organisation et de vos clients en profitant de toute une gamme de services à la demande tels que le piratage, le blanchiment d argent et l achat de données personnelles comprenant adresses électroniques, mots de passe, données de carte de crédit et informations sur le compte bancaire. Ces détails proviennent le plus souvent d autres organisations, ou du piratage direct des appareils de vos clients. Elles se servent de l ingénierie sociale en passant par des centres d appels situés à l étranger, et se livrent à des activités de fraude et de blanchiment d argent dans des juridictions que les organismes locaux d application de la loi ne peuvent atteindre. Les bandes criminelles ont accès aux outils d analyse du «Big Data» que nous commençons seulement à appréhender. L ampleur du phénomène est énorme. L industrie du téléphone mobile estime les pertes à 50 milliards de dollars par an. Que faire? Au Royaume-Uni, les organismes d application de la loi ont leur propre stratégie pour faire face au crime organisé, résumée en quatre mots Prévenir, Protéger, Poursuivre et Inculper. Néanmoins, lorsqu il s agit de cybercriminalité, ils déclarent ne pas pouvoir poursuivre ou inculper ces bandes criminelles. Ils n ont ni les ressources ni l autorité requises pour prendre des mesures là où ces activités ont lieu. C est sans aucun doute au même problème que devront faire face vos propres organismes d application de la loi. Ainsi, les organismes du Royaume-Uni exhortent les organisations britanniques à coopérer dans la prévention des activités criminelles menées contre elles et à s en protéger. Les Loteries du monde entier sont habituées à se prémunir des activités criminelles au niveau national ; or, aujourd hui plus que jamais, il nous faut coopérer au niveau international et trouver des moyens de partager des données et des renseignements portant sur les types d attaque qui ont lieu, l endroit d où ces attaques proviennent et les personnes qui les mènent. Dans le domaine des paris sportifs, EL a fait preuve d un leadership exemplaire dans l amélioration d un tel partage de renseignements. Lors du récent Séminaire sur la Sécurité WLA/EL, nous avons une nouvelle fois assisté à plusieurs sessions portant sur la nature des menaces et sur la manière dont nous pouvons travailler ensemble afin d améliorer notre prévention et notre protection. Au sein de nos organisations, le défi des professionnels de la sécurité réside dans la transmission de ces messages aux instances dirigeantes, de manière à ce qu une action constructive et collective puisse avoir lieu dans notre industrie. Martin Sutton Directeur Corporate Assurance et Conformité, Camelot UK Lotteries Limited Membre du groupe de travail EL Ordre Public et Sécurité CONTRÔLER ET ATTÉNUER LES RISQUES Le monde des jeux a toujours été la cible du crime organisé, d opérateurs peu scrupuleux et, plus récemment, de groupes terroristes qui considèrent cette industrie comme le canal idéal pour réaliser des opérations de blanchiment d argent. Les Loteries ont depuis longtemps jugé nécessaire l application de standards de sécurité sévères afin de gérer une entreprise stable, de protéger les consommateurs et de sauvegarder l équité et l intégrité des jeux tout en préservant l intérêt public. Les outils de contrôle utilisés pour la prévention et la détection ainsi que les mesures mises en place au niveau organisationnel et légal afin de minimiser les risques de sécurité sont des étapes essentielles pour identifier, contrôler et même prévenir toute tentative visant à nuire à une organisation. Lottomatica en Italie, en collaboration avec GTECH, a mis en place une série de procédures et de technologies afin de vérifier constamment les tentatives illégales et de réagir instantanément si cela est nécessaire. Récemment, un problème lié à la vulnérabilité de l Open-SSL Heartbleed a pu être identifié immédiatement grâce aux messages d alertes précoces et à l utilisation d outils web permettant ainsi la mise en place immédiate de contre-mesures efficaces. GTECH a adopté une plate-forme de sécurité de l information et de gestion des événements pour collecter les logs, les événements et les flux réseau à partir du système d exploitation, des applications, des portails web et autres, afin de permettre la mise en place d ICP de sécurité et de pouvoir gérer les incidents. SÉCURITÉ 4 THE EUROPEAN LOTTERIES NEWS DÉCEMBRE 2014

7 UNE PRIORITÉ INCONTOURNABLE POUR LES LOTERIES Dans le cyberespace actuel, il est essentiel de protéger aussi bien les transactions des clients que l infrastructure interne, en vue d avoir un cadre de sécurité structuré intégrant des solutions anti-ddos, une surveillance proactive du réseau et du système, un système et des procédures de gestion d incident de sécurité et des pratiques concernant la sécurité au niveau de la conception des logiciels et des équipements. Pour éviter ou minimiser les risques et l impact des coûts des activités de cybercriminalité, il est important de s appuyer sur un système de gestion de sécurité de l information structuré, basé sur un ISMS certifié, complètement intégré aux opérations informatiques, des points de vente physiques aux nouvelles technologies intelligentes et canaux numériques. Maurizio Rubini Responsable Conformité Lottomatica Antonio Gorrasi Responsable de la sécurité des TIC Lottomatica Membres du groupe de travail EL Ordre Public et Sécurité En Allemagne chez Lotterie-Treuhandgesellschaft mbh Thüringen, l identification des risques se fait par le biais d un système d analyse de risques. Ce processus de contrôle est régulièrement évalué et vérifié afin de le maintenir à jour. La Loterie exige également que tous ses employés, y compris les directeurs de secteurs, suivent une fois par an un stage de formation sur la sécurité de l information. Les directeurs de secteurs ont la responsabilité de conseiller les points de vente et de s assurer que les gérants et le personnel soient bien informés sur la stratégie de sécurité de la Loterie. permet des opérations pratiquement ininterrompues. En Croatie, Hrvatska Lutrija d.o.o a récemment identifié des risques issus du développement externe de logiciels ainsi que du départ d employés clés. En réponse, la Loterie a mis en place de nouveaux critères de sélection des contrats externes, une évaluation sur place régulière des installations des partenaires et la mise en œuvre de mécanismes d évaluation de code. D autres contrôles internes comprennent des standards pour les procédures de test des logiciels, la formation interne du personnel et les instructions de travail. Totolotek en Pologne réalise le contrôle des risques de sécurité par le biais de son propre département de la sécurité et à l aide d organisations telles que Betradar, l Association Polonaise des Paris et des fédérations sportives. Grâce à l adoption de standards sur la protection des données personnelles, tels que définis par le Bureau de l Inspecteur Général, la société peut contrôler et répondre rapidement à toute attaque sérieuse et informer l Inspecteur Général des Finances de toute transaction suspecte ainsi que des transactions de plus de euros. UNE CONTINUITÉ DES OPÉRATIONS GARANTIT LES MEILLEURS BÉNÉFICES La plupart des Loteries ont développé des directives de gestion de sécurité de l information, conformément aux standards internationaux ISO et/ou aux standards de Contrôle de Sécurité de la WLA. Elles ont aussi inséré dans leur stratégie une continuité des opérations, par laquelle une société peut accroître sa résilience pour maintenir le cap et résister à toute sorte de perturbations. C est le cas de Toto-Lotto Niedersachsen GmbH en Allemagne: les parties responsables (en général les directeurs de division et de département) fournissent les données appropriées pour l analyse des risques (identification et classification des causes et sources des risques) et assurent un suivi continu dans leur sec- Gemeinsame Klassenlotterie der Länder (GKL) engage des organismes tiers indépendants pour conduire des audits réguliers et des tests de pénétration dans le but d identifier et de répondre aux risques situés dans tous les environnements (Internet, commerces, etc.). Tout comme de nombreuses organisations, GKL possède des systèmes redondants. Par exemple, si un centre de données tombe en panne, ses données sont transférées automatiquement au deuxième centre de données, ce qui SÉCURITÉ 5 THE EUROPEAN LOTTERIES NEWS DÉCEMBRE 2014

8 LA SÉCURITÉ : teur de responsabilités. Par ailleurs, il existe une procédure d évaluation de tout type d incidents de sécurité, chaque fois qu il y a une irrégularité au niveau des directives existantes notées dans le manuel de la Loterie, dans les notes internes ainsi que dans les instructions opérationnelles. De plus, la Loterie possède des plans d urgence pour réagir rapidement à des attaques qui pourraient affecter la conduite normale des opérations. Le Comité de Gestion des Crises a la charge de ces plans qui sont constamment contrôlés au moyen d exercices d urgence réguliers et de tests de performance. Pour contrôler les risques, Szerencsejáték Zrt en Hongrie s appuie sur son programme SeCube, qui déploie un système unifié pour la mise en œuvre périodique d analyses de risques, de plans de continuité des opérations et de plans de reprise après sinistre. Grâce à ce type d outil de gestion de sécurité de l information, la Loterie peut contrôler, identifier et répondre efficacement aux défaillances techniques et/ou aux tentatives malveillantes visant à déstabiliser ses activités. Le processus de contrôle intègre également des audits internes et des stages de formation annuels menés auprès du personnel et des détaillants de la Loterie. La surveillance via des tests réguliers des processus d activités et des systèmes de logiciels et d équipements, ont aidé Športna Loterija d.d. en Slovénie à éviter toute vulnérabilité critique. Un plan de reprise après sinistre et la gestion de la Continuité des Opérations font partie intégrante de la politique stratégique de la Loterie. Soutenue par un Plan de Continuité des Opérations, Loterija Slovenije d.d. en Slovénie a pu évaluer certains risques, identifier les zones vulnérables et réagir rapidement aux problèmes techniques des logiciels ou équipements, aux pannes de courant, aux activités délinquantes (cambriolage) ou à des causes de force majeure (locaux commerciaux rendus inaccessibles, absence d employés suite à une maladie ou autre). En mettant en place des mesures de protection et un plan d action en vue d une meilleure préparation, la réponse à des situations d urgence s est améliorée. En Espagne, ONCE met en œuvre des normes de sécurité relatives aux processus commerciaux (ISO et WLA) et, lors de la mise en place de son système de gestion de la sécurité de l information, la Loterie a découvert des zones vulnérables : pas de systèmes redondants, manque de plan d urgence pour des éléments clés au niveau des procédés d impression et de tirage par exemple. La Loterie a amélioré la formation de son personnel, de ses vendeurs et de ses détaillants en matière de mesures de sécurité et de contrôle. Deux centres de données soutiennent la stratégie de reprise après sinistre de l organisation et un plan de continuité des opérations vise les aspects essentiels du processus d exploitation tels que la communication, les tirages et l impression des billets. FRAUDE AUX POINTS DE VENTE ET CYBERCRIMINALITÉ C est un fait que les employés des points de vente sont souvent mis en cause lors des réclamations liées à des billets de loterie volés. Assurer la sécurité de l environnement commercial de la Loterie n est pas facile, mais une Loterie qui apprend à ses détaillants à contrôler et à identifier les activités inhabituelles aux caisses et à former correctement son personnel en matière d intégrité et de sécurité des produits de loterie, ne connaîtra qu un minimum d incidents. AS Eesti Loto en Estonie a établi une solide coopération avec ses détaillants pour contrôler les fraudes et y mettre fin. Les détaillants doivent couvrir les pertes causées par les activités frauduleuses, ce qui renforce pour eux le besoin de collaborer avec la Loterie pour bloquer toutes tentatives illicites. En ce qui concerne son système Internet et en ligne, la Loterie teste régulièrement ses systèmes et processus, applique des correctifs dès que possible pour empêcher le piratage ou les attaques par intrusion (tels que les virus récemment exploités : Heartbleed, Shell attack, SSLv3) et utilise une information chiffrée pour protéger la confidentialité des données des clients et de l organisation. Elle a également mis en place des politiques d accès à l information (accès limité à seulement quelques employés) et une évaluation et un contrôle appropriés des risques. SÉCURITÉ 6 THE EUROPEAN LOTTERIES NEWS DÉCEMBRE 2014

9 UNE PRIORITÉ INCONTOUR- NABLE POUR LES LOTERIES En Chine, China Sports Lottery Administration Centre a mis en place des procédures de gestion strictes pour ses points de vente afin d aider les détaillants à prévenir la fraude dans leurs points de vente. Le système fonctionne dans l ensemble, mais il est difficile d identifier les employés experts dans la conception de nouvelles méthodes permettant de contourner la sécurité et l intégrité des produits de loterie. Un autre problème de taille en Chine vient des offres de loteries non règlementées sur Internet, qui portent atteinte au réseau autorisé des détaillants de loterie. Par le biais de sa politique de sécurité informatique, la Loterie est en voie de développer un système d information dont l objectif sera de protéger l identité des joueurs en ligne. Pour détecter les fraudes, La Marocaine des Jeux et des Sports (MDJS) au Maroc contrôle quotidiennement tous les comptes rendus du système et les montants des réclamations de joueurs et effectue régulièrement des visites aux points de vente. Après avoir lancé son programme de fidélité, la MDJS a vu le niveau de confiance monter et les relations de travail avec ses détaillants s améliorer. Ayant mis en œuvre une politique de jeu responsable et s étant alignée aux normes ISO et aux standards WLA, la MDJS est désormais équipée pour identifier et répondre à tout type de risques. En Allemagne, les organisations de jeu ont pris des mesures pour protéger l information des Loteries et les données des consommateurs via un processus d autorisation spécifique aux transactions et requêtes en ligne, tel que celui utilisé par LOTTO Hamburg GmbH. Cette Loterie a aussi une stratégie de sécurité, intégrant une bonne culture d entreprise au sein du personnel et mettant l accent sur une prise de conscience de la sécurité à tous les niveaux. Selon le Traité d Etat sur les jeux et le Décret relatif aux jeux de hasard du Land de Saxe-Anhalt en Allemagne, les détaillants n ont pas l autorisation d acheter des jeux sur leur lieu de travail. C est la première ligne de défense contre la fraude des détaillants pour Lotto-Toto GmbH Sachsen-Anhalt, qui de plus inspecte régulièrement les paiements des gains versés sur le compte «spécial Loto» des joueurs. Les détaillants sont obligés de remettre un reçu à tout client qui a acheté un ticket de loterie, et le personnel de la Loterie effectue des visites sur place pour s assurer de la conformité de la loterie à la règlementation. L information circule en permanence, permettant aux détaillants d être bien informés, et le personnel des points de vente doit obligatoirement suivre des stages de formation. La Direction Gestion des Risques et Sécurité de La Française des Jeux (FDJ) identifie et analyse les atypismes et alertes issus des réseaux de vente physique et en ligne. Pour le réseau physique, cette analyse est notamment renforcée par une équipe d inspecteurs qui effectuent des visites de contrôle dans le réseau de points de vente. Si une fraude est détectée, FDJ procède à des sanctions contractuelles, échelonnées en fonction de la gravité du manquement constaté, sous forme d avertissements, de suspension temporaire ou de résiliation du contrat. Dans certains cas, FDJ peut porter plainte en justice contre le détaillant. Afin d éviter ce genre de problème, FDJ communique régulièrement avec ses détaillants via un magazine dédié, un site internet dédié et sa force de vente (commerciaux). De plus, des échanges avec les détaillants ont lieu à l issue des inspections si nécessaire. La cybercriminalité est une autre préoccupation majeure et FDJ a évalué des menaces éventuelles dont elle pourrait être victime : attaques par déni de service qui pourraient affecter le besoin de sécurité de disponibilité; attaques par défiguration des sites d information sur les jeux de la Loterie via l exploitation d une vulnérabilité dans l administration du site, pouvant affecter la disponibilité et l intégrité du site. La confidentialité de l identité des gagnants est considérée comme l une des informations les plus sensibles de l entreprise. En conséquence FDJ a mis en place des modalités strictes de protection des données privées des joueurs, conformément aux exigences des autorités de régulation et des certifications. La politique en matière de données privées des joueurs s appuie également sur les bonnes pratiques de sécurité des systèmes d information ainsi que sur la mise en place de procédures et d outils d évaluation. En outre, des audits de conformité sont régulièrement réalisés. De plus, FDJ gère et contrôle attentivement chaque accès aux applications, chaque flux d information, chaque base de données ayant trait à cette information. Le futur de la Loterie dépend de la sécurité de chaque étape de ses opérations de jeu, notamment les moteurs de jeu, le réseau de vente, les terminaux point de vente, la plate-forme internet, etc. Thierry Pujol Directeur de la Gestion des Risques et de la Sécurité, FDJ Président du groupe de travail EL Ordre Public et Sécurité SÉCURITÉ 7 THE EUROPEAN LOTTERIES NEWS DÉCEMBRE 2014

10 LA SÉCURITÉ : UNE PRIORITÉ INCONTOURNABLE POUR LES LOTERIES En Europe, des lacunes évidentes sont constatées dans la mise en application de la loi concernant les plateformes illégales de jeu en ligne. Les juridictions européennes collaborent par exemple avec les banques pour bloquer des transactions financières suspectes, mais cette seule mesure n est pas vraiment efficace pour chaque situation : dans la plupart des cas, les banques ne voient qu un simple aspect du processus de transfert d argent d un compte en banque à un intermédiaire plus ou moins anonyme afin de camoufler le véritable bénéficiaire que les banques ne peuvent voir que l argent est finalement transféré à un opérateur illégal de jeu en ligne. C est pourquoi les règles de blocage peuvent facilement être évitées en passant par des comptes intermédiaires. SAZKA a.s. en République Tchèque a réduit la fraude dans les points de vente en instaurant une limite du chiffre d affaires maximum réalisé chaque jour par chaque terminal. Si cette limite est dépassée, les paris sont annulés et une alerte est envoyée au centre de contrôle de la Loterie. Surveiller la répétition des validations des reçus et des tickets de grattage est aussi une méthode pour empêcher le paiement non autorisé des gains. La Loterie maintient également une bonne communication avec le réseau détaillant et offre un excellent programme d assistance aux détaillants facteurs importants pour établir la confiance entre toutes les parties prenantes. Si nous voulons combattre de façon efficace les jeux en ligne illégaux et le blanchiment d argent, il faut obligatoirement inclure les systèmes de paiement dans la lutte. Leur point de vue quant aux processus des transactions financières diffère de celui des banques, car ils jouissent d un accès complet à chaque étape du transfert de paiement de l expéditeur (compte A) par le biais de possibles comptes intermédiaires et enfin au bénéficiaire (compte B, opérateur de jeu illicite). La peur des blocages de paiements efficaces est une des raisons qui poussent les opérateurs de jeux illicites à tout mettre en œuvre pour l acceptation et l utilisation d une monnaie virtuelle anonyme comme «bitcoin». On estime que plus de 50% de toutes les transactions payées en bitcoins se font au sein du secteur illégal des jeux. Une régulation conséquente du secteur des finances dans ce domaine devrait y faire face en impliquant les systèmes de paiement : le traitement des opérations financières de/vers les opérateurs illégaux mène à la perte de la licence du système et mise sur liste noire, alors que les systèmes de paiement pleinement conformes sont publiés sur une «liste blanche». Le gouvernement américain par exemple semble avoir rencontré du succès avec cette stratégie. Gunnar Ewald Directeur Exécutif Service Audit LOTTO Hamburg GmbH Membre du groupe de travail EL Ordre Public et Sécurité SÉCURITÉ 8 THE EUROPEAN LOTTERIES NEWS DÉCEMBRE 2014

11 L ÉCOSYSTÈME CYBERCRIMINEL PROF. DR. S. GHERNAOUTI DE L ACADÉMIE SUISSE DES SCIENCES DIRECTRICE DU SWISS CYBERSECURITY ADVISORY & RESEARCH GROUP UNIVERSITÉ DE LAUSANNE RÉSUMÉ Subir la cybercriminalité n est pas une fatalité mais y faire face et maîtriser le risque d origine cybercriminel nécessite de comprendre quel est l environnement dans lequel elle s exprime. Cet article apporte un éclairage sur celui-ci en introduisant quelques aspects de l écosystème cybercriminel qui favorise l expression de la criminalité via les technologies de l Internet. UN ÉCOSYSTÈME BIEN VIVANT ET ADAPTATIF Les acteurs de la cybercriminalité, leurs modes opératoires et outils, les processus mis en œuvre pour maximiser leur profit tout en diminuant les risques d être condamnés par la justice constituent un écosystème particulier. L écosystème cybercriminel est, comme tout écosystème vivant et dynamique, en permanente adaptation pour tirer parti des nouvelles opportunités du marché, des nouvelles vulnérabilités, des nouveaux outils et vecteurs de la cybercriminalité. Il possède ses structures propres et utilise les acteurs licites de l Internet et bénéficie de leurs services. C est le cas notamment des entités intervenant comme support à des transactions financières comme pour ne citer qu un exemple Western Union. Désormais l écosystème cybercriminel, indissociable de l écosystème numérique qui fait partie de notre société. LES ACTEURS ET LES CIBLES DE L ÉCOSYSTÈME CYBERCRIMINEL Lorsque l on considère l écosystème cybercriminel, il ne faut pas oublier de prendre également en considération, tous les acteurs licites c est à dire des personnes morales ou physiques qui selon les circonstances peuvent être des cibles ou des acteurs volontaires ou involontaires de la cybercriminalité. Cette dernière distinction peut être motivée par exemple par le fait que des utilisateurs peuvent être leurrés et devenir à leur insu, un maillon de la chaine cybercriminelle. C est le cas lorsque que la machine d un internaute ou le serveur d une organisation, servent de relais et sont devenues des machines Zombies d un réseau de botnet 1 pour effectuer des attaques en déni de service 2 sur des ordinateurs tiers. déni de service. Par ailleurs, des organisations privées ou publiques, tout à fait licites, peuvent aussi, pour défendre leurs intérêts être amenés à utiliser les mêmes armes que les cybercriminels. Cela peut s inscrire dans une démarche d intelligence économique ou encore de cybersécurité offensive et défensive. Dès lors que les organisations représentent des valeurs convoitées par les cybercriminels (ce qui est le cas en particulier des institutions financières ou commerciales par exemple), qu elles offrent des services en ligne, elles sont productrices de valeurs, et de ce fait, font parties elles aussi de l écosystème cybercriminel. Leur présence dans le cyberespace, comme celles des internautes (très visible notamment à travers de réseaux sociaux notamment, justifient la présence des cybercriminels et leurs activités. L écosystème cybercriminels serait incomplet si on n y intègre pas celui des forces de justice et de police qui œuvre de manière opérationnelle et très concrète à la lutte contre la cybercriminalité. Elles peuvent utiliser le même savoir-faire cognitif et les mêmes outils que ceux des cybercriminels. Les forces de l ordre ont la possibilité de s appuyer sur des compétences techniques spécifiques de policiers spécialement formés, d experts externes ou encore bénéficier des connaissances de cybercriminels, qu ils soient repentis ou qu ils n aient pas d autre choix que de celui de collaborer avec la justice. Ils peuvent alors devenir des partenaires à part entière d opérations judiciaires, agir en tant qu indicateur, contribuer activement à leurrer des cybercriminels, ou à tracer les activités criminelles et à démasquer les acteurs délictueux, en mettant en œuvre leur savoir-faire technique et connaissance du milieu. 1 La prise de contrôle de certaines machines, à l insu de leurs propriétaires légitimes suite à une infection virale, les transforme en «Zombies» intégrés dans des réseaux de machines (les botnets) qui sont alors pilotés à distance pour réaliser des cyberattaques. 2 Déni de service (DoS, Denial of Service) Attaque par saturation d une entité afin qu elle s effondre et ne puisse plus réaliser les services attendus d elle. En revanche, un internaute peut également tout à fait consciemment, par conviction ou motivations idéologique, politique, économique ou religieuse «prêter» sa machine à un réseau de botnet pour contribuer à des hameçonnages ou des attaques par Quelles que soient les motivations des acteurs de la cybercriminalité, celle-ci engendre toujours des conséquences économiques non négligeables supportées par la société. Ses impacts sont directs et indirects avec des effets immédiats ou à long terme. La cybercriminalité porte atteinte aux individus, aux organisations et aux états, qu elle fragilise et déstabilise. Solange Ghernaouti est l auteur du livre «Cyberpower : crime, conflict and security in cyberspace» ; EPFL press CYBERCRIMINALITÉ 9 THE EUROPEAN LOTTERIES NEWS DÉCEMBRE 2014

12 EL NEWS ASKED... INTRALOT ANSWERED DÉVELOPPER DES CAPACITÉS DE CYBERSÉCURITÉ par Christos K. Dimitriadis, Ph.D., CISA, CISM, CRISC Directeur de la Sécurité de l information du Groupe INTRALOT L Institut national des normes et des technologies (NIST) des États-Unis i définit la cybersécurité comme «la capacité à protéger ou à défendre l utilisation du cyberespace contre des cyberattaques». Les cybermenaces ont évolué, passant des virus des années à des attaques plus sophistiquées, à PHOTOla cybercriminalité organisée et aux menaces avancées persistantes. Au fil du temps, la sophistication et, qui plus est, les ressources employées de manière organisée ont transformé le paysage des cybermenaces en un problème grave que les gouvernements et les entreprises doivent affronter afin de pouvoir assurer la réalisation de leurs objectifs. Consciente de la nouvelle nécessité d une cybersécurité plus efficace, l Union européenne a publié en 2013 la Stratégie de cybersécurité de l Union européenne. La Commission européenne a récemment publié une proposition de directive concernant la sécurité des réseaux et de l information (SRI) qui, conjuguée à la stratégie de l UE, propose des mesures juridiques et incite à rendre l environnement en ligne de l UE plus sûr. Au niveau sectoriel, la WLA a publié en 2013 le guide concernant la sécurité des jeux de hasard en ligne (Internet Gaming Security Guide), qui offre des indications en matière de cybersécurité. L Agence de l Union européenne chargée de la sécurité des réseaux et de l information (ENISA) ii fournit des orientations aux États membres dans ce domaine, alors que l ISACA a lancé un nouveau programme, Cybersecurity NEXUS iii, fournissant des connaissances, une formation et des certifications pour les professionnels de la cybersécurité au niveau mondial. Établir une stratégie de cybersécurité dans le secteur des jeux de hasard est un pas fondamental afin d assurer le caractère contraignant de tout effort visant à protéger l opérateur de loterie ou de jeux de hasard et ses objectifs commerciaux particuliers. Une analyse des dépendances commerciales du cyberespace, conjuguée à l adoption d une approche fondée sur les risques, est nécessaire afin de comprendre les besoins en cybersécurité, de recenser les faiblesses et de mettre en œuvre des contrôles tout en fixant des priorités. L adoption d une telle approche permet également de déterminer les conséquences des cybermenaces et de les classer, compte tenu du fait que chaque type de menace (faible, élevée, haute ou grave) exige une approche différente. Par exemple, les menaces avancées persistantes ciblées ne peuvent être affrontées par les mêmes contrôles que les attaques opportunistes. iv À cet effet, un cadre approprié de gestion de la sécurité de l information et une approche fondée sur les risques sont requis mettant à profit les informations provenant des normes et des pratiques adaptées en matière de cybersécurité. Ainsi, en raison de son statut de leader mondial en matière de fourniture de systèmes intégrés de jeux de hasard et de traitement des transactions dans 57 pays à travers le monde, la gestion de la sécurité de l information est primordiale pour le succès des affaires d INTRALOT. Reconnaissant l importance stratégique de la sécurité de l information, INTRALOT est devenu le premier vendeur international dans le secteur des jeux de hasard à avoir obtenu la certification selon la norme de contrôle de sécurité de la World Lottery Association (WLA, Association mondiale des loteries). Conformément à ses certifications selon les normes SCS de la WLA et ISO sur le système de gestion de la sécurité de l information (SMSI), INTRALOT respecte les principes d intégrité, de confiance des joueurs, de conformité, de qualité et d excellence opérationnelle dans le secteur des loteries. INTRALOT a enrichi son cadre de certifications avec un élément de cybersécurité utilisant des contrôles spécifiques de cybersécurité du NIST des États-Unis, de l ENISA, de l ISACA et de la WLA. En outre, la création d une structure organisationnelle appropriée est un élément critique du cadre susmentionné. Cette structure peut être réalisée en définissant les rôles de gestion de la cybersécurité, la hiérarchie et la description des postes dans un service de cybersécurité et, surtout, les interfaces avec d autres services au sein de la loterie. La structure devra être composée de professionnels possédant les aptitudes et les qualifications appropriées. Des tierces parties devront être déterminées, y compris les services de cybercriminalité et les autorités ainsi que des associations et des groupes d experts qui offriront leur soutien, leurs services et des connaissances de pointe en matière de cybersécurité. Après avoir défini la structure, des processus détaillés visant la cybersécurité devront être mis au point. Cela inclut, à titre d exemple, des processus visant à déterminer et à faire face aux vulnérabilités, à suivre les contrôles, à analyser les incidents, à détecter, à classer et à éliminer les attaques, à mener des enquêtes, y compris criminalistiques, à gérer des situations de crise et à améliorer les contrôles de cybersécurité sur la base des leçons apprises. Par exemple, le processus d intervention en cas d incident devra tenir compte de toutes les phases nécessaires depuis la préparation (par exemple, développer des compétences pour intervenir en cas d incident) jusqu à la planification et l exécution d actions immédiates (prise de décision, voies de communication), l enquête (analyse de l atteinte à la sécurité, traitement des preuves) et le traitement complet de l attaque et de sa cause (améliorations, actions futures). Les capacités technologiques jouent un rôle primordial en matière de cybersécurité. Sur la base des résultats d une évaluation du risque, les technologies et méthodes adéquates devront être sélectionnées afin d établir des capacités de prévention, de détection et de réaction au niveau des réseaux, des systèmes d exploitation, des bases de données et des applications. Ainsi, les innovations technologiques les plus récentes d INTRALOT comprennent Eyes-On, un nouveau système de détection des fraudes en ligne, permettant la détection rapide et le suivi des cybermenaces qui occupent une place prioritaire dans les solutions personnalisées de l industrie (à savoir, prévention des intrusions, application de pare-feu) adaptées aux opérateurs de loteries et de paris. Enfin, mettre l accent sur le facteur humain doit être considéré comme une priorité, en assurant la mise en place de programmes adéquats de formation et de sensibilisation et d une culture intentionnelle de sécurité. Il est évident qu un agresseur préférera le chemin le plus court pour porter atteinte à la sécurité et le facteur humain offre souvent cette possibilité par la non-conformité, le manque de sensibilisation, d attention et d engagement vis-à-vis de la sécurité. i NIST IR 7298 Revision 2, Glossary of Key Information Security Terms [NIST IR 7298 Révision 2, Glossaire des termes principaux en matière de sécurité de l information] ii iii iv Responding to Targeted Cyberattacks and Advanced Persistent Threats: How to Manage the Risk to Your Business (ISACA) [Répondre aux cyberattaques ciblées et aux menaces avancées persistantes : comment gérer le risque pour votre entreprise]... PARTENAIRES PREMIUM ACTIVITY NEWS THE 39 EUROPEAN MAY 2012 LOTTERIES NEWS DÉCEMBRE 2014

13 EL NEWS LA ASKED... SÉCURITÉ AVANT L'INNOVATION SCIENTIFIC GAMES ANSWERED Scientific Games est reconnue pour l innovation en matière de jeu dans l industrie de la loterie, mais l entreprise est souvent consultée pour conseiller des loteries sur les meilleures pratiques en termes de sécurité, partout dans le monde. ENTRETIEN AVEC LARRY POTTS, CHEF DE LA CONFORMITÉ ET DIRECTEUR DE LA SÉCURITÉ, SCIENTIFIC GAMES Quel type de systèmes de surveillance avez-vous pour contrôler les risques en matière de sécurité? Larry : Chez Scientific Games, nous possédons plus de 40 ans d expertise à la documentation de nos systèmes et procédures de surveillance de la sécurité. Même ainsi, le contrôle des risques liés à la sécurité est en réévaluation et évolution permanente, et ce pour la protection de nos clients. Cela couvre tous les aspects, des nouvelles technologies aux mises à jour des logiciels de cryptage, précautions relatives au fret, sécurité physique de nos centres d exploitation en passant par de très strictes pratiques d embauche du personnel. De plus, nos équipes de sécurité constituées de professionnels hautement qualifiés suivent étroitement les tendances mondiales en termes de cybercrime et de crime organisé. Nos activités de développement de jeux sont certifiées ISO pour la sécurité des technologies de l information, ce qui requiert des politiques et des procédures documentées pour 133 contrôles de sécurité distincts. Et nous nous conformons également aux normes en développement de la WLA (World Lottery Association). Aujourd hui, nous fournissons 68 systèmes à 57 loteries dans 26 pays. En Europe, nous fournissons 24 systèmes de jeu et 12 systèmes de programmes de services coopératifs, assurant le service à plus de points de vente au détail. Nous disposons donc de nombreuses mesures de sécurité opérationnelle internes permettant de détecter les comportements suspects et d éviter les accès non autorisés. Cela comprend le contrôle de la sécurité des transmissions de données entre le système de jeu et les terminaux des points de vente toutes les transmissions sont cryptées et nous surveillons l ensemble du trafic et des accès 24 heures sur 24, 7 jours sur 7. Cela comprend également un renforcement de la sécurité du système d exploitation supportant le système de jeu central et les terminaux des points de vente. Nous appliquons des politiques strictes en ce qui concerne la sécurité des utilisateurs, telles que la complexité des mots de passe, la limitation de l accès à l information et de l accès physique, et la séparation des tâches. Nos systèmes de contrôle interne vérifient les résultats des transactions de façon indépendante, le tout étant soumis à des procédures d audit. La fabrication de nos jeux instantanés implique des processus très complexes et hautement sécurisés qui garantissent l intégrité de tout jeu à chaque phase de son cycle depuis la conception et la programmation, les codes-barres et les couches à gratter sécuritaires appliqués sur le ticket physique, jusqu à la distribution sécurisée aux détaillants. La sécurité est en place depuis le moment où le jeu est conçu jusqu au moment où il est distribué puis commercialisé dans le réseau de vente au détail d une loterie, depuis le moment où il est validé pour un lot jusqu au stockage des données de transaction du jeu. Nous avons mis au point, dans les moindres détails, des systèmes de sécurité à niveaux multiples et superposés pour protéger nos jeux instantanés, ce qui inclut des pare-feu, des réseaux et autres dispositifs et applications de sécurité à la fine pointe de la technologie. Au cœur de ces différents niveaux protégés des systèmes de sécurité, les données de jeu intégralement cryptées à l aide de systèmes de cryptage d avant-garde. Tous ces systèmes sont soumis à une stricte surveillance menée de façon indépendante et permanente par des auditeurs experts, lesquels évaluent également nos systèmes de sécurité pour le compte de nos clients de loterie. Comment Scientific Games aide-elle à contrôler les risques dans les environnements de vente des loteries, y compris dans les magasins de vente au détail, sur les appareils mobiles et sur Internet? Larry : Chaque transaction de détail est gérée de façon sécuritaire dans nos systèmes. Les jeux sont gérés par des systèmes de contrôle indépendants et des platesformes redondantes. Les logiciels de nos systèmes supportent des procédures de sécurité vérifiables, qui permettent d authentifier les transactions et les paiements. Pour les transmissions de données entre les terminaux des points de vente et nos systèmes de jeu centraux, nous utilisons des réseaux privés et toutes les transactions sont sécurisées. À mesure que la technologie évolue, nous ne cessons d investir dans le développement et la mise en œuvre de nouveaux outils qui améliorent la sécurité et la précision du développement de jeu. Nous possédons une librairie de plus de jeux instantanés pour nos clients de loterie. Nous avons la capacité de produire plus de 46 milliards de tickets par an à partir de cinq centres de fabrication mondiaux, dont un à Leeds, en Angleterre. Nous gérons la sécurité des jeux instantanés avec le plus grand soin, afin d en assurer l intégrité. Tous nos tickets instantanés ont un code-barres et un numéro d identification uniques qui suivent le ticket tout au long du processus de production, jusqu à la livraison aux centres de distribution. Un ticket peut être retracé jusqu à un détaillant spécifique, de façon sécuritaire et en tout temps, tant par Scientific Games que par le service de sécurité du client de loterie. Notre système de sécurité logicielle à double clé (KDS3) offre un niveau supplémentaire de sécurité pour les tickets instantanés lorsque la reconstruction du ticket s avère nécessaire aux fins d enquête sur des questions de validation. Les ventes de jeux de loterie via appareil mobile ou Internet sont gérées de de façon sécuritaire par Scientific Games, grâce à une combinaison de platesformes technologiques et de processus certifiés en matière de sécurité, ce qui inclut la gestion des comptes, la déclinaison de l âge, la vérification d identité et la géolocalisation, ainsi que le traitement des paiements. Nous avons les mêmes objectifs que nos clients de loterie notre mission est de protéger l intégrité de la loterie et l intégrité des jeux.... PARTENAIRES PREMIUM 11 THE EUROPEAN LOTTERIES NEWS DÉCEMBRE 2014 ACTIVITY 10 NEWS 39 MAY 2012

14 OFFRIR UNE CROISSANCE RESPONSABLE Le jeu responsable (JR) est et restera un enjeu vital pour toute loterie qui se respecte, au même titre que la gestion des moteurs d activité qui produiront des résultats commerciaux positifs. À mesure que le jeu continue à se développer sur les canaux interactifs et mobiles, il devient d autant plus important que tous les systèmes et portails incorporent un système de protection, de sécurité et de prévention des fraudes. Cela permet de protéger les intérêts des joueurs et de dissiper les craintes des organismes de régulation. Forte de son expérience aussi bien en tant que fournisseur de solutions qu en tant qu opérateur, GTECH a développé une solution de JR holistique qui optimise la croissance d une façon responsable et sécurisée. Les solutions de JR de GTECH encouragent, au lieu d inhiber, le jeu responsable en aidant les joueurs à faire des choix éclairés sur leur comportement. Les outils de JR sont sensiblement plus efficaces lorsqu ils sont proposés de façon transparente pour tous les types de jeux : ilottery, paris, igaming, vente et casinos physiques. C est pourquoi la nouvelle plate-forme interactive de GTECH offre un CRM solide et uniforme, ainsi que des fonctionnalités de JR pour les comptes de joueurs sur tous les segments de jeu. Ces fonctionnalités comprennent des outils qui prennent en charge les contrôles de jeu (modérateurs financiers, modérateurs de temps de jeu et rappel du sens des réalités), la suppression des comptes de joueurs des bases de données marketing et, dans les rares cas où le joueur souhaite s abstenir de jouer, l auto-exclusion pour un laps de temps donné. LE SYSTÈME DE GESTION DES COMPTES DE JOUEURS GTECH (GTECH PAM ) Au cœur de l architecture se trouve GTECH PAM. Ce système conjugue les meilleurs aspects du système de gestion du jeu GMS (Game Management System) de GTECH et de la plate-forme CRM B2C (Business-to-Customer) utilisée par Lottomatica en Italie, ceci afin de donner aux opérateurs le niveau de contrôle requis pour répondre aux exigences légales grandissantes et pour protéger au mieux la communauté des joueurs. La flexibilité intrinsèque de GTECH PAM lui permet de prendre en charge une myriade de processus opérationnels. Elle permet de définir plusieurs limites financières de JR, tant au niveau global que pour les comptes individuels. Cela comprend les limites de dépôt, les limites de paris et les limites de perte. Pour garantir un contrôle maximal, chaque limite peut être définie pour un intervalle différent (quotidien, hebdomadaire, mensuel, etc.). En outre, les opérateurs qui exigent des justificatifs avant que les joueurs puissent retirer des fonds peuvent autoriser la création de comptes temporaires. Ceux-ci permettent de déposer des fonds jusqu à une certaine limite et pendant une période donnée, durant laquelle le joueur doit fournir lesdits justificatifs sous peine de voir son compte suspendu. Des privilèges peuvent être définis pour les différents niveaux d inscription, selon les processus propres à chaque opérateur. GTECH PAM fait office de centre de commande des comptes de joueurs ; elle stocke donc toutes les données des joueurs, y compris le suivi de l activité et le portefeuille d argent réel. Elle intègre tous les canaux de diffusion et de jeu : Web, mobile, itv et même la vente physique en boutique lorsqu une carte de joueur (ou dispositif similaire) est utilisée. Ses fonctionnalités de back-office, de systèmes de paiement et de CRM offrent une vue d ensemble du joueur tout en renforçant sa protection. Grâce à l architecture solide et puissante de GTECH, PAM peut fusionner plusieurs systèmes dans une solution unique qui prend en charge de façon uniforme tous les produits igaming (bingo, poker, casino en ligne, etc.) et les services aux joueurs, dont notamment les contrôles de JR. Cette solution entièrement intégrée est extrêmement modulaire et flexible, afin de permettre l intégration aux systèmes suivants : le système central Enterprise Series de GTECH ; le module de paris sportifs WagerWise ; le système central INTELLIGEN (pour la gestion des opérations, de la comptabilité, du suivi et de la mesure des terminaux de loterie vidéo) ; et enfin d autres systèmes GTECH ou tiers, parmi lesquels les bases de données d auto-exclusion ou les outils de JR tiers. GTECH PAM prend également en charge les procédures de sécurité et de lutte contre la fraude. Par exemple, au sein du réseau international de bingo de GTECH (International Bingo Network), elle fonctionne de concert avec Risk Guardian et Callcredit pour fournir une vérification de bout en bout, de l inscription jusqu au retrait des gains. Pendant ce cycle de vie des événements du joueur, PAM sert à entreprendre des actions telles que la suspension de comptes, le blocage de transactions et la fusion de comptes appartenant à la même personne. LE PORTAIL GTECH Les sites web du portail GTECH exigent des utilisateurs qu ils entrent (au minimum) leur nom, leur adresse et leur date de naissance avant de pouvoir créer un compte de jeu. Ces informations sont transmises de façon automatique et sécurisée pour vérification. Si cette vérification indépendante ne peut pas certifier ces informations, ou si le joueur potentiel n est pas majeur, la création du compte est suspendue. (Dans les juridictions où les informations doivent être fournies à ou vérifiées par une entité de régulation, GTECH Connect [le serveur qui gère l interaction entre GTECH et/ou le système d identification tiers ou les fournisseurs de service de vérification d âge] peut interagir avec lesdites entités au moment de l inscription, de la connexion ou lors d une session de jeu.) L utilisateur doit être connecté à un compte de jeu valide et être situé à un emplacement physique dans les limites de la juridiction (déterminé par le géo-filtrage de l IP source du navigateur connecté au site web du portail) avant d autoriser l accès aux jeux. Toutes les informations collectées par le portail sont stockées et vérifiées au sein de GTECH PAM. L ENGAGEMENT DE GTECH SUR LE JEU RESPON- SABLE GTECH a travaillé en collaboration avec les entités de régulation des jeux, les opérateurs, les instituts de recherche et les fournisseurs de services de traitement pour développer des solutions respectant les meilleures pratiques en termes de jeu responsable et de lutte contre la fraude, ceci dans le but de protéger ses clients et leurs joueurs. Du développement du jeu jusqu à sa livraison, GTECH investit continuellement dans les cinq piliers de ses solutions : points d accès, réseaux de communication, applications de back-office/systèmes centraux, interactivité et jeux. Cela lui permet de déployer des jeux de référence d une façon socialement responsable. PARTENAIRES PREMIUM 12 THE EUROPEAN LOTTERIES NEWS DÉCEMBRE 2014

15

16 LA STRATÉGIE NUMÉRIQUE ET LES DÉFIS DE L ÉROSION DE LA BASE D IMPOSITION ET DU TRANSFERT DES BÉNÉFICES (EBITB) plan d action pour contrer l EBITB et sa mise en œuvre est en cours. Bart Van Vooren - ALTIUS Philippe Vlaemminck - ALTIUS L intérêt pour le secteur du jeu et les Loteries est évident : dans la mesure où les revenus contribuent directement aux bonnes causes, ou indirectement par le biais de l impôt sur les sociétés, la mondialisation et la numérisation du secteur du jeu auront des conséquences comme dans tous les autres secteurs économiques. De fait, la concurrence déloyale exercée par les opérateurs de jeux à distance est non seulement en train de miner la contribution des Loteries aux bonnes causes, mais elle réduit également considérablement les recettes fiscales de l Etat. L EBITB et sa mise en œuvre soulèveront de nombreux points d interrogation sur la manière dont le secteur devrait aborder ce problème. La crise financière de 2008 a révélé que l économie est toujours plus intégrée mondialement, ce qui est également le cas des entreprises. Alors que les multinationales représentent une grande proportion du PIB mondial, leurs chaînes d approvisionnement transnationales peuvent poser des problèmes au moment d être «enregistrées légalement» par une juridiction donnée. C est le cas en particulier pour les services en ligne où l arbitrage entre juridictions pourrait procurer certains avantages. Par exemple, Gibraltar, Malte, Aurigny et d autres petites juridictions fournissent un environnement juridique «favorable» pour les opérateurs de jeux à distance, aussi bien du point de vue de la licence que de celui des impôts. Dans ce contexte, l affaire d aide d Etat danoise continue à engendrer des incertitudes, étant donné que le Tribunal de l UE refuse d examiner le fond du sujet en déclarant irrecevable le recours contre le régime fiscal favorable et discriminatoire des opérateurs de jeux à distance. Néanmoins, et suite à un lobbying intense et permanent de la part des opérateurs de jeux à distance, d autres gouvernements envisagent d en faire autant. Pour se justifier, ils invoquent le fait que sinon, les opérateurs de jeux à distance ne seront pas suffisamment encouragés à devenir «légaux». Il est bien évidemment inacceptable qu une faible imposition soit une «exigence» mise en avant par les opérateurs de jeux à distance pour accepter de se «légaliser»! La récente enquête portant sur le régime fiscal d Amazon au Luxembourg et sur la question du «Luxleaks» a illustré la nécessité de répondre correctement au problème des transferts de bénéfices et des aides d Etat au niveau européen. L économie et l intégration numériques ont créé de nouvelles opportunités majeures pour les entreprises mondiales d optimiser et donc possiblement de diminuer leurs obligations fiscales. Les rapports montrant que les sociétés mondiales paient des taux d imposition effectifs extraordinairement bas ont causés de vives réactions au sein du public. Il y a quelque temps, les ministres des finances du G20 ont prié l Organisation de coopération et de développement économique (OCDE) de prendre des mesures contre ce qui est connu comme étant «l érosion de la base d imposition et le transfert des bénéfices» (EBITB). En résumé, l EBITB consiste en une planification fiscale d entreprise sophistiquée, mondiale et agressive afin de créer une imposition faible, voire nulle. De façon générale, elle est assurée en séparant de manière artificielle les revenus imposables des activités qui les génèrent. En 2013, l OCDE a adopté son Les entités mondialisées privées sans contrôle souverain très poussé ne sont pas obligées de se soumettre à un arbitrage fiscal, ce qui conduit les gouvernements à se demander comment gérer le fait que l offre des jeux dans leur juridiction puisse ne générer que des revenus peu élevés. En 2013, l OCDE a adopté son plan d action sur l EBITB divisé en quatorze actions différentes. Nous noterons en particulier les initiatives suivantes qui auront des conséquences sur le secteur du jeu et des loteries : action 1 Relever les défis fiscaux posés par l économie numérique ; action 7 Empêcher les mesures visant à éviter artificiellement le statut d établissement stable ; et actions 8, 9 et 10 Faire en sorte que le calcul des prix de transfert soit conforme à la création de valeur 1. Les actions 1 et 7 sont particulièrement importantes. L action 1 est une initiative généralisée centrée sur le fait que l EBITB et l économie numérique soulèvent des questions différentes. Les modèles économiques sont notamment différents des chaînes de valeurs des biens traditionnelles et il y a une compréhension différente quant à la création de valeur dans ce secteur. En conséquence, le plan d action EBITB se penchera, en ce qui concerne l action 1, sur la possibilité pour une entreprise d avoir une présence numérique significative dans l économie d un autre pays sans pour autant y être soumise à l impôt en raison de l absence de lien au regard des règles internationales en vigueur, ainsi que sur l attribution de la valeur générée par la création de données géo-localisées et sur la qualification des bénéfices générés par les nouveaux modèles économiques. Le lien entre cette action et l obligation de posséder une licence dans la juridiction du consommateur peut permettre d aborder ces différents problèmes. L action 7 du plan d action prévoit de modifier la définition de l Etablissement Stable (ES) de manière à éviter et à empêcher qu une installation puisse échapper artificiellement à ce statut, dans l optique de l EBITB, notamment par l utilisation d accords de commissionnaire plutôt que d accords de distribution traditionnels. L objectif de tels accords est parfois de transférer des bénéfices hors du pays où les ventes ont lieu sans changements substantiels des fonctions exercées dans un pays. JURIDIQUE 14 THE EUROPEAN LOTTERIES NEWS DÉCEMBRE 2014

17 DE NOUVELLES OCCASIONS DE STOPPER LES OPÉRATIONS TRANSFRONTALIÈRES ILLÉGALES? Le 16 septembre 2014, l OCDE a publié son rapport sur l action 1 : Les problèmes liés à l EBITB dans l économie numérique et comment y faire face. 2 Ce rapport de 202 pages a démontré que, bien que l économie numérique ne génère pas uniquement des problèmes d EBITB, certaines de ses principales caractéristiques exacerbent les risques. En particulier, certaines structures créent de nouvelles opportunités permettant de réduire ou d éliminer l impôt dans certaines juridictions tout au long de la chaîne d approvisionnement, aussi bien dans les pays où se trouvent les marchés que dans les pays de résidence 3. Le rapport indique que l importance des actifs incorporels dans le contexte de l économie numérique, ajoutée à la mobilité de ces actifs à des fins fiscales dans le cadre des règles fiscales existantes, offre des larges possibilités d EBITB en ce qui concerne les impôts directs. De plus, le fait que les entreprises numériques puissent centraliser et localiser les infrastructures ailleurs que dans les pays où se trouvent les marchés et exercer des activités substantielles de vente de services à partir d une localisation éloignée avec un personnel minimum permet une fragmentation des activités physiques ayant pour but d éviter l imposition. Les récentes évolutions au sein de l Union européenne mentionnées ci-dessus sont la preuve que la dimension en ligne du marché du jeu et des loteries continue de prendre de l importance. Une bonne gestion de l EBITB au sein du cadre réglementaire de l UE en ce qui concerne le jeu en ligne pourrait permettre de s attaquer aux jeux transfrontaliers offerts illégalement dans d autres juridictions de l UE depuis Malte, Gibraltar et Aurigny. C est pourquoi il est d une importance capitale d élaborer la définition d un cadre juridique précis pour le jeu en ligne dans chaque juridiction. Il s agit de prendre des mesures non seulement en ce qui concerne les exigences en matière de licence et les questions d application de la loi, mais aussi en matière d égalité de traitement fiscal et d environnement informatique (position du serveur frontal ). 1 Les définitions et le contexte relatifs à l EBITB sont issus du plan d action. Ce dernier est disponible à : P. 14. NOUVEAU MEMBRE ANJA BOHMS NOUVELLE PDG DE LAND BRANDENBURG LOTTO ALLEMAGNE Après des années passées dans l industrie alimentaire, Anja Bohms a rejoint l équipe de la Deutsche Klassenlotterie Berlin en 2010 en tant que Directrice des ventes, et s est attachée à consolider et protéger les canaux de distribution physiques avec la coopération des 1000 détaillants partenaires de la Loterie. Anja Bohms a récemment été nommée Présidente-Directrice générale de la Loterie allemande LAND BRANDENBURG LOTTO GmbH, où elle exerce ses nouvelles fonctions aux côtés du Dr. Horst Mentrup. Diplômée en administration des affaires et dotée d une expérience professionnelle dans la vente au sein d entreprises importantes depuis 25 ans, elle possède une connaissance approfondie des procédés commerciaux à succès. Sa vision de l avenir commence avec son équipe, car elle souligne que «le succès d une entreprise dépend d employés dévoués et responsables, capables de prendre des initiatives». Les futures tendances en matière technologique feront également partie de sa stratégie, d autant plus que les jeux sur Internet représentent un secteur en pleine croissance en Allemagne; cependant, elle remarque également qu il convient de se concentrer sur le développement d une base plus importante de détaillants de loterie. Un des facteurs essentiels de sa politique le jeu responsable restera la mission principale de la Loterie, qui œuvrera afin d offrir davantage de canaux de jeux dans un environnement sûr pour les consommateurs. Anja Bohms considère la collaboration de sa Loterie avec EL comme un élément important d une bonne stratégie commerciale : l Association permet de nombreux échanges d information entre les collègues européens, et la Certification des Standards EL renforce la confiance des joueurs en la loterie. Pour elle, le fait de coopérer avec EL permettra de consolider les connaissances de son équipe quant aux activités de jeu sûres. NOUVEAUX MEMBRES 15 THE EUROPEAN LOTTERIES NEWS DÉCEMBRE 2014

18 ATELIER RELATIONS PUBLIQUES / COMMUNICATION AMSTERDAM, PAYS-BAS - 9 SEPTEMBRE 2014 Accueilli par Nederlandse Staatsloterij, cet atelier d EL avait pour thème «Comment réussir à communiquer et vendre sans en avoir l air?». Qui d autre que le Hollandais Kay VAN DE LINDE, qui se définit lui-même comme un spécialiste de la communication, aurait pu répondre à cette question face aux 25 participants? Kay a joui d une grande expérience dans le monde du journalisme, de la politique et des Loteries ; son avertissement aux participants à propos des Loteries était clair «Tout le monde ne comprend pas forcément ce que vous faites». Il les a mis en garde contre les dangers découlant d une attitude complaisante et du fait que nous avons tendance à croire que notre activité et nos bonnes causes sont universellement comprises. Il a également souligné l importance d avoir une vision claire quant à l objectif de l entreprise. Si la direction ne fournit aucune vision, le métier de Directeur de la Communication devient pratiquement impossible, puisqu il se traduit alors par des messages contradictoires et une confusion dans les médias. Cette théorie a également trouvé un écho chez Jack MURRAY (PDG de Mediacontact.ie) qui a dirigé le groupe et proposé une série d exercices et d ateliers permettant à chacun de déterminer sa véritable mission ainsi que les sentiments que les marques devaient inspirer. Dix règles ont été données aux participants afin qu ils racontent de bonnes histoires puis, en groupes, ils se sont essayés à la tâche difficile consistant à développer une histoire convaincante pour leur Loterie. L art de la narration a été étudié afin de permettre à chacun de mettre au point sa propre histoire. Les exemples d Apple et d autres succès commerciaux ont été analysés et ont permis de tirer certaines leçons. La tâche la plus ardue a consisté à déterminer le «POURQUOI» essentiel de nos industries. Cela représentait le niveau le plus élevé du pourquoi les entreprises font ce qu elles font. Il ne s agit pas de faire des bénéfices, ou de financer des bonnes causes, il s agit de quelque chose de bien plus grand. Les participants hollandais sont parvenus à fournir une excellente réponse à leur «POURQUOI» pour rendre leur pays plus heureux et plus sain. Ray Bates Modérateur ACTIVITÉS 16 THE EUROPEAN LOTTERIES NEWS DÉCEMBRE 2014

19 SÉMINAIRE INTERNET ET NOUVEAUX MÉDIAS REYKJAVIK, ISLANDE - DU 22 AU 24 SEPTEMBRE 2014 En dépit des volcans en éruption et des tremblements de terre de 5,3 sur l échelle de Richter, 107 participants en provenance des quatre coins du monde se sont retrouvés à Reykjavik en septembre pour ce séminaire Internet organisé conjointement par EL/WLA, accueilli par l University of Iceland Lottery et Íslensk Getspá. Einar BEN, l orateur principal représentant Tjarnargatan, a conseillé aux participants de développer des concepts/outils qui donnerait envie d être partagé par les consommateurs. Les gens ne partagent pas les publicités, mais ils se nourrissent d émotions ; il convient donc de tirer profit de ces émotions (qu ils aiment ou qu ils détestent ils partageront). Il est essentiel de toujours avoir quelque chose d intéressant à dire aux consommateurs si ce n est pas le cas, laissez tomber. Ólafur RAGNARSSON, en décrivant les nouvelles technologies et les derniers développements, a décrit ce qu il nomme «l arrogance du présent» et montré comment le «possible adjacent» a mené au développement technologique. Nous avons désormais un mode de vie toujours plus axé sur la notion de «sans propriété», où la location et les abonnements sont répandus. La robotique continue son expansion, et les robots sont perçus aujourd hui comme les PC dans les années 70. Qui sait où l avenir nous mènera? Les solutions suédoise et norvégienne ont ensuite été présentées, avec l omnicanal comme clé de succès (plutôt que le multicanal). Toutes deux soulignent que le fait de connaitre les joueurs est important pour comprendre le futur comportement du consommateur. Le mobile est l élément à la croissance la plus rapide dans l omnicanal. Les deux pays insistent désormais pour que tous les joueurs de loterie possèdent une carte joueur obligatoire. Cet élément facilite grandement la mise en place d un comportement de jeu responsable, ainsi que d outils d analyse sophistiqués qui devraient permettre une plus grande compréhension entre les Loteries et leurs joueurs. À l origine, l inscription du joueur norvégien était constituée graphiquement de 44 captures d écran, et prenait 40 minutes à réaliser. Tout est aujourd hui beaucoup plus simple, et le message est de ne pas viser trop large pour la croissance, mais de se concentrer sur des groupes définis. Et n oubliez jamais les détaillants! Les présentations qui ont suivi portaient sur la situation actuelle aux Etats-Unis (apprenez à ramper avant de marcher et «socialisez» votre solution), en Colombie Britannique (les relations B2B avec les fournisseurs spécialisés sont un gage de succès), en Nouvelle-Zélande (à l avenir il convient d assurer la pertinence des jeux directement au niveau des joueurs le succès de l application Lotto Checker en est la preuve). Andrew BULLOSS (Odgers Berndtson) a discuté de la gestion de compétence et du recrutement ainsi que de l importance de la planification de la relève dans les Loteries. La solution e-loterie de Camelot a été présentée ; avec ses 6 millions d utilisateurs, elle représente 15 % des bénéfices de la Loterie nationale du Royaume-Uni. Les jeunes joueurs sont indifférents face aux canaux utilisés, mais c est le mobile qui mènera au futur. ACTIVITÉS 17 THE EUROPEAN LOTTERIES NEWS DÉCEMBRE 2014

20 Eoin KEARY, Directeur de BCC Risk Advisory, a décrit comment rendre les applications mobiles encore plus solides et capables de faire face à toutes les menaces. Dans un monde de «développement agile», la manière traditionnelle de tester les codes des applications ne fonctionne pas, et même les tests de pénétration ont leurs limites. Il a indiqué que les contrats avec les fournisseurs d applications devraient être plus spécifiques en ce qui concerne les degrés de contrôles de qualité et de normes d essai qui devraient être appliqués avant la livraison du logiciel. Les fournisseurs présents INTRALOT, SCIENTIFIC GAMES INTERNATIONAL et GTECH CORPORATION ont présenté leur vision dans cet espace, en mettant en avant l intégration de la vente au détail et sur Internet, et de faire bouger les joueurs de l un à l autre ; l omnicanal, et l importance du mobile. La présentation de NOVOMATIC a souligné la vision qu ont les joueurs des canaux. Par exemple si nous parlons des omnicanaux, c est comme d être dans une seule pièce mais avec une vue sur plusieurs fenêtres. La présentation faite par Paddy Power a donné un aperçu des 17 applications natives qu ils offrent au travers de leur gamme de produits. Elle a souligné l importance d être présent sur l App Store. Le mobile est leur canal principal, et il prend toujours plus d ampleur. Les pratiques de jeu responsable ont été présentées selon le point de vue de leurs coûts pour les EGM en Finlande. Playscan a démontré l importance d avoir des données sur le comportement des joueurs qui permettent à une Loterie d entrer en contact avec ces derniers avant qu ils ne deviennent problématiques (rouge). Le séminaire s est terminé par une présentation et une démonstration grandeur nature du jeu Naapurit «Neighbour game» récemment introduit en Finlande, et basé sur une carte. Ray Bates, Modérateur ACTIVITÉS 18 THE EUROPEAN LOTTERIES NEWS DÉCEMBRE 2014