Directives de certification au Standard de contrôle de sécurité de la WLA: 2012

Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 Standard de sécurité et d intégrité des activités de loterie et de jeu Préambule 2 Définitions 4 Partie A Directives de certification pour les membres de la WLA 1. Introduction 6 2. Présentation du processus de certification WLA-SCS:2012 6 3. Certification ISO/IEC 27001:2005 8 4. Certification WLA-SCS:2012 8 5. Prestataires de services d évaluation agréés par la WLA et auditeurs 12 accrédités par la WLA 6. Le comité Sécurité et Gestion des risques (SRMC) de la WLA 16 7. Membres certifiés de la WLA 17 Partie B Principes directeurs concernant l accréditation des auditeurs 1. Affiliation des auditeurs de certification et des prestataires de services 20 d évaluation 2. Qualification en tant qu auditeur accrédité par la WLA 20 3. Qualification en tant que prestataire de services d évaluation agréé par la WLA 22 Partie C Documents à utiliser lors des audits de certification 1. Exigences documentaires applicables aux évaluations WLA-SCS 23 2. Begutachtungsmeldeformular 23 3. Begutachtungsformular 26 4. Detaillierter Prüfbericht 34 Publication octobre 2013

Préambule L Association mondiale des loteries (WLA) est une organisation professionnelle internationale qui représente plus de 140 loteries d État et plus de 55 opérateurs de loterie répartis dans plus de 80 pays sur six continents. Les membres opérateurs de loterie doivent être titulaires d une licence ou d un agrément délivré par la juridiction dans laquelle ils opèrent pour pouvoir organiser des loteries et/ou des jeux. La WLA propose à ses membres une gamme de services destinée à leur fournir les connaissances dont ils ont besoin pour développer leur entreprise. Le Comité Sécurité et Gestion des risques de la WLA (WLA SRMC) est constitué de représentants et de spécialistes de la sécurité des opérateurs de loteries et de jeux du monde entier. Une part importante de la mission du WLA SRMC consiste à conseiller la WLA et ses membres sur les questions de sécurité et de gestion des risques. Depuis plus de dix ans, le WLA SRMC développe et maintient un standard de sécurité spécifique aux loteries connu sous le nom de Standard de contrôle de sécurité WLA (WLA-SCS). Ce standard a été développé en suivant une approche collaborative et consensuelle et il n est accessible qu aux membres de la WLA, conformément aux statuts de la WLA. La liste des membres du WLA SRMC est fournie dans la Partie A, section 6, page 16. Le WLA-SCS:2012 est le seul standard de sécurité du secteur des loteries reconnu internationalement. Conçu à partir du programme ISO/IEC 27001:2005, un standard international reconnu portant sur la gestion de la sécurité de l information, le WLA-SCS:2012 est constitué de deux parties. La première partie (Annexe A Sécurité générale et objectifs de contrôle de l intégrité et contrôles) comprend les exigences des systèmes de gestion de la sécurité de l information (SMSI). Celles-ci incluent la conformité au champ d application mondial ISO/ IEC 27001:2005 en conformité avec les 21 besoins généraux additionnels joints. La deuxième partie du WLA-SCS:2012 (Annexe B Sécurité propre aux loteries et aux jeux et contrôles et objectifs de l intégrité) énumère 90 exigences propres aux loteries et aux jeux représentant les meilleures pratiques en vigueur à ce jour en matière de sécurité et d intégrité. La dernière édition du Standard de contrôle de sécurité de la WLA est se distingue des autres par l année de son approbation, 2012 (WLA-SCS:2012). Cette édition intègre de nouveaux contrôles propres au secteur, relatifs à la sécurité des opérations sur Internet et des ventes interactives et des services de jeux ainsi qu à la sécurité de la gestion des opérations de jeux. Le WLA-SCS:2012 remplace la version précédente du standard de la WLA (WLA-SCS:2006) et toutes les versions publiées auparavant. Pour résumer, le WLS-SCS:2012 spécifie les exigences minimales d une gestion efficace de la sécurité dans les organisa * La certification WLA-SCS:2012 est ouverte uniquement aux membres et membres associés de la WLA. 2

tions de jeu et de loterie. La conformité au WLA-SCS:2012 permet aux membres de la WLA d assurer l intégrité, la disponibilité et la confidentialité de l information essentielle à la sécurité de leurs opérations. Pour toute information complémentaire sur le WLA-SCS:2012, veuillez vous reporter directement à la documentation du WLA-SCS:2012, accessible aux membres de la WLA sur le site Internet de l association, à l adresse www.world-lotteries.org. En rédigeant ce document et en le mettant à la disposition de ses membres, la WLA entend favoriser une meilleure compréhension du WLA-SCS:2012 et du processus de certification. Nous espérons que davantage de membres verront ainsi l intérêt d obtenir la certification WLA- SCS, ce qui permettra de renforcer le niveau global de sécurité au sein du secteur mondial des loteries. Le présent document s adresse: aux membres de la WLA et aux membres associés désireux d obtenir la certification WLA-SCS:2012;* aux professionnels qualifiés désireux de devenir auditeurs accrédités par la WLA; aux auditeurs accrédités par la WLA désireux de mener des audits chez des membres et des membres associés de la WLA ayant déposé une demande de certification WLA-SCS:2012. Aux organisations désireuses d obtenir la certification WLA-SCS:2012, le présent document: explique le fonctionnement du processus de certification et les modalités de dépôt d une demande de certification; les aide à choisir un prestataire de service d évaluation et/ou un auditeur de certification WLA. Aux professionnels qualifiés désireux de devenir auditeurs accrédités par la WLA, le présent document: explique en détail les modalités de dépôt d une demande d accréditation par la WLA en vue de pouvoir mener des audits WLA-SCS. La suite du présent document s organise comme suit: Partie A Directives de certification des membres de la WLA Cette partie contient une description détaillée du processus de certification WLA-SCS:2012. Elle doit être lue par les membres et les membres associés de la WLA désireux d obtenir une certification WLA-SCS. Partie B Principes directeurs concernant l accréditation des auditeurs de certification Cette partie contient les principes directeurs régissant l agrément des professionnels qualifiés et des organisations désireux de devenir habilités à mener des audits WLA-SCS:2012. Elle doit être lue par les professionnels qualifiés et les organisations désireux de devenir habilités à mener des audits de certification WLA-SCS:2012. Partie C Documents utilisés lors des audits de certification Cette partie contient les documents d audit utilisés par les auditeurs de certification lors des audits de certification WLA-SCS:2012. Elle doit être lue par les auditeurs de certification qui mènent les audits de certification WLA-SCS:2012. 3

Définitions Dans le présent document, les définitions suivantes s appliqueront. Organisation membre d une loterie Désigne un opérateur de loterie dûment accepté en tant que membre de la WLA, conformément aux statuts de la WLA. Il organise des jeux de hasard et/ou de compétences tels que Loto, Toto, jeux de grattage, paris sportifs et jeux de loterie classiques. Les membres sont titulaires d une licence ou d un agrément délivré par une juridiction domiciliée dans un État reconnu par les Nations Unies. Membre associé Désigne une personne ou une organisation fournissant des biens ou services au secteur des loteries et des jeux et dûment acceptée en tant que membre de la WLA, conformément aux statuts de la WLA. La demande d adhésion en tant que membre associé de ces personnes ou organisations a été appuyée par au moins deux membres actuels de la WLA et a été acceptée par le comité exécutif de la WLA. Membre de la WLA Désigne un organisateur de loterie et membre associé tel que défini ci-dessus, ces deux qualités étant implicites dans le présent contexte. WLA-SCS Désigne le Standard de contrôle de sécurité de la WLA, un ensemble complet de standards de sécurité spécifiques aux loteries et aux jeux qui intègre la norme ISO/IEC 27001:2005 ainsi qu un ensemble d exigences en matière de contrôles de sécurité et d intégrité généraux et spécifiques aux loteries et aux jeux élaborés par la WLA, ainsi que leurs modifications périodiques. Certificat d accréditation au Standard de contrôle de sécurité WLA. WLA SRMC Désigne le Comité Sécurité et Gestion des risques de la WLA, constitué de professionnels de la sécurité d organisations de loteries et de jeux provenant de six continents, dûment nommés par le Comité Exécutif de la WLA. Le WLA SRMC est autorisé à superviser le pro 4

cessus de sélection des auditeurs de certification et à conseiller la WLA et de ses membres sur les questions de sécurité et de gestion des risques. Autorité de certification (Organisme certificateur) Désigne la WLA. Prestataire de services d évaluation Désigne les établissements tiers agréés par la WLA et proposant des services de certification aux membres de la WLA. Pour pouvoir proposer des services d évaluation, le prestataire de services d évaluation doit avoir conclu un contrat avec la WLA. Les auditeurs travaillant en tant que prestataires indépendants sont également considérés comme des prestataires de services d évaluation. Ces auditeurs individuels devront obtenir l agrément du WLA SRMC et, en outre, conclure un contrat avec la WLA. Contrat de services d évaluation Désigne un contrat non commercial conclu entre la WLA et un prestataire de services d évaluation pour la fourniture de services d évaluation de la conformité aux WLA-SCS aux membres de la WLA. Auditeur accrédité WLA Désigne un évaluateur qui a été accrédité par le WLA SRMC pour mener des audits de certification WLA-SCS:2012. Ces évaluateurs sont employés par un prestataire de services d évaluation qui a conclu un contrat non commercial avec la WLA. Services de pré-évaluation Désigne un audit simplifié mené par un prestataire de services d évaluation au cours duquel la conformité d un membre de la WLA aux WLA-SCS est évaluée, sans contrôle approfondi de sa mise en œuvre. Processus de certification Désigne le processus d évaluation effectué par un auditeur accrédité par la WLA afin de déterminer la conformité aux WLA-SCS. L auditeur doit être employé par un prestataire de services d évaluation sous contrat avec la WLA. Formulaire de déclaration d évaluation Désigne un document délivré par le prestataire de services d évaluation informant la WLA de son intention de procéder à une évaluation de la conformité d un membre de la WLA aux WLA-SCS. Formulaire d évaluation Désigne un document délivré par le prestataire de services d évaluation décrivant les éléments audités et ceux qui n étaient pas applicables, ainsi que sa recommandation concernant la certification ou la recertification. Rapport d audit d évaluation Désigne le document délivré au membre de la WLA par un prestataire de services d évaluation accrédité par la WLA décrivant l évaluation effectuée et les résultats obtenus lors du processus de certification ou de recertification. Ce document est la propriété du membre de la WLA et doit être considéré comme strictement confidentiel. Certificat Désigne le document stipulant qu un membre de la WLA est en conformité avec le WLA-SCS:2012 au jour de la certification. La certification est valable trois ans. La WLA, en tant que seule autorité de certification, a le droit exclusif d émettre ou de révoquer le certificat WLA-SCS:2012. Certifié WLA-SCS:2012 Désigne un membre de la WLA ayant fait l objet d un processus d évaluation et ayant été jugé, à ce moment-là, en conformité avec les exigences des WLA- SCS:2012. Audit annuel Désigne un audit de contrôle annuel obligatoire visant à assurer que le membre de la WLA reste en conformité avec les WLA-SCS:2012 durant la période de trois ans séparant la certification de la recertification. Recertification Désigne un autre processus complet d évaluation réalisé par un auditeur de certification accrédité par la WLA chez un membre certifié de la WLA peu de temps avant l expiration de la première période de validité de trois ans afin de déterminer sa conformité au WLA- SCS:2012. Par la suite, cet audit sera réalisé tous les trois ans. 5

Partie A Directives de certification pour les membres de la WLA 1. Introduction 1.1 Contexte La sécurité et l intégrité d une loterie jouent un rôle capital pour maintenir la confiance du public dans ses jeux de loterie. Il est donc vital qu un opérateur de loterie et de jeu développe et maintienne un environnement de sécurité et d intégrité visible et documenté pour obtenir et conserver la confiance du public en ses opérations. Le WLA-SCS:2012 est conçu pour aider le secteur mondial des loteries à atteindre et assurer un niveau de sécurité et d intégrité conforme aux meilleures pratiques généralement admises, et ainsi renforcer la confiance dans l intégrité de ses opérations. Seule la WLA peut certifier officiellement la conformité d organisations aux exigences du standard WLA-SCS. En cette qualité, les auditeurs spécifiques accrédités par la WLA, qui peuvent être des employés, des mandataires ou des sous-traitants des prestataires de services d évaluation spécifiques accrédités par la WLA, sont habilités à procéder à des audits chez les membres de la WLA désireux de faire certifier WLA-SCS leurs opérations. Cette certification peut être obtenue en démontrant la conformité de leurs opérations au WLA-SCS au moment de l évaluation. La certification permet aux membres de la WLA confirmer leur conformité au WLA-SCS:2012 pour une durée continue de trois ans. 1.2 À propos du présent document Les directives de certification présupposent une connaissance préalable du WLA-SCS. Pour toute information complémentaire sur le WLA-SCS, veuillez vous reporter directement à la documentation du WLA-SCS:2012. Les membres de la WLA peuvent obtenir un exemplaire de la documentation du WLA- SCS:2012 sur le site Internet de la WLA, à l adresse www.world-lotteries.org. 1.3 Responsabilités du membre de la WLA concerné Un membre de la WLA qui fait l objet d une certification ou d une recertification reconnait: i. accepter le WLA-SCS, tel qu il est rédigé au moment de la certification ou de la recertification. ii. que la certification ou recertification SCS a) atteste simplement de l existence d un ensemble de procédures de sécurité et d intégrité qui, au moment de la certification, correspondent à l objectif de gestion des risques inhérents au fonctionnement d un opérateur de loterie et de jeu, et b) ne garantit en aucun cas les résultats obtenus dans les questions traitées. iii. qu il est uniquement responsable du choix des procédures et méthodes utilisées pour rendre opérationnel le WLA-SCS:2012, et que la WLA, le prestataire de services d évaluation et l auditeur accrédité de la WLA ne sauraient en aucun cas être tenus pour responsables des réclamations et dommages à cet égard. iv. qu il lui incombe de mettre rapidement toutes les informations pertinentes à la disposition du prestataire de services d évaluation et de l auditeur accrédité de la WLA, de leur apporter l aide nécessaire et de les informer des changements apportées aux informations qu il leur a fournies. v. qu il n utilisera la certification WLA-SCS qu en conformité avec les exigences de la WLA. 1.4 Historique des modifications Le présent document comprend la version V3.0 des directives de certification au standard de contrôle de sécurité de la WLA date de publication octobre 2013, et il est destiné à compléter la documentation du standard WLA-SCS:2012. Pour les informations concernant la transition du WLA-SCS:2006 au WLA-SCS:2012, veuillez vous reporter à la section 4.1, page 8 des présentes directives. 2. Présentation du processus de certification WLA-SCS:2012 Le processus de certification WLA- SCS:2012 peut prendre de nombreuses voies, en raison de la flexibilité du processus de certification. Toutefois, en règle générale, il se déroule selon la séquence d événements suivante: 1. Avant l audit de certification, le membre de la WLA se prépare en vue de sa certification. À cette fin, le membre de la WLA: a. informe la WLA, un prestataire de services d évaluation agréé par la WLA ou un auditeur accrédité par la WLA de son intention de déposer une demande de certification 6

WLA-SCS:2012. Si le membre de la WLA choisit d informer en premier un prestataire de services d évaluation agréé par la WLA ou un auditeur accrédité par la WLA, l auditeur doit en aviser la WLA, avant l audit, en remplissant le formulaire de déclaration d évaluation et en le transmettant au bureau de de Bâle de la WLA. Un modèle de formulaire de déclaration d évaluation figure à la page 24. b. procède à une analyse des divergences et/ou à une pré-évaluation, si cela est utile, afin d identifier les éventuelles divergences entre ses mesures de sécurité et d intégrité actuelles et les exigences de la norme ISO/IEC 27001:2005 et du WLA-SCS. Pour toute information complémentaire sur la préparation d un audit de certification, veuillez vous reporter à la Partie A, section 4.2, page 9. 2. Le membre de la WLA choisit un prestataire de services d évaluation agréé par la WLA proposant des services d évaluation WLA-SCS:2012. La liste des prestataires de services d évaluation agréés par la WLA est fournie dans la Partie A, section 5, page 12. Pour toute information complémentaire sur le choix d un prestataire de services d évaluation, veuillez vous reporter à la Partie A, section 4.3, page 9. 3. Le membre de la WLA choisit un auditeur accrédité par la WLA et employé, mandataire ou sous-traitant du prestataire de services d évaluation agréé par la WLA et choisi par le membre de la WLA. La liste des auditeurs accrédités par la WLA est fournie dans la Partie A, section 5, page 12. Le membre de la WLA a également la possibilité de recommander un professionnel qualifié afin qu il reçoive l agrément du WLA SRMC pour devenir auditeur de certification. Le professionnel qualifié recommandé par le membre de la WLA doit être un employé, un agent ou un sous-traitant d un prestataire de services d évaluation agréé par la WLA. L auditeur recommandé ne peut mener d audits WLA-SCS qu une fois accrédité par le WLA SRMC. Pour toute information complémentaire sur le choix d un auditeur accrédité par la WLA, veuillez vous reporter à la Partie A, section 4.4, page 9. 4. L audit de certification est mené. L auditeur accrédité par la WLA: a. remplit un formulaire de déclaration d évaluation informant la WLA de son intention de mener un audit WLA-SCS chez l un de ses membres. b. procède à l audit de certification. L audit de certification ISO/IEC 27001:2005 est totalement indépendant de l audit de certification WLA-SCS:2012 et peut être mené en parallèle, indépendamment, ou avant l audit de certification WLA-SCS:2012. Dans tous les cas, le membre de la WLA doit être certifié ISO/IEC 27001:2005 avec un champ d application global avant de pouvoir prétendre être certifié WLA-SCS. L auditeur agréé par la WLA est tenu de certifier que le membre de la WLA a un certificat ISO/IEC 27001:2005 valide, à jour et de champ d application global. Pour toute information complémentaire sur l audit ISO/IEC 27001:2005 en tant que composant de l audit de certification WLA-SCS, veuillez vous reporter à la Partie A, section 3, page 8. Pour toute information complémentaire sur le déroulement d un audit de certification, veuillez vous reporter à la Partie A, section 4.5, page 10. 5. Une fois l audit de certification terminé, l auditeur de certification: a. remplit un rapport d audit de certification détaillé et le soumet au membre de la WLA. Ce rapport documente l audit de certification et son résultat. Ce rapport est la propriété du membre de la WLA et doit être considéré comme strictement confidentiel. Le rapport d audit de certification ne doit pas être envoyé à la WLA ni à tout autre tiers impliqué dans le processus de certification. b. remplit un formulaire d évaluation et le soumet à la WLA. La recommandation de l auditeur doit figurer clairement dans le formulaire d évaluation. La WLA décide alors d accorder ou de refuser la certification en se fondant sur la recommandation de l auditeur et le contenu du formulaire d évaluation qui lui a été soumis. Pour toute information complémentaire sur l audit de certification terminé, veuillez vous reporter à la Partie A, section 4.6, page 10. 6. Lorsqu elle accorde une certification, la WLA publie le résultat et délivre un certificat attestant que son membre a été certifié conforme au WLA-SCS:2012 au moment de l audit. Pour toute information complémentaire sur l octroi de la certification, veuillez vous reporter à la Partie A, section 4.7, page 11. 7

Partie A Directives de certification pour les membres de la WLA 7. Après une certification réussie, l auditeur accrédité par la WLA devra prévoir deux audits annuels obligatoires de contrôle. Le calendrier des audits de contrôle sera établi en accord avec le membre certifié de la WLA. Les audits annuels obligatoires de contrôle assureront que le membre certifié de la WLA reste conforme au WLA-SCS:2012 tout au long de la période de trois ans. Pour toute information complémentaire sur les audits annuels, veuillez vous reporter à la Partie A, section 4.8, page 11. 8. Le membre de la WLA peut être recertifié peu de temps avant l expira tion de sa certification WLA-SCS:2012. Pour ce faire, il doit relancer un processus de certification. Pour toute information complémentaire sur la recertification, veuillez vous reporter à la Partie A, section 4.9, page 11. 3. Certification ISO/IEC 27001:2005 La certification ISO/IEC 27001:2005 étant indépendante et distincte de la certification WLA-SCS:2012, plusieurs situations de certification peuvent apparaître. Un membre de la WLA peut: être certifié ISO/IEC 27001:2005. Dans ce cas, la certification ISO/IEC 27001:2005 peut être utilisée pour satisfaire aux exigences du WLA-SCS:2012 Annexe A Sécurité générale et objectifs de contrôle de l intégrité et contrôles, à condition toutefois que le certificat ISO/IEC 27001:2005 soit conforme aux exigences de champ d application du standard WLA-SCS. ne pas être certifié ISO/IEC 27001:2005 et souhaiter obtenir la certification ISO/IEC 27001:2005 avant d obtenir la certification WLA-SCS:2012. Dans ce cas, le membre de la WLA peut considérer la certification ISO/IEC 27001:2005 comme une passerelle ou un tremplin vers la certification WLA-SCS. ne pas être certifié ISO/IEC 27001:2005 et souhaiter mener une certification ISO/IEC 27001:2005 parallèlement à la certification WLA-SCS:2012 et confier les deux certifications à des auditeurs différents. ne pas être certifié ISO/IEC 27001:2005 et souhaiter mener une certification ISO/IEC 27001:2005 parallèlement à la certification WLA-SCS:2012 en faisant appel au même auditeur pour les deux audits. Dans tous les cas, les audits ISO/IEC 27001:2005 des membres de la WLA doivent être réalisés par un auditeur ISO/ IEC 27001:2005 accrédité par un organisme de certification internationalement reconnu conformément aux règles de la norme ISO/IEC 27001:2005 et agissant dans le cadre d un organisme de certification ISO/IEC 27001:2005 dûment accrédité qui émet le certificat correspondant. Dans la mesure où il existe de nombreux auditeurs et consultants ISO/IEC 27001:2005 dans plusieurs régions, il peut être plus intéressant pour les membres de la WLA qui souhaitent obtenir la certification WLA-SCS:2012 de choisir un auditeur ISO/IEC 27001:2005 indépendamment de l auditeur WLA- SCS:2012. Par conséquent, il n est pas nécessaire que l auditeur ISO/IEC 27001:2005 soit un auditeur de certification accrédité par la WLA. Toutefois, la WLA recommande que la préparation de la certification WLA-SCS:2012 soit effectuée parallèlement à la préparation de la certification ISO/IEC 27001:2005. Dans ce cas, il est à prévoir que l auditeur ISO/IEC 27001:2005 accrédité chargé de procéder à l audit de certification ISO/ IEC 27001:2005 sera également un auditeur accrédité par la WLA. Afin d être certifié WLA-SCS:2012, un membre de la WLA doit avoir un certificat ISO/IEC 27001:2005 valide, à jour et de champ d application global. 4. Certification WLA-SCS:2012 4.1 Transition du WLA-SCS:2006 au WLA-SCS:2012 Après l adoption du WLA-SCS:2012 par l Assemblée générale le 12 septembre 2012 à Montréal, le WLA SRMC a instauré une période de transition de six mois. Pendant cette période, qui s étend jusqu au 12 mars 2013, les membres de la WLA qui souhaitent être certifiés auront plusieurs options: soit l option du certificat WLA-SCS:2006 ou l option du certificat WLA-SCS:2012. Les organisations membres qui demandent la certification pour la première fois peuvent choisir d être certifiées soit WLA-SCS:2006 soit WLA-SCS:2012. De même, les organisations membres qui sont déjà certifiées WLA-SCS:2006, dont la certification expire pendant la période de transition de six mois, peuvent choisir d être certifiées à nouveau WLA-SCS:2006 ou WLA-SCS:2012. Les organisations membres déjà certifiées WLA-SCS:2006 et dont la certification est valable au-delà du 12 mars 2013 peuvent choisir d être certifiées à nouveau WLA-SCS:2012 avant l expiration de leur certification WLA-SCS:2006. Après le 12 mars 2013, toutes les nouvelles certifications et les confirmations de certifications seront WLA-SCS:2012. À partir du 12 mars 2016, toutes les certifica 8

tions WLA-SCS:2006 cesseront d être valides. 4.2 Préparation de la certification Au début du processus de certification, un membre de la WLA doit informer la WLA de son intention de faire une demande de certification WLA-SCS:2012. Il doit contacter soit le bureau commercial de la WLA à Bâle, soit un membre du WLA SRMC, soit un auditeur accrédité par la WLA. Les coordonnées de chacune de ces entités sont disponibles sur le site Internet de l association, à l adresse www. world-lotteries.org. Le membre de la WLA peut procéder à l analyse des écarts existant entre son système de sécurité, d intégrité et de gestion des risques et le WLA-SCS:2012 avant l audit de certification. L étude de la norme ISO/IEC 27001:2005 et de la documentation WLA-SCS:2012 peut aider à déterminer dans quelle mesure les opérations d une organisation membre de la WLA satisfont aux exigences de ces normes. Cette étape n est pas obligatoire, mais elle peut s avérer très utile pour vous aider à déterminer si votre organisation est prête à être l objet d un audit externe. Le membre de la WLA peut alors élaborer un plan d action afin de corriger les écarts constatés au cours de l analyse (une analyse d écarts n est pas généralement effectuée par un prestataire de services d évaluation mais par le personnel interne ou des consultants). Afin de l aider à se préparer pour la certification, un membre de la WLA peut avoir recours à un prestataire de services d évaluation proposant des services de pré-évaluation à tout moment au cours de la préparation à la certification. 4.3 Sélection d un prestataire de services d évaluation La WLA a accrédité un certain nombre de prestataires de services d évaluation spécifiques susceptibles de fournir des services d évaluation à ses membres désireux d obtenir la certification WLA-SCS. Le prestataire de services d évaluation désigné est responsable de la supervision de l auditeur accrédité par la WLA chargé de mener l audit d évaluation. Les membres de la WLA désireux d obtenir la certification peuvent choisir l un des nombreux prestataires de services d évaluation agréés par la WLA. Il s agit de prestataires de services de certification ayant conclu un contrat avec la WLA. Une liste des prestataires de services d évaluation agréés par la WLA ainsi que de leurs auditeurs accrédités par la WLA est fournie dans la Partie A, section 5, page 12 du présent document. Cette liste est également disponible sur le site Internet de l association, à l adresse www. world-lotteries.org. Seuls des prestataires de services d évaluation ayant conclu un contrat de services d évaluation avec la WLA sont habilités à procéder aux certifications. Le contrat de services d évaluation stipule que les auditeurs individuels employés par un prestataire de services d évaluation pour mener des audits WLA-SCS auront l approbation préalable de la WLA. Il est recommandé que le membre de la WLA souhaitant être certifié WLA-SCS s assure que l auditeur désigné par le prestataire de services d évaluation pour effectuer l audit WLA- SCS est bien un auditeur accrédité par la WLA. 4.4 Sélection d un auditeur Les membres de la WLA disposent de plusieurs options pour choisir un auditeur. Ils peuvent: choisir de faire appel au même auditeur pour les audits ISO/IEC 27001:2005 et pour les audits WLA-SCS:2012. Dans ce cas, l auditeur ISO/IEC 27001:2005 doit également être accrédité par le WLA SRMC afin de pouvoir mener des audits WLA-SCS:2012. Cette option est recommandée si le membre de la WLA entreprend une certification ISO/IEC 27001:2005 et une certification WLA-SCS:2012 en parallèle. choisir de faire appel à des entités (auditeurs) distinctes pour la certification ISO/IEC 27001:2005 et pour la certification WLA-SCS. Dans ce cas, il n est pas nécessaire que l auditeur ISO/IEC 27001:2005 soit un auditeur accrédité par la WLA. Cette option convient lorsque le membre de la WLA est déjà certifié ISO/IEC 27001:2005 et que l auditeur ISO/IEC 27001:2005 n est pas disponible ou n est pas accrédité pour procéder à des audits de certification WLA-SCS:2012 ou s il est plus efficace pour le membre de la WLA de confier sa certification ISO/IEC 27001:2005 à un auditeur local et de choisir un auditeur de certification WLA-SCS:2012 sur la liste des auditeurs accrédités par la WLA. Pour des raisons de cohérence, la WLA recommande aux loteries de faire appel à un seul et même auditeur pour la certification ISO/IEC 27001:2005, pour la certification WLA-SCS:2012 et pour les audits annuels, que les certifications ISO/ IEC 27001:2005 et WLA-SCS:2012 soient menées de front ou non. La WLA admet toutefois que, dans certains cas, cela n est pas possible. Un membre de la WLA désireux d obtenir la certification WLA-SCS:2012 a également la possibilité de: proposer à la WLA d accréditer un professionnel qualifié spécifique qui n a pas encore reçu l agrément du WLA SRMC pour mener des audits d évaluation. Sous réserve 9

Partie A Directives de certification pour les membres de la WLA d obtenir l agrément du WLA SRMC et de conclure un contrat officiel avec la WLA et le prestataire de services d évaluation, ces professionnels qualifiés peuvent procéder à des audits d évaluation pour la certification WLA-SCS. Cette option convient si le membre de la WLA a une préférence concernant un professionnel qualifié auquel il souhaite faire appel pour mener son audit ou si, pour une raison ou pour une autre, un membre de la WLA ne parvient pas à trouver un auditeur dans la liste des auditeurs accrédités par la WLA. Tableau 1: Effort en nombre de jours d audit pour couvrir tous les sites à l intérieur du même établissement d une organisation de loterie ou de jeux Taille de la loterie (en équivalents temps plein) Évaluation Évaluation Évaluation de initiale annuelle recertification <=200 employés 2 jours 1 jour 2 jours (à intérieur du périmètre, hors détaillants) 200 500 employés 3 jours 1 jour 3 jours >=500 employés 3 jours 2 jours 3 jours Pour toute information complémentaire sur les modalités d agrément d un professionnel qualifié par la WLA, veuillez vous reporter à la Partie B, section 1, page 20. À noter qu un auditeur accrédité par la WLA peut travailler en tant que prestataire indépendant. Dans ce cas, l auditeur est à la fois un auditeur accrédité par la WLA et un prestataire de services de certification. Pour toute information complémentaire sur cette situation, veuillez vous reporter à la Partie B, section 3.1, page 22. 4.5 Processus de certification 4.5.1 Déclaration d évaluation Avant de commencer l audit, les auditeurs accrédités par la WLA doivent confirmer leurs projets en remplissant un formulaire de déclaration d évaluation et en le renvoyant à la WLA. La déclaration d évaluation informe la WLA du choix du prestataire de services d évaluation, de l auditeur accrédité par la WLA et du champ d application proposé, qui doit fournir une description précise de l ensemble des opérations de loterie et de jeu. Un exemple de formulaire de déclaration d évaluation est fourni dans la Partie C, page 24. Le formulaire en vigueur est disponible au format électronique sur le site Internet de la WLA, à l adresse www.world-lotteries.org. Des instructions concernant le remplissage du formulaire de déclaration d évaluation et son envoi à la WLA sont également disponibles dans la Partie C, section 2, page 23. 4.5.2 Évaluation Le processus d évaluation commence dès que le membre de la WLA engage un auditeur accrédité par la WLA par l intermédiaire d un prestataire de services d évaluation accrédité par la WLA. Le processus ne peut commencer qu une fois qu un contrat de services d évaluation a été conclu entre le prestataire de services d évaluation et la WLA et que l auditeur a reçu l agrément de la WLA. L auditeur accrédité par la WLA confirmera que la certification ISO/IEC 27001:2005 du membre est valable et a un champ d application global, notamment en ce qui concerne les exigences SMSI. L auditeur procèdera ensuite à l évaluation de la conformité du membre de la WLA à la WLA-SCS:2012. Si le membre de la WLA n est pas encore certifié ISO/ IEC 27001:2005, les audits ISO/IEC 27001:2005 et WLA-SCS:2012 peuvent être menés de front. 4.5.3 Durée de l audit Bien que le prestataire de services d évaluation porte l entière responsabilité de la définition des ressources nécessaires et du calendrier approprié pour la réalisation d un audit WLA-SCS:2012, le WLA SRMC estime qu il est nécessaire de donner quelques indications sur le nombre de jours à prévoir pour mener l audit. Respectueux du principe de concurrence loyale dans un marché libre, le WLA SRMC présente ces indications comme un moyen de fournir un niveau commun d assurance en ce qui concerne les ressources disponibles pour la réalisation d un audit WLA-SCS et pour assurer un système de certification cohérent. Ce faisant, le WLA SRMC espère maintenir la confiance des membres ainsi que des règles du jeu équitables entre les prestataires de services d évaluation. Dans cet esprit, le tableau suivant peut servir à déterminer la durée d un audit dans une organisation donnée de loterie ou de jeu. L estimation repose sur la taille de l organisation en fonction du nombre de ses employés (voir le tableau 1). 4.6 Résultat de la certification Une fois l évaluation terminée, l auditeur accrédité par la WLA doit: 10

remplir un rapport d audit détaillé destiné au membre de la WLA. remplir un formulaire d évaluation et le renvoyer à la WLA. La WLA décidera alors d accepter ou de refuser la certification en s appuyant sur la recommandation formulée par l auditeur dans le formulaire d évaluation qui lui a été soumis. 4.6.1 Rapport d audit Le rapport d audit détaillé est préparé par l auditeur accrédité par la WLA pour le membre de la WLA. Ce rapport documente l audit de certification et son résultat. Le contenu et le format du rapport sont laissés à la discrétion de l auditeur. Le rapport d audit de certification est la propriété du membre de la WLA et doit être considéré comme strictement confidentiel. Ni la WLA, ni aucune autre partie que l auditeur de certification, le prestataire de services d évaluation et le membre de la WLA concerné ne doivent avoir accès au rapport d audit relatif à la certification WLA-SCS. Veuillez vous reporter à la Partie C, section 4, page 34. 4.6.2 Formulaire d évaluation Une fois l évaluation terminée, l auditeur accrédité par la WLA doit remplir un formulaire d évaluation et le renvoyer à la WLA. Un exemple de formulaire d évaluation est fourni dans la Partie C, page 27. Le formulaire en vigueur est disponible au format électronique sur le site Internet de la WLA, à l adresse www.world-lotteries.org. Des instructions concernant le remplissage du formulaire d évaluation et son envoi à la WLA sont disponibles dans la Partie C, section 3, page 26. 4.6.3 Recommandation de l auditeur accrédité par la WLA Le formulaire d évaluation transmis à la WLA sert de base à la délivrance de la certification WLA-SCS:2012. La WLA accordera ou refusera la certification en s appuyant sur la recommandation formulée par l auditeur accrédité par la WLA dans le formulaire d évaluation. 4.7 Délivrance des certificats WLA-SCS:2012 Si le membre de la WLA se voit accorder la certification, la WLA lui délivrera le certificat WLA-SCS:2012 officiel et le lui enverra accompagné d une facture de 1500 CHF. Ce montant sert à couvrir le développement et la maintenance du programme Sécurité et Gestion des risques de la WLA. Les frais facturés par la WLA ne couvrent pas les honoraires de l auditeur, qui seront facturés directement au membre par le prestataire de services d évaluation avec lequel il a choisi de travailler. L auditeur doit s assurer que le membre certifié de la WLA a connaissance des frais d audit de de certification de 1500 CHF avant de commencer l évaluation. Le certificat WLA-SCS:2012 confirme que le membre de la WLA est certifié WLA-SCS:2012. Le certificat inclura les détails suivants: la date de la première certification WLA-SCS; la date et la validité de la certification actuelle; la durée de la certification en années; la référence de la certification ISO/ IEC 27001:2005 et son champ d application plus le nom de l organisme certificateur ISO 27001; le champ d application de la certification WLA-SCS, y compris les conditions de la certification (contrôles non applicables, par exemple); le nom du prestataire de services d évaluation qui a procédé à la certification. 4.8 Audits annuels obligatoires Au terme de l évaluation, l auditeur accrédité par la WLA proposera un calendrier de deux audits de contrôle annuels en concertation avec le membre de la WLA. Ces audits de contrôle obligatoires visent à assurer que le membre de la WLA maintient sa conformité durant les trois années qui séparent la certification de la recertification. Les audits annuels portent également sur les éventuels changements survenus au sein de l organisation depuis le précédent audit. Le cycle d audit de trois ans comprend l audit de certification et les deux audits annuels de contrôle. Bien que ce cycle de trois ans s appuie sur une méthode d échantillonnage, tous les contrôles de l annexe A et les contrôles applicables de l annexe B doivent être couverts par l évaluation initiale et par l évaluation de recertification. Lors d une vérification annuelle obligatoire, les contrôles de l annexe A et les contrôles applicables de l annexe B seront effectués par échantillonnage. Toutefois, la validité du certificat ISO/IEC 27001:2005 et son champ d application global doivent être vérifiées à chaque audit annuel. Tous les contrôles de l annexe A et les contrôles applicables de l annexe B contrôle doivent avoir été audités au moins une fois pendant le cycle d audit de trois ans. 4.9 Recertification Un membre de la WLA certifié WLA- SCS:2012 peut être rectifié à l expiration de sa certification WLA-SCS:2012 en relançant un nouveau processus de certification. Le processus de recertification doit commencer avant l expiration de la certification WLA-SCS:2012. 11

Partie A Directives de certification pour les membres de la WLA 5. Prestataires de services d évaluation et auditeurs accrédités par la WLA La liste ci-dessous présente les prestataires de services d évaluation approuvés Prestataire de services d évaluation par la WLA ainsi que les auditeurs accrédités par la WLA et employés par ces prestataires. Le nombre de prestataires de services d évaluation agréés par la WLA et le nombre d auditeurs accrédités par la WLA étant en constante augmentation, la liste n est à jour qu au moment de sa publication dans les présentes directives. Pour obtenir la version la plus récente de cette liste, veuillez vous reporter au site Internet de la WLA à l adresse www. world-lotteries.org. Auditeurs accrédités par la WLA AENOR Asociación Española de Normalización y Certificación Génova, 6 Téléphone +34 914 326 000 28004 Madrid Fax +34 913 103 172 Espagne nuevastecnologias@aenor.es www.aenor.es Agustín Senent Sánchez asenent@aenor.es Boris Delgado Riss bdelgado@aenor.es BMM Testlabs 77 Vaughn Harvey Blvd. Téléphone +1 506 850 51 40 Suite 101 Moncton NB E1C 0K2 Canada Thomas Bierbach thomas.bierbach@bmm.com BrightLine CPAs & Associates, Inc. 1300 N. West Shore Boulevard Téléphone +1 866 254 00 00 Suite 240 Fax +1 866 971 70 70 Tampa, FL 33607 www.brightline.com États-Unis Brian J. Kerr brian.kerr@brightline.com Ryan Mackie ryan.mackie@brightline.com Rahul Suchde rahul.suchde@brightline.com British Standards Institute (BSI) Kitemark Court Téléphone +44 845 080 90 00 Davy Avenue Fax +44 190 822 81 80 Knowlhill www.bsigroup.com Milton Keynes MK5 8PP Royaume-Uni Jason Blake jason.blake@bsigroup.com Dr. Peter Katona katona.peter@t-online.hu Agustin Lerma agustin.lerma@bsigroup.com Jesus Rosas Medina jesus.rosas@bsigroup.com Shane Nash shane.nash@bsigroup.com Tony Steinegger steinegger@sit-con.com Irvine Taylor irvine.taylor@bsigroup.com Kleber Martins Vassão (Brésil) kleber.vassao@bsigroup.com 12

Prestataire de services d évaluation Auditeurs accrédités par la WLA Certification Europe Ltd. Block 20A Téléphone +353 1 679 66 66 Beckett Way Fax +353 1 620 55 35 Parkwest Business Park www.certificationeurope.com Dublin 12 Irelande William Bragg bbragg@certificationeurope.com DNV Business Assurance Veritasveien 1 Téléphone +47 67 57 99 00 N-1322 Høvik Fax +47 67 57 99 11 Norvège DNV.Certification.Norway@dnv.com www.dnvba.com Elin Lunde Haaland DNV Certification Lead Auditor Téléphone +47 90 566 716 elin.lunde.haaland@dnv.com EJ Bauman (Amérique du Nord) ej.bauman@dnv.com Heinz Budde budde-bq@t-online.de Franco Vincenzo Ferrari franco.ferrari@dnv.com Giovanni Francescutti giovanni.francescutti@dnv.com Jan Ekberg jan.b.ekberg@telia.com Balvander Matu bal@matu.co.uk Fabrizio Monteleone fabrizio.monteleone@dnv.com Vladimir Prodan vladimir.prodan@zg.t-com.hr Morten Stig morten.stig@dnv.com Ernst & Young CertifyPoint Euclideslaan 1 Pour toute information veuillez contacter: 3584 BL, Utrecht Jatin Sehgal Pays-Bas Téléphone +31 88 407 33 48 Portable +31 62 908 48 25 jatin.sehgal@nl.ey.com Fax +31 88 407 30 90 EY/Comm 73348 www.ey.com Ad Buckens (Pays-Bas) ad.buckens@nl.ey.com Rosaria Pepicelli (Australie) rosaria.pepicelli@au.ey.com Gavin Ryan (Australie) gavin.ryan@au.ey.com Tom Vreeburg (Pays-Bas) tom.vreeburg@nl.ey.com 13

Partie A Directives de certification pour les membres de la WLA Prestataire de services d évaluation Auditeurs accrédités par la WLA GLI Test Labs Canada ULC (dba TST, a GLI company) 6400 Roberts Street Téléphone +1 778 331 07 94 Suite 210 www.tstglobal.com Burnaby, British Columbia, V5G 4C9 www.gaminglabs.com Canada Greg Doucette Director Lottery Services Téléphone +1 506 961 7765 g.doucette@gaminglabs.com GRSee Consulting 7 Openheimer St. Téléphone +972 886 611 55 Suite 14 Portable +972 523 866 591 Rehovot 76620 Fax +972 894 640 51 Israël www.grseecon.com Ben Ben Aderet QSA, PA QSA Co-Founder ben@grseecon.com KPMG IT Advisory, Netherlands Postbus 74500 Téléphone +31 20 656 78 90 1070 DB Amsterdam Fax +31 20 656 77 00 Pays-Bas www.kpmg.nl Deborah Hofland hofland.deborah@kpmg.nl Schweizerische Vereinigung für Qualitäts- und Management-Systeme (SQS) Bernstrasse 103 Téléphone +41 31 910 35 35 3052 Zollikofen Fax +41 31 910 35 45 Suisse www.sqs.ch Claude Otz claude.otz@sqs.ch Erwin Peter erwin.peter@sqs.ch Société Générale de Surveillance SA (SGS) 1, place des Alpes Téléphone +41 22 739 91 11 1211 Genève 1 Fax +41 22 739 98 86 Suisse www.sgs.com Paolo Cannarsa Jean-Marc Valentin SGS Société Générale De Surveillance SA SGS HUNGÁRIA KFT Pour toute information veuillez contacter: Anne Legendre anne.legendre@sgs.com Direct line +41 22 739 92 11 Direct fax +41 739 98 80 1124 Budapest Sirály u. 4. Téléphone +06 1 309 33 00 1531 Budapest Pf. 25. Fax +06 1 309 33 33 Budapest, 1531 Hongrie Antal Somogyi antal.somogyi@sgs.com István Stipkovits istvan.stipkovits@sgs.com 14

Prestataire de services d évaluation Auditeurs accrédités par la WLA TÜV HELLAS 282 Mesogeion Av. Téléphone +30 210 654 01 95 155 62 Athens Fax +30-210-652 80 25 Grèce Zafiris Kovras zafiris@tuv-nord.com TÜV NORD Austria GmbH Mooslackengasse 17 Pour toute information veuillez contacter: 1190 Vienna Isabella Kauf Autriche Téléphone +43 1 211 13-3121 ikauf@tuv-nord.com TÜV SÜD Management Service GmbH Ridlerstrasse 65 Téléphone +49 89 5791 25 00 80339 München Fax +49 89 5791 21 91 Allemagne info@tms.tuev-sued.de www.tuev-sued.de/management_systeme Werner Pollert werner.pollert@tuev-sued.de 15

Partie A Directives de certification pour les membres de la WLA 6. Le comité Sécurité et Gestion des risques de la WLA Le Comité Sécurité et Gestion des risques de la WLA est actif depuis la fondation de la WLA en 1999. L un de ses domaines de responsabilité les plus importants est le maintien et le développement permanent du standard WLA-SCS. Le comité émet également des recommandations aux membres sur des questions liées à la sécurité et tient régulièrement des séminaires sur la sécurité pour la WLA. Thierry Pujol Président du Comité Française des Jeux France tpujol@lfdj.com Dr. Carlos Bachmaier Vice-Président du Comité Sociedad Estatal de Loterías y Apuestas del Estado SELAE/STL Espagne carlos.bachmaier@stl.es Evangelos Cosmidis, PhD General Manager Finance, Administration, Engineering Services OPAP Services S.A. Grèce cosmidis@opap.gr Denis Daly Loto-Québec Canada denis.daly@loto-quebec.com Gunnar Ewald LOTTO Hamburg GmbH Allemagne ewald@lotto-hh.de Driss Hamdoune La Marocaine des Jeux et des Sports Maroc d.hamdoune@mdjs.ma Jim Haynes Nebraska Lottery États-Unis jim.haynes@nebraska.gov Dong Hong Fang Director, Technology Management China Sports Lottery Chine dhf@lottery.gov.cn Paul Jay Camelot Group plc The National Lottery Royaume-Uni paul.jay@camelotgroup.co.uk Daniel Mareschal Loterie Nationale Belgique daniel.mareschal@nationale-loterij.be Dawid Muller Gidani (Pty) Ltd Afrique du Sud d.muller@gidani.co.za Itamar de Carvalho Pereira Caixa Econômica Federal Brésil itamar.pereira@caixa.gov.br Jean-Jacques Riera Française des Jeux France jjriera@lfdj.com Erich Schuster Österreichische Lotterien GmbH Autriche erich.schuster@lotterien.at Jan Seuri Veikkaus Oy Finlande jan.seuri@veikkaus.fi Jan Stewart Lotterywest Australie stewart_j@lotterywest.wa.gov.au Edgardo Siccatto Loteria Nacional S.E. Argentine esiccatto@loteria-nacional.gov.ar Trond Laupstad Norsk Tipping AS Norvège trond.laupstad@norsk-tipping.no 16

7. Membres certifiés de la WLA La liste ci-dessous présente les membres de la WLA qui ont été certifiés WLA- SCS. La liste n est à jour qu au moment de sa rédaction. Pour obtenir la version la plus récente de cette liste, veuillez vous reporter au site Internet de la WLA, à l adresse www.world-lotteries.org. Pays Loterie Date du certificat initial Fin de validité (jour, mois, année) (jour, mois, année) Afrique du Sud Gidani (Proprietary) Limited 31. 8. 2012 31. 8. 2015 Allemagne Bremer Toto Lotto GmbH, Bremen 19. 8. 2010 19. 8. 2013 Deutsche Klassenlotterie, Berlin 11. 5. 2009 27. 4. 2015 Land Brandenburg Lotto GmbH, Potsdam 6. 10. 2011 6. 10. 2014 Lotterie-Treuhandgesellschaft mbh, Hessen 25. 5. 2010 16. 7. 2016 Lotterie-Treuhandgesellschaft mbh, Thüringen 6. 12. 2007 14. 12. 2013 LOTTO Hamburg, Hamburg 9. 5. 2006 28. 7. 2016 Lotto Rheinland-Pfalz, Rheinland-Pfalz 23. 9. 2003 26. 5. 2014 Lotto-Toto GmbH, Sachsen-Anhalt 1. 8. 2006 1. 8. 2015 NordwestLotto Schleswig-Holstein GmbH & Co. KG, 26. 9. 2000 3. 9. 2013 Schleswig-Holstein Saarland-Sporttoto GmbH, Saarbrücken 3. 10. 2009 3. 10. 2014 Sächsische-LOTTO GmbH, Sachsen 5. 9. 2007 5. 11. 2016 Staatliche Lotterieverwaltung, Bayern 31. 7. 2008 6. 7. 2014 Staatliche Toto-Lotto GmbH, Baden-Württemberg 18. 9. 2008 11. 3. 2016 Toto-Lotto Niedersachsen GmbH, Hannover 23. 12. 2005 4. 2. 2014 Verwaltungsgesellschaft Lotto und Toto in 22. 11. 2011 22. 11. 2014 Mecklenburg-Vorpommern mbh, Rostock Westdeutsche Lotterie GmbH & Co. OHG, Münster 17. 9. 2007 17. 9. 2016 Australie Lotterywest 25. 3. 2011 25. 3. 2014 SA Lotteries 7. 3. 2012 7. 3. 2015 Autriche Österreichische Lotterien GmbH 21. 6. 2004 2. 9. 2016 Belgique Loterie Nationale 2. 7. 2004 19. 1. 2015 Bosnie-Herzégovine Lutrija Bosne i Hercegovine 11. 12. 2012 11. 12. 2015 Brésil Caixa Economica Federal 18. 12. 2012 18. 12. 2015 Canada Atlantic Lottery 21. 3. 2011 21. 3. 2014 Loto-Québec 9. 6. 2011 9. 6. 2014 Croatie Hrvatska Lutrija d.o.o. 25. 10. 2012 25. 10. 2015 Denmark Danske Spil A/S 2. 12. 2005 1. 4. 2015 17

Partie A Directives de certification pour les membres de la WLA Pays Loterie Date du certificat initial Fin de validité (jour, mois, année) (jour, mois, année) Espagne Sociedad Estatal de Loterías y Apuestas del Estado 31. 12. 2003 23. 11. 2014 (SELAE), Madrid Organización Nacional de Ciegos Españoles 19. 5. 2006 19. 5. 2015 (O.N.C.E.), Madrid Estonie Eesti Loto 9. 11. 2007 9. 11. 2013 Finlande Veikkaus Oy 17. 1. 1999 3. 11. 2015 France Française des Jeux (FDJ) 15. 6. 2003 24. 11. 2014 Hongrie Szerencsejáték Zrt. 2. 9. 2012 2. 9. 2015 Irelande An Post National Lottery Company 13. 12. 2006 16. 11. 2015 Islande Íslensk Getspá 4. 12. 2009 11. 10. 2015 Italie GTECH S. p. A. 16. 11. 2009 26. 7. 2015 Sisal S. p. A. 19. 7. 2013 19. 7. 2016 Lettonie VAS Latvijas Loto 15. 11. 2008 15. 11. 2014 Lituanie UAB Olifeja Inc. 21. 10. 2009 21. 10. 2015 Luxembourg Loterie Nationale 12. 7. 2004 17. 9. 2016 Maroc La Marocaine des Jeux et des Sports 28. 3. 2013 28. 3. 2016 Mexique Lotería Nacional para la Asistencia Pública 28. 10. 2010 28. 10. 2016 Pronósticos para la Asistencia Pública 3. 4. 2009 30. 9. 2014 Norvège Norsk Tipping AS 1. 7. 2003 1. 7. 2014 Pays-Bas De Lotto, Rijswijk 28. 10. 2011 28. 10. 2014 Nederlandse Staatsloterij, Den Haag 18. 7. 2007 18. 7. 2016 Portugal Santa Casa de Misericórdia de Lisboa 14. 7. 2004 14. 7. 2016 Royaume-Uni The National Lottery/ Camelot Group plc 25. 9. 2003 31. 12. 2015 Slovénie Loterija Slovenije, d.d. 26. 10. 2011 26. 10. 2014 Suède AB Svenska Spel 29. 3. 2004 11. 4. 2016 Suisse Société de La Loterie de la Suisse Romande, Lausanne 4. 1. 2009 16. 2. 2015 Swisslos Interkantonale Landeslotterie, Basel 4. 1. 2009 4. 1. 2015 Uruguay Banca de Cubierta Colectiva de Quinielas de 18. 5. 2012 18. 5. 2015 Montevideo 18

Membres associés de la WLA certifiés: Pays Organisation Date du certificat initial Fin de validité (jour, mois, année) (jour, mois, année) Autriche Scientific Games International GmbH, 4. 3. 2011 4. 3. 2014 European Systems Operations Chine China Vanguard Group Ltd. 13. 12. 2011 13. 12. 2014 Shenzhen General Lottery Technology Co., Ltd. 6. 8. 2013 6. 8. 2016 Espagne Sistemas Técnicos de Loterías del Estado S.A. (STL) 8. 12. 2008 20. 11. 2014 États-Unis GTECH Corporation 2. 12. 2010 2. 12. 2013 Grèce Intralot S.A. 1. 8. 2008 10. 7. 2015 Hongrie Scientific Games Szerencsejaték Szolgaltatasok Kft. 22. 3. 2012 22. 3. 2015 Islande Betware 7. 2. 2011 7. 2. 2014 Suisse GP Game Print SA 22. 11. 2011 22. 11. 2014 19

Partie B Principes directeurs concernant l accréditation des auditeurs 1. Affiliation des auditeurs de certification et des prestataires de services d évaluation Seuls les auditeurs accrédités par la WLA et employés, mandataires ou sous-traitants d un prestataire de services d évaluation agréé par la WLA peuvent procéder à la certification des membres de la WLA au standard WLA-SCS:2012. Une organisation désireuse de proposer des services d évaluation, qui n a pas déjà reçu l agrément de la WLA pour fournir des services d évaluation WLA- SCS:2012, peut être agréée par la WLA pour pro poser de tels services en concluant un accord de services d évaluation avec la WLA. Les organisations désireuses de proposer des services de certification souhaitant recevoir l agrément de la WLA pour mener des audits d évaluation doivent se reporter à la Partie B, section 3, page 22 pour plus de détails. Un membre de la WLA ou un prestataire de services d évaluation accrédité, qui dispose d auditeurs déjà accrédités par la WLA peut recommander un professionnel pour mener des audits de certification WLA-SCS:2012. Le professionnel recommandé doit être accrédité par la WLA avant de mener un audit WLA-SCS. Les auditeurs souhaitant être accrédités par la WLA pour effectuer des évaluations WLA-SCS doivent lire ce qui suit pour plus de détails. 2. Qualification en tant qu auditeur accrédité par la WLA Afin d assurer la validité de l audit WLA- SCS, il est essentiel que les auditeurs qui cherchent à réaliser des audits pour le WLA-SCS reçoivent l approbation préalable de la WLA. Les auditeurs doivent recevoir une accréditation WLA avant de commencer l audit WLA-SCS d un membre de la WLA. Pour être accrédité par la WLA, les professionnels qualifiés doivent demander leur accréditation à la WLA en procédant comme suit: 1. L auditeur potentiel doit contacter la WLA et déposer un dossier complet de candidature, en anglais, accompagné de toutes les pièces justificatives à l appui de sa demande. Le dossier doit comprendre une lettre officielle de recommandation d un membre de la WLA ou d un prestataire de services d évaluation agréé qui emploie des auditeurs accrédités par la WLA. Le dossier du candidat est ensuite transmis au WLA SRMC pour évaluation. 2. Le WLA SRMC évalue l expertise et l expérience du candidat en s appuyant sur les documents justificatifs fournis. 3. Si tous les critères sont remplis, le candidat est accrédité. L approbation officielle de l accréditation est transmise par le SRMC à la WLA et le candidat est officiellement informé. La WLA ne facture aucun frais pour l accréditation des auditeurs. À noter qu un auditeur potentiel peut également être un prestataire de services d évaluation. Cette situation peut se produire, par exemple, lorsque l auditeur est un travailleur indépendant. Dans ce cas, l auditeur doit être accrédité par la WLA et doit conclure un contrat de services d évaluation avec la WLA. Pour toute information complémentaire sur cette situation, veuillez vous reporter à la Partie B, section 3.1, page 22. Afin d éviter toute apparence de conflit d intérêts, les auditeurs accrédités par la WLA ne doivent pas avoir fourni de services de conseil au membre de la WLA ni avoir procédé à un audit de pré-évaluation pour le membre de la WLA au cours des deux années précédant l audit WLA- SCS du membre de la WLA. 2.1 Exigences documentaires Un auditeur («le candidat») désireux d obtenir une accréditation de la part de la WLA afin de mener des évaluations de conformité au WLA-SCS doit satisfaire aux critères suivants. Le candidat doit: être activement impliqué dans le secteur des systèmes d information; posséder une expérience minimale de cinq ans en tant qu auditeur certifié; 20

être certifié en tant que: auditeur ISO/IEC 27001:2005 (par l IRCA ou un organisme équi valent internationalement reconnu); auditeur de systèmes d information certifié (CISA) par l ISACA; ou auditeur interne certifié (CIA) par l IIA. Toutes les certifications mentionnées cidessus doivent être en règle et valables pour une période de temps suffisante pour couvrir toutes les évaluations prévues. Les formulaires d évaluation signés par des auditeurs dont la certification n est pas en règle sont nuls et, de ce fait, rendent toute certification WLA-SCS non valide. Il est conseillé aux membres de la WLA souhaitant obtenir la certification WLA- SCS de s assurer que les titres de compétence de l auditeur de leur choix sont valables et à jour. Afin de déterminer si le candidat satisfait aux critères ci-dessus et pour garantir la qualité de l audit et la valeur de la certification WLA-SCS:2012, les justificatifs suivants devront être fournis à la WLA: une lettre officielle de recommandation de la part du membre de la WLA ou du prestataire de services d évaluation agréé par la WLA employant des auditeurs accrédités par la WLA. Cette lettre doit inclure une brève description des qualifications, des compétences et de l expérience du candidat, ainsi qu une évaluation de sa capacité à effectuer le travail exigé par l audit de certification. le CV complet du candidat. Le format et le contenu du CV du candidat doivent être conformes aux indications ci-dessous. la preuve que le candidat est dûment certifié en tant qu auditeur ISO/IEC 27001:2005, auditeur ISACA CISA ou auditeur IIA CIA. Toutes les certifications doivent être valables pour une période suffisante pour couvrir la durée prévue du processus d évaluation. Outre ce qui précède, le candidat doit être employé, mandataire ou sous-traitant d un prestataire de services d évaluation ayant conclu un contrat de services d évaluation avec la WLA. Si les pièces justificatives ci-dessus ne peuvent être fournies, le WLA SRMC peut, au cas par cas, accepter d autres modes de preuve de l aptitude d un candidat à mener des audits de certification WLA-SCS:2012. 2.1.1 Format du Curriculum Vitae Le CV du candidat doit comporter les rubriques et informations suivantes: Données personnelles Cette section doit contenir les informations personnelles suivantes concernant le candidat: nom; adresse; numéro de téléphone; adresse électronique. Expérience spécifique Cette section doit résumer l expérience du candidat en matière de réalisation d audits de systèmes d information (SI)/ d audits de sécurité de l information au cours des cinq dernières années. Joindre des feuilles séparées donnant des détails et des documents en appui, le cas échéant. Expérience professionnelle Cette section doit mentionner, pour chacun des postes occupés par le candidat: le nom de la société, de l organisation ou de l institution pour laquelle il a travaillé; les dates d emploi; les motifs de la cessation d emploi; un résumé des principales réalisations du candidat durant la période d emploi. Liste des clients Cette section doit indiquer en détail les clients du candidat au cours des cinq dernières années. Elle doit indiquer les missions de conseil impliquant des audits de SI et des services de sécurité des SI, ayant généré des résultats positifs, par ordre chronologique décroissant. Pour chaque client, les informations suivantes doivent être fournies: client/institution; date (AAAA/MM/JJ); pays; adresse postale et adresse électronique de la personne à contacter chez le client; intitulé de la mission de conseil/ projet/résultats détaillés; montant du contrat. Formation Cette section doit résumer la formation du candidat. Des copies certifiées conformes des diplômes et certifications professionnelles doivent être jointes au CV. 21

Partie B Principes directeurs concernant l accréditation des auditeurs Langues parlées Cette section doit indiquer les langues comprises par le candidat. Pour chaque langue, le niveau de maîtrise du candidat à l écrit et à l oral doit être indiqué. Autres informations Cette section doit contenir toutes les informations complémentaires pertinentes pour l étude du dossier du candidat. 2.1.3 Évaluation des candidats À réception du dossier du candidat, le WLA SRMC examine les références du candidat afin de déterminer si, oui ou non, il doit être accrédité. La décision d accepter ou de refuser un candidat est fondée sur l évaluation des pièces justificatives fournies à la WLA et leur conformité aux critères énoncés dans la Partie B, section 2.1, page 20. commercial de services d évaluation avec la WLA. Ce contrat spécifie les responsabilités, les obligations et les limites du prestataire de services d évaluation au titre de son travail en tant qu organisme d audit dans le cadre du processus de certification WLA-SCS:2012. Un exemplaire du contrat de services d évaluation peut être obtenu sur simple demande adressée à la WLA. 2.1.2 Instructions pour le dépôt des pièces justificatives L ensemble des pièces justificatives devront être envoyées à Paul Peinado, au bureau de la WLA situé à Bâle, de préférence sous forme électronique, aux coordonnées ci-dessous: E-mail pp@world-lotteries.org Fax +41 61 284 1350 Les candidats ayant besoin de transmettre des documents papier peuvent les envoyer à l adresse suivante: The World Lottery Association Att. Paul Peinado Lange Gasse 20 P. O. Box CH-4002 Bâle Suisse Dans tous les cas, les documents devront être transmis au WLA SRMC pour évaluation et approbation finales. La WLA se réserve le droit de refuser la demande des candidats en cas de pièces justificatives manquantes ou de dossier incomplet. Le bureau de Bâle de la WLA communiquera la décision du SRMC au candidat dans un délai raisonnable. Les documents soumis ne seront pas renvoyés au candidat. Seules les informations re latives aux auditeurs accrédités seront conservées. Toutes les autres informations seront détruites. Une fois l accréditation accordée, le nom de l auditeur est ajouté à la liste des auditeurs accrédités par la WLA et la liste mise à jour est publiée sur le site Internet de la WLA, à l adresse www.world-lotteries.org. Si la demande d accréditation est rejetée, le candidat est informé des motifs du refus. Si les raisons du refus sont mineures (par exemple, la certification de l auditeur est sur le point d expirer), il sera conseillé au candidat de corriger le problème et de déposer une nouvelle demande. Si le dossier d un candidat ne contient pas tous les documents justificatifs requis, la WLA l en informera et lui donnera trois mois pour remédier à la situation. Si au bout de trois mois, le candidat n a pas fourni les documents justificatifs manquants, la demande du candidat sera annulée. 3. Qualification en tant que prestataire de services d évaluation agréé par la WLA Pour pouvoir être accréditée en tant que prestataire de services de certification, une entité proposant des services d évaluation doit conclure un contrat non En signant le contrat de services de certification, le prestataire de services d évaluation s engage auprès de la WLA à ce que chacun des auditeurs menant des audits de certification WLA-SCS:2012 pour son compte ait préalablement reçu l accréditation de la WLA. Seuls les auditeurs ayant préalablement reçu l accréditation de la WLA sont autorisés à mener des évaluations de conformité au WLA- SCS:2012. Les prestataires de services d évaluation doivent veiller à ce que les formulaires d évaluation soient dûment signés par un auditeur accrédité par la WLA dont les titres de compétence sont à jour, valables et en règle. 3.1 Auditeurs de certification également prestataires de services de certification Un auditeur peut être travailleur indépendant. Dans ce cas, l auditeur est également le prestataire de services d évaluation. Ces personnes doivent conclure un contrat de services de certification et obtenir une accréditation délivrée par la WLA pour pouvoir mener des évaluations de conformité au WLA-SCS. 22

Partie C Documents à utiliser lors des audits de certification 1. Exigences documentaires applicables aux audits de certification Les auditeurs accrédités par la WLA procédant à l évaluation WLA-SCS d un membre de la WLA sont tenus de préparer les documents suivants et de les transmettre aux parties concernées: 1. Déclaration d évaluation Avant de commencer une évaluation, l auditeur accrédité par la WLA doit informer la WLA de son intention de mener une évaluation en remplissant un formulaire de déclaration d évaluation et en l envoyant à la WLA. Un exemple de formulaire de déclaration d éva luation est fourni en page 24. Le formulaire est disponible au format électronique sur le site Internet de la WLA, à l adresse www.world-lotteries.org. 2. Évaluation Une fois l évaluation terminée, l auditeur accrédité par la WLA doit informer la WLA que l évaluation est terminée en remplissant un formulaire d évaluation et en le renvoyant à la WLA. Un exemple de formulaire d évaluation est fourni en page 27. Le formulaire est disponible au format électronique sur le site Internet de la WLA, à l adresse www.world-lotteries.org. 3. Rapport d audit détaillé Une fois l évaluation terminée, l auditeur doit remplir un rapport d audit détaillé et le soumettre au prestataire de services d évaluation et au membre de la WLA. Veuillez vous reporter à la Partie C, section 4, page 34. Dans tous les cas, il incombe à l auditeur et au prestataire de services d évaluation ayant mené l audit de transmettre les documents relatifs à l évaluation terminée aux parties concernées. 2. Formulaire de déclaration d évaluation Instructions pour remplir le formulaire de déclaration d évaluation. Avant de commencer le processus d audit WLA-SCS, remplir le formulaire de déclaration d évaluation comme suit: 1. indiquer la date; 2. indiquer le nom du membre de la WLA concerné par l audit; 3. compléter les rubriques 1, 2 et 3. Rubrique 3: cette rubrique doit décrire le champ d application de l audit tel qu il est proposé de le faire figurer sur le certificat WLA-SCS:2012. Elle doit également indiquer l émetteur du certificat ISO/IEC 27001:2005, si ce dernier a déjà été obtenu, ainsi que le champ d application du certificat ISO/IEC 27001:2005. La déclaration d évaluation dûment remplie doit être envoyée à Paul Peinado au bureau WLA de Bâle, de préférence sous forme électronique, aux coordonnées ci-dessous: E-mail pp@world-lotteries.org Fax +41 61 284 1350 Si les auditeurs accrédités par la WLA ont besoin de transmettre des documents papier, ils peuvent les envoyer à l adresse suivante: The World Lottery Association Att. Paul Peinado Lange Gasse 20 P. O. Box CH-4002 Bâle Suisse 23

CONFIDENTIEL 1/2 SPECIMEN WLA-SCS:2012 Formulaire de déclaration d évaluation Notification d une évaluation en attente Date Membre de la WLA concerné Certification initiale Recertification 1. Auditeur accrédité et prestataire de services d évaluation qui l emploie Nom complet de l auditeur Nom du prestataire de services d évaluation Addresse Téléphone bureau (y compris indicateur pays) Téléphone mobile (facultatif, y compris indicateur pays) Adresse électronique 2. Membre de la WLA à auditer Nom du membre de la WLA Addresse Nom complet et titre Téléphone bureau (y compris indicateur pays) Téléphone mobile (facultatif, y compris indicateur pays) Adresse électronique 24

CONFIDENTIEL 2/2 SPECIMEN WLA-SCS:2012 Formulaire de déclaration d évaluation 3. Champ d application Indiquer le champ d application tel qu il est proposé de le faire figurer sur le certificat (30 mots maximum). Référence et émetteur du certificat ISO/IEC 27001:2005 s il a déjà été obtenu et champ d application dudit certificat. 25

Partie C Documents à utiliser lors des audits de certification 3. Formulaire d évaluation Instructions pour remplir le formulaire d évaluation. Une fois l évaluation terminée, remplir le formulaire d évaluation comme suit: 1. Cocher la case «Évaluation WLA-SCS:2012 confirmée et terminée» pour confirmer que l audit WLA-SCS:2012 a bien été effectué. 2. Indiquer le nom du membre de la WLA concerné par la certification. 3. Cocher la case «Une certification ISO/IEC 27001:2005 de champ...» pour confirmer que le membre de la WLA dispose d un certificat ISO/IEC 27001:2005 valable et à jour avec un champ d application global. 4. Complétez avec les informations relatives à la norme ISO/IEC 27001:2005: Le nom de l organisme de certification pour la norme ISO/IEC 21001:2005 Le numéro d enregistrement pour la norme ISO/IEC 27001:2005 La date de mise à jour du certificat de la norme ISO/IEC 27001:2005 La date d expiration pour le certificat de la norme ISO/IEC 27001:2005 Le périmètre de certification de la norme ISO/IEC 27001:2005. Si ceci ne figure pas déjà dans le formulaire pour revendiquer la conformité. 5. Complétez les sections 1 à 4 du formulaire, comme indiqué ci-après. Dans la Rubrique 1: WLA-SCS:2012 Annexe A Sécurité générale et objectifs de contrôle de l intégrité et contrôles, indiquer les contrôles WLA-SCS de base qui ont été audités. Dans la Rubrique 2: WLA-SCS:2012 Annexe B Sécurité propre aux loteries et aux jeux et contrôles et objectifs de l intégrité, indiquer les contrôles audités et ceux qui n étaient pas applicables. Les exigences non applicables doivent être mentionnées. Par exemple, si les activités des membres de la WLA n incluent pas les tirages, la section relative aux tirages ne sera pas renseignée. Par contre cette spécificité sera clairement mentionnée sur un document annexe remis séparément par les auditeurs. Tous les contrôles de l annexe A et les contrôles applicables de l annexe B doivent avoir été audités au moins une fois pendant le cycle triennal d audit. Le formulaire d évaluation permet de s assurer que tous les contrôles ont été audités au moins une fois pendant le cycle triennal d audit, et que le membre certifié est resté conforme au WLA-SCS:2012. Pour plus de détails sur les divers formulaires d évaluation au cours du cycle triennal d audit, se référer à la Partie A section 4.8 relative aux audits annuels obligatoires en page 11. Dans la Rubrique 3: Recommandation de l auditeur accrédité par la WLA, indiquer votre recommandation concernant l acceptation ou le refus de la certi fi cation. La WLA décide d accorder ou de refuser la certification en s appuyant sur la recommandation de l auditeur et sur le contenu du formulaire d évaluation qui lui a été soumis. Pour cette raison, il est essentiel que la recommandation de l auditeur soit concise et clairement formulée. Dans la Rubrique 4: Audits annuels obligatoires. Indiquer les dates prévues des audits annuels obligatoires. Ces dates doivent être définies en concertation avec le membre de la WLA. Un formulaire d évaluation doit être rempli pour chaque audit annuel obligatoire. 6. Signer et dater le formulaire d évaluation. Dans les cases prévues, indiquer: le nom de l auditeur accrédité par la WLA, en majuscules, le lieu des établissements audités, le nom du prestataire de services d évaluation, en majuscules, l adresse du prestataire de services d évaluation. Le formulaire d évaluation rempli doit être envoyé à Paul Peinado au bureau WLA de Bâle, de préférence sous forme électronique, aux coordonnées ci-dessous: E-mail pp@world-lotteries.org Fax +41 61 284 1350 Si les auditeurs accrédités par la WLA ont besoin de transmettre des documents papier, ils peuvent les envoyer à l adresse suivante: The World Lottery Association Att. Paul Peinado Lange Gasse 20 P. O. Box CH-4002 Bâle Suisse 26

CONFIDENTIEL 1/7 SPECIMEN WLA-SCS:2012 Formulaire d évaluation Évaluation WLA-SCS:2012 confirmée et terminée Concerne les membres de la WLA Certification initiale Recertification Audit annuel Une certification ISO/IEC 27001:2005 de champ d application global a été vérifiée. Nom de l organisme de certification ISO/IEC 27001:2005 Numéro d enregistrement de certification ISO/IEC 27001:2005 La date de mise à jour du certificat de la norme ISO/IEC 27001:2005 La date d expiration pour le certificat de la norme ISO/IEC 27001:2005 Le périmètre de certification de la norme ISO/IEC 27001:2005 27

CONFIDENTIEL 2/7 WLA-SCS:2012 Formulaire d évaluation SPECIMEN 1. WLA-SCS:2012 Annexe A Sécurité générale et objectifs de contrôle de l intégrité et contrôles Contrôle Audité Contrôle Audité G.1 Organisation de la sécurité G.1.1 Attribution des responsabilités en matière de sécurité G.4 Contrôle d accès aux systèmes de jeu G.4.1 Gestion d accès des utilisateurs à distance G.1.1.1 G.1.1.2 Forum de la sécurité Fonction de la sécurité G.4.1.1 Accès des utilisateurs à distance aux systèmes de jeu G.1.1.3 Rattachement de la fonction de sécurité G.4.1.2 Fonctions d accès des utilisateurs à distance G.1.1.4 Position de la fonction de sécurité G.4.1.3 Journal d accès des utilisateurs à distance G.1.1.5 Responsabilité de la fonction de sécurité G.2 Sécurité des ressources humaines G.2.1 G.2.1.1 Mise en œuvre d un code de conduite Code de conduite G.2.1.2 Adhésion et mesures disciplinaires G.2.1.3 Conflits d intérêts G.2.1.4 Policy on hospitality or gifts G.5 Maintenance des systèmes d information G.5.1 G.5.1.1 Contrôles chiffrés Contrôles chiffrés des données sur les systèmes portables G.5.1.2 Contrôles chiffrés des réseaux G.5.1.3 Contrôles chiffrés du stockage G.5.1.4 Contrôles chiffrés des numéros de validation G.3 Sécurité physique et de l environnement G.3.1 Zones protégées G.5.1.5 Contrôles chiffrés des transferts G.5.2 Test du système G.3.1.1 Contrôles physiques d entrée G.5.2.1 Méthodologie et données de test G.6 Gestion de la continuité d exploitation G.6.1 G.6.1.1 Gestion des médias et disponibilité Gestion des médias et du personnel G.6.1.2 Approbation des actionnaires ou du Conseil 28

CONFIDENTIEL 3/7 WLA-SCS:2012 Formulaire d évaluation SPECIMEN 2. WLA-SCS:2012 Annexe B Sécurité propre aux loteries et aux jeux et contrôles et objectifs de l intégrités Contrôle Contrôle Audité Audité L.1 Tickets à gratter L.1.1 L.1.1.1 Conception du jeu de grattage Procédures formelles relatives aux tickets à gratter L.1.4 L.1.4.1 Entreposage et distribution des tickets à gratter Audit des lieux de stockage L.1.1.2 Approbation de la conception du jeu L.1.4.2 Vérification du transport des tickets L.1.1.3 Sélection des fournisseurs L.1.4.3 Procédure de vérification des tickets L.1.1.4 Exigences de sécurité L.1.4.4 Résultat de la vérification des tickets L.1.1.5 Contrôle qualité L.1.4.5 Système de contrôle des tickets à gratter L.1.1.6 Politique en matière d audits et de tests de laboratoire L.1.5 Sécurité chez les détaillants tickets à gratter L.1.2 L.1.2.1 Impression des tickets à gratter Exigences en matière d impression des tickets à gratter L.1.5.1 L.1.5.2 Réception des tickets à gratter par les détaillants Accusé de réception L.1.2.2 Assurance qualité en matière d impression L.1.5.3 Instructions aux détaillants L.1.2.3 Chiffrement des numéros de validation L.1.5.4 Formation des détaillants à la sécurité L.1.2.4 L.1.2.5 L.1.2.6 Chiffrement des fichiers relatifs à la validation et aux gagnants Vérification des tickets Test de recette des données L.1.6 L.1.6.1 L.1.6.2 Fin de vie des jeux de grattage Procédure de fin de vie des jeux Informations aux détaillants L.1.3 L.1.3.1 L.1.3.2 L.1.3.3 Acheminement des tickets à gratter Description du processus d acheminement Protocole de transport Conteneurs de transport scellés L.1.6.3 L.1.6.4 L.1.6.5 L.1.6.6 Décompte du stock de tickets Audit de vérification des stocks Parties habilitées Destruction des tickets 29

CONFIDENTIEL 4/7 WLA-SCS:2012 Formulaire d évaluation SPECIMEN (Suite de la page 3/7) Contrôle Contrôle Audité Audité L.2 Lottery draws L.2.1 Gestion du tirage de loterie L.3 Sécurité chez les détaillants L.3.1 Recrutement et démarrage L.2.1.1 Tirage L.3.1.1 Contrat du détaillant L.2.1.2 Instructions de tirage L.2.1.3 Membres de l équipe de tirage L.3.2 Fonctionnement des détaillants L.2.1.4 Rôles des membres de l équipe de tirage L.3.2.1 Sécurité chez les détaillants L.2.1.5 Équipe de tirage suppléante L.2.1.6 Déroulement du tirage L.3.3 Sécurité des terminaux de jeu L.2.1.7 Observateurs présents lors du tirage L.3.3.1 Sécurité des transactions L.3.3.2 Test de sécurité des terminaux L.2.2 Modalités du tirage L.3.3.3 Sécurité des terminaux en libre-service L.2.2.1 L.2.2.2 L.2.2.3 Procédure de tirage Descriptif du tirage, étape par étape Lieu de tirage L.4 Protection des gains L.4.1 Validation et paiement des gains L.2.2.4 Participants au tirage et responsabilités L.4.1.1 Validité des informations relatives aux gagnants L.2.2.5 Surveillance du tirage L.4.1.2 Processus de validation L.2.2.6 Sécurité des opérations de tirage L.4.1.3 Paiement des gains L.2.2.7 Urgence pendant le tirage L.4.2 Gains non réclamés L.2.3 Équipement de tirage et jeux de boules L.4.2.1 Unicité du numéro de référence sur le ticket L.2.3.1 L.2.3.2 L.2.3.3 L.2.3.4 L.2.3.5 Procédure d inspection Inspection et entretien réguliers Jeu de boules compatibles Remplacement de l équipement de tirage Transport, entreposage et manipulation de l équipement de tirage et du jeu de boules L.4.2.2 L.4.2.3 L.4.2.4 L.4.2.5 L.4.2.6 Procédure de protection des gains non réclamés Durée et audit du paiement des gains Règles et vérifications liées au paiement Contrôle d accès aux informations sur les gains non réclamés Reporting en matière d accès L.4.2.7 Processus d escalade L.4.2.8 L.4.2.9 Audit des informations des journaux d accès Pistes d audit 30

CONFIDENTIEL 5/7 WLA-SCS:2012 Formulaire d évaluation SPECIMEN (Suite de la page 4/7) Contrôle Contrôle Audité Audité L.5 Personnel commercial et services clientèle L.5.1 L.5.1.1 Personnel travaillant en dehors des locaux de l organisation Personnel travaillant en dehors des locaux de l organisation L.7 Paris sportifs L.7.1 Sélection de l offre L.7.1.1 Liste des événements autorisés L.7.1.2 Liste des types de pari autorisés L.7.1.3 Liste des options de pari autorisées L.7.1.4 Informations relatives à l offre de paris L.5.2 Zones de service clientèle L.5.2.1 Personnel travaillant dans des zones sensibles avec accès public L.7.2 L.7.2.1 Gestion des événements et des cotes Sélection des événements L.6 Ventes et services interactifs sur Internet L.6.1 L.6.1.1 Systèmes de jeu sur Internet Systèmes à architecture multicouches L.7.2.2 L.7.3 L.7.3.1 Fixation et mise à jour des cotes Traitement des résultats Résultats des événements terminés L.6.1.2 L.6.1.3 Attaques actives et passives Séparation des réseaux L.7.4 Surveillance des fraudes et du blanchiment d argent L.6.1.4 Informations sur les sessions L.7.4.1 Surveillance des cotes L.6.1.5 Identification des points d entrée et de sortie L.7.4.2 Surveillance du marché L.7.4.3 Surveillance des transactions de la clientèle L.6.2 Comptes des joueurs L.6.2.1 Identification des joueurs L.7.5 Paris en direct L.6.2.2 Comptes de joueur multiples L.7.5.1 Surveillance de l intégrité des événements L.6.2.3 Exclusion des joueurs L.7.5.2 Traitement des résultats des offres en direct L.6.3 Conception et approbation du jeu L.6.3.1 Documentation des procédures de jeu sur Internet L.6.3.2 Approbation du jeu 31

CONFIDENTIEL 6/7 WLA-SCS:2012 Formulaire d évaluation SPECIMEN 3. Recommandation de l auditeur accrédité par la WLA Une fois l audit terminé, l auditeur doit formuler une recommandation concernant la certification, fondée sur la conformité du membre à la WLA-SCS:2012. 32

CONFIDENTIEL 7/7 WLA-SCS:2012 Formulaire d évaluation SPECIMEN 4. Audits de suivi annuels Sous réserve de certification WLA, les dates suivantes ont été prévues et convenues pour les audits de suivi annuels. 1 er Audit annuel, Date 2 ème Audit annuel, Date Je soussigné, auditeur accrédité par la WLA, certifie que tous les contrôles applicables prévus par le Standard de contrôle de sécurité WLA ont été correctement et minutieusement audités. En signant le présent document, l auditeur certifie également que ses titres de compétence requis par la WLA sont à jour, valables et en règle au moment de l audit. Nom de l auditeur Lieu Nom du prestataire de services d évaluation Lieu Signature de l auditeur Date 33

Partie C Documents à utiliser lors des audits de certification 4. Rapport d audit de certification détaillé Une fois l audit de certification terminé, l auditeur de certification doit rédiger un rapport d audit détaillé, destiné au membre de la WLA. Le rapport d audit documente l audit et son résultat. Le contenu et le format du rapport sont laissés à la discrétion de l auditeur. Le rapport d audit est strictement confidentiel et doit être transmis uniquement au prestataire de services d évaluation et au membre de la WLA demandant la certification. Ni la WLA ni aucune autre partie que l auditeur accrédité par la WLA, le prestataire de services d évaluation et le membre de la WLA concerné ne doivent avoir accès au rapport d audit relatif au processus de certification. 34

Pour toute information complémentaire, contacter The World Lottery Association Att. Paul Peinado Lange Gasse 20 P.O. Box CH-4002 Basel Suisse pp@world-lotteries.org Président du comité Sécurité et Gestion des risques de la WLA Thierry Pujol Française des Jeux 126, rue Gallieni 92643 Boulogne-Billancourt Cedex France tpujol@lfdj.com 35