Risques associés aux tombolas électroniques

L’enjeu

La détermination des risques associés aux tombolas électroniques est essentielle à l’élaboration du cadre de réglementation de la CAJO, qui sera axé sur l’atténuation de ces risques. Une approche fondée sur le risque per- mettra à la CAJO de porter son attention sur les domaines les plus importants sur le plan de la réglementation.

Ce que nous avons entendu

Risques associés à l’intégrité des jeux et à la cybersécurité

S’il est vrai que les tombolas électroniques pourraient améliorer l’intégrité et la sécurité des jeux, l’utilisation d’ordinateurs suscite des préoccupations et comporte certains risques. Les participants ont mentionné les types de risques ci-dessous en ce qui a trait à l’utilisation de la technologie.

  • Les problèmes liés à la cybersécurité peuvent constituer un tout nouveau type de risques pour de nombreux organismes de bienfaisance qui participeront à des tombolas électroniques.
  • Les problèmes liés à la cybersécurité sont difficiles à prévoir, et tout indice laissant croire que la sécurité d’un système pourrait être compromise en ce qui a trait au traitement des paiements, des dépôts et de l’information sur les tombolas et les consommateurs, ou que l’utilisation d’un générateur de nombres aléatoires de mauvaise qualité pourrait nuire à l’intégrité d’une tombola, serait susceptible de compromettre le succès d’une tombola, voire de porter atteinte au secteur entier si la confiance du public était ébranlée.
  • Il importe qu’un système soit doté de fonctions de suivi et de surveillance efficaces pour qu’une tombola se déroule de façon équitable et intègre sur tous les plans.
  • Les activités liées aux tombolas que les participants suggèrent de surveiller ou sur lesquelles ils suggèrent de produire des rapports comprennent la sélection des gagnants, la gestion des billets, la distribution des prix, les dépenses des exploitants, la gestion des problèmes soupçonnés relativement à l’intégrité des tombolas et l’utilisation des produits des tombolas.
  • L’environnement électronique et l’environnement physique établis doivent tous deux être sécurisés.

Stratégies d’atténuation

Les participants ont suggéré diverses stratégies d’atténuation des risques pouvant être associés aux tombolas électroniques :

  • La CAJO devrait veiller à ce que les fournisseurs utilisent des méthodes éprouvées de développement et d’essai de logiciels pour élaborer leurs systèmes de tombola électronique.
    • Concevoir les systèmes de A à Z contribuera à limiter les menaces.
    • L’accès à l’infrastructure de TI doit être restreint, et tout accès doit être enregistré et vérifiable.
    • Établir des procédures appropriées d’authentification (authentification à deux facteurs, politiques de mots de passe forts, etc.) et d’autorisation (comme le contrôle d’accès en fonction des rôles) ainsi qu’un cryptage efficace (à plusieurs niveaux).
    • Les serveurs, réseaux et postes de travail doivent être renforcés et munis de correctifs en plus de contenir des logiciels antimaliciels et des systèmes de détection et de prévention des intrusions.
    • Les générateurs de nombres aléatoires doivent être évalués minutieusement avant que leur inclusion dans un système de tombola électronique soit autorisée.
    • Les billets doivent contenir des éléments de sécurité empêchant la création de faux billets.
    • Une sauvegarde pourrait être effectuée à la fois localement et à distance, par infonuagique ou à l’aide d’un serveur distant de colocalisation externe.
    • La CAJO devrait établir des normes techniques claires et veiller à ce que les fournisseurs comprennent ces exigences et leur responsabilité de les respecter.
    • La CAJO devrait envisager d’autoriser les évaluations techniques par des tiers dans le contexte de son cadre de réglementation.
  • Veiller à ce que toutes les solutions de tombola électronique soient conformes aux pratiques exemplaires relatives aux normes de l’industrie, dont voici quelques exemples :
    • les normes de Gaming Labs International;
    • la norme GLI 27, sur les pratiques exemplaires en matière de sécurité des réseaux;
    • la norme GLI 31, sur les systèmes de tombola électronique.
  • Les systèmes de tombola électronique devraient pouvoir produire des documents et des rapports financiers en temps réel.
  • La capacité d’accepter les paiements électroniques est perçue comme un avantage de taille par l’industrie. En plus de devoir apporter moins d’argent comptant aux activités, les clients disposeront d’un moyen pratique pour acheter leurs billets de tombola. Les participants ont reconnu qu’il serait nécessaire d’atténuer les risques liés aux paiements électroniques pour veiller à ce que les paiements soient faits par les titulaires de carte autorisés, et non à l’aide de cartes volées ou par des mineurs. Il faudrait envisager d’imposer des exigences plus rigoureuses aux exploitants de tombolas électroniques offrant des prix de grande valeur.
  • La CAJO devrait rendre publics :
    • son processus d’évaluation technique des solutions de tombola électronique;
    • les mesures de contrôle nécessaires pour garantir la sécurité des solutions;
    • les essais de tiers (le cas échéant);
    • la résolution des plaintes relatives aux tombolas électroniques.
  • Les fournisseurs devraient être responsables des normes techniques. Une distinction claire devrait être établie entre les exigences techniques et les exigences opérationnelles, et les normes opérationnelles devraient être exclues des normes techniques de la CAJO.
  • La CAJO devrait exiger des organismes de bienfaisance qu’ils établissent un plan d’intervention, de transmission aux échelons supérieurs et de résolution applicable aux problèmes de cybersécurité et d’infrastructure de TI relatifs aux tombolas électroniques.
  • La CAJO devrait procéder à des inspections ou à des vérifications aléatoires des fournisseurs et des organismes de bienfaisance.
  • La CAJO devrait envisager de demander aux organismes de bienfaisance d’avoir un expert à leur disposition pour les aider à résoudre les problèmes techniques.
 

Les participants ont signalé qu’ils aimeraient que la CAJO offre de l’information et du soutien aux organismes de bienfaisance pour les aider à avoir une relation productive avec les fournisseurs de biens ou de services relatifs au jeu inscrits. Voici des exemples de renseignements utiles :

  • une explication des attestations ou des documents que les organismes de bienfaisance devraient demander aux fournisseurs;
  • la liste des fournisseurs approuvés et de leurs coordonnées;
  • un exemple de contrat entre un organisme de bienfaisance et un fournisseur;
  • une explication des droits et des responsabilités des organismes de bienfaisance.

Atténuation des inquiétudes relatives à la formation

  • La CAJO devrait être la seule autorité compétente, du moins au début, à contrôler le nombre et le type de tombolas électroniques pourvues d’une licence. Cette mesure pourrait aider les organismes de bienfaisance à mieux comprendre le fonctionnement du nouveau programme de délivrance de licences et à jeter les bases des activités futures de délivrance de licences municipales.
  • La CAJO devrait offrir de l’information et de la formation aux organismes de bienfaisance, aux fournisseurs et aux municipalités sur leurs rôles et leurs responsabilités.
  • Garantir la clarté des modalités relatives aux tombolas électroniques pour réduire la confusion et en rendre l’application plus uniforme.