Directives de certification au Standard de contrôle de sécurité de la

Commentaires

Transcription

Directives de certification au Standard de contrôle de sécurité de la
Directives de
certification au
Standard de
contrôle de sécurité
de la WLA : 2012
Standard de sécurité et d’intégrité des activités de loterie et de jeu
Partie A
Directives de
certification pour
les membres de
la WLA
Partie B
Principes directeurs
concernant l’accréditation
des auditeurs
Partie C
Documents à
utiliser lors des audits
de certification
Publication octobre 2013
Préambule
2
Définitions
4
1. Introduction
6
2. Présentation du processus de certification WLA-SCS:2012 6
3. Certification ISO/IEC 27001:2005
8
4. Certification WLA-SCS:2012
8
5. Prestataires de services d’évaluation agréés par la WLA et auditeurs accrédités par la WLA
12
6. Le comité Sécurité et Gestion des risques (SRMC) de la WLA
16
7. Membres certifiés de la WLA
17
1. Affiliation des auditeurs de certification et des prestataires de services d’évaluation
20
2. Qualification en tant qu’auditeur accrédité par la WLA 20
3. Qualification en tant que prestataire de services d’évaluation agréé par la WLA 22
1. Exigences documentaires applicables aux évaluations WLA-SCS
23
2. Begutachtungsmeldeformular
23
3. Begutachtungsformular
26
4. Detaillierter Prüfbericht
34
Préambule
L’Association mondiale des loteries
(WLA ) est une organisation profession­
nelle internationale qui représente plus
de 140 loteries d’État et plus de 55 opéra­
teurs de loterie répartis dans plus de
80 pays sur six continents. Les membres
opérateurs de loterie doivent être titu­
laires d’une licence ou d’un agrément
délivré par la juridiction dans laquelle ils
opèrent pour pouvoir organiser des lo­
teries et/ou des jeux. La WLA propose
à ses membres une gamme de services
destinée à leur fournir les connaissances
dont ils ont besoin pour développer leur
entreprise.
Le Comité Sécurité et Gestion des risques
de la WLA (WLA SRMC) est constitué
de représentants et de spécialistes de la
sécurité des opérateurs de loteries et de
jeux du monde entier. Une part im­
portante de la mission du WLA SRMC
consiste à conseiller la WLA et ses
membres sur les questions de sécurité et
de gestion des risques. Depuis plus de
dix ans, le WLA SRMC développe et
maintient un standard de sécurité spéci­
fique aux loteries connu sous le nom de
Standard de contrôle de sécurité WLA
(WLA-SCS ). Ce standard a été dévelop­
pé en suivant une approche collaborative
et consensuelle et il n’est accessible
qu’aux membres de la WLA , conformé­
ment aux statuts de la WLA . La liste des
membres du WLA SRMC est fournie
dans la Partie A, section 6, page 16.
Le WLA-SCS:2012 est le seul standard de
sécurité du secteur des loteries reconnu
internationalement. Conçu à partir du
programme ISO/IEC 27001:2005, un
standard international reconnu portant
sur la gestion de la sécurité de l’informa­
tion, le WLA-SCS :2012 est constitué de
deux parties. La première partie (Annexe
A – Sécurité générale et objectifs de
contrôle de l’intégrité et contrôles) com­
prend les exigences des systèmes de ges­
tion de la sécurité de l’information
(SMSI). Celles-ci incluent la conformité
au champ d’application mondial ISO/
IEC 27001:2005 en conformité avec les
21 besoins généraux additionnels joints.
La deuxième partie du WLA-SCS :2012
(Annexe B – Sécurité propre aux loteries
et aux jeux et contrôles et objectifs de
l’intégrité) énumère 90 exigences propres
aux loteries et aux jeux représentant les
meilleures pratiques en vigueur à ce jour
en matière de sécurité et d’intégrité.
La dernière édition du Standard de
contrôle de sécurité de la WLA est se dis­
tingue des autres par l’année de son ap­
probation, 2012 (WLA-SCS :2012). Cette
édition intègre de nouveaux contrôles
propres au secteur, relatifs à la sécurité
des opérations sur Internet et des ventes
interactives et des services de jeux ainsi
qu’à la sécurité de la gestion des opéra­
tions de jeux. Le WLA-SCS :2012 rem­
place la version précédente du standard
de la WLA (WLA-SCS :2006) et toutes les
versions publiées auparavant.
Pour résumer, le WLS-SCS :2012 spécifie
les exigences minimales d’une gestion
efficace de la sécurité dans les organisa­
*
La certification WLA-SCS:2012 est ouverte
uniquement aux membres et membres associés
de la WLA.
2
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
tions de jeu et de loterie. La conformité
au WLA-SCS :2012 permet aux membres
de la WLA d’assurer l’intégrité, la dis­
ponibilité et la confidentialité de l’in­
formation essentielle à la sécurité de
leurs opérations. Pour toute information
complémentaire sur le WLA-SCS :2012,
veuillez vous reporter directement à la
documentation du WLA-SCS :2012, ac­
cessible aux membres de la WLA sur le
site Internet de l’association, à l’adresse
www.world-lotteries.org.
En rédigeant ce document et en le met­
tant à la disposition de ses membres,
la WLA entend favoriser une meilleure
compréhension du WLA-SCS :2012 et du
processus de certification. Nous espérons
que davantage de membres verront ainsi
l’intérêt d’obtenir la certification WLASCS , ce qui permettra de renforcer le ni­
veau global de sécurité au sein du secteur
mondial des loteries.
Le présent document s’adresse:
• aux membres de la WLA et aux
membres associés désireux d’obtenir
la certification WLA-SCS :2012;*
• aux professionnels qualifiés
désireux de devenir auditeurs
accrédités par la WLA ;
• aux auditeurs accrédités par la
WLA désireux de mener des
audits chez des membres et des
membres associés de la WLA
ayant déposé une demande
de certification WLA-SCS :2012.
Aux organisations désireuses d’obtenir la
certification WLA-SCS :2012, le présent
document:
• explique le fonctionnement
du processus de certification et
les modalités de dépôt d’une
demande de certification;
• les aide à choisir un prestataire
de service d’évaluation et/ou un
auditeur de certification WLA .
Aux professionnels qualifiés désireux de
devenir auditeurs accrédités par la WLA ,
le présent document:
• explique en détail les modalités de
dépôt d’une demande d’accréditation
par la WLA en vue de pouvoir
mener des audits WLA-SCS .
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
La suite du présent document s’organise
comme suit:
• Partie A
Directives de certification des
membres de la WLA
Cette partie contient une description
détaillée du processus de certification WLA-SCS :2012. Elle doit être
lue par les membres et les membres
associés de la WLA désireux d’obte­
nir une certification WLA-SCS .
• Partie B
Principes directeurs concernant
l’accréditation des auditeurs
de certification
Cette partie contient les principes
directeurs régissant l’agrément
des professionnels qualifiés et des
organisations désireux de devenir
habilités à mener des audits
WLA-SCS :2012. Elle doit être lue
par les professionnels qualifiés et les
organisations désireux de devenir
habilités à mener des audits
de certification WLA-SCS :2012.
• Partie C
Documents utilisés lors des
audits de certification
Cette partie contient les documents
d’audit utilisés par les auditeurs de
certification lors des audits de
certification WLA-SCS: 2012. Elle
doit être lue par les auditeurs de
certification qui mènent les audits de
certification WLA-SCS :2012.
3
Définitions
Dans le présent document, les définitions
suivantes s’appliqueront.
Organisation membre d’une loterie
Désigne un opérateur de loterie dûment
accepté en tant que membre de la WLA ,
conformément aux statuts de la WLA .
Il organise des jeux de hasard et/ou de
compétences tels que Loto, Toto, jeux de
grattage, paris sportifs et jeux de loterie
classiques. Les membres sont titulaires
d’une licence ou d’un agrément délivré
par une juridiction domiciliée dans un
État reconnu par les Nations Unies.
Membre associé
Désigne une personne ou une organisa­
tion fournissant des biens ou services au
secteur des loteries et des jeux et dûment
acceptée en tant que membre de la WLA ,
conformément aux statuts de la WLA . La
demande d’adhésion en tant que membre
associé de ces personnes ou organisa­
tions a été appuyée par au moins deux
membres actuels de la WLA et a été
acceptée par le comité exécutif de la
WLA .
Membre de la WLA
Désigne un organisateur de loterie et
membre associé tel que défini ci-dessus,
ces deux qualités étant implicites dans le
présent contexte.
WLA-SCS
Désigne le Standard de contrôle de sé­
curité de la WLA , un ensemble complet de standards de sécurité spécifiques
aux loteries et aux jeux qui intègre
la norme ISO/IEC 27001:2005 ainsi
qu’un ensemble d’exigences en matière
de contrôles de sécurité et d’intégrité
généraux et spécifiques aux loteries et
aux jeux élaborés par la WLA , ainsi que
leurs modifications périodiques.
4
Certificat d’accréditation au Standard de contrôle de sécurité WLA.
WLA SRMC
Désigne le Comité Sécurité et Gestion
des risques de la WLA , constitué de pro­
fessionnels de la sécurité d’organisations
de loteries et de jeux provenant de six
continents, dûment nommés par le
Comité Exécutif de la WLA . Le WLA
SRMC est autorisé à superviser le pro­
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
cessus de sélection des auditeurs de certi­
fication et à conseiller la WLA et de ses
membres sur les questions de sécurité et
de gestion des risques.
Autorité de certification
(Organisme certificateur)
Désigne la WLA .
Prestataire de services
d’évaluation
Désigne les établissements tiers agréés
par la WLA et proposant des services de
certification aux membres de la WLA .
Pour pouvoir proposer des services
d’évaluation, le prestataire de services
d’évaluation doit avoir conclu un contrat
avec la WLA . Les auditeurs travaillant en
tant que prestataires indépendants sont
également considérés comme des presta­
taires de services d’évaluation. Ces audi­
teurs individuels devront obtenir l’agré­
ment du WLA SRMC et, en outre,
conclure un contrat avec la WLA .
Contrat de services d’évaluation
Désigne un contrat non commercial
conclu entre la WLA et un prestataire de
services d’évaluation pour la fourniture
de services d’évaluation de la conformité aux WLA-SCS aux membres de la
WLA .
Auditeur accrédité WLA
Désigne un évaluateur qui a été accrédité
par le WLA SRMC pour mener des au­
dits de certification WLA-SCS :2012. Ces
évaluateurs sont employés par un presta­
taire de services d’évaluation qui a conclu
un contrat non commercial avec la WLA .
Services de pré-évaluation
Désigne un audit simplifié mené par un
prestataire de services d’évaluation au
cours duquel la conformité d’un membre
de la WLA aux WLA-SCS est évaluée,
sans contrôle approfondi de sa mise en
œuvre.
de certification, a le droit exclusif
d’émettre ou de révoquer le certificat
WLA-SCS :2012.
Processus de certification
Certifié WLA-SCS:2012
Désigne le processus d’évaluation effec­
tué par un auditeur accrédité par la WLA
afin de déterminer la conformité aux
WLA-SCS . L’auditeur doit être employé
par un prestataire de services d’évalua­
tion sous contrat avec la WLA .
Désigne un membre de la WLA ayant fait
l’objet d’un processus d’évaluation et
ayant été jugé, à ce moment-là, en confor­
mité avec les exigences des WLASCS :2012.
Audit annuel
Formulaire de déclaration
d’évaluation
Désigne un document délivré par le pres­
tataire de services d’évaluation infor­
mant la WLA de son intention de procé­
der à une évaluation de la conformité
d’un membre de la WLA aux WLA-SCS .
Désigne un audit de contrôle annuel
obligatoire visant à assurer que le membre
de la WLA reste en conformité avec les
WLA-SCS :2012 durant la période de
trois ans séparant la certification de la
recertification.
Recertification
Formulaire d’évaluation
Désigne un document délivré par le pres­
tataire de services d’évaluation décrivant
les éléments audités et ceux qui n’étaient
pas applicables, ainsi que sa recomman­
dation concernant la certification ou la
recertification.
Rapport d’audit d’évaluation
Désigne un autre processus complet
d’évaluation réalisé par un auditeur de
certification accrédité par la WLA chez
un membre certifié de la WLA peu de
temps avant l’expiration de la première
période de validité de trois ans afin de
déterminer sa conformité au WLASCS :2012. Par la suite, cet audit sera réa­
lisé tous les trois ans.
Désigne le document délivré au membre
de la WLA par un prestataire de services
d’évaluation accrédité par la WLA décri­
vant l’évaluation effectuée et les résultats
obtenus lors du processus de certification
ou de recertification. Ce document est la
propriété du membre de la WLA et doit
être considéré comme strictement confi­
dentiel.
Certificat
Désigne le document stipulant qu’un
membre de la WLA est en conformité
avec le WLA-SCS :2012 au jour de la cer­
tification. La certification est valable trois
ans. La WLA , en tant que seule autorité
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
5
Partie
A
Directives de certification
pour les membres de la WLA
1. Introduction
1.1 Contexte
La sécurité et l’intégrité d’une loterie
jouent un rôle capital pour maintenir la
confiance du public dans ses jeux de lote­
rie. Il est donc vital qu’un opérateur de
loterie et de jeu développe et maintienne
un environnement de sécurité et d’inté­
grité visible et documenté pour obtenir
et conserver la confiance du public en ses
opérations.
Le WLA-SCS: 2012 est conçu pour aider
le secteur mondial des loteries à atteindre
et assurer un niveau de sécurité et d’inté­
grité conforme aux meilleures pratiques
généralement admises, et ainsi renforcer
la confiance dans l’intégrité de ses opéra­
tions.
Seule la WLA peut certifier officielle­
ment la conformité d’organisations aux
exigences du standard WLA-SCS . En
cette qualité, les auditeurs spécifiques
accrédités par la WLA , qui peuvent être
des employés, des mandataires ou des
sous-traitants des prestataires de services
d’évaluation spécifiques accrédités par la
WLA , sont habilités à procéder à des
audits chez les membres de la WLA dé­
sireux de faire certifier WLA-SCS leurs
opérations. Cette certification peut être
obtenue en démontrant la conformité de
leurs opérations au WLA-SCS au mo­
ment de l’évaluation. La certification
permet aux membres de la WLA confir­
mer leur conformité au WLA-SCS :2012
pour une durée continue de trois ans.
1.2 À propos du présent document
Les directives de certification présup­
posent une connaissance préalable du
6
WLA-SCS . Pour toute information com­
plémentaire sur le WLA-SCS , veuillez
vous reporter directement à la documen­
tation du WLA-SCS :2012. Les membres
de la WLA peuvent obtenir un exem­
plaire de la documentation du WLASCS :2012 sur le site Internet de la WLA ,
à l’adresse www.world-lotteries.org.
1.3 Responsabilités du membre
de la WLA concerné
Un membre de la WLA qui fait l’objet
d’une certification ou d’une recertifica­
tion reconnait:
i. accepter le WLA-SCS , tel qu’il est
rédigé au moment de la certification
ou de la recertification.
ii. que la certification ou recertifica-
tion SCS
a)atteste simplement de l’existence
d’un ensemble de procédures
de sécurité et d’intégrité qui, au
moment de la certification, corres­
pondent à l’objectif de gestion
des risques inhérents au fonctionne­
ment d’un opérateur de loterie
et de jeu, et
b)ne garantit en aucun cas les résultats
obtenus dans les questions traitées.
iii.qu’il est uniquement responsable du
choix des procédures et méthodes
utilisées pour rendre opérationnel le
WLA-SCS :2012, et que la WLA ,
le prestataire de services d’évaluation
et l’auditeur accrédité de la WLA
ne sauraient en aucun cas être
tenus pour responsables des réclamations et dommages à cet égard.
iv.qu’il lui incombe de mettre rapide­
ment toutes les informations
pertinentes à la disposition du
prestataire de services d’évaluation
et de l’auditeur accrédité de la WLA ,
de leur apporter l’aide nécessaire
et de les informer des changements
apportées aux informations qu’il
leur a fournies.
v. qu’il n’utilisera la certification
WLA-SCS qu’en conformité avec
les exigences de la WLA.
1.4 Historique des modifications
Le présent document comprend la ver­
sion V3.0 des directives de certification
au standard de contrôle de sécurité de la
WLA – date de publication octobre 2013,
et il est destiné à compléter la documen­
tation du standard WLA-SCS :2012. Pour
les informations concernant la transition
du WLA-SCS :2006 au WLA-SCS :2012,
veuillez vous reporter à la section 4.1,
page 8 des présentes directives.
2. Présentation du
processus de certification
WLA-SCS :2012
Le processus de certification WLASCS :2012 peut prendre de nombreuses
voies, en raison de la flexibilité du pro­
cessus de certification. Toutefois, en règle
générale, il se déroule selon la séquence
d’événements suivante:
1. Avant l’audit de certification,
le membre de la WLA se prépare en
vue de sa certification. À cette fin,
le membre de la WLA :
a. informe la WLA , un prestataire de
services d’évaluation agréé par
la WLA ou un auditeur accrédité par
la WLA de son intention de
déposer une demande de certification
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
WLA-SCS :2012. Si le membre de
la WLA choisit d’informer en
premier un prestataire de services
d’évaluation agréé par la WLA ou un
auditeur accrédité par la WLA ,
l’auditeur doit en aviser la WLA ,
avant l’audit, en remplissant le
formulaire de déclaration d’évalua­
tion et en le transmettant au
bureau de de Bâle de la WLA . Un
modèle de formulaire de déclaration
d’évaluation figure à la page 24.
b.procède à une analyse des diver­
gences et/ou à une pré-évaluation,
si cela est utile, afin d’identifier
les éventuelles divergences entre ses
mesures de sécurité et d’intégrité
actuelles et les exigences de la
norme ISO/IEC 27001:2005 et du
WLA-SCS .
➞ Pour toute information complémen-
taire sur la préparation d’un audit
de certification, veuillez vous reporter
à la Partie A, section 4.2, page 9.
2. Le membre de la WLA choisit un
prestataire de services d’évaluation
agréé par la WLA proposant des
services d’évaluation WLA-SCS :2012.
La liste des prestataires de services
d’évaluation agréés par la WLA
est fournie dans la Partie A, section 5,
page 12.
➞ Pour toute information complémen-
taire sur le choix d’un prestataire
de services d’évaluation, veuillez vous
reporter à la Partie A, section 4.3,
page 9.
3. Le membre de la WLA choisit un
auditeur accrédité par la WLA et
employé, mandataire ou sous-traitant
du prestataire de services d’évalua­
tion agréé par la WLA et choisi par le
membre de la WLA . La liste des
auditeurs accrédités par la WLA est
fournie dans la Partie A, section 5,
page 12.
Le membre de la WLA a également la
possibilité de recommander un
professionnel qualifié afin qu’il
reçoive l’agrément du WLA SRMC
pour devenir auditeur de certifica­
tion. Le professionnel qualifié
recommandé par le membre de la
WLA doit être un employé,
un agent ou un sous-traitant d’un
prestataire de services d’évaluation agréé par la WLA . L’auditeur
recommandé ne peut mener
d’audits WLA-SCS qu’une fois
accrédité par le WLA SRMC .
➞ Pour toute information complémen­
taire sur le choix d’un auditeur
accrédité par la WLA , veuillez vous
reporter à la Partie A, section 4.4,
page 9.
4. L’audit de certification est
mené. L’auditeur accrédité par
la WLA :
a. remplit un formulaire de déclaration
d’évaluation informant la WLA de
son intention de mener un audit
WLA-SCS chez l’un de ses membres.
b.procède à l’audit de certification.
L’audit de certification ISO/IEC
27001:2005 est totalement indépendant de l’audit de certification
WLA-SCS :2012 et peut être
mené en parallèle, indépendamment,
ou avant l’audit de certification
WLA-SCS :2012. Dans tous les cas,
le membre de la WLA doit être
certifié ISO/IEC 27001:2005 avec un
champ d’application global avant
de pouvoir prétendre être certifié
WLA-SCS . L’auditeur agréé
par la WLA est tenu de certifier que
le membre de la WLA a un certificat ISO/IEC 27001:2005 valide,
à jour et de champ d’application
global.
➞ Pour toute information complémen-
taire sur l’audit ISO/IEC 27001:2005
en tant que composant de l’audit
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
de certification WLA-SCS, veuillez
vous reporter à la Partie A, section 3,
page 8.
➞ Pour toute information complémen-
taire sur le déroulement d’un audit
de certification, veuillez vous reporter
à la Partie A, section 4.5, page 10.
5. Une fois l’audit de certification
terminé, l’auditeur de certification:
a. remplit un rapport d’audit de
certification détaillé et le soumet au
membre de la WLA . Ce rapport
documente l’audit de certification et
son résultat. Ce rapport est la
propriété du membre de la WLA et
doit être considéré comme stricte­
ment confidentiel. Le rapport d’audit
de certification ne doit pas être
envoyé à la WLA ni à tout autre tiers
impliqué dans le processus de
certification.
b.remplit un formulaire d’évaluation
et le soumet à la WLA . La recom­
mandation de l’auditeur doit figurer
clairement dans le formulaire
d’évaluation. La WLA décide alors
d’accorder ou de refuser la certi­
fication en se fondant sur la recom­
mandation de l’auditeur et le
contenu du formulaire d’évaluation
qui lui a été soumis.
➞ Pour toute information complémen-
taire sur l’audit de certification
terminé, veuillez vous reporter à la
Partie A, section 4.6, page 10.
6. Lorsqu’elle accorde une certification,
la WLA publie le résultat et délivre
un certificat attestant que son
membre a été certifié conforme au
WLA-SCS :2012 au moment de
l’audit.
➞ Pour toute information complémen-
taire sur l’octroi de la certification,
veuillez vous reporter à la Partie A,
section 4.7, page 11.
➞
7
Partie A
Directives de certification pour les membres de la WLA
➞
7. Après une certification réussie,
l’auditeur accrédité par la WLA
devra prévoir deux audits annuels
obligatoires de contrôle. Le calendrier
des audits de contrôle sera établi
en accord avec le membre certifié de
la WLA . Les audits annuels obliga­
toires de contrôle assureront que
le membre certifié de la WLA reste
conforme au WLA-SCS :2012 tout au
long de la période de trois ans.
➞ Pour toute information complémen-
taire sur les audits annuels,
veuillez vous reporter à la Partie A,
section 4.8, page 11.
8. Le membre de la WLA peut
être recertifié peu de temps avant
l’expira­tion de sa certification
WLA-SCS :2012. Pour ce faire, il
doit relancer un processus de
certification.
➞ Pour toute information complémen-
taire sur la recertification, veuillez
vous reporter à la Partie A, section 4.9,
page 11.
3. Certification
ISO/IEC 27001:2005
La certification ISO/IEC 27001:2005
étant indépendante et distincte de la
certification WLA-SCS :2012, plusieurs
situations de certification peuvent appa­
raître. Un membre de la WLA peut:
• être certifié ISO/IEC 27001:2005.
Dans ce cas, la certification ISO/IEC
27001:2005 peut être utilisée
pour satisfaire aux exigences du
WLA-SCS :2012 Annexe A – Sécurité
générale et objectifs de contrôle
de l’intégrité et contrôles, à condition
toutefois que le certificat ISO/IEC
27001:2005 soit conforme aux
exigences de champ d’application
du standard WLA-SCS .
• ne pas être certifié ISO/IEC
27001:2005 et souhaiter obtenir la
8
certification ISO/IEC 27001:2005
avant d’obtenir la certification
WLA-SCS :2012. Dans ce cas,
le membre de la WLA peut consi­
dérer la certification ISO/IEC
27001:2005 comme une passerelle
ou un tremplin vers la certification WLA-SCS .
• ne pas être certifié ISO/IEC
27001:2005 et souhaiter mener une
certification ISO/IEC 27001:2005
parallèlement à la certification
WLA-SCS :2012 et confier les deux
certifications à des auditeurs
différents.
• ne pas être certifié ISO/IEC
27001:2005 et souhaiter mener une
certification ISO/IEC 27001:2005
parallèlement à la certification
WLA-SCS :2012 en faisant appel au
même auditeur pour les deux
audits.
Dans tous les cas, les audits ISO/IEC
27001:2005 des membres de la WLA doi­
vent être réalisés par un auditeur ISO/
IEC 27001:2005 accrédité par un orga­
nisme de certification internationale­
ment reconnu conformément aux règles
de la norme ISO/IEC 27001:2005 et agis­
sant dans le cadre d’un organisme de cer­
tification ISO/IEC 27001:2005 dûment
accrédité qui émet le certificat corres­
pondant.
Dans la mesure où il existe de nombreux auditeurs et consultants ISO/IEC
27001:2005 dans plusieurs régions, il
peut être plus intéressant pour les
membres de la WLA qui souhaitent ob­
tenir la certification WLA-SCS :2012 de
choisir un auditeur ISO/IEC 27001:2005
indépendamment de l’auditeur WLASCS :2012. Par conséquent, il n’est pas
nécessaire que l’auditeur ISO/IEC
27001:2005 soit un auditeur de certifica­
tion accrédité par la WLA . Toutefois, la
WLA recommande que la préparation de
la certification WLA-SCS :2012 soit ef­
fectuée parallèlement à la préparation
de la certification ISO/IEC 27001:2005.
Dans ce cas, il est à prévoir que l’auditeur
ISO/IEC 27001:2005 accrédité chargé de
procéder à l’audit de certification ISO/
IEC 27001:2005 sera également un audi­
teur accrédité par la WLA . Afin d’être
certifié WLA-SCS :2012, un membre de la
WLA doit avoir un certificat ISO/IEC
27001:2005 valide, à jour et de champ
d’application global.
4. Certification
WLA-SCS :2012
4.1 Transition du WLA-SCS :2006
au WLA-SCS :2012
Après l’adoption du WLA-SCS :2012 par
l’Assemblée générale le 12 septembre
2012 à Montréal, le WLA SRMC a ins­
tauré une période de transition de six
mois. Pendant cette période, qui s’étend
jusqu’au 12 mars 2013, les membres de la
WLA qui souhaitent être certifiés auront
plusieurs options: soit l’option du certi­
ficat WLA-SCS :2006 ou l’option du cer­
tificat WLA-SCS :2012. Les organisations
membres qui demandent la certification
pour la première fois peuvent choisir
d’être certifiées soit WLA-SCS :2006 soit
WLA-SCS :2012. De même, les organi­
sations membres qui sont déjà certifiées
WLA-SCS :2006, dont la certification
expire pendant la période de transition
de six mois, peuvent choisir d’être cer­
tifiées à nouveau WLA-SCS :2006 ou
WLA-SCS :2012.
Les organisations membres déjà certi­
fiées WLA-SCS :2006 et dont la certifica­
tion est valable au-delà du 12 mars 2013
peuvent choisir d’être certifiées à nou­
veau WLA-SCS :2012 avant l’expiration
de leur certification WLA-SCS :2006.
Après le 12 mars 2013, toutes les nouvelles
certifications et les confirmations de cer­
tifications seront WLA-SCS :2012. À par­
tir du 12 mars 2016, toutes les certifica­
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
tions WLA-SCS :2006 cesseront d’être
valides.
4.2 Préparation de la certification
Au début du processus de certification,
un membre de la WLA doit informer la
WLA de son intention de faire une de­
mande de certification WLA-SCS :2012.
Il doit contacter soit le bureau commer­
cial de la WLA à Bâle, soit un membre du
WLA SRMC , soit un auditeur accrédité
par la WLA . Les coordonnées de chacune
de ces entités sont disponibles sur le site
Internet de l’association, à l’adresse www.
world-lotteries.org.
Le membre de la WLA peut procéder à
l’analyse des écarts existant entre son sys­
tème de sécurité, d’intégrité et de gestion
des risques et le WLA-SCS :2012 avant
l’audit de certification. L’étude de la
norme ISO/IEC 27001:2005 et de la
documentation WLA-SCS :2012 peut ai­
der à déterminer dans quelle mesure les
opérations d’une organisation membre
de la WLA satisfont aux exigences de ces
normes. Cette étape n’est pas obligatoire,
mais elle peut s’avérer très utile pour
vous aider à déterminer si votre organisa­
tion est prête à être l’objet d’un audit ex­
terne. Le membre de la WLA peut alors
élaborer un plan d’action afin de corriger
les écarts constatés au cours de l’analyse
(une analyse d’écarts n’est pas générale­
ment effectuée par un prestataire de ser­
vices d’évaluation mais par le personnel
interne ou des consultants).
Afin de l’aider à se préparer pour la cer­
tification, un membre de la WLA peut
avoir recours à un prestataire de services
d’évaluation proposant des services de
pré-évaluation à tout moment au cours
de la préparation à la certification.
4.3 Sélection d’un prestataire de
services d’évaluation
La WLA a accrédité un certain nombre
de prestataires de services d’évaluation
spécifiques susceptibles de fournir des
services d’évaluation à ses membres dési­
reux d’obtenir la certification WLA-SCS .
Le prestataire de services d’évaluation
désigné est responsable de la supervision
de l’auditeur accrédité par la WLA char­
gé de mener l’audit d’évaluation.
WLA SRMC afin de pouvoir mener
des audits WLA-SCS :2012. Cette
option est recommandée si le
membre de la WLA entreprend une
certification ISO/IEC 27001:2005
et une certification WLA-SCS :2012
en parallèle.
Les membres de la WLA désireux d’obte­
nir la certification peuvent choisir l’un
des nombreux prestataires de services
d’évaluation agréés par la WLA . Il s’agit
de prestataires de services de certification
ayant conclu un contrat avec la WLA .
Une liste des prestataires de services
d’évaluation agréés par la WLA ainsi que
de leurs auditeurs accrédités par la WLA
est fournie dans la Partie A, section 5,
page 12 du présent document. Cette liste
est également disponible sur le site Inter­
net de l’association, à l’adresse www.
world-lotteries.org. Seuls des prestataires
de services d’évaluation ayant conclu un
contrat de services d’évaluation avec la
WLA sont habilités à procéder aux certi­
fications. Le contrat de services d’évalua­
tion stipule que les auditeurs individuels
employés par un prestataire de services
d’évaluation pour mener des audits
WLA-SCS auront l’approbation préa­
lable de la WLA . Il est recommandé que
le membre de la WLA souhaitant être
certifié WLA-SCS s’assure que l’auditeur
désigné par le prestataire de services
d’évaluation pour effectuer l’audit WLASCS est bien un auditeur accrédité par
la WLA .
• choisir de faire appel à des entités
(auditeurs) distinctes pour la
certification ISO/IEC 27001:2005 et
pour la certification WLA-SCS .
Dans ce cas, il n’est pas nécessaire que
l’auditeur ISO/IEC 27001:2005 soit
un auditeur accrédité par la WLA .
Cette option convient lorsque
le membre de la WLA est déjà certifié
ISO/IEC 27001:2005 et que l’audi­
teur ISO/IEC 27001:2005 n’est
pas disponible ou n’est pas accrédité
pour procéder à des audits de
certification WLA-SCS :2012 ou s’il
est plus efficace pour le membre
de la WLA de confier sa certification
ISO/IEC 27001:2005 à un auditeur
local et de choisir un auditeur
de certification WLA-SCS :2012 sur
la liste des auditeurs accrédités
par la WLA .
4.4 Sélection d’un auditeur
Les membres de la WLA disposent de
plusieurs options pour choisir un audi­
teur. Ils peuvent:
• choisir de faire appel au même
auditeur pour les audits ISO/IEC
27001:2005 et pour les audits
WLA-SCS :2012. Dans ce cas,
l’auditeur ISO/IEC 27001:2005 doit
également être accrédité par le
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
Pour des raisons de cohérence, la WLA
recommande aux loteries de faire appel à
un seul et même auditeur pour la certifi­
cation ISO/IEC 27001:2005, pour la cer­
tification WLA-SCS :2012 et pour les au­
dits annuels, que les certifications ISO/
IEC 27001:2005 et WLA-SCS :2012 soient
menées de front ou non. La WLA admet
toutefois que, dans certains cas, cela n’est
pas possible.
Un membre de la WLA désireux d’obte­
nir la certification WLA-SCS :2012 a éga­
lement la possibilité de:
• proposer à la WLA d’accréditer un
professionnel qualifié spécifique
qui n’a pas encore reçu l’agrément du
WLA SRMC pour mener des
audits d’évaluation. Sous réserve
9
➞
Partie A
Directives de certification pour les membres de la WLA
➞
d’obtenir l’agrément du WLA SRMC
et de conclure un contrat officiel
avec la WLA et le prestataire de
services d’évaluation, ces profession­
nels qualifiés peuvent procéder à
des audits d’évaluation pour la
certification WLA-SCS . Cette option
convient si le membre de la WLA
a une préférence concernant
un professionnel qualifié auquel il
souhaite faire appel pour mener
son audit ou si, pour une raison ou
pour une autre, un membre de
la WLA ne parvient pas à trouver un
auditeur dans la liste des auditeurs
accrédités par la WLA .
Tableau 1: Effort en nombre de jours d’audit pour couvrir tous les sites à
l’intérieur du même établissement d’une organisation de loterie ou de jeux
Évaluation
initiale
Évaluation
annuelle
Évaluation de
recertification
< = 200 employés
(à intérieur du
périmètre,
hors détaillants)
2 jours
1 jour
2 jours
200 – 500 employés
3 jours
1 jour
3 jours
> = 500 employés
3 jours
2 jours
3 jours
Taille de la loterie
(en équivalents temps
plein)
➞ Pour toute information complémen-
taire sur les modalités d’agrément d’un
professionnel qualifié par la WLA,
veuillez vous reporter à la Partie B,
section 1, page 20.
À noter qu’un auditeur accrédité par la
WLA peut travailler en tant que presta­
taire indépendant. Dans ce cas, l’auditeur
est à la fois un auditeur accrédité par la
WLA et un prestataire de services de cer­
tification. Pour toute information com­
plémentaire sur cette situation, veuillez
vous reporter à la Partie B, section 3.1,
page 22.
4.5 Processus de certification
4.5.1 Déclaration d’évaluation
Avant de commencer l’audit, les audi­
teurs accrédités par la WLA doivent
confirmer leurs projets en remplissant un
formulaire de déclaration d’évaluation et
en le renvoyant à la WLA . La déclaration
d’évaluation informe la WLA du choix
du prestataire de services d’évaluation,
de l’auditeur accrédité par la WLA et du
champ d’application proposé, qui doit
fournir une description précise de l’en­
semble des opérations de loterie et de jeu.
Un exemple de formulaire de déclaration
d’évaluation est fourni dans la Partie C,
10
page 24. Le formulaire en vigueur est
disponible au format électronique sur
le site Internet de la WLA , à l’adresse
www.world-lotteries.org. Des instructions
concernant le remplissage du formulaire
de déclaration d’évaluation et son envoi
à la WLA sont également disponibles
dans la Partie C, section 2, page 23.
4.5.2 Évaluation
Le processus d’évaluation commence dès
que le membre de la WLA engage un
auditeur accrédité par la WLA par l’in­
termédiaire d’un prestataire de services
d’évaluation accrédité par la WLA . Le
processus ne peut commencer qu’une
fois qu’un contrat de services d’évalua­
tion a été conclu entre le prestataire de
services d’évaluation et la WLA et que
l’auditeur a reçu l’agrément de la WLA .
L’auditeur accrédité par la WLA con­
firmera que la certification ISO/IEC
27001:2005 du membre est valable et a un
champ d’application global, notamment
en ce qui concerne les exigences SMSI .
L’auditeur procèdera ensuite à l’évalua­
tion de la conformité du membre de la
WLA à la WLA-SCS :2012. Si le membre
de la WLA n’est pas encore certifié ISO/
IEC 27001:2005, les audits ISO/IEC
27001:2005 et WLA-SCS :2012 peuvent
être menés de front.
4.5.3 Durée de l’audit
Bien que le prestataire de services d’éva­
luation porte l’entière responsabilité de
la définition des ressources nécessaires et
du calendrier approprié pour la réalisa­
tion d’un audit WLA-SCS :2012, le WLA
SRMC estime qu’il est nécessaire de don­
ner quelques indications sur le nombre
de jours à prévoir pour mener l’audit.
Respectueux du principe de concurrence
loyale dans un marché libre, le WLA
SRMC présente ces indications comme
un moyen de fournir un niveau commun
d’assurance en ce qui concerne les res­
sources disponibles pour la réalisation
d’un audit WLA-SCS et pour assurer un
système de certification cohérent. Ce fai­
sant, le WLA SRMC espère maintenir la
confiance des membres ainsi que des
règles du jeu équitables entre les presta­
taires de services d’évaluation. Dans cet
esprit, le tableau suivant peut servir à dé­
terminer la durée d’un audit dans une
organisation donnée de loterie ou de jeu.
L’estimation repose sur la taille de l’orga­
nisation en fonction du nombre de ses
employés (voir le tableau 1).
4.6 Résultat de la certification
Une fois l’évaluation terminée, l’auditeur
accrédité par la WLA doit:
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
• remplir un rapport d’audit détaillé
destiné au membre de la WLA .
• remplir un formulaire d’évaluation
et le renvoyer à la WLA .
• La WLA décidera alors d’accepter
ou de refuser la certification en
s’appuyant sur la recommandation
formulée par l’auditeur dans le
formulaire d’évaluation qui lui a été
soumis.
4.6.1 Rapport d’audit
Le rapport d’audit détaillé est préparé
par l’auditeur accrédité par la WLA pour
le membre de la WLA . Ce rapport docu­
mente l’audit de certification et son ré­
sultat. Le contenu et le format du rapport
sont laissés à la discrétion de l’auditeur.
Le rapport d’audit de certification est la
propriété du membre de la WLA et doit
être considéré comme strictement confi­
dentiel. Ni la WLA , ni aucune autre
partie que l’auditeur de certification, le
prestataire de services d’évaluation et le
membre de la WLA concerné ne doivent
avoir accès au rapport d’audit relatif à la
certification WLA-SCS . Veuillez vous
reporter à la Partie C, section 4, page 34.
4.6.2 Formulaire d’évaluation
Une fois l’évaluation terminée, l’auditeur accrédité par la WLA doit remplir
un formulaire d’évaluation et le renvoyer
à la WLA . Un exemple de formulaire
d’évaluation est fourni dans la Partie C,
page 27. Le formulaire en vigueur est
disponible au format électronique sur
le site Internet de la WLA , à l’adresse
www.world-lotteries.org. Des instructions
concernant le remplissage du formulaire
d’évaluation et son envoi à la WLA sont
disponibles dans la Partie C, section 3,
page 26.
4.6.3 Recommandation de l’auditeur
accrédité par la WLA
Le formulaire d’évaluation transmis à la
WLA sert de base à la délivrance de la
certification WLA-SCS :2012. La WLA
accordera ou refusera la certification en
s’appuyant sur la recommandation for­
mulée par l’auditeur accrédité par la
WLA dans le formulaire d’évaluation.
4.7 Délivrance des certificats
WLA-SCS :2012
Si le membre de la WLA se voit accorder
la certification, la WLA lui délivrera le
certificat WLA-SCS :2012 officiel et le lui
enverra accompagné d’une facture de
1500 CHF . Ce montant sert à couvrir le
développement et la maintenance du
programme Sécurité et Gestion des
risques de la WLA . Les frais facturés par
la WLA ne couvrent pas les honoraires de
l’auditeur, qui seront facturés directe­
ment au membre par le prestataire de
services d’évaluation avec lequel il a choi­
si de travailler. L’auditeur doit s’assurer
que le membre certifié de la WLA a
connaissance des frais d’audit de de certification de 1500 CHF avant de commencer
l’évaluation.
Le certificat WLA-SCS :2012 confirme
que le membre de la WLA est certifié
WLA-SCS :2012. Le certificat inclura les
détails suivants:
• la date de la première certification
WLA-SCS ;
• la date et la validité de la certification
actuelle; la durée de la certification
en années;
• la référence de la certification ISO/
IEC 27001:2005 et son champ
d’application plus le nom de l’orga­
nisme certificateur ISO 27001;
• le champ d’application de la
certification WLA-SCS , y compris
les conditions de la certification
(contrôles non applicables,
par exemple);
4.8 Audits annuels obligatoires
Au terme de l’évaluation, l’auditeur ac­
crédité par la WLA proposera un calen­
drier de deux audits de contrôle annuels
en concertation avec le membre de la
WLA . Ces audits de contrôle obligatoires
visent à assurer que le membre de la
WLA maintient sa conformité durant les
trois années qui séparent la certification
de la recertification. Les audits annuels
portent également sur les éventuels chan­
gements survenus au sein de l’organisa­
tion depuis le précédent audit.
Le cycle d’audit de trois ans comprend
l’audit de certification et les deux audits
annuels de contrôle. Bien que ce cycle
de trois ans s’appuie sur une méthode
d’échantillonnage, tous les contrôles de
l’annexe A et les contrôles applicables de
l’annexe B doivent être couverts par
l’évaluation initiale et par l’évaluation de
recertification. Lors d’une vérification
annuelle obligatoire, les contrôles de
l’annexe A et les contrôles applicables de
l’annexe B seront effectués par échan­
tillonnage. Toutefois, la validité du certi­
ficat ISO/IEC 27001:2005 et son champ
d’application global doivent être vérifiées
à chaque audit annuel. Tous les contrôles
de l’annexe A et les contrôles applicables
de l’annexe B contrôle doivent avoir été
audités au moins une fois pendant le
cycle d’audit de trois ans.
4.9 Recertification
Un membre de la WLA certifié WLASCS :2012 peut être rectifié à l’expiration
de sa certification WLA-SCS :2012 en re­
lançant un nouveau processus de certi­
fication. Le processus de recertification
doit commencer avant l’expiration de la
certification WLA-SCS :2012.
• le nom du prestataire de services
d’évaluation qui a procédé à
la certification.
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
11
Partie A
Directives de certification pour les membres de la WLA
5. Prestataires de services
d’évaluation et auditeurs
accrédités par la WLA
La liste ci-dessous présente les presta­
taires de services d’évaluation approuvés
par la WLA ainsi que les auditeurs accré­
dités par la WLA et employés par ces
prestataires. Le nombre de prestataires de
services d’évaluation agréés par la WLA
et le nombre d’auditeurs accrédités par la
WLA étant en constante augmentation,
Prestataire de services d’évaluation
la liste n’est à jour qu’au moment de sa
publication dans les présentes directives.
Pour obtenir la version la plus récente de
cette liste, veuillez vous reporter au site
Internet de la WLA à l’adresse www.
world-lotteries.org.
Auditeurs accrédités par la WLA
AENOR – Asociación Española de Normalización y Certificación
Génova, 6
28004 Madrid
Espagne
Téléphone +34 914 326 000
Fax +34 913 103 172
[email protected]
www.aenor.es
Agustín Senent Sánchez
[email protected]
Téléphone +1 506 850 51 40
Thomas Bierbach
[email protected]
Boris Delgado Riss
[email protected]
BMM Testlabs
77 Vaughn Harvey Blvd.
Suite 101
Moncton
NB E1C 0K2
Canada
BrightLine CPAs & Associates, Inc.
1300 N. West Shore Boulevard
Suite 240
Tampa, FL 33607
États-Unis
Téléphone +1 866 254 00 00
Fax +1 866 971 70 70
www.brightline.com
Brian J. Kerr
[email protected]
Ryan Mackie
[email protected]
Rahul Suchde
[email protected]
British Standards Institute (BSI)
Kitemark Court
Davy Avenue
Knowlhill
Milton Keynes
MK5 8PP
Royaume-Uni
Téléphone +44 845 080 90 00
Fax +44 190 822 81 80
www.bsigroup.com
Jason Blake
[email protected]
Dr. Peter Katona
[email protected]
Agustin Lerma
[email protected]
Jesus Rosas Medina
[email protected]
Shane Nash
[email protected]
Tony Steinegger
[email protected]
Irvine Taylor
[email protected]
Kleber Martins Vassão (Brésil)
[email protected]
12
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
Prestataire de services d’évaluation
Auditeurs accrédités par la WLA
Certification Europe Ltd.
Block 20A
Beckett Way
Parkwest Business Park
Dublin 12
Irelande
Téléphone +353 1 679 66 66
Fax +353 1 620 55 35
www.certificationeurope.com
William Bragg
[email protected]
Téléphone +47 67 57 99 00
Fax +47 67 57 99 11
[email protected]
www.dnvba.com
Elin Lunde Haaland
DNV Certification Lead Auditor
Téléphone +47 90 566 716
[email protected]
DNV Business Assurance
Veritasveien 1
N-1322 Høvik
Norvège
EJ Bauman (Amérique du Nord)
[email protected]
Heinz Budde
[email protected]
Franco Vincenzo Ferrari
[email protected]
Giovanni Francescutti
[email protected]
Jan Ekberg
[email protected]
Balvander Matu
[email protected]
Fabrizio Monteleone
[email protected]
Vladimir Prodan
[email protected]
Morten Stig
[email protected]
Ernst & Young CertifyPoint
Euclideslaan 1
3584 BL, Utrecht
Pays-Bas
Pour toute information veuillez contacter:
Jatin Sehgal
Téléphone +31 88 407 33 48
Portable +31 62 908 48 25
[email protected]
Fax +31 88 407 30 90
EY/Comm 73348
www.ey.com
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
Ad Buckens (Pays-Bas)
[email protected]
Rosaria Pepicelli (Australie)
[email protected]
Gavin Ryan (Australie)
[email protected]
Tom Vreeburg (Pays-Bas)
[email protected]
13
Partie A
Directives de certification pour les membres de la WLA
Prestataire de services d’évaluation
Auditeurs accrédités par la WLA
GLI Test Labs Canada ULC (dba TST, a GLI company)
6400 Roberts Street
Suite 210
Burnaby, British Columbia, V5G 4C9
Canada
Téléphone +1 778 331 07 94
www.tstglobal.com
www.gaminglabs.com
Greg Doucette
Director Lottery Services
Téléphone +1 506 961 7765
[email protected]
Téléphone +972 886 611 55
Portable +972 523 866 591
Fax +972 894 640 51
www.grseecon.com
Ben Ben Aderet
QSA, PA QSA
Co-Founder
[email protected]
Téléphone +31 20 656 78 90
Fax +31 20 656 77 00
www.kpmg.nl
Deborah Hofland
[email protected]
GRSee Consulting
7 Openheimer St.
Suite 14
Rehovot 76620
Israël
KPMG IT Advisory, Netherlands
Postbus 74500
1070 DB Amsterdam
Pays-Bas
Schweizerische Vereinigung für Qualitäts- und
Management-Systeme (SQS)
Bernstrasse 103
3052 Zollikofen
Suisse
Téléphone +41 31 910 35 35
Fax +41 31 910 35 45
www.sqs.ch
Claude Otz
[email protected]
Erwin Peter
[email protected]
Société Générale de Surveillance SA (SGS)
1, place des Alpes
1211 Genève 1
Suisse
Téléphone +41 22 739 91 11
Fax +41 22 739 98 86
www.sgs.com
Pour toute information veuillez contacter:
Anne Legendre
[email protected]
Direct line +41 22 739 92 11
Direct fax +41 739 98 80
Paolo Cannarsa
Jean-Marc Valentin
SGS Société Générale De Surveillance SA
SGS HUNGÁRIA KFT
1124 Budapest Sirály u. 4.
1531 Budapest Pf. 25.
Budapest, 1531
Hongrie
14
Téléphone +06 1 309 33 00
Fax +06 1 309 33 33
Antal Somogyi
[email protected]
István Stipkovits
[email protected]
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
Prestataire de services d’évaluation
Auditeurs accrédités par la WLA
TÜV HELLAS
282 Mesogeion Av.
155 62 Athens
Grèce
Téléphone +30 210 654 01 95
Fax +30-210-652 80 25
Zafiris Kovras
[email protected]
TÜV NORD Austria GmbH
Mooslackengasse 17
1190 Vienna
Autriche
Pour toute information veuillez contacter:
Isabella Kauf
Téléphone +43 1 211 13 - 3121
[email protected]
TÜV SÜD Management Service GmbH
Ridlerstrasse 65
80339 München
Allemagne
Téléphone +49 89 5791 25 00
Fax +49 89 5791 21 91
[email protected]
www.tuev-sued.de/management_systeme
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
Werner Pollert
[email protected]
15
Partie A
Directives de certification pour les membres de la WLA
6. Le comité Sécurité et
Gestion des risques de
la WLA
Le Comité Sécurité et Gestion des risques
de la WLA est actif depuis la fondation
de la WLA en 1999. L’un de ses domaines
de responsabilité les plus importants est
le maintien et le développement perma­
nent du standard WLA-SCS . Le comité
émet également des recommandations
aux membres sur des questions liées à la
sécurité et tient régulièrement des sémi­
naires sur la sécurité pour la WLA .
Thierry Pujol
Président du Comité
Française des Jeux
France
[email protected]
Evangelos Cosmidis, PhD
General Manager
Finance, Administration,
Engineering Services
OPAP Services S.A.
Grèce
[email protected]
Daniel Mareschal
Loterie Nationale
Belgique
[email protected]
Dr. Carlos Bachmaier
Vice-Président du Comité
Sociedad Estatal de Loterías y
Apuestas del Estado
SELAE/STL
Espagne
[email protected]
Denis Daly
Loto-Québec
Canada
[email protected]
Gunnar Ewald
LOTTO Hamburg GmbH
Allemagne
[email protected]
Driss Hamdoune
La Marocaine des Jeux et des Sports
Maroc
[email protected]
Jim Haynes
Nebraska Lottery
États-Unis
[email protected]
Dong Hong Fang
Director, Technology Management
China Sports Lottery
Chine
[email protected]
Paul Jay
Camelot Group plc
The National Lottery
Royaume-Uni
[email protected]
Dawid Muller
Gidani (Pty) Ltd
Afrique du Sud
[email protected]
Itamar de Carvalho Pereira
Caixa Econômica Federal
Brésil
[email protected]
Jean-Jacques Riera
Française des Jeux
France
[email protected]
Erich Schuster
Österreichische Lotterien GmbH
Autriche
[email protected]
Jan Seuri
Veikkaus Oy
Finlande
[email protected]
Jan Stewart
Lotterywest
Australie
[email protected]
Edgardo Siccatto
Loteria Nacional S.E.
Argentine
[email protected]
Trond Laupstad
Norsk Tipping AS
Norvège
[email protected]
16
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
7. Membres certifiés de
la WLA
La liste ci-dessous présente les membres
de la WLA qui ont été certifiés WLASCS . La liste n’est à jour qu’au moment
de sa rédaction. Pour obtenir la version la
Pays
Loterie
plus récente de cette liste, veuillez vous
reporter au site Internet de la WLA , à
l’adresse www.world-lotteries.org.
Date du certificat initial
(jour, mois, année)
Fin de validité
(jour, mois, année)
Afrique du Sud
Gidani (Proprietary) Limited
31. 8. 2012
31. 8. 2015
Allemagne
Bremer Toto Lotto GmbH, Bremen
19. 8. 2010
19. 8. 2013
Deutsche Klassenlotterie, Berlin
11. 5. 2009
27. 4. 2015
Land Brandenburg Lotto GmbH, Potsdam
6. 10. 2011
6. 10. 2014
Lotterie-Treuhandgesellschaft mbH, Hessen
25. 5. 2010
16. 7. 2016
Lotterie-Treuhandgesellschaft mbH, Thüringen
6. 12. 2007
14. 12. 2013
LOTTO Hamburg, Hamburg
9. 5. 2006
28. 7. 2016
Lotto Rheinland-Pfalz, Rheinland-Pfalz
23. 9. 2003
26. 5. 2014
Lotto-Toto GmbH, Sachsen-Anhalt
1. 8. 2006
1. 8. 2015
NordwestLotto Schleswig-Holstein GmbH & Co. KG, Schleswig-Holstein
26. 9. 2000
3. 9. 2013
Saarland-Sporttoto GmbH, Saarbrücken
3. 10. 2009
3. 10. 2014
Sächsische-LOTTO GmbH, Sachsen
5. 9. 2007
5. 11. 2016
Staatliche Lotterieverwaltung, Bayern
31. 7. 2008
6. 7. 2014
Staatliche Toto-Lotto GmbH, Baden-Württemberg
18. 9. 2008
11. 3. 2016
Toto-Lotto Niedersachsen GmbH, Hannover
23. 12. 2005
4. 2. 2014
Verwaltungsgesellschaft Lotto und Toto in Mecklenburg-Vorpommern mbH, Rostock
22. 11. 2011
22. 11. 2014
Westdeutsche Lotterie GmbH & Co. OHG, Münster
17. 9. 2007
17. 9. 2016
Australie
Lotterywest
25. 3. 2011
25. 3. 2014
SA Lotteries
7. 3. 2012
7. 3. 2015
Autriche
Österreichische Lotterien GmbH
21. 6. 2004
2. 9. 2016
Belgique
Loterie Nationale
2. 7. 2004
19. 1. 2015
Bosnie-Herzégovine
Lutrija Bosne i Hercegovine
11. 12. 2012
11. 12. 2015
Brésil
Caixa Economica Federal
18. 12. 2012
18. 12. 2015
Canada
Atlantic Lottery
21. 3. 2011
21. 3. 2014
Loto-Québec
9. 6. 2011
9. 6. 2014
Croatie
Hrvatska Lutrija d.o.o.
25. 10. 2012
25. 10. 2015
Denmark
Danske Spil A/S
2. 12. 2005
1. 4. 2015
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
➞
17
Partie A
Directives de certification pour les membres de la WLA
Pays
Loterie
➞
Date du certificat initial
(jour, mois, année)
Fin de validité
(jour, mois, année)
Espagne
Sociedad Estatal de Loterías y Apuestas del Estado (SELAE), Madrid
31. 12. 2003
23. 11. 2014
Organización Nacional de Ciegos Españoles 19. 5. 2006
19. 5. 2015
(O.N.C.E.), Madrid
Estonie
Eesti Loto
9. 11. 2007
9. 11. 2013
Finlande
Veikkaus Oy
17. 1. 1999
3. 11. 2015
France
Française des Jeux (FDJ)
15. 6. 2003
24. 11. 2014
Hongrie
Szerencsejáték Zrt.
2. 9. 2012
2. 9. 2015
Irelande
An Post National Lottery Company
13. 12. 2006
16. 11. 2015
Islande
Íslensk Getspá
4. 12. 2009
11. 10. 2015
Italie
GTECH S. p. A.
16. 11. 2009
26. 7. 2015
Sisal S. p. A.
19. 7. 2013
19. 7. 2016
Lettonie
VAS Latvijas Loto
15. 11. 2008
15. 11. 2014
Lituanie
UAB Olifeja Inc.
21. 10. 2009
21. 10. 2015
Luxembourg
Loterie Nationale
12. 7. 2004
17. 9. 2016
Maroc
La Marocaine des Jeux et des Sports
28. 3. 2013
28. 3. 2016
Mexique
Lotería Nacional para la Asistencia Pública
28. 10. 2010
28. 10. 2016
Pronósticos para la Asistencia Pública
3. 4. 2009
30. 9. 2014
Norvège
Norsk Tipping AS
1. 7. 2003
1. 7. 2014
Pays-Bas
De Lotto, Rijswijk
28. 10. 2011
28. 10. 2014
Nederlandse Staatsloterij, Den Haag
18. 7. 2007
18. 7. 2016
Portugal
Santa Casa de Misericórdia de Lisboa
14. 7. 2004
14. 7. 2016
Royaume-Uni
The National Lottery /Camelot Group plc
25. 9. 2003
31. 12. 2015
Slovénie
Loterija Slovenije, d.d.
26. 10. 2011
26. 10. 2014
Suède
AB Svenska Spel
29. 3. 2004
11. 4. 2016
Suisse
Société de La Loterie de la Suisse Romande, Lausanne
4. 1. 2009
16. 2. 2015
Swisslos Interkantonale Landeslotterie, Basel
4. 1. 2009
4. 1. 2015
Uruguay
Banca de Cubierta Colectiva de Quinielas de Montevideo
18. 5. 2012
18. 5. 2015
18
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
Membres associés de la WLA certifiés:
Pays
Organisation
Date du certificat initial
(jour, mois, année)
Fin de validité
(jour, mois, année)
Autriche
Scientific Games International GmbH, European Systems Operations
4. 3. 2011
4. 3. 2014
Chine
China Vanguard Group Ltd.
13. 12. 2011
13. 12. 2014
Shenzhen General Lottery Technology Co., Ltd.
6. 8. 2013
6. 8. 2016
Espagne
Sistemas Técnicos de Loterías del Estado S.A. (STL)
8. 12. 2008
20. 11. 2014
États-Unis
GTECH Corporation
2. 12. 2010
2. 12. 2013
Grèce
Intralot S.A.
1. 8. 2008
10. 7. 2015
Hongrie
Scientific Games Szerencsejaték Szolgaltatasok Kft.
22. 3. 2012
22. 3. 2015
Islande
Betware
7. 2. 2011
7. 2. 2014
Suisse
GP Game Print SA
22. 11. 2011
22. 11. 2014
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
19
Partie
B
1.
Principes directeurs concernant l’accréditation des auditeurs
Affiliation des auditeurs
de certification et des
prestataires de services
d’évaluation
Seuls les auditeurs accrédités par la WLA
et employés, mandataires ou sous-trai­
tants d’un prestataire de services d’éva­
luation agréé par la WLA peuvent pro­
céder à la certification des membres de
la WLA au standard WLA-SCS :2012.
Une organisation désireuse de proposer
des services d’évaluation, qui n’a pas
déjà reçu l’agrément de la WLA pour
fournir des services d’évaluation WLASCS :2012, peut être agréée par la WLA
pour pro­poser de tels services en
concluant un accord de services d’éva­
luation avec la WLA . Les organisations
désireuses de proposer des services de
certification souhaitant recevoir l’agré­
ment de la WLA pour mener des audits
d’évaluation doivent se reporter à la
Partie B, section 3, page 22 pour plus de
détails.
Un membre de la WLA ou un prestataire
de services d’évaluation accrédité, qui
dispose d’auditeurs déjà accrédités par la
WLA peut recommander un profes­
sionnel pour mener des audits de certifi­
cation WLA-SCS :2012. Le professionnel recommandé doit être accrédité
par la WLA avant de mener un audit
WLA-SCS .
Les auditeurs souhaitant être accrédités
par la WLA pour effectuer des évalua­
tions WLA-SCS doivent lire ce qui suit
pour plus de détails.
20
2. Qualification en tant
qu’auditeur accrédité par
la WLA
Afin d’assurer la validité de l’audit WLASCS , il est essentiel que les auditeurs qui
cherchent à réaliser des audits pour le
WLA-SCS reçoivent l’approbation préa­
lable de la WLA . Les auditeurs doivent
recevoir une accréditation WLA avant
de commencer l’audit WLA-SCS d’un
membre de la WLA .
Pour être accrédité par la WLA , les pro­
fessionnels qualifiés doivent demander
leur accréditation à la WLA en procédant
comme suit:
1. L’auditeur potentiel doit contacter
la WLA et déposer un dossier
complet de candidature, en anglais,
accompagné de toutes les pièces
justificatives à l’appui de sa demande.
Le dossier doit comprendre une
lettre officielle de recommandation
d’un membre de la WLA ou d’un
prestataire de services d’évaluation
agréé qui emploie des auditeurs
accrédités par la WLA . Le dossier du
candidat est ensuite transmis
au WLA SRMC pour évaluation.
2. Le WLA SRMC évalue l’expertise
et l’expérience du candidat
en s’appuyant sur les documents
justificatifs fournis.
3. Si tous les critères sont remplis,
le candidat est accrédité. L’approba­
tion officielle de l’accréditation
est transmise par le SRMC à la WLA
et le candidat est officiellement
informé. La WLA ne facture aucun
frais pour l’accréditation des
auditeurs.
À noter qu’un auditeur potentiel peut
également être un prestataire de services
d’évaluation. Cette situation peut se pro­
duire, par exemple, lorsque l’auditeur est
un travailleur indépendant. Dans ce cas,
l’auditeur doit être accrédité par la WLA
et doit conclure un contrat de services
d’évaluation avec la WLA .
➞ Pour toute information complémen-
taire sur cette situation, veuillez
vous reporter à la Partie B, section 3.1,
page 22.
Afin d’éviter toute apparence de conflit
d’intérêts, les auditeurs accrédités par la
WLA ne doivent pas avoir fourni de ser­
vices de conseil au membre de la WLA ni
avoir procédé à un audit de pré-évalua­
tion pour le membre de la WLA au cours
des deux années précédant l’audit WLASCS du membre de la WLA .
2.1 Exigences documentaires
Un auditeur («le candidat») désireux
d’obtenir une accréditation de la part de
la WLA afin de mener des évaluations de
conformité au WLA-SCS doit satisfaire
aux critères suivants. Le candidat doit:
• être activement impliqué dans le
secteur des systèmes d’information;
• posséder une expérience minimale de cinq ans en tant qu’auditeur
certifié;
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
• être certifié en tant que:
– auditeur ISO/IEC 27001:2005
(par l’IRCA ou un organisme équi­ valent internationalement
reconnu);
– auditeur de systèmes d’information
certifié (CISA) par l’ISACA ;
– ou auditeur interne certifié (CIA)
par l’IIA .
Toutes les certifications mentionnées cidessus doivent être en règle et valables
pour une période de temps suffisante pour
couvrir toutes les évaluations prévues. Les
formulaires d’évaluation signés par des
auditeurs dont la certification n’est pas en
règle sont nuls et, de ce fait, rendent toute
certification WLA-SCS non valide.
Il est conseillé aux membres de la WLA
souhaitant obtenir la certification WLASCS de s’assurer que les titres de compétence de l’auditeur de leur choix sont valables et à jour.
Afin de déterminer si le candidat satisfait
aux critères ci-dessus et pour garantir la
qualité de l’audit et la valeur de la certi­
fication WLA-SCS :2012, les justificatifs
suivants devront être fournis à la WLA :
• une lettre officielle de recommanda­
tion de la part du membre de la
WLA ou du prestataire de services
d’évaluation agréé par la WLA
employant des auditeurs accrédités
par la WLA . Cette lettre doit inclure
une brève description des qualifi­
cations, des compétences et de
l’expérience du candidat, ainsi qu’une
évaluation de sa capacité à effectuer le travail exigé par l’audit
de certification.
• le CV complet du candidat. Le format et le contenu du CV du
candidat doivent être conformes
aux indications ci-dessous.
• la preuve que le candidat est
dûment certifié en tant qu’auditeur
ISO/IEC 27001:2005, auditeur
ISACA CISA ou auditeur IIA
CIA . Toutes les certifications
doivent être valables pour
une période suffisante pour couvrir
la durée prévue du processus
d’évaluation.
Outre ce qui précède, le candidat doit
être employé, mandataire ou sous-trai­
tant d’un prestataire de services d’évalua­
tion ayant conclu un contrat de services
d’évaluation avec la WLA .
cours des cinq dernières années. Joindre
des feuilles séparées donnant des détails
et des documents en appui, le cas échéant.
Expérience professionnelle
Cette section doit mentionner, pour cha­
cun des postes occupés par le candidat:
• le nom de la société, de l’organisation
ou de l’institution pour laquelle il a
travaillé;
• les dates d’emploi;
• les motifs de la cessation d’emploi;
• un résumé des principales réalisa­
tions du candidat durant la période
d’emploi.
Liste des clients
Si les pièces justificatives ci-dessus ne
peuvent être fournies, le WLA SRMC
peut, au cas par cas, accepter d’autres
modes de preuve de l’aptitude d’un can­
didat à mener des audits de certification
WLA-SCS :2012.
2.1.1 Format du Curriculum Vitae
Le CV du candidat doit comporter les
rubriques et informations suivantes:
Données personnelles
Cette section doit contenir les informa­
tions personnelles suivantes concernant
le candidat:
• nom;
• adresse;
• numéro de téléphone;
Cette section doit indiquer en détail les
clients du candidat au cours des cinq der­
nières années. Elle doit indiquer les mis­
sions de conseil impliquant des audits de
SI et des services de sécurité des SI , ayant
généré des résultats positifs, par ordre
chronologique décroissant. Pour chaque
client, les informations suivantes doivent
être fournies:
• client/institution;
• date (AAAA/MM/JJ );
• pays;
• adresse postale et adresse
électronique de la personne à
contacter chez le client;
• intitulé de la mission de conseil/
projet/résultats détaillés;
• montant du contrat.
• adresse électronique.
Formation
Expérience spécifique
Cette section doit résumer l’expérience
du candidat en matière de réalisation
d’audits de systèmes d’information (SI)/
d’audits de sécurité de l’information au
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
Cette section doit résumer la formation du candidat. Des copies certifiées
conformes des diplômes et certifications
professionnelles doivent être jointes au
CV.
21
➞
Partie B
Principes directeurs concernant l’accréditation des auditeurs
➞
Langues parlées
Cette section doit indiquer les langues
comprises par le candidat. Pour chaque
langue, le niveau de maîtrise du candidat
à l’écrit et à l’oral doit être indiqué.
Autres informations
Cette section doit contenir toutes les in­
formations complémentaires pertinentes
pour l’étude du dossier du candidat.
2.1.2 Instructions pour le dépôt des pièces
justificatives
L’ensemble des pièces justificatives de­
vront être envoyées à Paul Peinado, au
bureau de la WLA situé à Bâle, de préfé­
rence sous forme électronique, aux coor­
données ci-dessous:
E-mail [email protected]
Fax +41 61 284 1350
Les candidats ayant besoin de trans­
mettre des documents papier peuvent les
envoyer à l’adresse suivante:
The World Lottery Association
Att. Paul Peinado
Lange Gasse 20
P. O. Box
CH-4002 Bâle
Suisse
Dans tous les cas, les documents devront
être transmis au WLA SRMC pour éva­
luation et approbation finales. La WLA
se réserve le droit de refuser la demande
des candidats en cas de pièces justifi­
catives manquantes ou de dossier in­
complet. Le bureau de Bâle de la WLA
communiquera la décision du SRMC au
candidat dans un délai raisonnable. Les
documents soumis ne seront pas ren­
voyés au candidat. Seules les informa­
tions re­latives aux auditeurs accrédités
seront conservées. Toutes les autres in­
formations seront détruites.
22
2.1.3 Évaluation des candidats
À réception du dossier du candidat, le
WLA SRMC examine les références du
candidat afin de déterminer si, oui ou
non, il doit être accrédité. La décision
d’accepter ou de refuser un candidat est
fondée sur l’évaluation des pièces justifi­
catives fournies à la WLA et leur confor­
mité aux critères énoncés dans la Partie
B, section 2.1, page 20.
commercial de services d’évaluation avec
la WLA . Ce contrat spécifie les responsa­
bilités, les obligations et les limites du
prestataire de services d’évaluation au
titre de son travail en tant qu’organisme
d’audit dans le cadre du processus de
certification WLA-SCS :2012. Un exem­
plaire du contrat de services d’évaluation
peut être obtenu sur simple demande
adressée à la WLA .
Une fois l’accréditation accordée, le nom
de l’auditeur est ajouté à la liste des audi­
teurs accrédités par la WLA et la liste
mise à jour est publiée sur le site Internet
de la WLA , à l’adresse www.world-lotteries.org.
En signant le contrat de services de certi­
fication, le prestataire de services d’éva­
luation s’engage auprès de la WLA à ce
que chacun des auditeurs menant des au­
dits de certification WLA-SCS :2012 pour
son compte ait préalablement reçu l’ac­
créditation de la WLA . Seuls les audi­
teurs ayant préalablement reçu l’accrédi­
tation de la WLA sont autorisés à mener
des évaluations de conformité au WLASCS :2012. Les prestataires de services
d’évaluation doivent veiller à ce que les
formulaires d’évaluation soient dûment
signés par un auditeur accrédité par la
WLA dont les titres de compétence sont
à jour, valables et en règle.
Si la demande d’accréditation est rejetée,
le candidat est informé des motifs du re­
fus. Si les raisons du refus sont mineures
(par exemple, la certification de l’audi­
teur est sur le point d’expirer), il sera
conseillé au candidat de corriger le pro­
blème et de déposer une nouvelle de­
mande.
Si le dossier d’un candidat ne contient
pas tous les documents justificatifs re­
quis, la WLA l’en informera et lui don­
nera trois mois pour remédier à la situa­
tion. Si au bout de trois mois, le candidat
n’a pas fourni les documents justificatifs
manquants, la demande du candidat sera
annulée.
3.
Qualification en tant
que prestataire de services
d’évaluation agréé par
la WLA
3.1 Auditeurs de certification
également prestataires
de services de certification
Un auditeur peut être travailleur indé­
pendant. Dans ce cas, l’auditeur est éga­
lement le prestataire de services d’évalua­
tion. Ces personnes doivent conclure un
contrat de services de certification et ob­
tenir une accréditation délivrée par la
WLA pour pouvoir mener des évalua­
tions de conformité au WLA-SCS .
Pour pouvoir être accréditée en tant que
prestataire de services de certification,
une entité proposant des services d’éva­
luation doit conclure un contrat non
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
Partie
C
Documents à utiliser lors des
audits de certification
1. Exigences documentaires
applicables aux audits
de certification
Les auditeurs accrédités par la WLA pro­
cédant à l’évaluation WLA-SCS d’un
membre de la WLA sont tenus de prépa­
rer les documents suivants et de les trans­
mettre aux parties concernées:
1. Déclaration d’évaluation
Avant de commencer une évaluation,
l’auditeur accrédité par la WLA
doit informer la WLA de son intention de mener une évaluation
en remplissant un formulaire de
déclaration d’évaluation et en
l’envoyant à la WLA . Un exemple
de formulaire de déclaration
d’éva­luation est fourni en page 24.
Le formulaire est disponible
au format électronique sur le site
Internet de la WLA , à l’adresse
www.world-lotteries.org.
2. Évaluation
Une fois l’évaluation terminée,
l’auditeur accrédité par la WLA doit
informer la WLA que l’évaluation
est terminée en remplissant
un formulaire d’évaluation et en le
renvoyant à la WLA . Un exemple
de formulaire d’évaluation est fourni
en page 27. Le formulaire est
disponible au format électronique
sur le site Internet de la WLA ,
à l’adresse www.world-lotteries.org.
3. Rapport d’audit détaillé
Une fois l’évaluation terminée,
l’auditeur doit remplir un rapport
d’audit détaillé et le soumettre
au prestataire de services d’évalua­
tion et au membre de la WLA .
➞ Veuillez vous reporter à la Partie C,
section 4, page 34.
Dans tous les cas, il incombe à l’auditeur
et au prestataire de services d’évaluation
ayant mené l’audit de transmettre les do­
cuments relatifs à l’évaluation terminée
aux parties concernées.
2. Formulaire de déclaration
d’évaluation
Instructions pour remplir le formulaire de
déclaration d’évaluation.
Avant de commencer le processus d’audit
WLA-SCS , remplir le formulaire de dé­
claration d’évaluation comme suit:
1. indiquer la date;
2. indiquer le nom du membre de la
WLA concerné par l’audit;
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
3. compléter les rubriques 1, 2 et 3.
Rubrique 3:
cette rubrique doit décrire le champ
d’application de l’audit tel qu’il
est proposé de le faire figurer sur le
certificat WLA-SCS :2012. Elle
doit également indiquer l’émetteur
du certificat ISO/IEC 27001:2005,
si ce dernier a déjà été obtenu,
ainsi que le champ d’application du
certificat ISO/IEC 27001:2005.
La déclaration d’évaluation dûment
remplie doit être envoyée à Paul Peinado
au bureau WLA de Bâle, de préférence
sous forme électronique, aux coordon­
nées ci-dessous:
E-mail [email protected]
Fax
+41 61 284 1350
Si les auditeurs accrédités par la WLA
ont besoin de transmettre des documents
papier, ils peuvent les envoyer à l’adresse
suivante:
The World Lottery Association
Att. Paul Peinado
Lange Gasse 20
P. O. Box
CH-4002 Bâle
Suisse
23
CONFIDEN T I E L
SPECIMEN
1/2
WLA-SCS:2012
Formulaire de déclaration d’évaluation
Notification d’une évaluation en attente
Date
Membre de la WLA concerné
Certification initiale
Recertification
1. Auditeur accrédité et prestataire de services d’évaluation qui l’emploie
Nom complet de l’auditeur
Nom du prestataire de services d’évaluation
Addresse
Téléphone bureau (y compris indicateur pays)
Téléphone mobile (facultatif, y compris indicateur pays)
Adresse électronique
2. Membre de la WLA à auditer
Nom du membre de la WLA
Addresse
Nom complet et titre
Téléphone bureau (y compris indicateur pays)
Téléphone mobile (facultatif, y compris indicateur pays)
Adresse électronique
24
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
CONFIDE N T I E L
SPECIMEN
2/2
WLA-SCS:2012
Formulaire de déclaration d’évaluation
3. Champ d’application
Indiquer le champ d’application tel
qu’il est proposé de le faire figurer sur
le certificat (30 mots maximum).
Référence et émetteur du certificat
ISO/IEC 27001:2005 s’il a déjà été obtenu
et champ d’application dudit certificat.
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
25
Partie C
Documents à utiliser lors des audits de certification
3. Formulaire d’évaluation
de contrôle de l’intégrité et
contrôles, indiquer les contrôles
Instructions pour remplir le formulaire
d’évaluation.
WLA-SCS de base qui ont été
audités.
Une fois l’évaluation terminée, remplir le
formulaire d’évaluation comme suit:
1. Cocher la case «Évaluation
WLA-SCS :2012 confirmée et termi­
née» pour confirmer que l’audit
WLA-SCS :2012 a bien été effectué.
2. Indiquer le nom du membre de la
WLA concerné par la certification.
3. Cocher la case «Une certification
ISO/IEC 27001:2005 de champ ...»
pour confirmer que le membre de la
WLA dispose d’un certificat ISO/IEC
27001:2005 valable et à jour avec un
champ d’application global.
4. Complétez avec les informations
relatives à la norme ISO/IEC
27001:2005:
• Le nom de l’organisme de certifica­
tion pour la norme ISO/IEC
21001:2005
• Le numéro d’enregistrement pour la
norme ISO/IEC 27001:2005
• La date de mise à jour du certificat de
la norme ISO/IEC 27001:2005
• La date d’expiration pour le certificat
de la norme ISO/IEC 27001:2005
• Le périmètre de certification de la
norme ISO/IEC 27001:2005. Si ceci
ne figure pas déjà dans le formulaire
pour revendiquer la conformité.
5. Complétez les sections 1 à 4 du
formulaire, comme indiqué ci-après.
• Dans la Rubrique 1:
WLA-SCS:2012 Annexe A –
Sécurité générale et objectifs
26
le contenu du formulaire d’évalua­
tion qui lui a été soumis. Pour
cette raison, il est essentiel que la
recommandation de l’auditeur soit
concise et clairement formulée.
• Dans la Rubrique 2:
WLA-SCS:2012 Annexe B –
Sécurité propre aux loteries et
aux jeux et contrôles et objectifs
de l’intégrité, indiquer les contrôles
audités et ceux qui n’étaient pas
applicables. Les exigences non
applicables doivent être mentionnées.
Par exemple, si les activités des
membres de la WLA n’incluent pas
les tirages, la section relative aux
tirages ne sera pas renseignée. Par
contre cette spécificité sera claire­
ment mentionnée sur un document
annexe remis séparément par les
auditeurs.
Tous les contrôles de l’annexe A et
les contrôles applicables de l’annexe
B doivent avoir été audités au moins
une fois pendant le cycle triennal
d’audit. Le formulaire d’évaluation
permet de s’assurer que tous les
contrôles ont été audités au moins
une fois pendant le cycle triennal
d’audit, et que le membre certifié est
resté conforme au WLA-SCS :2012.
Pour plus de détails sur les divers
formulaires d’évaluation au cours du
cycle triennal d’audit, se référer
à la Partie A section 4.8 relative aux
audits annuels obligatoires en
page 11.
• Dans la Rubrique 3:
Recommandation de l’auditeur
accrédité par la WLA, indiquer
votre recommandation concernant l’acceptation ou le refus de la
certi­fi­cation. La WLA décide
d’accorder ou de refuser la certifica­
tion en s’appuyant sur la recom­
mandation de l’auditeur et sur
• Dans la Rubrique 4:
Audits annuels obligatoires.
Indiquer les dates prévues des audits
annuels obligatoires. Ces dates
doivent être définies en concertation
avec le membre de la WLA .
Un formulaire d’évaluation doit être
rempli pour chaque audit annuel
obligatoire.
6. Signer et dater le formulaire
d’évaluation. Dans les cases prévues,
indiquer:
• le nom de l’auditeur accrédité par
la WLA , en majuscules,
• le lieu des établissements audités,
• le nom du prestataire de services
d’évaluation, en majuscules,
• l’adresse du prestataire de services
d’évaluation.
Le formulaire d’évaluation rempli doit
être envoyé à Paul Peinado au bureau
WLA de Bâle, de préférence sous forme
électronique, aux coordonnées ci-des­
sous:
E-mail [email protected]
Fax
+41 61 284 1350
Si les auditeurs accrédités par la WLA
ont besoin de transmettre des documents
papier, ils peuvent les envoyer à l’adresse
suivante:
The World Lottery Association
Att. Paul Peinado
Lange Gasse 20
P. O. Box
CH- 4002 Bâle
Suisse
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
CONFIDE N T I E L
SPECIMEN
WLA-SCS:2012
Formulaire d’évaluation
1/7
Évaluation WLA-SCS :2012 confirmée et terminée
Concerne les membres de la WLA
Certification initiale
Recertification
Une certification ISO/IEC 27001:2005 de champ d’application global a été vérifiée.
Audit annuel
Nom de l’organisme de certification ISO/IEC 27001:2005
Numéro d’enregistrement de certification ISO/IEC 27001:2005
La date de mise à jour du certificat de la norme ISO/IEC 27001:2005
La date d’expiration pour le certificat de la norme ISO/IEC 27001:2005
Le périmètre de certification de la
norme ISO/IEC 27001:2005
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
27
SPECIMEN
WLA-SCS:2012
Formulaire d’évaluation
WLA-SCS:2012 Annexe A – Sécurité générale et objectifs
de contrôle de l’intégrité et contrôles
Contrôle
G.1
Organisation de la sécurité
G.1.1
Attribution des responsabilités en
matière de sécurité
Audité
1.
G.1.1.1 Forum de la sécurité
Contrôle
G.4
Contrôle d’accès aux systèmes
de jeu
G.4.1
Gestion d’accès des utilisateurs à distance
G.1.1.2 Fonction de la sécurité
G.4.1.1 Accès des utilisateurs à distance aux systèmes
de jeu
G.1.1.3 Rattachement de la fonction de sécurité
G.4.1.2 Fonctions d’accès des utilisateurs à distance
G.1.1.4 Position de la fonction de sécurité
G.4.1.3 Journal d’accès des utilisateurs à distance
G.1.1.5 Responsabilité de la fonction de sécurité
G.2
Sécurité des ressources humaines
G.2.1
Mise en œuvre d’un code de conduite
G.2.1.1 Code de conduite
G.2.1.2 Adhésion et mesures disciplinaires
G.2.1.3 Conflits d’intérêts
G.2.1.4 Policy on hospitality or gifts
G.3
Sécurité physique et de
l’environnement
G.3.1
Zones protégées
G.3.1.1 Contrôles physiques d’entrée
G.5
Maintenance des systèmes
d’information
G.5.1
Contrôles chiffrés
2/7
Audité
CONFIDEN T I E L
G.5.1.1 Contrôles chiffrés des données sur les
systèmes portables
G.5.1.2 Contrôles chiffrés des réseaux
G.5.1.3 Contrôles chiffrés du stockage
G.5.1.4 Contrôles chiffrés des numéros de validation
G.5.1.5 Contrôles chiffrés des transferts
G.5.2
Test du système
G.5.2.1 Méthodologie et données de test
G.6
Gestion de la continuité
d’exploitation
G.6.1
Gestion des médias et disponibilité
G.6.1.1 Gestion des médias et du personnel
G.6.1.2 Approbation des actionnaires ou du Conseil
28
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
SPECIMEN
WLA-SCS:2012
Formulaire d’évaluation
WLA-SCS:2012 Annexe B –
Sécurité propre aux loteries et aux jeux et contrôles et
objectifs de l’intégrités
Contrôle
L.1
Tickets à gratter
L.1.1
Conception du jeu de grattage
L.1.1.1
Procédures formelles relatives aux tickets
à gratter
L.1.1.2
Approbation de la conception du jeu
L.1.4.2 Vérification du transport des tickets
L.1.1.3
Sélection des fournisseurs
L.1.4.3 Procédure de vérification des tickets
L.1.1.4
Exigences de sécurité
L.1.4.4 Résultat de la vérification des tickets
L.1.1.5
Contrôle qualité
L.1.4.5 Système de contrôle des tickets à gratter
L.1.1.6
Politique en matière d’audits et de tests de
laboratoire
L.1.2
Impression des tickets à gratter
L.1.2.1
Exigences en matière d’impression des tickets
à gratter
Audité
2.
Contrôle
L.1.4
Entreposage et distribution des tickets
à gratter
L.1.4.1
Audit des lieux de stockage
L.1.5
Sécurité chez les détaillants –
tickets à gratter
L.1.5.1
Réception des tickets à gratter par les
détaillants
L.1.5.2 Accusé de réception
L.1.2.2 Assurance qualité en matière d’impression
L.1.5.3 Instructions aux détaillants
L.1.2.3 Chiffrement des numéros de validation
L.1.5.4 Formation des détaillants à la sécurité
L.1.2.4 Chiffrement des fichiers relatifs à la validation
et aux gagnants
L.1.2.5 Vérification des tickets
L.1.2.6 Test de recette des données
3/7
Audité
CONFIDE N T I E L
L.1.6
Fin de vie des jeux de grattage
L.1.6.1
Procédure de fin de vie des jeux
L.1.6.2 Informations aux détaillants
L.1.6.3 Décompte du stock de tickets
L.1.3
Acheminement des tickets à gratter
L.1.3.1
Description du processus d’acheminement
L.1.3.2 Protocole de transport
L.1.6.4 Audit de vérification des stocks
L.1.6.5 Parties habilitées
➞
L.1.6.6 Destruction des tickets
L.1.3.3 Conteneurs de transport scellés
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
29
CONFIDEN T I E L
SPECIMEN
WLA-SCS:2012
Formulaire d’évaluation
4/7
Contrôle
Contrôle
L.2
Lottery draws
L.3
Sécurité chez les détaillants
L.2.1
Gestion du tirage de loterie
L.3.1
Recrutement et démarrage
L.2.1.1
Tirage
L.3.1.1
Contrat du détaillant
L.2.1.3 Membres de l’équipe de tirage
L.3.2
Fonctionnement des détaillants
L.2.1.4 Rôles des membres de l’équipe de tirage
L.3.2.1 Sécurité chez les détaillants
Audité
Audité
➞ (Suite de la page 3/7)
L.2.1.2 Instructions de tirage
L.2.1.5 Équipe de tirage suppléante
L.2.1.6 Déroulement du tirage
L.3.3
L.2.1.7
L.3.3.1 Sécurité des transactions
Observateurs présents lors du tirage
Sécurité des terminaux de jeu
L.3.3.2 Test de sécurité des terminaux
L.2.2
Modalités du tirage
L.3.3.3 Sécurité des terminaux en libre-service
L.2.2.1 Procédure de tirage
L.2.2.2 Descriptif du tirage, étape par étape
L.4
Protection des gains
L.2.2.3 Lieu de tirage
L.4.1
Validation et paiement des gains
L.2.2.4 Participants au tirage et responsabilités
L.4.1.1
Validité des informations relatives aux gagnants
L.2.2.5 Surveillance du tirage
L.4.1.2 Processus de validation
L.2.2.6 Sécurité des opérations de tirage
L.4.1.3 Paiement des gains
L.2.2.7 Urgence pendant le tirage
L.4.2
L.2.3
Équipement de tirage et jeux de boules
L.2.3.1 Procédure d’inspection
Gains non réclamés
L.4.2.1 Unicité du numéro de référence sur le ticket
L.4.2.2 Procédure de protection des gains non
réclamés
L.2.3.2 Inspection et entretien réguliers
L.4.2.3 Durée et audit du paiement des gains
L.2.3.3 Jeu de boules compatibles
L.2.3.4 Remplacement de l’équipement de tirage
L.2.3.5 Transport, entreposage et manipulation
de l’équipement de tirage et du jeu de boules
L.4.2.4 Règles et vérifications liées au paiement
L.4.2.5 Contrôle d’accès aux informations sur les
gains non réclamés
L.4.2.6 Reporting en matière d’accès
L.4.2.7 Processus d’escalade
L.4.2.8 Audit des informations des journaux d’accès
L.4.2.9 Pistes d’audit
30
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
➞
CONFIDE N T I E L
SPECIMEN
WLA-SCS:2012
Formulaire d’évaluation
5/7
Contrôle
Contrôle
L.5
Personnel commercial et
services clientèle
L.7
Paris sportifs
L.7.1
Sélection de l’offre
L.5.1
Personnel travaillant en dehors des
locaux de l’organisation
L.7.1.1
Liste des événements autorisés
L.5.1.1
Personnel travaillant en dehors des
locaux de l’organisation
L.7.1.2
Liste des types de pari autorisés
L.7.1.3
Liste des options de pari autorisées
L.7.1.4
Informations relatives à l’offre de paris
L.7.2
Gestion des événements et des cotes
L.5.2
Audité
Audité
➞ (Suite de la page 4/7)
Zones de service clientèle
L.5.2.1 Personnel travaillant dans des zones
sensibles avec accès public
L.7.2.1 Sélection des événements
L.7.2.2 Fixation et mise à jour des cotes
L.6
Ventes et services interactifs
sur Internet
L.6.1
Systèmes de jeu sur Internet
L.6.1.1
Systèmes à architecture multicouches
L.7.3
Traitement des résultats
L.7.3.1
Résultats des événements terminés
L.6.1.3 Séparation des réseaux
L.7.4
Surveillance des fraudes et du
blanchiment d’argent
L.6.1.4 Informations sur les sessions
L.7.4.1 Surveillance des cotes
L.6.1.5 Identification des points d’entrée et de sortie
L.7.4.2 Surveillance du marché
L.6.1.2 Attaques actives et passives
L.7.4.3 Surveillance des transactions de la clientèle
L.6.2
Comptes des joueurs
L.6.2.1 Identification des joueurs
L.7.5
L.6.2.2 Comptes de joueur multiples
L.7.5.1 Surveillance de l’intégrité des événements
L.6.2.3 Exclusion des joueurs
L.7.5.2 Traitement des résultats des offres en direct
L.6.3
Paris en direct
Conception et approbation du jeu
L.6.3.1 Documentation des procédures de jeu sur
Internet
L.6.3.2 Approbation du jeu
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
31
CONFIDEN T I E L
WLA-SCS:2012
Formulaire d’évaluation
SPECIMEN
6/7
3. Recommandation de l’auditeur accrédité par la WLA
Une fois l’audit terminé,
l’auditeur doit formuler une
recommandation concernant
la certification, fondée
sur la conformité du membre
à la WLA-SCS :2012.
32
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
CONFIDE N T I E L
SPECIMEN
WLA-SCS:2012
Formulaire d’évaluation
7/7
4. Audits de suivi annuels
Sous réserve de certification
WLA, les dates suivantes
ont été prévues et convenues
pour les audits de suivi
annuels.
1er Audit annuel, Date
2ème Audit annuel, Date
Je soussigné, auditeur
accrédité par la WLA , certifie
que tous les contrôles
applicables prévus par le
Standard de contrôle
de sécurité WLA ont été
correctement et minutieusement audités.
En signant le présent document, l’auditeur certifie
également que ses titres de
compétence requis par la
WLA sont à jour, valables et
en règle au moment de
l’audit.
Nom de l’auditeur
Lieu
Nom du prestataire de services d’évaluation
Lieu
Signature de l’auditeur
Date
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
33
Partie C
Documents à utiliser lors des audits de certification
4. Rapport d’audit de
certification détaillé
Une fois l’audit de certification terminé,
l’auditeur de certification doit rédiger
un rapport d’audit détaillé, destiné au
membre de la WLA . Le rapport d’au-
34
dit documente l’audit et son résultat. Le
contenu et le format du rapport sont
laissés à la discrétion de l’auditeur.
Le rapport d’audit est strictement confi­
dentiel et doit être transmis uniquement
au prestataire de services d’évaluation et
au membre de la WLA demandant la
certification. Ni la WLA ni aucune autre
partie que l’auditeur accrédité par la
WLA , le prestataire de services d’évalua­
tion et le membre de la WLA concerné
ne doivent avoir accès au rapport d’audit
relatif au processus de certification.
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
Pour toute information complémentaire, contacter
The World Lottery Association
Att. Paul Peinado
Lange Gasse 20
P. O. Box
CH-4002 Basel
Suisse
[email protected]
Président du comité Sécurité et Gestion des risques de la WLA
Thierry Pujol
Française des Jeux
126, rue Gallieni
92643 Boulogne-Billancourt Cedex
France
[email protected]
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013
35
Directives de certification au Standard de contrôle de sécurité de la WLA: 2012 – Publication octobre 2013

Documents pareils

security standard - World Lottery Association

security standard - World Lottery Association deux parties. La première partie, (WLA SCS: 2006 Partie A – Exigences générales en sécurité) comprend le Standard ISO/ IEC 27001:2005 et 24 contrôles de sécurité supplémentaires. La deuxième partie...

Plus en détail