Autres exigences techniques

7. Environnement et déploiement du système de tombola électronique (STE)

L’objectif de cette section est de relier les exigences en matière d’environnement et de déploiement à la conception du STE.

7.1 Infrastructure de réseau

7.1.1 Le protocole de communication entre les composants du STE sur l’infrastructure du réseau doit être sécurisé et doit maintenir l’intégrité de la tombola.

7.1.2 Les composants du réseau doivent avoir un temps synchronisé pour préserver la capacité de journalisation et d’audit.

7.1.3 Tout le trafic de réseau lié au jeu exposé aux lignes de réseau public doit être sécurisé en utilisant une méthode standard de l’industrie qui a fait ses preuves pour prévenir toute menace à la sécurité. 

7.1.4 L’architecture du réseau doit être conçue de manière à éviter qu’un volume important de communications ne pose un problème d’intégrité. 

7.2 Accès à distance au système administratif 

7.2.1 Toutes les méthodes d’accès à distance et les procédures associées doivent limiter l’accès aux utilisateurs et aux systèmes autorisés à effectuer des tâches spécifiques uniquement par le biais d’un lien sécurisé.

7.2.2 L’accès à distance au STE ne peut être accordé à l’organisme de bienfaisance ou au fournisseur qu’à partir de son réseau d’entreprise sécurisé par une méthode, telle qu’un client VPN avec authentification à deux facteurs, à condition qu’il soit surveillé et que les enregistrements suivants aient été effectués, au minimum :

  1. le nom utilisé pour la connexion
  2. l’heure, date et durée de la connexion
  3. l’activité pendant la connexion
  4. les éléments spécifiques accédés
  5. les modifications apportées relatives à la tombola

7.3 Évaluation indépendante de la sécurité 

7.3.1 Les STE exposées au public (par exemple les applications Web accessibles par les réseaux publics) doivent être protégés par des mesures de sécurité adéquates afin d’éviter tout problème d’intégrité ou de sécurité.

7.3.2 Les nouveaux STE qui sont exposés publiquement doivent être évalués conformément aux cadres de sécurité des pratiques exemplaires de l’industrie par des personnes qualifiées afin de garantir que les vulnérabilités en matière de sécurité sont identifiées et évaluées, et que les risques sont confirmés comme étant négligeables par des tests de sécurité ou de pénétration, le cas échéant. 

7.3.3 Les modifications apportées au STE exposé au public peuvent également nécessiter une évaluation, en fonction de la complexité et du nombre de changements. Celles-ci seront évaluées au cas par cas.