L’objectif des exigences de cette section est de s’assurer que les systèmes de jeu qui sont exposés publiquement (p. ex. applications Web, etc.) sont sécurisés.
14.1 Évaluations de sécurité des systèmes de jeu
14.1.1 Les systèmes de jeu exposés publiquement (p. ex. les applications Web) doivent être protégés par des mesures de sécurité adéquates pour prévenir tout problème d’intégrité ou de sécurité.
14.1.2 Les nouveaux systèmes de jeu qui sont exposés publiquement (p. ex. les applications Web) doivent être évalués pour déceler les failles de sécurité. L’évaluation doit comprendre, au minimum, les éléments suivants :
- L’analyse du code source à l’aide d’outils Static Application Security Testing (SAST) pour identifier les points d’entrée des données, effectuer l’analyse des flux de données, retracer les données contrôlables par l’utilisateur à partir des points d’entrée et rechercher dans le code de base les lacunes connues et les failles du logiciel; analyse des résultats pour supprimer les faux positifs; analyse manuelle des zones spécifiques du code pour confirmer les résultats des outils automatisés et, si les risques décelés nécessitent une inspection manuelle du code. Les résultats de cette évaluation doivent être joints à la demande d’approbation du système de jeu.
- Des tests d’intrusion à l’aide d’outils Dynamic Application Security Testing (DAST) pour identifier les faiblesses des systèmes de jeu à l’aide de balayages authentifiés et non authentifiés; analyse des résultats pour éliminer les faux positifs; et tests manuels pour confirmer les résultats des outils et pour déterminer l’impact des faiblesses. Les résultats de cette évaluation doivent être fournis après l’approbation et le déploiement du système de jeu, mais avant sa mise en service.
14.1.3 Les modifications apportées aux systèmes de jeu exposés au public peuvent nécessiter une évaluation conformément à la norme 14.1.2, en fonction de la complexité et du nombre de modifications. Celles-ci seront évaluées au cas par cas.