Bertrand Le Piolot (Française des Jeux) : « la cybersécurité est un enjeu majeur pour nous »

Pouvez-vous nous présenter La Française des Jeux ?

Nous sommes le premier opérateur de jeux d’argent en France, la deuxième loterie en Europe et la quatrième au monde. Nous opérons des jeux sous droits exclusifs (loteries, paris sportifs en point de vente), des jeux ouverts à la concurrence (paris sportifs en ligne, poker en ligne…). 

Nous avons trois autres activités annexes. D’abord, nous offrons des biens et des services à des opérateurs homologues à l’étranger (terminaux de jeux, plates-formes de jeux en ligne…). Ensuite, nous proposons le paiement et des services en points de vente (Nirio pour le paiement des factures du quotidien, encaissement des factures publiques…). Enfin, nous avons une offre dans le divertissement : jeux gratuits en ligne (Go Mojo) et e-sport.

Et pour réaliser tout cela, comment se caractérise votre IT ?

Pour nos activités domestiques B2C, nous utilisons des infrastructures on premise sur des datacenters possédés en prope avec un PRA sur un datacenter hébergé. Cela représente environ 900 serveurs physiques et 15 000 machines virtuelles ainsi que plusieurs péta-octets de données stockées.

Pour nos activités en B2B, nous utilisons également nos infrastructures On Premise, complétées par un peu de Cloud public (IaaS) car certains clients internationaux ont des obligations d’hébergement sur leur territoire. 

Notre système d’information métier est très transactionnel, environ cinq milliards de transactions par an avec des pics à plus de mille transactions par seconde.

Et, comme tout le monde, nous utilisons du SaaS pour nos fonctions supports et transverses, comme les outils collaboratifs, le SI RH, le CRM…

Et votre organisation IT ?

Certaines filiales du Groupe FDJ ont des activités très technologiques (comme le développement des plateformes de jeux, des prestations audiovisuelles…). Mais la DSI est groupe.

Au sein du Pôle Technologie et International, il y a trois grandes directions : la DSI, la direction cybersécurité et la direction technique (la production informatique).

Quel est le périmètre de la direction cybersécurité ?

Nous couvrons toutes les activités du groupe, y compris les prestations en points de vente.

Nous disposons d’une certification ISO 27001 depuis 2008 sur l’ensemble de nos activités, ainsi qu’une certification incluant des exigences de sécurité et d’intégrité additionnelles et spécifiques à notre secteur, la World Lottery Association Security Control Standard. La conformité à ces certifications est également dans le périmètre de la direction cybersécurité Groupe 

Notre approche de la cybersécurité est de bout en bout, avec un accompagnement de tous les projets au sein de la Française des Jeux, y compris pour les terminaux de prise de jeux. Nous tenons en effet à la « Security by design ».

Les enjeux financiers sont considérables dans votre domaine. Comment garantissez-vous votre cybersécurité ?

Sur les détails techniques, vous comprendrez que je sois discret…

Notre secteur est fortement réglementé et régulé par l’État via l’ANJ (Autorité nationale des jeux). Il existe ainsi plusieurs référentiels d’exigences techniques obligatoires. Et l’homologation des logiciels de jeux et de paris (générateurs d’aléas, moteurs de jeu, jeux …) est obligatoire avant tout lancement. L’objectif de ces homologations est de garantir l’intégrité des opérations de jeux, la sécurité des systèmes d’information des opérateurs mais aussi la conformité aux règlements de jeux. Chaque homologation est notamment précédée d’audits de code intrusifs qui consistent en une revue du code source complétée par des tests d’intrusion menés sur la plateforme de jeux. Le délai d’instruction des demandes d’homologation par l’autorité peut aller jusqu’à deux mois et la mise en service des jeux ne peut pas se faire avant la décision d’acceptation 

En plus de ces audits préalables, il y a des audits de sécurité annuels réalisés par des cabinets agréés par l’ANJ. Ces audits annuels comprennent aussi des tests d’intrusion tant depuis Internet que depuis le réseau interne. 

Auparavant, l’ANJ ne se préoccupait que d’une partie des jeux, ceux soumis à la concurrence. Désormais, ce sont bien tous les jeux d’argent qui sont dans son périmètre.

Bien entendu, nous avons en plus les audits externes classiques pour le maintien de nos certifications (ISO 27001, WLA SCS, PCI-DSS …), complétés par notre programme d’audits internes sur la sécurité de nos SI.

D’une manière générale, la cybersécurité est un sujet très important chez nous.

Quels sont vos défis ?

Comme beaucoup d’entreprises, nous utiliserons de plus en plus de Cloud public à l’avenir, y compris pour nos activités Core Business. Il nous faut donc adapter la cybersécurité à cette évolution du SI. Nos équipes Security By Design travaillent en particulier au développement de l’approche DevSecOps afin d’assurer la sécurité de ces nouveaux environnements de bout en bout, de l’usine logicielle jusqu’aux environnements de production.

Avec les acquisitions récentes de sociétés par le Groupe FDJ, comme L’Addition (tablettes pour restaurants) et Aleda (systèmes destinés aux bars-tabacs-presse), nous devons aussi réaliser leur arrimage dans la cybersécurité groupe en suivant un canevas d’intégration que nous avons formalisé en 2022. Il s’agit de les amener à atteindre le standard de cybersécurité établi par le groupe et, ensuite, de mettre en place leur cybersécurité propre tenant compte des spécificités de leur activité. Nous leur fournissons des services partagés en cybersécurité, tels que le SOC, la veille…

Enfin, évidemment, comme tout l’écosystème de la cybersécurité, nous sommes confrontés à la guerre des talents. Il est plus difficile de recruter et nous faisons donc évoluer nos approches par notre implication dans le Campus Cyber, y compris dans les groupes de travail dédié à ce sujet, ainsi que dans le startup studio Cyber Booster. Nous participons également des initiatives dans les relations écoles et la promotion des offres de reconversion des collaborateurs. A la rentrée de septembre 2023, nous aurons une promotion de huit alternants ou apprentis de différentes écoles. Sur le cycle de trois ans que nous leur proposerons, ils changeront de fonctions. Et, bien sûr, notre objectif sera de retenir les meilleurs à l’issue de ce parcours.