COMPARATIF DES SOLUTIONS FRONTAL

Atos Worldonline

* Métier : Atos est une société qui a une expérience de plus de 20 ans dans l’hébergement spécialisé de services critiques et dans l’archivage sécurisé à valeur légale. Atos Worldline apporte aux opérateurs de jeux en ligne un ensemble de solutions leur permettant d’héberger et d’exploiter leur plateforme de jeux et d’archiver l’ensemble de leurs transactions de jeux.

* Offre « FRONTAL » : Avec sa solution complète « Worldline Secure Archive », Atos Worldline respecte les normes suivantes XaDES, RFC3161, NFZ42013 et couvre les fonctionnalités suivantes : conservation de l’intégrité des données sur 5 ans, archivage à valeur probante, accès sécurisé aux données archivées, auditabilité.

* Coût du « FRONTAL » : Information non-communiquée

* Valeur ajoutée : Les solutions d’Atos respectent les cadres normatifs et juridiques en France (respect des exigences MoReq2, modèle OAIS, XACML, et cahier des charges de la DCSSI pour l’archivage électronique sécurisé “Sphère publique”). En outre, la plate-forme Atos Worldline offre les garanties d’auditabilité nécessaires vis-à-vis d’une autorité de tutelle.

* Références clients : Information non-communiquée

Cecurity

* Métier : Cecurity est une société française créée en 2001 qui édite des logiciels « Coffre-forts électroniques Communicant » pour l’archivage électronique probatoire, la protection des données personnelles et la traçabilité. Cecurity – qui a proposé la première solution coffre-fort électronique labellisée par la Fédération Nationale des Tiers Confiance – se dit « leader français » des coffres-forts pour la dématérialisation des documents dans le respect des contraintes règlementaires.

* Offre « FRONTAL » : Cecurity propose une solution FRONTAL conforme au cahier des charges ARJEL, composée du progiciel Coffre-fort électronique des Jeux en Ligne (CFJL) et d’une partie « CAPTEUR » développée sur-mesure. La solution CFL a été développée pour répondre intégralement aux exigences techniques de l’ARJEL et l’architecture technique choisie par Cecurity en termes de haute disponibilité et de redondance va au-delà de ces exigences.

* Coût du « FRONTAL » : Le coût du Frontal est mesurable à ce jour. Le capteur représente le coût le plus faible. Les autres coûts sont équivalents entre eux. Les tarifs que Cecurity propose varient essentiellement en fonction des choix faits par le client : achat d’une licence logicielle, location, achat associé à une prestation d’infogérance (licence SAAS).

* Valeur ajoutée : L’une des principales valeurs ajoutées de Cecurity réside dans le fait de proposer une solution pouvant être hébergée par ses soins dans une première phase afin de gagner du temps, puis de permettre à l’opérateur de jeu de réinternaliser le logiciel.

* Références clients : Service Interministériel des Archives de France du ministère de la culture et de la communication, Marine Nationale, Allianz, MMA, le groupement des Mousquetaires (Intermarché), … Clients « jeu en ligne : confidentiel.

Linagora

* Métier : Linagora est un éditeur de logiciels Open Source qui a 10 ans d’expérience dans le domaine de la gestion des identités et de la confiance digitale, mais aussi des solutions de sécurité.

* Offre « FRONTAL » : Linagora a élaboré une solution « clé en main » LinSecure destinée aux opérateurs souhaitant s’équiper du dispositif légal imposé par la loi et répondant aux exigences de l’ARJEL. Cette solution comporte un coffre-fort basé sur LinSign et un capteur issu d’un développement spécifique de Linagora. « LinSecure » met aussi en oeuvre les technologies les plus innovantes actuelles fournies par l’Open Source tel que Cassandra ou encore ActiveMQ pour assurer la disponibilité et la performance de la plateforme. LinSign est en cours de certification CSPN pour l’ANSSI.

* Coût du « FRONTAL » : Le niveau d’exigence demandé en terme de cryptographie et de sécurisation fait effectivement penser à certains standards du type PCIDSS (sécurisation des accès à tous les niveaux) et peuvent représenter des coûts importants pour les opérateurs aussi bien au niveau matériel qu’au niveau logiciel. Aussi, le modèle « Open Source » permettra aux opérateurs d’acquérir une solution économique pour répondre à cette obligation législative. « Ici plus que jamais, l’Open Source va permettre aux opérateurs de faire des économies d’échelles. Le jeu en ligne est un secteur extrêmement concurrentiel et les opérateurs devront s’équiper pour être conforme à la loi… Nos prospects souhaitent répondre aux exigences de l’ARJEL tout en dépensant des sommes raisonnables qui n’ont rien à voir avec les offres actuellement proposées sur le marché », explique Alexandre Zapolsky PDG de Linagora. Les prix sont constituées de prestations de réalisation (forfait ou assistance) et de forfait de maintenance annuel non dépendant ni du nombre de transaction réalisé ni de la taille de l’infrastructure mise en œuvre.

* Valeur ajoutée : Pour les opérateurs qui ne souhaiteraient pas mettre eux même la solution en place, Linagora propose une offre « SaaS » permettant la mise en oeuvre de la solution de façon transparente pour l’opérateur. Enfin, Linagora propose l’accompagnement de l’opérateur vis à vis de la demande d’agrément à l’ARJEL. Pour ce dernier, LinAgora s’associe avec un certain nombre de partenaires pour fournir au marché l’offre la plus complète possible.

* Références clients : Ministère de l’Intérieur, Ministère de la Défense, Ministère de l’Economie, Assemblée Nationale, Armée de l’Air, Gendarmerie Nationale, STIF…

Dictao

* Métier : Editeur logiciel dans le domaine de l’authentification forte et de la signature électronique.

* Offre « FRONTAL » : Dictao Ce offre une solution FRONTAL complète « D3S » composée d’un coffre-fort, un capteur qui extrait les données à tracer, un accompagnement de l’opérateur dans sa demande d’agrément ARJEL, des services d’hébergement, d’enregistrement et de paiement (avec ses partenaires). Conformité du logiciel D3S Dictao aux exigences de l’ARJEL. Certification CSPN en cours.

* Coût du « FRONTAL » : Jacques Pantin affirme qu’il sera essentiellement fonction du nombre de transactions à supporter, à savoir une plate-forme hébergée d’entrée de gamme coutera quelques dizaines de milliers d’euros par an, alors que, pour supporter une plate-forme de l’ordre de 1000 transactions seconde, le coût de « set up » dépassera les 500 000 euros.

* Valeur ajoutée : Les principaux composants cryptographiques sur lesquels a été bâti D3S sont qualifiés et certifiés au niveau EAL3+ des Critères Communs par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), depuis 2007. Ceci permet à Dictao de répondre aux attentes de l’ARJEL dans ce domaine (en particulier, au niveau de la Cible de Sécurité de Premier Niveau). Par ailleurs, « Dictao a du ‘revoir notre copie’ et mener des campagnes de qualification pour s’assurer qu’elle était en mesure de tenir les objectifs de disponibilité et de performances qu’attendent les opérateurs : un tournoi de poker se traduisant par des flux exprimés en milliers de transactions par seconde sur des périodes de plusieurs dizaines de minutes, qu’il n’est bien sur pas question d’interrompre », explique Jacques Pantin, PDG de Dictao.

INTERVIEWS CROISÉES

Relations de l’ARJEL avec les fournisseurs de technologie FRONTAL ?

Michel-Marie Maudet

Michel-Marie MAUDET, Directeur Général Adjoint Linagora : « Au même titre que les autres fournisseurs de solutions techniques, nous sommes rentrés en contact avec l’ARJEL de façon à se faire connaître et à avoir un avis éclairé sur les options technologiques que nous avons retenues. Cette rencontre a été aussi l’occasion de partager nos réflexions et interrogations sur le cahier des charges et le dossier d’exigences techniques.

Par ailleurs, notre approche construite sur des logiciels libres ne peut qu’apporter un niveau supplémentaire de confiance dans la mesure où les composantes utilisées sont déjà très largement déployées au sein même de l’Administration française en particulier au Ministère de la Défense et au Ministère des Finances ».

Alain Borghesi

Alain Borghesi, Pdg de Cecurity : « Notre société entretient des relations régulières avec les équipes techniques de l’ARJEL dans la mesure où le Dossier des Exigences Techniques (DET) s’adresse notamment aux fournisseurs de coffres-forts. Cecurity est systématiquement invitée aux réunions organisées par l’ARJEL dès lors qu’elles ont une dimension technique et nous avons échangé par le biais de la FAQ mise en place par l’ARJEL.

Les exigences de l’ARJEL ne font pas référence au respect d’une norme mais impose qu’une Certification de Sécurité de Premier Niveau (CSPN) soit engagée auprès de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). C’est le cas pour le Coffre-fort des Jeux en Ligne de Cecurity ».

Jacques Pantin

Jacques Pantin, PDG Dictao : « Nous avons configuré et adapté notre solution pour qu’elle réponde parfaitement aux exigences de l’ARJEL. Un cabinet d’audit indépendant est en train de soumettre notre solution à des tests pour valider cette conformité. Elle recevra alors la Certification de Sécurité de Premier Niveau de la part de l’ANSSI.

La confiance est au cœur de notre métier et notre expérience nous amène à dire que les demandes de l’ARJEL sont ‘raisonnables’ et cherchent à protéger, d’une façon aussi pragmatique que possible, tant les joueurs que les autorités de tutelle ; des produits bien conçus et d’usage général permettent de simplement répondre aux besoins exprimés par l’ARJEL… Il n’y a, en aucune façon, de développements spécifiques à prévoir, au strict niveau des composants de confiance ».

Des technologies déjà bien connues du secteur de la banque en ligne ?

Jacques Pantin, Dictao : « Les jeux en ligne peuvent être apparentés à la banque en ligne : les joueurs n’accepteront de miser de l’argent que s’ils ont confiance dans leurs opérateurs de jeux, qu’ils soient sûrs qu’il n’y aura pas de malversation, que leurs actions seront respectées, tracées et archivées, qu’en cas de litige avec l’opérateur, des preuves fiables puissent être mises à disposition d’une Autorité impartiale (montant de la transaction, heure de la transaction, etc.). Il faut aussi considérer que le jeu, activité essentiellement ludique, risque d’intéresser de nombreuses populations de hackers…

Dictao travaille avec le secteur bancaire depuis sa création en 2000, pour la sécurisation des transactions réalisées avec les Entreprises et les Particuliers : signature électronique et gestion de preuves des ordres de virements, souscription de contrats en ligne, authentification forte des acteurs… Pour répondre aux besoins de ses clients et partenaires, nous avons développé une offre logicielle extrêmement solide dans les domaines de l’authentification forte, la signature électronique, la gestion de preuves et l’archivage sécurisé.

Il était naturel, compte-tenu des similarités de l’activité de banque en ligne et de jeux en ligne et des besoins de confiance associés, que Dictao se positionne en fournisseur de confiance des opérateurs de jeux en ligne.

Le coffre-fort électronique est, pour nous, un outil standard qui s’appuie sur des fonctions techniques d’authentification forte, de signature électronique, de constitution de preuve, de re-signature, de contrôle d’accès… La fonction capteur est, elle aussi, bien maîtrisée. Le cahier des charges de l’ARJEL n’appelle donc pas d’innovations technologiques dans le sens où ces technologies sont utilisées depuis de nombreuses années, en particulier, dans le secteur bancaire pour sécuriser la banque en ligne et le paiement en ligne, le secteur public pour sécuriser les téléprocédures, le secteur industriel pour sécuriser la dématérialisation des factures, des commandes, des appels d’offres…

Alain Borghesi, Cecurity : « L’ouverture des jeux en ligne ne nous a pas conduit à changer notre stratégie ni notre métier mais, au contraire, nous permet de proposer une solution dans les délais très serrés, car nous maîtrisons ce type de technologies depuis près de 10 ans. Il est vrai que l’ouverture à la concurrence du jeu en ligne associée à l’obligation de mettre en œuvre un coffre-fort a permis va renforcer la crédibilité des offres de type coffre-fort sur d’autres marchés à fortes contraintes réglementaires. Les exigences précises de l’ARJEL en matière de coffre-fort pourraient contribuer à imposer une définition imprégnée d’une culture typée « chiffre » qui pourrait rejoindre, ou s’opposer, à celle des coffres-forts utilisés par les archivistes.

Il ne nous appartient pas de faire des pronostics sur ce que seront les futures exigences de l’ARJEL mais simplement de s’organiser pour pouvoir répondre rapidement à d’éventuelles nouvelles exigences. En ce qui concerne les opérateurs de jeux en ligne, nous avons le sentiment qu’ils ne voudront pas être dépendant d’un unique fournisseur de Frontal et qu’ils veilleront à ce que coexiste de façon durable plusieurs spécialistes du domaine.

Pour la partie relative au coffre-fort, les technologies à mettre en oeuvre sont bien connues des sociétés qui, comme Cecurity, sont des spécialistes de la cryptographie et de la signature électronique. En revanche, elles correspondent à un niveau d’exigence qui était jusqu’à ce jour rarement demandé par le marché. On peut parler d’une innovation d’usage plus que d’une innovation technologique.

Michel-Marie MAUDET, Linagora : « Notre conviction est que les normes et les demandes en terme de régulation vont se standardiser dans les prochains mois. Le marché français va aussi bénéficier des retours d’expérience des autres pays européens tel que l’Italie ou encore l’Angleterre.

Concernant les exigences de l’ARJEL, le coffre-fort et les modalités de sa mise en oeuvre, nous pensons qu’elles vont « s ‘assouplir » de manière à favoriser les demandes d’agrément. C’est d’ailleurs ce que l’on constate dès à présent à la lecture des dernières modifications portées sur la documentation ARJEL publié le 12 mai 2010.

Des innovations technologiques sont forcément présentes compte tenu des contraintes de contexte au niveau des performances attendues par exemple. Cela exige de réaliser de nouveaux développements tout en se conformant aux exigences de l’ARJEL. LinSecure utilise des logiciels Open Source reconnus et particulièrement innovants par exemple pour le stockage temporaire des actions de jeu avant leur stockage sécurisé dans le coffre-fort électronique.

Avec notre approche et notre positionnement Open Source, notre démarche sera de partager ces innovations avec le marché en publiant l’ensemble des codes source de notre solution après avoir obtenu la certification CSPN.

Internalisation ou externalisation de ces solutions, dans tous les cas que devront gérer les opérateurs ?

Alain Borghesi, Cecurity : « En retenant la solution logicielle de Cecurity, l’opérateur a le choix, tout en restant parfaitement conforme aux exigences de l’ARJEL, de mettre en oeuvre la solution en interne, d’externaliser ou enfin de débuter par une solution externalisée avant de prévoir une phase de ré-internalisation à court, moyen ou long terme.

Cecurity propose une démarche adaptée aux besoins de ses clients, pouvant aller jusqu’à la prise en charge complète du Frontal : l’opérateur se concentre alors sur son coeur de métier ».

Michel-Marie MAUDET, Linagora : « Avec LinSecure, nous offrons les deux approches. Toutefois, nos discussions actuelles avec les opérateurs font apparaître une préférence vers l’externalisation en particulier pour profiter de la mutualisation des coûts logiciels et matériels.

Dans le futur et lorsque les retours d’expérience seront suffisants, certains opérateurs pourront vouloir internaliser le frontal afin d’intégrer plus facilement le capteur avec leurs plate-formes de jeux et de faciliter l’exploitation du coffre-fort vis à vis de l’ARJEL.

L’opérateur doit gérer les règles de correspondance entre les données soumises par le joueur au travers la plateforme de jeux et le formalisme des traces de jeux enregistrés par le coffre-fort conformément aux demandes de l’ARJEL.

Nous accompagnons effectivement l’opérateur pour la définition initiale de ces règles et dans leur maintien dans le temps pour prendre compte les évolutions de sa plateforme tant en tenant compte des évolutions potentielles de la réglementation.

Dans le cadre d’une installation internalisée, nous pouvons former l’opérateur à ce paramétrage du capteur de manière à la rendre parfaitement autonome conformément à notre démarche d’ouverture et d’indépendance vis à vis des fournisseurs ».

Jacques Pantin, Dictao : « Dans le cadre de son programme « ARJEL compliance », l’offre de Dictao est essentiellement modulaire. Elle peut se limiter à la fourniture d’un coffre-fort que l’opérateur installera dans son système d’information, prenant à sa charge le développement du capteur et les fonctions d’hébergement.

Néanmoins, pour être rapidement opérationnels, la plupart des opérateurs ont fait (au moins pour un premier temps) le choix d’une solution hébergée, à laquelle Dictao sait simplement répondre, en s’appuyant, en particulier, sur un partenariat avec Colt.

Si nous pouvons prendre en charge la quasi-totalité des fonctions du frontal en .fr, l’opérateur aura toujours à gérer le dialogue avec l’utilisateur, fonction qui est au cœur de son métier… A côté des interfaces en français, l’ARJEL demande qu’un certain nombre de messages d’alerte puissent être gérés au niveau du logiciel de jeux. Tous ces travaux sont à la charge de l’opérateur qui reste, dans tous les cas, le maitre d’ouvrage et le responsable de la demande d’agrément ».