Par nature, l'industrie du voyage traite énormément de données personnelles. Qu'il s'agisse des données PNR (Passenger Name Record) qui doivent être transmises aux autorités pour garantir la sécurité des vols, en passant par les données de paiement des voyageurs, l'ensemble des acteurs du voyage manipule beaucoup d'informations. Cela leur donne une grande responsabilité car les données des voyageurs suscitent l'appétit des pirates informatiques comme le montrent les épisodes récents du vol des données de passeport et bancaires de 9,4 millions de clients chez Cathay Pacific ou encore les informations de 429 000 cartes de paiement qui ont pu être dérobées à British Airways à la fin de l'été.
La conformité aux réglementations est un gage de sérieux
Sécuriser les données des voyageurs est un impératif et de nombreuses normes ont poussé les acteurs du voyage à hausser le niveau de leurs mesures de sécurité. Outre le RGPD qui vient renforcer la protection des données personnelles, PCI-DSS puis PSD2 pour les sécuriser les données de paiement ou encore Sarbanes–Oxley et son extension SSAE 18 pour renforcer la traçabilité des flux financiers, les acteurs du secteur sont soumis à de multiples réglementations nationales et internationales. Ce mille-feuille de normes peut paraître comme une contrainte forte, ce qui est effectivement le cas, mais c'est au final un gage de sérieux pour les professionnels du secteur.
Bien évidemment, nul n'est à l'abri d'une attaque informatique, mais le niveau de sécurité des systèmes d'information des plateformes a été relevé de manière drastique ces dernières années. Nous sommes bien loin de l'époque où il suffisait qu'un site d'e-commerce affiche un chiffrement http/s de ses pages Web pour rassurer ses clients. Nous comptons la moitié du CAC40 parmi nos clients et ceux-ci déclenchent régulièrement des audits de sécurité sur nos installations afin de s'assurer de notre niveau de sécurité. En tant qu'acteur du marché B2B, nous ne sommes pas en contact direct avec les voyageurs eux-mêmes mais le RGPD est sans nul doute un pas en avant très positif dans le domaine de la protection des données personnelles et pourrait bien faire tache d'huile. Le Japon a renforcé une réglementation déjà proche du RGPD en 2017 et la Californie s'est dotée d'un "Consumer Privacy Act" qui entrera en vigueur en 2020.
La cybersécurité des voyageurs nous concerne tous
Si les autorités renforcent l'arsenal législatif afin de pousser les entreprises à mieux sécuriser les données de leurs clients, et il est légitime qu'elles le fassent, la sécurité informatique est aussi l'affaire des utilisateurs eux-mêmes. Sur ce plan, les voyageurs d'affaires sont très exposés au vol de données. Il suffit de laisser trainer son smartphone sur une table de restaurant d'aéroport ou se connecter à un Wi-Fi public peu sûr pour s'exposer au risque de vol de données. Ce risque est d'autant plus critique que les managers, les commerciaux ou les ingénieurs ont de plus en plus fréquemment accès aux applications internes de l'entreprise via leurs terminaux mobiles. Les règles relatives aux mots de passe doivent être renforcées et les entreprises mettent en place des technologies permettant de sécuriser les contenus de ces terminaux, notamment pour en effacer le contenu à distance dès qu'un vol est signalé. De même, les systèmes d'authentification multifacteur impliquant l'envoi d'un message de vérification en push permettent de renforcer la sécurité en situation de mobilité, mais quels que soient les progrès techniques et les évolutions réglementaires, la cybersécurité reste l'affaire de tous.
Par Stéphane Donders, CEO de Traveldoo