L’actualité de l’industrie du tourisme en ligne se focalise essentiellement sur les nombreuses évolutions et innovations, preuve s’il en est qu’il s’agit d’un marché dynamique, moteur de sa propre croissance et - en bonus dans une Economie globalement en berne - créateur d’emplois.

Les failles de sécurité récentes touchant les plus grandes sociétés high-tech (Twitter, Sony Apple, Oracle…) défraient régulièrement la chronique des médias spécialisés ainsi que des médias nationaux et laissent au public une certaine appréhension, voire un sentiment d’impuissance face aux attaques de « hackers » et autres escrocs du monde virtuel. C’est que les conséquences d’une attaque en ligne peuvent se révéler extrêmement problématiques pour l’internaute : l’usurpation d’identité, le vol d’informations bancaires et la perte de données contenues sur des serveurs devenus inaccessibles (contacts, documents, photos…).

La solution la plus radicale consistant à se retirer complètement du web fait quelques rares adeptes, mais pour l’instant l’appel de « l’hyperconnexion » est plus fort : les réseaux sociaux font partie des usages courants du net, de même que la gestion de son compte bancaire, les communications et versements avec les instances administratives (Sécurité Sociale, CAF, Trésor Public)… et bien sûr l’achat de biens et de prestations en ligne.

Confiance et e-tourisme

L’industrie du Tourisme en ligne, comme les autres industries reposant sur le web, se doit d’appréhender dans son ensemble la problématique de la sécurité des données clientes, dans le but de préserver, voire de renforcer l’indice de confiance des internautes, loin des polémiques de sécurité susceptibles de ralentir sa croissance.
L’enjeu est de taille puisque les réservations e-tourisme représentent en France 12 Mds d’Euros et concentrent à elles seules 56% de la totalité des commandes e-commerce.

Quelle responsabilité ?

Le Tourisme en ligne est un marché éclaté, où se croisent les grands ensembles comme les compagnies aériennes, les tour-opérateurs, mais aussi les unités hôtelières indépendantes, les agences en ligne, les billetteries, etc. Si la responsabilité de chacun de ces acteurs en matière de sécurité informatique est réelle, elle échoit principalement aux fournisseurs de technologie.
Les grands ensembles ont tendance à créer et entretenir eux même leur systèmes informatiques, la responsabilité reste donc entièrement du domaine de la société.
Les autres acteurs, des indépendants se tournant vers des fournisseurs de technologie (la majorité des sociétés e-tourisme) doivent prendre conscience qu’un problème de sécurité du système employé impactera en premier lieu leur activité, entamera la confiance de leurs clients, perturbera fortement leur crédibilité sur le web.

Il relève donc de leur intérêt de s’assurer que le fournisseur de technologie est pleinement digne de confiance et qu’il est à même de répondre aux exigences du web en matière de sécurité.

Les plus fragiles : les acteurs indépendants

Les prestataires touristiques indépendants faisant appel à des fournisseurs externes représentent la majorité des acteurs de l’industrie du Tourisme. Pour exemple, dans le secteur hôtelier, ils représentent en France pas moins de 80% des établissements.

Or le risque le plus concret concerne justement cette majorité, d’où l’intérêt de plus en plus pressant de se pencher sur ces questions de sécurité :
En cas d’une crise de confiance des internautes, les indépendants seront les premiers touchés, le consommateur préférant se tourner vers des systèmes plus généraux : « là où tout le monde réserve » ; c’est-à-dire les globalisateurs d’offre comme les grandes agences en ligne, déjà en situation de force par rapport aux indépendants.

Les garanties de sécurité de la part des fournisseurs technologiques

Si des normes ISO (Organisation Internationale de Normalisation) existent en matière de sécurité informatique et web (ISO 27001 – 27003), et sont déjà un premier indicateur de qualité, elles restent d’un ordre général et ne ciblent pas particulièrement la sécurité des transactions bancaires, véritable point sensible du e-commerce.

Une seule norme fait aujourd’hui valeur dans ce domaine précis, et une certification est même requise par les banques dans le cadre d’échanges de données avec ces dernières.

Il s’agit de la norme PCI – DSS (Payment Card Industry – Data Security Standard), norme internationale garantissant aux établissements bancaires la fiabilité et la sécurité des données échangées avec l’organisme certifié.
La certification PCI-DSS s’appuie non seulement sur un audit complet du système d’information concerné, mais également sur des audits complémentaires, à échéances variables, garantissant la conformité du système dans le temps.

C’est toute l’organisation de l’entreprise qui est jugée conforme ou non : de la réception des e-mails par chacun des collaborateurs, à l’accessibilité physique des serveurs susceptibles de contenir les données sensibles. Toutes les sources de failles sont examinées et la certification est la garantie que l’organisme est à un niveau de sécurité répondant aux hautes exigences des institutions bancaires en matière d’échange de données.

La certification PCI-DSS est donc actuellement le meilleur indicateur de la fiabilité d’un fournisseur technologique, car même si ce dernier n’échange pas directement avec les banques, c’est via son système que les prestataires e-tourisme pratiquent la réception de données bancaires.

A propos d’Interface Technologies (IT) certifié PCI-DSS

Avec plus de 10.000 hôtels indépendants utilisant ses solutions de réservation, la société a décidé de mettre en conformité son système avec la norme de sécurité la plus exigeante et ainsi d’apporter la meilleure garantie de sécurité à ses utilisateurs.

Pendant plus d’un an, IT a revu en profondeur son système. Toute la société a pris part aux changements nécessaires sur les directions des ingénieurs pour obtenir et préserver dans le temps cette certification. Même le recrutement a sensiblement évolué avec l’intégration d’experts, ayant déjà travaillé sur cette normalisation au sein d’organismes exploitant des données très sensibles.
IT n’a pas de relation directe avec les banques, mais le système est employé par les établissements recevant les données bancaires. Le passage de la certification PCI-DSS coïncide également avec le développement de l’activité sur plusieurs marchés européens, une croissance soutenue, ainsi que la capacité à intégrer les ressources nécessaires à l’aboutissement d’un tel projet. Avec cette certification, le prestataire technologique est donc en mesure de garantir à ses utilisateurs la fiabilité de leur système et affirme sa position de partenaire technologique des établissements indépendants.
IT est aujourd’hui un des rares fournisseurs technologiques des prestataires indépendants du Tourisme à avoir obtenu cette certification.
Ce n’est pas la première fois qu’IT est à la pointe de la normalisation des échanges, puisque la société était déjà la première à introduire en France la norme OpenTravel, standard international d’échange entre les systèmes informatiques des acteurs du e-tourisme.