Disposer de données est essentiel pour permettre aux voyages d’affaires de réunir ces trois qualités : simplicité, homogénéité et respect des préférences des voyageurs. Parallèlement, ces données – qui sont liées aux personnes, aux entreprises et aux transactions – doivent être protégées. Russell Howell, Executive Vice President of Technology, Products & Innovation, et Sherron Burgess, Chief Information Security Officer de BCD Travel, expliquent comment la société de voyages d’affaires protège les données qui circulent dans le cadre de voyages.
Qu’est-ce qui définit l’engagement de BCD Travel en matière de sécurité des données ?
RUSSELL HOWELL : L’investissement. L’équipe Data Security de BCD s’est agrandie de façon significative ces dix dernières années. Cela reflète non seulement l’évolution des changements et risques liés aux technologies, mais aussi la volonté de notre équipe directoriale mondiale d’investir des ressources dans ce qui importe pour nos clients et dans la réussite de notre société.
Comment parvenez-vous à assurer la gestion de la sécurité des données alors que tout change ?
SHERRON BURGESS : Nous avons un esprit stratégique, cohérent et méthodique. Nous maîtrisons notre raisonnement : nous comprenons pourquoi nous faisons telle chose ou réalisons tel investissement.
Que signifie « avoir un esprit stratégique, cohérent et méthodique » ?
SHERRON BURGESS : Notre stratégie en matière de sécurité des données repose sur quatre principes : D’abord, il s’agit de hiérarchisation. Cela signifie que nous investissons des ressources dans les domaines qui sont susceptibles d’avoir le plus fort impact positif sur notre orientation et nos besoins commerciaux. Les données sont notre principal outil de travail, nous utilisons donc des mesures de hiérarchisation pour calculer l’impact potentiel. Deuxièmement, nous veillons à ce que les tâches fondamentales soient bien effectuées. Nous nous assurons que notre approche en matière de politiques, de conformité, de formation et de contrôles technologiques est chaque fois appliquée de façon cohérente.
Notre troisième principe est ce que nous appelons « l’amélioration intelligente ». Nous utilisons les conclusions des audits exhaustifs régulièrement conduits afin d’orienter nos décisions dans les domaines à améliorer. Enfin, notre quatrième principe consiste à gérer les menaces potentielles en nous concentrant sur la stratégie GRC [gouvernance, risque et conformité], une approche structurée qui aligne les technologies de l’information sur les objectifs commerciaux afin de réduire les risques.
RUSSELL HOWELL : Nous recourons également à notre méthodologie à quatre principes pour aider nos clients à évaluer leurs priorités en matière de technologie et de sécurité des données. Lorsque nous observons certaines tendances de risques dans des marchés spécifiques, nous communiquons ces informations à nos clients et leur expliquons pourquoi il serait judicieux qu’ils renforcent leurs protections.
Comme les certifications ISO et les audits sont-ils pris en compte dans votre approche en matière de sécurité des données ?
RUSSELL HOWELL : Nous faisons appel à des auditeurs et des évaluateurs indépendants afin de confirmer que nous appliquons effectivement les bonnes pratiques et que nous sommes dans une dynamique d’amélioration continue. Nous nous conformons toujours aux normes. Il ne s’agit pas d’évaluations qui ne se concentrent que sur une période donnée.
Quels sont les audits et certifications clés de BCD ?
SHERRON BURGESS : La certification ISO 27001:2013 Systèmes de management de la sécurité de l’information [SMSI] démontre que BCD suit les bonnes pratiques en matière de sécurité de l’information. Nos centres de données sont certifiés ISO 9001:2008 et ISO 27001:2013 pour les contrôles de sécurité, de redondance et de reprise sur sinistre.
L’audit de type 2 SSAE18 SOC 1 s’applique principalement à nos activités financières aux États-Unis, mais il couvre la sécurité de l’information en tant qu’élément des activités de contrôle.
Notre certificat de la Norme de sécurité de l’industrie des cartes de paiement [PCI DSS] valide notre respect des exigences en matière de protection des données des titulaires de cartes et inclut des analyses de vulnérabilité de nos réseaux. La norme ISO 14001:2015 Systèmes de management environnemental valide les progrès réalisés dans le respect de nos engagements en matière de développement durable.
La norme ISO 9001:2008 Systèmes de management de la qualité certifie que les données de BCD sont de la plus haute qualité au sein du secteur. La certification couvre les réservations de tous types, ainsi que les données recueillies sur nos clients, y compris auprès d’organismes tiers. Nous possédons un outil mondial de gestion des données propriétaire et autonome qui effectue une vérification de toute donnée entrante avant qu’elle ne soit ajoutée à la base de données. Si les données ne répondent pas aux normes de qualité que nous avons définies, ou à celles de nos clients, elles sont renvoyées au fournisseur de données pour correction. Notre contrôle qualité permet de nous assurer de la saisie de données exactes, afin de ne produire que des rapports fiables.
Pourquoi la qualité des données est-elle si importante pour BCD et vos clients ?
RUSSELL HOWELL : Notre offre de valeur est sous-tendue par les principes d’innovation, de partenariat et de simplicité. Les données sont essentielles pour remplir chacun de ces engagements auprès de nos clients. Ils se fient aux données que nous fournissons pour prendre des décisions commerciales cruciales. Il est donc essentiel qu’elles soient de la plus haute qualité. Elles doivent donner des informations fiables, afin que nos clients puissent agir en toute confiance. Notre engagement en matière de qualité des données transparaît dans la certification ISO:9001 de nos processus de qualité des données. À notre connaissance, nous sommes la seule TMC à l’avoir obtenue.
Le Règlement général sur la protection des données de l’Union européenne (RGPD) a-t-il modifié l’approche de BCD en matière de sécurité des données et vie privée ?
SHERRON BURGESS : La confidentialité et la vie privée représentent un défi important, mais qui n’est pas nouveau. Nous sommes une société européenne à l’origine et cela fait des années que nous appliquons les législations strictes liées à la vie privée à nos normes en matière de sécurité des données. Le RGPD n’est qu’une autre évolution de cet état de fait.
Quels sont les défis majeurs en matière de sécurité des données auxquels fait face le secteur des voyages d’affaires à l’heure actuelle ?
RUSSELL HOWELL : L’ingénierie sociale, technique par laquelle les fraudeurs recourent à des stratagèmes, parfois assez rudimentaires, pour gagner la confiance des utilisateurs afin d’obtenir des informations, est un problème commun aux TMC et aux programmes de voyages d’affaires. Les fraudeurs ciblent le secteur du voyage car il implique une grande quantité de processus et des opérations complexes. C’est pour cela que nous attachons une si grande importance à la cohérence et à la méthodologie. Lorsque vos processus sont définis et établis, les incohérences et les aberrations sont bien plus faciles à détecter.
