Rien n’est impossible lorsqu’on parle d’informatique, et ce qui a été construit peut être détruit de la même façon. Si l’e-billetterie prend de l’essor, ce e-commerce reste une mine d’or pour les hackers malveillants, en terme de données personnelles et de paiement. Quelles sont les mesures et les solutions préconisées pour les gestionnaires de lieux culturels ?
Récemment, le Ashmolean Museum, situé à Oxford, a été piraté : les données personnelles de 7 757 visiteurs, qui avait réservé sur la plateforme de billetterie en ligne du musée, ont été volées.
Le musée assure qu’aucunes données financières n’ont été volées. Les clients ont été prévenus qu’ils pourraient être ciblés par des offres marketing non-désirées, par mail, téléphone ou courrier postal, et qu’ils devaient être vigilant quant aux offres supposément reçues de la part du musée.
Le Museums Computer Group, un groupement indépendant d’institutions culturelles qui travaille autour de la technologie des musées et de l’héritage digital, prévient les autres musées de possibles cyber-attaques.
En cause, les coupes budgétaires qui rendent plus difficile la mise à jour des logiciels de sécurité. Si l’externalisation des solutions de billetterie à des experts peut permettre d’éviter ces attaques, certains éléments ne sont plus entre les mains des musées. De plus, les transferts de données et les points d’intégration ajoutent de la complexité aux systèmes informatiques et peuvent devenir des points vulnérables des systèmes de billetterie.
La sécurisation des données des clients reste une problématique pour les acteurs de la billetterie en ligne, comme tous les acteurs du e-commerce. Cette cyber-attaque soulève la problématique de la sécurisation des données.
Des acteurs de la billetterie ont accepté de répondre à nos questions sur la problématique de la sécurisation des données.
Erick Tallon, responsable innovation de Rodrigue SA
MGB : Comment garantissez-vous la sécurisation de la base de données de vos clients ?
Erick Tallon : Les bases de données clients ne sont pas dépendantes d’un réseau tiers, et nous garantissons le transfert sécurisé des données entre le serveur local de la base de données du client et notre plateforme back-office. Le réseau est privatisé et sécurisé, afin de ne laisser aucune faille ouverte.
De l’autre côté, tout ce qui est lié à Internet est protégé par des certificats SSL qui garantissent les pages https, et nos propres infrastructures, comme des firewalls qui garantissent l’étanchéité de notre base de données. Seule le front office peut être piraté et ne permet pas de récupérer les données personnelles des acheteurs finaux.
MGB : Quel est prix d’une telle sécurité ?
ET : Le choix de la qualité de la sécurité garantit la qualité de notre produit, dans la mesure où nous sommes entièrement responsables du matériel installé chez le client.
Séverin Voisin, responsable infrastructure et exploitation chez SecuTix
MGB : Que représente la sécurité pour une solution de billetterie comme SecuTix ?
Séverin Voisin : La sécurité des données est un élément clef pour nous, en particulier parce que nous proposons notre solution comme un service. Gérer la sécurité demande des moyens humains et matériels importants, qui nécessite d’avoir une équipe disponible à toute heure. Nous disposons d’une solution centralisée pour mettre en place des protection supérieures à ce que chaque client pourrait mettre en place individuellement.
MGB : Comment garantissez-vous la sécurité de la base de données de vos clients ?
SV : Nous mettons à dispositions des firewalls applicatifs, et différents étages de spérations réseaux entre les répartiteurs de charges ouverts sur Internet, et les serveurs web, de traitement. A cela s’ajoute l’équipe pour gérer ces équipements, les processus de contrôle et d’amélioration continue.
Enfin, France Billet, Digitick et Ticketnet ont adopté le procédé de cryptage SSL pour la sécurisation des systèmes de paiement, délégué ou non à des prestataires extérieurs. France Billet insiste et renforce ses procédés de brouillages et de cryptage liées aux informations personnelles des visiteurs.
Propos recueillis par Eddie Aubin et Clara Pillet
Crédit : DR