« Plus que 10 jours pour se conformer à la norme PCI. » C’était le titre d’une nouvelle diffusée peu avant le 1er mars, date à laquelle les agences IATA devaient démontrer leur conformité aux normes du Conseil des normes de sécurité PCI DSS.
Peu après cette échéance, les agences qui n’avaient pas fourni leur « attestation de conformité » ont reçu une lettre de l’IATA les enjoignant à le faire avant une nouvelle date butoir (très rapprochée), sans quoi un « avis de non-conformité » serait émis à leur encontre. Une demande en apparence toute simple…
« ON S’ARRACHE LES CHEVEUX! »
Mais y répondre s’est avéré – et s’avère encore – un casse-tête pour plusieurs propriétaires d’agence. « Le bordel total », résume Francine Grégoire, présidente de Voyages Aquanautes. « On veut bien se conformer. Mais plusieurs questions se posent quant à la façon de le faire. Et les réponses, en plus d’être difficiles à obtenir, se contredisent au fil des jours. C’est de la bouillie pour les chats! On s’arrache les cheveux! »
Rappelons ici que les normes de sécurité PCI DSS sont une norme mondiale créée par les réseaux de cartes bancaires (comme Visa, MasterCard, American Express, etc.) pour protéger les données des cartes de paiement contre les failles et les vols.
Cette norme s’applique à TOUS les commerçants acceptant ou manipulant des cartes de paiement, peu importe leur domaine. Bien sûr, les agences de voyages sont du lot, et ce, qu’elles soient IATA ou non.
Cette norme PCI n’est pas nouvelle : elle date de 2006. Ce qui est nouveau, c’est que l’IATA exige désormais de toutes ses agences agréées (les agences IATA, pas les TIDS) qu’elles démontrent qu’elles sont entièrement conformes à la norme. Elles doivent le faire en fournissant une attestation de conformité. Or, il semble y avoir eu du flou quant à la façon de satisfaire cette exigence…
EXIGENCES DÉMESURÉES?
Ainsi, alors qu’on avait compris que les agences pouvaient attester leur conformité par elles-mêmes, simplement en remplissant le questionnaire d’autoévaluation annuel SAQ (Self-Assessment Questionnaire) disponible sur le site du Conseil des normes de sécurité PCI, l’IATA a semblé exiger davantage – soit que les agences soient accréditées par un évaluateur de sécurité qualifié QSA (Qualified Security Assessor).
Il s’agit cependant d’une procédure beaucoup plus complexe et coûteuse, qui implique notamment un audit de sécurité sur site. En principe, l’exigence d’un QSA ne devrait s’appliquer qu’aux très gros marchands du niveau 1 (ceux traitant plus de 6 millions de transactions Visa ou MasterCard par an). Pas aux agents de voyages (qui sont, pour la plupart, du niveau 4)!
« Ça n’avait pas de bon sens. Ça allait à l’encontre exigences du Conseil des normes de sécurité PCI. Ça allait même à l’encontre des résolutions de l’IATA », commente Moscou Côté, de Voyages Constellation, qui relate avoir échangé une vingtaine de courriels avec l’IATA à ce sujet… avant que l’Association se ravise.
Manon Martel, directrice régionale de l’ACTA au Québec, mentionne pour sa part que l’IATA a semblé exiger que les agences fassent affaire avec une compagnie en particulier, Trustwave, qui propose aux entreprises son expertise dans le processus de certification PCI DSS. Or, l’ACTA a conclu pour ses membres une entente avec une autre entreprise spécialisée (Accel PC / Ubitrak). L’ACTA a dû défendre sa position auprès de l’IATA.
« Finalement, l’IATA a reconnu que les agences peuvent recourir au fournisseur certifié de services d’accompagnement de leur choix, tout comme elles peuvent aussi décider de ne pas être accompagnées », dit Manon Martel. Si la directrice se réjouit de cette victoire, elle n’en déplore pas moins que, dans ce dossier, l’information provienne trop souvent « lentement, par bribes, au compte-goutte » de la part de l’IATA.
« Avec l’IATA, il est parfois difficile de trouver le bon interlocuteur », corrobore Annie Chouinard, de l’entreprise certification PCI Proconform (choisie, notamment, par le réseau Voyages en Direct). « Mais une fois qu’on a trouvé le bon interlocuteur, c’est assez facile de s’entendre. Je les ai même trouvés très coopératifs », dit-elle.
Au fil de ses échanges avec l’IATA, Mme Chouinard a ainsi pu établir que l’exigence de faire signer l’attestation par une firme de QSA ne s’applique bel et bien qu’aux très grandes entreprises du niveau 1 (celles qui comptent 6 millions et plus de transactions Visa ou MasterCard par an). Autre confirmation : l’IATA suggère, mais n’impose pas les services de son partenaire Trustwave. « La foire aux questions (FAQ) de l’IATA à propos du PCI DSS doit être mise à jour pour pour dissiper les malentendus », dit-elle.
PROCESSUS LONG ET LABORIEUX
Cela établi, il reste que l’échéance pour fournir une attestation de conformité arrive à grands pas pour beaucoup d’agences. Pour plusieurs d’entre elles, on parle du 26 avril. On leur souhaite d’avoir déjà entamé les démarches, car le processus pour démontrer sa conformité PCI est assez laborieux. On aurait tort de penser qu’on peut remplir le questionnaire d’autoévaluation SAQ en quelques minutes sur un coin de table!
« Le processus de conformité implique plusieurs choses à faire, dont l’écriture de politiques et procédures. Ça ne se fait pas en deux jours. Il se peut aussi que des gens doivent suivre des formations », illustre Annie Chouinard.
Même pour les agences qui choisissent de se faire accompagner par une entreprise spécialisée comme Proconform ou Accel PC / Ubitrak, le processus de mise en conformité peut donc exiger plusieurs semaines. « Ça peut facilement prendre deux mois », indique Mme Chouinard.
OBTENIR UN REPORT D’ÉCHÉANCE?
D’après nos informations, obtenir un report d’échéance de la part de l’IATA n’est pas impossible… Mais ce n’est pas chose facile! « Je l’ai demandé et on m’a simplement répondu non, sans aucune explication », témoigne Francine Grégoire.
La présidente de Voyages Aquanautes raconte avoir eu du mal, ensuite, à trouver une entreprise spécialisée acceptant d’accompagner son agence dans le processus de certification PCI-DSS. Plusieurs de celles-ci sont en effet débordées, alors que plusieurs agences se sont réveillées en même temps et tardivement.
Mme Grégoire a toutefois fini par trouver un expert disponible et a entrepris les démarches de conformité PCI. Soulagée, elle prévoit néanmoins que l’exercice sera coûteux. « Apparemment, moi, je dois avoir un ordinateur dédié exclusivement aux billets d’avion et un autre dédié exclusivement aux paiements. Donc, je dois m’attendre à devoir acheter de l’équipement, des logiciels de sécurité, payer un technicien informatique, etc. »
AVIS DE NON-CONFORMITÉ
À quoi s’exposent les agences IATA qui ne fourniront pas à temps leur attestation de conformité? « Le manquement à se conformer à cette exigence à la demande de l’IATA donnera lieu à l’émission d’un avis de non-conformité/non-conformité administrative à l’encontre de l’Agence », indique l’IATA.
Quel est l’effet d’un tel avis de non-conformité? Par exemple, les agences risquent-elles de perdre leur accréditation IATA? Cela fait partie des questions que nous avons posées à l’IATA (et auxquelles nous n’avons pas obtenu de réponses)…
Dans le cadre d’un des six webinaires sur la conformité PCI proposés par l’ACTA et Accel PCI, on évoquait des frais de retard pouvant varier de 20 $ à 15 000 $ par mois. « Nous jugeons que l’application de cette mesure serait prématurée », indique toutefois Manon Martel. « Cela dit, nous avons les mains liées : ce n’est pas nous qui décidons, mais l’IATA », conclut-elle.